Konsep rangkaian maya persendirian, disingkatkan sebagai VPN (dari bahasa Inggeris, muncul dalam teknologi komputer agak baru-baru ini. Penciptaan sambungan jenis ini memungkinkan untuk menggabungkan terminal komputer dan peranti mudah alih ke dalam rangkaian maya tanpa wayar biasa, tanpa mengira lokasi terminal tertentu. Sekarang mari kita pertimbangkan isu Cara sambungan VPN berfungsi, dan pada masa yang sama kami akan memberikan beberapa cadangan untuk menyediakan rangkaian tersebut dan program klien yang berkaitan.
Apakah VPN?
Seperti yang telah jelas, VPN ialah rangkaian peribadi maya dengan beberapa peranti yang disambungkan kepadanya. Anda tidak seharusnya menipu diri sendiri - menyambung dua atau tiga dozen terminal komputer yang berfungsi secara serentak (seperti yang boleh dilakukan di kawasan setempat) biasanya tidak berfungsi. Ini mempunyai hadnya dalam persediaan rangkaian atau bahkan hanya dalam lebar jalur penghala yang bertanggungjawab untuk memberikan alamat IP dan
Walau bagaimanapun, idea yang pada mulanya wujud dalam teknologi sambungan bukanlah perkara baru. Mereka cuba untuk membuktikannya untuk masa yang lama. Dan ramai pengguna moden rangkaian komputer tidak membayangkan bahawa mereka telah mengetahui tentang ini sepanjang hidup mereka, tetapi semata-mata tidak cuba memahami intipati isu itu.
Cara sambungan VPN berfungsi: prinsip asas dan teknologi
Untuk pemahaman yang lebih baik, kami akan memberikan contoh paling mudah yang diketahui oleh mana-mana orang moden. Ambil radio, sebagai contoh. Lagipun, pada dasarnya, ia adalah peranti pemancar (penterjemah), unit perantara (repeater) yang bertanggungjawab untuk penghantaran dan pengedaran isyarat, dan peranti penerima (penerima).
Perkara lain ialah isyarat disiarkan kepada semua pengguna sepenuhnya, dan rangkaian maya berfungsi secara selektif, menyatukan hanya peranti tertentu ke dalam satu rangkaian. Sila ambil perhatian bahawa dalam kes pertama mahupun kedua, wayar diperlukan untuk menyambungkan peranti pemancar dan penerima yang bertukar data antara satu sama lain.
Tetapi terdapat beberapa kehalusan di sini juga. Hakikatnya ialah pada mulanya isyarat radio tidak dilindungi, iaitu, ia boleh diterima oleh mana-mana radio amatur dengan peranti yang berfungsi pada frekuensi yang sesuai. Bagaimanakah VPN berfungsi? Ya, betul-betul sama. Hanya dalam kes ini, peranan pengulang dimainkan oleh penghala (penghala atau modem ADSL), dan peranan penerima dimainkan oleh terminal komputer pegun, komputer riba atau peranti mudah alih yang dilengkapi dengan modul sambungan wayarles khas (Wi- Fi).
Dengan semua ini, data yang datang dari sumber pada mulanya disulitkan, dan hanya kemudian, menggunakan penyahsulit khas, dihasilkan semula pada peranti tertentu. Prinsip komunikasi melalui VPN ini dipanggil terowong. Dan prinsip ini paling konsisten dengan komunikasi mudah alih, apabila pengalihan berlaku kepada pelanggan tertentu.
Terowong rangkaian maya tempatan
Mari kita fahami cara VPN berfungsi dalam mod terowong. Pada terasnya, ia melibatkan mewujudkan garis lurus tertentu, katakan, dari titik "A" ke titik "B", apabila, apabila menghantar data dari sumber pusat (penghala dengan sambungan pelayan), semua peranti rangkaian dikenal pasti secara automatik mengikut kepada konfigurasi yang telah ditetapkan.
Dalam erti kata lain, terowong dicipta dengan pengekodan semasa menghantar data dan penyahkodan apabila menerima. Ternyata tiada pengguna lain yang cuba memintas data jenis ini semasa penghantaran akan dapat menyahsulitnya.
Cara pelaksanaan
Salah satu alat yang paling berkuasa untuk sambungan jenis ini dan pada masa yang sama memastikan keselamatan adalah sistem Cisco. Benar, sesetengah pentadbir yang tidak berpengalaman mempunyai soalan tentang mengapa peralatan VPN-Cisco tidak berfungsi.
Ini disebabkan terutamanya oleh konfigurasi yang salah dan pemacu penghala yang dipasang seperti D-Link atau ZyXEL, yang memerlukan penalaan halus hanya kerana ia dilengkapi dengan tembok api terbina dalam.
Di samping itu, anda harus memberi perhatian kepada gambar rajah sambungan. Terdapat dua daripadanya: laluan ke laluan atau akses jauh. Dalam kes pertama, kita bercakap tentang menggabungkan beberapa peranti pengedaran, dan dalam kes kedua, kita bercakap tentang menguruskan sambungan atau pemindahan data menggunakan akses jauh.
Protokol capaian
Dari segi protokol, alat konfigurasi digunakan terutamanya pada hari ini di peringkat PCP/IP, walaupun protokol dalaman untuk VPN mungkin berbeza-beza.
VPN berhenti berfungsi? Terdapat beberapa pilihan tersembunyi untuk dilihat. Sebagai contoh, protokol tambahan PPP dan PPTP, berdasarkan teknologi TCP, masih tergolong dalam susunan protokol TCP/IP, tetapi untuk menyambung, katakan, apabila menggunakan PPTP, anda mesti menggunakan dua alamat IP dan bukannya yang diperlukan. Walau bagaimanapun, dalam apa jua keadaan, terowong melibatkan pemindahan data yang disertakan dalam protokol dalaman seperti IPX atau NetBEUI, yang semuanya dilengkapi dengan pengepala berasaskan PPP khas untuk memindahkan data dengan lancar ke pemacu rangkaian yang sesuai.
Peranti perkakasan
Sekarang mari kita lihat situasi di mana timbul persoalan mengapa VPN tidak berfungsi. Jelas bahawa masalah itu mungkin berkaitan dengan konfigurasi peralatan yang salah. Tetapi keadaan lain juga mungkin timbul.
Perlu memberi perhatian kepada penghala itu sendiri, yang memantau sambungan. Seperti yang dinyatakan di atas, anda hanya perlu menggunakan peranti yang memenuhi parameter sambungan.
Sebagai contoh, penghala seperti DI-808HV atau DI-804HV mampu menyambung sehingga empat puluh peranti secara serentak. Bagi peralatan ZyXEL, dalam banyak kes ia juga boleh dijalankan melalui sistem pengendalian rangkaian ZyNOS terbina dalam, tetapi hanya menggunakan mod baris arahan melalui protokol Telnet. Pendekatan ini membolehkan anda mengkonfigurasi mana-mana peranti dengan penghantaran data pada tiga rangkaian dalam persekitaran Ethernet biasa dengan penghantaran trafik IP, serta menggunakan teknologi Sebarang-IP unik yang direka untuk menggunakan jadual standard penghala dengan trafik yang dimajukan sebagai pintu masuk untuk sistem yang pada asalnya dikonfigurasikan untuk berfungsi dalam subnet lain.
Apa yang perlu dilakukan jika VPN tidak berfungsi (Windows 10 dan ke bawah)?
Syarat pertama dan paling penting ialah kesesuaian kekunci output dan input (Kunci Prakongsi). Mereka mestilah sama di kedua-dua hujung terowong. Ia juga bernilai memberi perhatian kepada algoritma penyulitan kriptografi (IKE atau Manual) dengan atau tanpa fungsi pengesahan.
Contohnya, protokol AH yang sama (dalam bahasa Inggeris - Pengepala Pengesahan) hanya boleh memberikan kebenaran tanpa kemungkinan menggunakan penyulitan.
Pelanggan VPN dan konfigurasi mereka
Bagi pelanggan VPN, tidak semuanya mudah di sini sama ada. Kebanyakan program berdasarkan teknologi sedemikian menggunakan kaedah konfigurasi standard. Walau bagaimanapun, terdapat perangkap di sini.
Masalahnya ialah tidak kira bagaimana anda memasang klien, jika perkhidmatan itu dimatikan dalam sistem pengendalian itu sendiri, tiada apa yang baik akan datang daripadanya. Itulah sebabnya anda perlu mendayakan tetapan ini dalam Windows, kemudian membolehkannya pada penghala (penghala), dan kemudian mula menyediakan klien itu sendiri.
Anda perlu membuat sambungan baharu dalam sistem itu sendiri, dan bukannya menggunakan sambungan sedia ada. Kami tidak akan memikirkan perkara ini, kerana prosedurnya adalah standard, tetapi pada penghala itu sendiri anda perlu pergi ke tetapan tambahan (selalunya ia terletak dalam menu Jenis Sambungan WLAN) dan mengaktifkan semua yang berkaitan dengan pelayan VPN.
Ia juga perlu diperhatikan fakta bahawa ia perlu dipasang ke dalam sistem sebagai program pendamping. Tetapi kemudian ia boleh digunakan walaupun tanpa konfigurasi manual, hanya dengan memilih lokasi terdekat.
Salah satu yang paling popular dan paling mudah digunakan ialah pelayan klien VPN yang dipanggil SecurityKISS. Program ini dipasang, tetapi kemudian anda tidak perlu pergi ke tetapan untuk memastikan komunikasi normal untuk semua peranti yang disambungkan kepada pengedar.
Ia berlaku bahawa pakej Kerio VPN Client yang agak terkenal dan popular tidak berfungsi. Di sini anda perlu memberi perhatian bukan sahaja kepada sistem pengendalian itu sendiri, tetapi juga kepada parameter program klien. Sebagai peraturan, memasukkan parameter yang betul membolehkan anda menyingkirkan masalah. Sebagai langkah terakhir, anda perlu menyemak tetapan sambungan utama dan protokol TCP/IP yang digunakan (v4/v6).
Apakah keputusannya?
Kami melihat cara VPN berfungsi. Pada dasarnya, tidak ada yang rumit tentang menyambung atau mencipta rangkaian jenis ini. Kesukaran utama terletak pada menyediakan peralatan tertentu dan menetapkan parameternya, yang, malangnya, ramai pengguna terlepas pandang, bergantung pada fakta bahawa keseluruhan proses akan dikurangkan kepada automasi.
Sebaliknya, kami kini lebih tertumpu pada isu yang berkaitan dengan teknik pengendalian rangkaian maya VPN itu sendiri, jadi menyediakan peralatan, memasang pemacu peranti, dsb. perlu dilakukan menggunakan arahan dan cadangan yang berasingan.
Hari ini, pengguna Internet semakin menggunakan istilah VPN. Sesetengah mengesyorkan menggunakannya lebih kerap, manakala yang lain mengesyorkan mengelakkannya. Mari kita lihat lebih dekat apa yang tersembunyi di sebalik istilah ini.
Sambungan VPN, apakah itu?
VPN(Rangkaian Peribadi Maya) ialah teknologi, yang menyediakan komunikasi tertutup daripada akses luaran dengan kehadiran kelajuan sambungan yang tinggi. Sambungan ini dijalankan mengikut prinsip " titik - titik" Dalam sains, kaedah sambungan ini dipanggil terowong. Anda boleh menyertai terowong di PC dengan mana-mana OS, di mana Pelanggan VPN dipasang. Program ini "memajukan" port maya menggunakan TCP/IP ke rangkaian lain.
Untuk melaksanakan sambungan sedemikian, anda memerlukan platform yang menskala dan memastikan integriti dan kerahsiaan data dengan cepat.
Agar PC dapat Alamat IP 192.168.1.1-100 disambungkan melalui pintu masuk ke rangkaian luaran, anda perlu menetapkan peraturan sambungan pada penghala. Apabila sambungan VPN dibuat, pengepala mesej mengandungi alamat PC jauh. Mesej disulitkan oleh pengirim dan dinyahsulit oleh penerima menggunakan kunci yang dikongsi. Selepas ini, sambungan selamat diwujudkan antara kedua-dua rangkaian.
Cara menyambungkan VPN
Gambarajah ringkas operasi protokol telah diterangkan sebelum ini. Sekarang kita akan mengetahui cara menyambungkan klien pada peranti tertentu.
Pada komputer dan komputer riba
Sebelum anda sediakan VPN sambungan kepada PC Windows 7, sepatutnya nyatakan alamat IP atau nama pelayan. Untuk melakukan ini dalam " Pusat Perkongsian Rangkaian"pada" Panel kawalan" perlu " Buat sambungan baharu».
Pilih barang "" - " (VPN)».
Pada peringkat seterusnya anda harus menentukan Nama Dan alamat pelayan.
Anda perlu menunggu sehingga sambungan selesai.
Mari semak sambungan VPN. Untuk melakukan ini dalam " Panel kawalan"Dalam bab" Jaringan rangkaian» Panggil menu konteks dengan mengklik dua kali pada pintasan.
Pada " Butiran"perlu semak alamat IPv4. Ia mestilah dalam julat IP yang dinyatakan dalam tetapan VPN.
Pada telefon, iPhone atau tablet anda
Sekarang mari kita lihat cara membuat sambungan VPN dan mengkonfigurasinya pada alat yang menjalankan OS Android.
Untuk ini anda perlukan:
- telefon pintar, tablet; log masuk, kata laluan rangkaian; alamat pelayan.
Untuk menyediakan sambungan VPN, anda perlu memilih “” dalam tetapan telefon anda dan membuat yang baharu.
Ikon dengan sambungan baharu akan muncul pada skrin.
Sistem memerlukan log masuk dan kata laluan. Anda perlu memasukkan parameter dan pilih pilihan "". Kemudian pada sesi seterusnya anda tidak perlu mengesahkan data ini lagi.
Setelah sambungan VPN diaktifkan, ikon ciri akan muncul pada bar alat.
Jika anda mengklik pada ikon, butiran sambungan akan muncul.
Bagaimana untuk menyediakan VPN untuk berfungsi dengan betul
Mari kita lihat lebih dekat cara mengkonfigurasi secara automatik VPN pada komputer dengan OS Windows 10.
Pergi ke tetapan PC.
Dalam bab " Pilihan"pergi ke subseksyen "".
... dan tambah sambungan VPN baharu.
Pada halaman seterusnya anda harus menentukan parameter sambungan VPN:
- Pembekal perkhidmatan - Windows;Nama sambungan;Alamat pelayan;Jenis VPN;Nama pengguna dan kata laluan.
Setelah sambungan diwujudkan, anda perlu menyambung kepadanya.
Cara membuat pelayan VPN
Semua pembekal merekodkan aktiviti pelanggan mereka. Jika permintaan diterima daripada agensi penguatkuasaan undang-undang, mereka akan memberikan maklumat lengkap tentang tapak yang dilawati oleh pesalah. Oleh itu, pembekal melepaskan dirinya daripada semua liabiliti undang-undang. Tetapi kadangkala situasi timbul di mana pengguna perlu melindungi datanya:
- Syarikat menghantar data mereka melalui Internet melalui saluran yang disulitkan. Banyak perkhidmatan di Internet beroperasi berdasarkan lokasi geografi. Sebagai contoh, perkhidmatan Yandex.Music hanya beroperasi pada IP dari Persekutuan Rusia dan negara-negara CIS. Orang Rusia yang tinggal di Eropah tidak akan dapat mendengar muzik kegemarannya. Di pejabat, akses kepada rangkaian sosial sering disekat.
Seterusnya, anda perlu mencipta pengguna dan memberinya hak terhad kepada VPN sahaja. Anda juga perlu membuat kata laluan panjang baharu. Pilih pengguna daripada senarai. Pada peringkat seterusnya anda perlu memilih pilihan sambungan " Melalui Internet" Seterusnya anda perlu menentukan parameter sambungan. Jika anda tidak memerlukan akses kepada fail dan folder semasa bekerja dengan VPN, anda boleh menyahtanda semua kotak dan klik pada butang "".
Cara menggunakan VPN
Selepas sambungan baharu dibuat, anda hanya perlu membuka penyemak imbas dan memuatkan mana-mana halaman. Pemula boleh melangkau membuat sambungan dan segera memuat turun klien VPN dari Internet atau memasang sambungan khas dalam penyemak imbas. Selepas memuat turun program, anda perlu melancarkannya dan klik " Sambung" Pelanggan akan menyertai rangkaian lain dan pengguna akan dapat melihat tapak yang dilarang di rantaunya. Kelemahan kaedah ini ialah IP dikeluarkan secara automatik. Pengguna tidak boleh memilih negara. Tetapi sambungan disediakan dengan sangat cepat, dengan hanya menekan satu butang. Pilihan untuk menambah sambungan juga mempunyai kelemahan. Pertama, pengguna mesti didaftarkan di laman web rasmi program, dan kedua, sambungan sering ranap. Tetapi pengguna boleh memilih negara yang melaluinya sambungan ke rangkaian luaran akan dibuat. Proses sambungan itu sendiri juga tidak menimbulkan sebarang persoalan. Hanya tekan butang " Mulakan" dan penyemak imbas akan but semula pada rangkaian baharu. Mari lihat cara memasang sambungan menggunakan contoh VPN ZenMate.Muat turun program dari laman web rasmi. Selepas pemasangan, ikon berikut akan muncul dalam penyemak imbas:Klik pada ikon. Tetingkap sambungan akan muncul:
Jika anda menggerakkan kursor tetikus ke ikon dengan bendera Rusia, maka skrin akan dipaparkan IP semasa. Jika anda menggerakkan kursor ke atas ikon dengan bendera Romania, IP pelayan yang dipilih akan muncul. Jika mahu, anda boleh menukar negara sambungan. Untuk melakukan ini, klik pada glob dan pilih salah satu alamat automatik.
Kelemahan versi percuma program ini ialah bilangan pelayan yang kecil yang tersedia dan pengenaan pengiklanan.
Kesilapan yang paling biasa
Pelbagai program antivirus dan tembok api mungkin menyekat sambungan. Dalam kes ini, kod ralat dipaparkan pada skrin. Mari lihat masalah yang paling popular dan cara untuk menyelesaikannya.| ralat | sebab | Penyelesaian |
|---|---|---|
| 678 | Penyulitan tidak dibenarkan dalam OS | Anda perlu membuka baris arahan dan semak parameter "ProhibitIpSec" dalam registri "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters". Ia sepatutnya sama dengan 0. Jika pembekal itu sendiri menggunakan saluran penyulitan untuk menyediakan perkhidmatan, maka menukar tetapan ini akan menjejaskan akses Internet. |
| 691 | Log masuk/kata laluan salah dimasukkan | Anda perlu log masuk ke rangkaian sekali lagi |
| 692 | Ralat Firewall | Lumpuhkan tembok api anda |
| 720/738 | Pengguna sudah disambungkan | Ralat 720 berlaku hanya pada Windows 7. Semua sistem pengendalian lain memaparkan kod 738. Jika anda perlu bekerja dari PC yang berbeza melalui satu pelanggan, maka anda perlu mencipta beberapa nama pengguna. |
| 734 | VPN automatik | Anda perlu menukar jenis sambungan daripada "Automatik" kepada "L2TP IPSec VPN" dalam sifat sambungan. Jika ralat tidak hilang, anda perlu membuat semula sambungan. |
| 766/781 | Kunci tidak disimpan/tidak dimasukkan | Buka sifat VPN, pada tab "Keselamatan", pilih "Tetapan lanjutan" dan masukkan kekunci dalam tetingkap baharu |
| 768/789 (Windows 7, Vista, XP) | IPSec tidak berfungsi | RMB pada pintasan "Komputer Saya" - "Pengurusan". Dalam bahagian "Perkhidmatan", pilih "IPSec". Tetapkan jenis sambungan kepada Auto. |
VPN (Rangkaian Peribadi Maya), atau diterjemahkan ke dalam bahasa Rusia, rangkaian peribadi maya, ialah teknologi yang membolehkan anda menggabungkan peranti komputer ke dalam rangkaian selamat untuk menyediakan pengguna mereka saluran yang disulitkan dan akses tanpa nama kepada sumber di Internet.
Dalam syarikat, VPN digunakan terutamanya untuk menyatukan beberapa cawangan yang terletak di bandar yang berbeza atau bahkan bahagian dunia menjadi satu rangkaian tempatan. Pekerja syarikat sedemikian, menggunakan VPN, boleh menggunakan semua sumber yang terdapat di setiap cawangan seolah-olah mereka adalah sumber tempatan mereka sendiri, yang terletak berdekatan. Sebagai contoh, cetak dokumen pada pencetak yang terletak di cawangan lain dalam hanya satu klik.
Untuk pengguna Internet biasa, VPN akan berguna apabila:
- tapak telah disekat oleh pembekal, tetapi anda perlu log masuk;
- anda selalunya perlu menggunakan perbankan dalam talian dan sistem pembayaran dan ingin melindungi data anda daripada kemungkinan kecurian;
- perkhidmatan ini hanya berfungsi untuk Eropah, tetapi anda berada di Rusia dan tidak kisah mendengar muzik di LastFm;
- anda mahu tapak yang anda lawati tidak menjejaki data anda;
- Tiada penghala, tetapi adalah mungkin untuk menyambungkan dua komputer ke rangkaian tempatan untuk menyediakan kedua-duanya dengan akses ke Internet.
Cara VPN berfungsi
Rangkaian peribadi maya berfungsi melalui terowong yang mereka wujudkan antara komputer anda dan pelayan jauh. Semua data yang dihantar melalui terowong ini disulitkan.
Ia boleh dibayangkan sebagai terowong biasa, yang terdapat di lebuh raya, hanya diletakkan melalui Internet antara dua titik - komputer dan pelayan. Melalui terowong ini, data, seperti kereta, bergegas antara titik pada kelajuan tertinggi yang mungkin. Pada input (pada komputer pengguna), data ini disulitkan dan pergi dalam bentuk ini kepada penerima (ke pelayan), pada ketika ini ia dinyahsulit dan ditafsirkan: fail dimuat turun, permintaan dihantar ke tapak, dan lain-lain. Selepas itu data yang diterima disulitkan semula pelayan dan dihantar melalui terowong kembali ke komputer pengguna.
Untuk akses tanpa nama ke tapak dan perkhidmatan, rangkaian yang terdiri daripada komputer (tablet, telefon pintar) dan pelayan adalah mencukupi.
Secara umum, pertukaran data melalui VPN kelihatan seperti ini:
- Terowong dibuat antara komputer pengguna dan pelayan dengan perisian VPN yang dipasang. Contohnya OpenVPN.
- Dalam program ini, kunci (kata laluan) dijana pada pelayan dan komputer untuk menyulitkan/menyahsulit data.
- Permintaan dibuat pada komputer dan disulitkan menggunakan kunci yang dibuat sebelum ini.
- Data yang disulitkan dihantar melalui terowong ke pelayan.
- Data yang datang dari terowong ke pelayan dinyahsulit dan permintaan dilaksanakan - menghantar fail, log masuk ke tapak, memulakan perkhidmatan.
- Pelayan menyediakan respons, menyulitkannya sebelum menghantarnya dan menghantarnya kembali kepada pengguna.
- Komputer pengguna menerima data dan menyahsulitnya dengan kunci yang dijana sebelum ini.
Peranti yang disertakan dalam rangkaian persendirian maya tidak terikat secara geografi dan boleh ditempatkan pada sebarang jarak antara satu sama lain.
Bagi pengguna biasa perkhidmatan rangkaian persendirian maya, sudah cukup untuk memahami bahawa log masuk ke Internet melalui VPN bermakna tidak mahu dikenali dan akses tanpa had kepada mana-mana sumber, termasuk yang disekat oleh pembekal atau tidak boleh diakses di negara anda.
Siapa yang memerlukan VPN dan mengapa?
Pakar mengesyorkan menggunakan VPN untuk memindahkan sebarang data yang tidak sepatutnya berada di tangan pihak ketiga - log masuk, kata laluan, surat-menyurat peribadi dan kerja, bekerja dengan perbankan dalam talian. Ini benar terutamanya apabila menggunakan pusat akses terbuka - WiFi di lapangan terbang, kafe, taman, dsb.
Teknologi ini juga berguna untuk mereka yang ingin mengakses mana-mana tapak dan perkhidmatan secara bebas, termasuk yang disekat oleh pembekal atau hanya terbuka kepada kalangan orang tertentu. Sebagai contoh, Last.fm tersedia secara percuma hanya kepada penduduk Amerika Syarikat, England dan beberapa negara Eropah yang lain. Sambungan VPN akan membolehkan anda menggunakan perkhidmatan muzik dari Rusia.
Perbezaan antara VPN dan TOR, proksi dan anonymizer
VPN berfungsi secara global pada komputer dan mengubah hala kerja semua perisian yang dipasang pada komputer melalui terowong. Sebarang permintaan - melalui sembang, penyemak imbas, pelanggan storan awan (dropbox), dsb., melalui terowong dan disulitkan sebelum sampai kepada penerima. Peranti perantaraan "campurkan trek" melalui permintaan penyulitan dan nyahsulitnya hanya sebelum menghantarnya ke destinasi akhir. Penerima akhir permintaan, sebagai contoh, tapak web, bukan merekodkan data pengguna - lokasi geografi, dsb., tetapi data pelayan VPN. Iaitu, secara teorinya mustahil untuk menjejaki tapak yang dilawati pengguna dan permintaan apa yang dihantar melalui sambungan selamat.
Pada tahap tertentu, anonymizer, proksi dan TOR boleh dianggap sebagai analog VPN, tetapi semuanya kalah dalam beberapa cara kepada rangkaian peribadi maya.
Apakah perbezaan antara VPN dan TOR?
Seperti VPN, teknologi TOR melibatkan menyulitkan permintaan dan menghantarnya daripada pengguna ke pelayan dan sebaliknya. Hanya TOR tidak mencipta terowong kekal; laluan untuk menerima/menghantar data berubah dengan setiap akses, yang mengurangkan peluang memintas paket data, tetapi tidak mempunyai kesan terbaik pada kelajuan. TOR ialah teknologi percuma dan disokong oleh peminat, jadi anda tidak boleh mengharapkan operasi yang stabil. Ringkasnya, anda akan dapat mengakses tapak yang disekat oleh pembekal anda, tetapi ia akan mengambil masa beberapa jam atau bahkan hari untuk video HD dimuatkan daripadanya.
Apakah perbezaan antara VPN dan proksi?
Proksi, serupa dengan VPN, mengubah hala permintaan ke tapak, menghantarnya melalui pelayan perantara. Tidak sukar untuk memintas permintaan sedemikian, kerana pertukaran maklumat berlaku tanpa sebarang penyulitan.
Apakah perbezaan antara VPN dan anonymizer?
Anonymizer ialah versi proksi yang dilucutkan yang hanya boleh berfungsi dalam tab penyemak imbas terbuka. Anda boleh menggunakannya untuk mengakses halaman, tetapi anda tidak akan dapat menggunakan kebanyakan ciri dan tiada penyulitan disediakan.
Dari segi kelajuan, proksi akan memenangi antara kaedah pertukaran data tidak langsung, kerana ia tidak menyediakan penyulitan saluran komunikasi. Di tempat kedua ialah VPN, yang menyediakan bukan sahaja tanpa nama, tetapi juga perlindungan. Tempat ketiga pergi ke anonymizer, yang terhad untuk bekerja dalam tetingkap penyemak imbas terbuka. TOR sesuai apabila anda tidak mempunyai masa atau keupayaan untuk menyambung ke VPN, tetapi anda tidak sepatutnya bergantung pada pemprosesan berkelajuan tinggi untuk permintaan besar. Penggredan ini sah untuk kes apabila pelayan bukan grid digunakan, terletak pada jarak yang sama dari yang sedang diuji.
Bagaimana untuk menyambung ke Internet melalui VPN
Dalam RuNet, perkhidmatan akses VPN ditawarkan oleh berpuluh-puluh perkhidmatan. Mungkin ada ratusan di seluruh dunia. Pada asasnya semua perkhidmatan dibayar. Kosnya berkisar antara beberapa dolar hingga beberapa puluh dolar sebulan. Pakar yang mempunyai pemahaman yang baik tentang IT mencipta pelayan VPN untuk diri mereka sendiri, menggunakan pelayan yang disediakan oleh pelbagai penyedia pengehosan untuk tujuan ini. Kos pelayan sedemikian biasanya kira-kira $5 sebulan.
Sama ada anda lebih suka penyelesaian berbayar atau percuma bergantung pada keperluan dan jangkaan anda. Kedua-dua pilihan akan berfungsi - menyembunyikan lokasi, menggantikan IP, menyulitkan data semasa penghantaran, dll. - tetapi masalah dengan kelajuan dan akses dalam perkhidmatan berbayar berlaku dengan lebih jarang dan diselesaikan dengan lebih cepat.
Tweet
Tambahan pula
Sila dayakan JavaScript untuk melihatInternet semakin digunakan sebagai alat komunikasi antara komputer kerana ia menawarkan komunikasi yang cekap dan murah. Walau bagaimanapun, Internet ialah rangkaian awam dan untuk memastikan komunikasi selamat melaluinya, beberapa mekanisme diperlukan yang memenuhi sekurang-kurangnya tugas berikut:
kerahsiaan maklumat;
integriti data;
ketersediaan maklumat;
Keperluan ini dipenuhi oleh mekanisme yang dipanggil VPN (Rangkaian Persendirian Maya) - nama umum untuk teknologi yang membenarkan satu atau lebih sambungan rangkaian (rangkaian logik) disediakan melalui rangkaian lain (contohnya, Internet) menggunakan kriptografi (penyulitan, pengesahan , infrastruktur) kunci awam, bermaksud untuk melindungi daripada pengulangan dan perubahan dalam mesej yang dihantar melalui rangkaian logik).
Mencipta VPN tidak memerlukan pelaburan tambahan dan membolehkan anda berhenti menggunakan talian khusus. Bergantung pada protokol yang digunakan dan tujuan, VPN boleh menyediakan tiga jenis sambungan: hos-ke-hos, hos-ke-rangkaian dan rangkaian-ke-rangkaian.
Untuk kejelasan, mari bayangkan contoh berikut: sebuah perusahaan mempunyai beberapa cawangan yang jauh secara geografi dan pekerja "mudah alih" yang bekerja di rumah atau di jalan raya. Ia adalah perlu untuk menyatukan semua pekerja perusahaan ke dalam satu rangkaian. Cara paling mudah ialah memasang modem di setiap cawangan dan mengatur komunikasi mengikut keperluan. Penyelesaian ini, bagaimanapun, tidak selalunya mudah dan menguntungkan - kadangkala komunikasi berterusan dan lebar jalur yang besar diperlukan. Untuk melakukan ini, anda sama ada perlu meletakkan garis khusus antara cawangan atau menyewanya. Kedua-duanya agak mahal. Dan di sini, sebagai alternatif, apabila membina rangkaian selamat tunggal, anda boleh menggunakan sambungan VPN semua cawangan syarikat melalui Internet dan mengkonfigurasi alat VPN pada hos rangkaian.
nasi. 6.4. Sambungan VPN tapak ke tapak
nasi. 6.5. Rangkaian hos jenis sambungan VPN
Dalam kes ini, banyak masalah diselesaikan - cawangan boleh ditempatkan di mana-mana di seluruh dunia.
Bahaya di sini ialah, pertama sekali, rangkaian terbuka terbuka untuk diserang oleh penyerang di seluruh dunia. Kedua, semua data dihantar melalui Internet dalam teks yang jelas, dan penyerang, setelah menggodam rangkaian, akan menghantar semua maklumat melalui rangkaian. Dan ketiga, data bukan sahaja boleh dipintas, tetapi juga diganti semasa penghantaran melalui rangkaian. Penyerang boleh, sebagai contoh, melanggar integriti pangkalan data dengan bertindak bagi pihak pelanggan salah satu cawangan yang dipercayai.
Untuk mengelakkan perkara ini daripada berlaku, penyelesaian VPN menggunakan ciri seperti penyulitan data untuk memastikan integriti dan kerahsiaan, pengesahan dan kebenaran untuk mengesahkan hak pengguna dan membenarkan akses kepada rangkaian peribadi maya.
Sambungan VPN sentiasa terdiri daripada saluran titik ke titik, juga dikenali sebagai terowong. Terowong dibuat pada rangkaian yang tidak dilindungi, yang paling kerap ialah Internet.
Terowong atau enkapsulasi ialah kaedah menghantar maklumat berguna melalui rangkaian perantaraan. Maklumat ini mungkin bingkai (atau paket) protokol lain. Dengan enkapsulasi, bingkai tidak dihantar kerana ia dijana oleh hos penghantar, tetapi disediakan dengan pengepala tambahan yang mengandungi maklumat penghalaan yang membolehkan paket terkapsul melalui rangkaian perantaraan (Internet). Di hujung terowong, bingkai dinyahkapsul dan dihantar kepada penerima. Biasanya, terowong dicipta oleh dua peranti tepi yang diletakkan di titik masuk ke rangkaian awam. Salah satu kelebihan terowong yang jelas ialah teknologi ini membolehkan anda menyulitkan keseluruhan paket sumber, termasuk pengepala, yang mungkin mengandungi data yang mengandungi maklumat yang digunakan oleh penyerang untuk menggodam rangkaian (contohnya, alamat IP, bilangan subnet, dsb. ).
Walaupun terowong VPN diwujudkan di antara dua titik, setiap nod boleh mewujudkan terowong tambahan dengan nod lain. Contohnya, apabila tiga stesen terpencil perlu menghubungi pejabat yang sama, tiga terowong VPN berasingan akan dibuat ke pejabat itu. Untuk semua terowong, nod di bahagian pejabat boleh sama. Ini mungkin kerana nod boleh menyulitkan dan menyahsulit data bagi pihak keseluruhan rangkaian, seperti yang ditunjukkan dalam rajah:
nasi. 6.6. Mencipta terowong VPN untuk berbilang lokasi terpencil
Pengguna membuat sambungan ke get laluan VPN, selepas itu pengguna mempunyai akses kepada rangkaian dalaman.
Di dalam rangkaian peribadi, penyulitan itu sendiri tidak berlaku. Sebabnya ialah bahagian rangkaian ini dianggap selamat dan di bawah kawalan langsung, berbanding Internet. Ini juga benar apabila menyambungkan pejabat menggunakan get laluan VPN. Ini memastikan bahawa hanya maklumat yang dihantar melalui saluran yang tidak selamat antara pejabat disulitkan.
Terdapat banyak penyelesaian yang berbeza untuk membina rangkaian peribadi maya. Protokol yang paling terkenal dan digunakan secara meluas ialah:
PPTP (Point-to-Point Tunneling Protocol) - protokol ini telah menjadi agak popular kerana kemasukannya dalam sistem pengendalian Microsoft.
L2TP (Layer-2 Tunneling Protocol) – menggabungkan protokol L2F (Layer 2 Forwarding) dan protokol PPTP. Biasanya digunakan bersama dengan IPSec.
IPSec (Internet Protocol Security) ialah standard Internet rasmi yang dibangunkan oleh komuniti IETF (Internet Engineering Task Force).
Protokol yang disenaraikan disokong oleh peranti D-Link.
Protokol PPTP ditujukan terutamanya untuk rangkaian peribadi maya berdasarkan sambungan dail. Protokol ini membenarkan capaian jauh, membolehkan pengguna mewujudkan sambungan dail dengan penyedia Internet dan mencipta terowong selamat ke rangkaian korporat mereka. Tidak seperti IPSec, PPTP pada asalnya tidak bertujuan untuk mencipta terowong antara rangkaian tempatan. PPTP memanjangkan keupayaan PPP, protokol pautan data yang pada asalnya direka bentuk untuk merangkum data dan menyampaikannya melalui sambungan titik ke titik.
Protokol PPTP membolehkan anda mencipta saluran selamat untuk bertukar-tukar data melalui pelbagai protokol - IP, IPX, NetBEUI, dll. Data daripada protokol ini dibungkus dalam bingkai PPP dan dikapsulkan menggunakan protokol PPTP dalam paket protokol IP. Mereka kemudiannya dipindahkan menggunakan IP dalam bentuk yang disulitkan melalui mana-mana rangkaian TCP/IP. Nod penerima mengekstrak bingkai PPP daripada paket IP dan kemudian memprosesnya dengan cara standard, i.e. mengekstrak paket IP, IPX atau NetBEUI daripada bingkai PPP dan menghantarnya melalui rangkaian tempatan. Oleh itu, protokol PPTP mencipta sambungan titik ke titik dalam rangkaian dan menghantar data melalui saluran selamat yang dicipta. Kelebihan utama protokol merangkum seperti PPTP ialah sifat berbilang protokolnya. Itu. Perlindungan data pada lapisan pautan data adalah telus kepada rangkaian dan protokol lapisan aplikasi. Oleh itu, dalam rangkaian, kedua-dua protokol IP (seperti dalam kes VPN berdasarkan IPSec) dan mana-mana protokol lain boleh digunakan sebagai pengangkutan.
Pada masa ini, disebabkan oleh kemudahan pelaksanaan, protokol PPTP digunakan secara meluas untuk mendapatkan akses selamat yang boleh dipercayai ke rangkaian korporat dan untuk mengakses rangkaian penyedia Internet, apabila pelanggan perlu mewujudkan sambungan PPTP dengan penyedia Internet untuk mendapatkan akses ke Internet.
Kaedah penyulitan yang digunakan dalam PPTP ditentukan pada peringkat PPP. Biasanya, klien PPP ialah komputer meja yang menjalankan sistem pengendalian Microsoft, dan protokol penyulitan ialah Microsoft Point-to-Point Encryption (MPPE). Protokol ini adalah berdasarkan standard RSA RC4 dan menyokong penyulitan 40- atau 128-bit. Untuk kebanyakan aplikasi tahap penyulitan ini, penggunaan algoritma ini agak mencukupi, walaupun ia dianggap kurang selamat daripada beberapa algoritma penyulitan lain yang ditawarkan oleh IPSec, khususnya, Standard Penyulitan Tiga-Data 168-bit (3DES) .
Bagaimana sambungan diwujudkanPPTP?
PPTP merangkum paket IP untuk penghantaran melalui rangkaian IP. Pelanggan PPTP mencipta sambungan kawalan terowong yang memastikan saluran berjalan. Proses ini dilakukan pada lapisan pengangkutan model OSI. Selepas terowong dibuat, komputer klien dan pelayan mula bertukar-tukar paket perkhidmatan.
Selain sambungan kawalan PPTP, sambungan dibuat untuk memajukan data melalui terowong. Mengekapkan data sebelum menghantarnya ke dalam terowong melibatkan dua langkah. Pertama, bahagian maklumat bingkai PPP dibuat. Data mengalir dari atas ke bawah, dari lapisan aplikasi OSI ke lapisan pautan data. Data yang diterima kemudiannya dihantar ke model OSI dan dikapsulkan oleh protokol lapisan atas.
Data daripada lapisan pautan mencapai lapisan pengangkutan. Walau bagaimanapun, maklumat tidak boleh dihantar ke destinasinya, kerana lapisan pautan data OSI bertanggungjawab untuk ini. Oleh itu, PPTP menyulitkan medan muatan paket dan mengambil fungsi lapisan kedua yang biasanya dimiliki oleh PPP, iaitu, menambah pengepala dan treler PPP pada paket PPTP. Ini melengkapkan penciptaan bingkai lapisan pautan. Seterusnya, PPTP merangkum bingkai PPP dalam paket Generic Routing Encapsulation (GRE), yang tergolong dalam lapisan rangkaian. GRE merangkum protokol lapisan rangkaian seperti IP, IPX untuk membolehkan penghantarannya melalui rangkaian IP. Walau bagaimanapun, hanya menggunakan protokol GRE tidak akan memastikan penubuhan sesi dan keselamatan data. Ini menggunakan keupayaan PPTP untuk mencipta sambungan kawalan terowong. Menggunakan GRE sebagai kaedah enkapsulasi mengehadkan skop PPTP kepada rangkaian IP sahaja.
Selepas bingkai PPP telah dikapsulkan dalam bingkai dengan pengepala GRE, pengkapsulan dilakukan dalam bingkai dengan pengepala IP. Pengepala IP mengandungi alamat sumber dan destinasi paket. Akhir sekali, PPTP menambah pengepala PPP dan berakhir.
hidup nasi. 6.7 Struktur data untuk pemajuan melalui terowong PPTP ditunjukkan:
nasi. 6.7. Struktur data untuk pemajuan melalui terowong PPTP
Menubuhkan VPN berdasarkan PPTP tidak memerlukan perbelanjaan besar atau tetapan yang kompleks: ia cukup untuk memasang pelayan PPTP di pejabat pusat (penyelesaian PPTP wujud untuk kedua-dua platform Windows dan Linux), dan melaksanakan tetapan yang diperlukan pada komputer klien. Jika anda perlu menggabungkan beberapa cawangan, maka daripada menyediakan PPTP pada semua stesen pelanggan, lebih baik menggunakan penghala Internet atau tembok api dengan sokongan PPTP: tetapan dibuat hanya pada penghala tepi (firewall) yang disambungkan ke Internet, semuanya benar-benar telus untuk pengguna. Contoh peranti sedemikian ialah penghala Internet pelbagai fungsi siri DIR/DSR dan tembok api siri DFL.
GRE-terowong
Generic Routing Encapsulation (GRE) ialah protokol pengkapsulan paket rangkaian yang menyediakan terowong trafik melalui rangkaian tanpa penyulitan. Contoh penggunaan GRE:
penghantaran trafik (termasuk penyiaran) melalui peralatan yang tidak menyokong protokol tertentu;
terowong trafik IPv6 melalui rangkaian IPv4;
pemindahan data melalui rangkaian awam untuk melaksanakan sambungan VPN yang selamat.
nasi. 6.8. Contoh cara terowong GRE berfungsi
Antara dua penghala A dan B ( nasi. 6.8) terdapat beberapa penghala, terowong GRE membolehkan anda menyediakan sambungan antara rangkaian tempatan 192.168.1.0/24 dan 192.168.3.0/24 seolah-olah penghala A dan B disambungkan secara langsung.
L2 TP
Protokol L2TP muncul hasil gabungan protokol PPTP dan L2F. Kelebihan utama protokol L2TP ialah ia membolehkan anda membuat terowong bukan sahaja dalam rangkaian IP, tetapi juga dalam rangkaian geganti ATM, X.25 dan Frame. L2TP menggunakan UDP sebagai pengangkutan dan menggunakan format mesej yang sama untuk kawalan terowong dan pemajuan data.
Seperti PPTP, L2TP mula memasang paket untuk penghantaran ke dalam terowong dengan terlebih dahulu menambahkan pengepala PPP pada medan data maklumat PPP, kemudian pengepala L2TP. Paket yang terhasil dikapsulkan oleh UDP. Bergantung pada jenis dasar keselamatan IPSec yang dipilih, L2TP boleh menyulitkan mesej UDP dan menambah pengepala dan pengakhiran Encapsulating Security Payload (ESP), serta penamatan Pengesahan IPSec (lihat bahagian "L2TP over IPSec"). Kemudian ia terkandung dalam IP. Pengepala IP ditambah yang mengandungi alamat pengirim dan penerima. Akhir sekali, L2TP melakukan enkapsulasi PPP kedua untuk menyediakan data untuk penghantaran. hidup nasi. 6.9 menunjukkan struktur data untuk pemajuan melalui terowong L2TP.
nasi. 6.9. Struktur data untuk pemajuan melalui terowong L2TP
Komputer penerima menerima data, memproses pengepala PPP dan penamatan, dan mengalih keluar pengepala IP. Pengesahan IPSec mengesahkan medan maklumat IP, dan pengepala IPSec ESP membantu menyahsulit paket.
Komputer kemudian memproses pengepala UDP dan menggunakan pengepala L2TP untuk mengenal pasti terowong. Paket PPP kini hanya mengandungi data muatan yang diproses atau dimajukan kepada penerima yang ditentukan.
IPsec (singkatan untuk IP Security) ialah satu set protokol untuk memastikan perlindungan data yang dihantar melalui Internet Protocol (IP), membenarkan pengesahan dan/atau penyulitan paket IP. IPsec juga termasuk protokol untuk pertukaran kunci selamat melalui Internet.
Keselamatan IPSec dicapai melalui protokol tambahan yang menambah pengepala mereka sendiri pada paket IP - enkapsulasi. Kerana IPSec ialah standard Internet, dan terdapat RFC untuknya:
RFC 2401 (Seni Bina Keselamatan untuk Protokol Internet) – seni bina keselamatan untuk protokol IP.
RFC 2402 (pengepala Pengesahan IP) – pengepala pengesahan IP.
RFC 2404 (Penggunaan HMAC-SHA-1-96 dalam ESP dan AH) – penggunaan algoritma pencincangan SHA-1 untuk mencipta pengepala pengesahan.
RFC 2405 (Algoritma Sifir ESP DES-CBC Dengan IV Eksplisit) - penggunaan algoritma penyulitan DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – penyulitan data.
RFC 2407 (Tafsiran Domain Keselamatan IP Internet untuk ISAKMP) ialah skop protokol pengurusan utama.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – pengurusan kunci dan pengesah untuk sambungan selamat.
RFC 2409 (Pertukaran Kunci Internet (IKE)) – pertukaran kunci.
RFC 2410 (Algoritma Penyulitan NULL dan Penggunaannya Dengan IPsec) – algoritma penyulitan nol dan penggunaannya.
RFC 2411 (Pelan Hala Tuju Dokumen Keselamatan IP) ialah pembangunan lanjut standard.
RFC 2412 (Protokol Penentuan Kunci OAKLEY) – menyemak ketulenan kunci.
IPsec ialah bahagian penting IPv6 Protokol Internet dan sambungan pilihan kepada versi Protokol Internet IPv4.
Mekanisme IPSec menyelesaikan masalah berikut:
pengesahan pengguna atau komputer apabila memulakan saluran selamat;
penyulitan dan pengesahan data yang dihantar antara titik akhir saluran selamat;
peruntukan automatik titik akhir saluran dengan kunci rahsia yang diperlukan untuk operasi pengesahan dan protokol penyulitan data.
Komponen IPSec
Protokol AH (Authentication Header) – protokol pengenalan pengepala. Memastikan integriti dengan mengesahkan bahawa tiada bit dalam bahagian dilindungi paket ditukar semasa penghantaran. Tetapi menggunakan AH boleh menyebabkan masalah, contohnya, apabila paket melalui peranti NAT. NAT menukar alamat IP paket untuk membenarkan akses Internet daripada alamat tempatan peribadi. Kerana Dalam kes ini, paket akan berubah, maka AH checksum akan menjadi tidak betul (untuk menghapuskan masalah ini, protokol NAT-Traversal (NAT-T) telah dibangunkan, yang menyediakan penghantaran ESP melalui UDP dan menggunakan port UDP 4500 dalam operasinya) . Perlu diingat juga bahawa AH direka untuk integriti sahaja. Ia tidak menjamin kerahsiaan dengan menyulitkan kandungan pakej.
Protokol ESP (Encapsulation Security Payload) menyediakan bukan sahaja integriti dan pengesahan data yang dihantar, tetapi juga penyulitan data, serta perlindungan terhadap mainan semula palsu paket.
Protokol ESP ialah protokol keselamatan merangkum yang menyediakan kedua-dua integriti dan kerahsiaan. Dalam mod pengangkutan, pengepala ESP terletak di antara pengepala IP asal dan pengepala TCP atau UDP. Dalam mod terowong, pengepala ESP diletakkan di antara pengepala IP baharu dan paket IP asal yang disulitkan sepenuhnya.
Kerana Kedua-dua protokol - AH dan ESP - menambah pengepala IP mereka sendiri, setiap daripadanya mempunyai nombor protokol (ID) sendiri, yang boleh digunakan untuk menentukan perkara yang mengikuti pengepala IP. Setiap protokol, menurut IANA (Internet Assigned Numbers Authority - organisasi yang bertanggungjawab untuk ruang alamat Internet), mempunyai nombor (ID) sendiri. Sebagai contoh, untuk TCP nombor ini ialah 6, dan untuk UDP ialah 17. Oleh itu, apabila bekerja melalui tembok api, adalah sangat penting untuk mengkonfigurasi penapis sedemikian rupa untuk membolehkan paket dengan ID AH dan/atau protokol ESP lulus. melalui.
Untuk menunjukkan bahawa AH terdapat dalam pengepala IP, ID protokol ditetapkan kepada 51, dan untuk ESP nombornya ialah 50.
PERHATIAN: ID Protokol tidak sama dengan nombor port.
Protokol IKE (Internet Key Exchange) ialah protokol IPsec standard yang digunakan untuk memastikan komunikasi selamat dalam rangkaian peribadi maya. Tujuan IKE adalah untuk berunding dengan selamat dan menghantar bahan yang dikenal pasti kepada persatuan keselamatan (SA).
SA ialah istilah IPSec untuk sambungan. SA yang ditubuhkan (saluran selamat yang dipanggil Persatuan Keselamatan atau SA) termasuk kunci rahsia yang dikongsi dan satu set algoritma kriptografi.
Protokol IKE melaksanakan tiga tugas utama:
menyediakan cara pengesahan antara dua titik akhir VPN;
mewujudkan sambungan IPSec baharu (mencipta pasangan SA);
menguruskan sambungan sedia ada.
IKE menggunakan port UDP nombor 500. Apabila menggunakan ciri NAT Traversal, seperti yang dinyatakan sebelum ini, protokol IKE menggunakan nombor port UDP 4500.
Pertukaran data dalam IKE berlaku dalam 2 fasa. Pada fasa pertama, IKE SA ditubuhkan. Dalam kes ini, titik akhir saluran disahkan dan parameter perlindungan data dipilih, seperti algoritma penyulitan, kunci sesi, dsb.
Dalam fasa kedua, IKE SA digunakan untuk merundingkan protokol (biasanya IPSec).
Apabila terowong VPN dikonfigurasikan, satu pasangan SA dibuat untuk setiap protokol yang digunakan. SA dicipta secara berpasangan, kerana Setiap SA ialah sambungan satu arah, dan data mesti dipindahkan dalam dua arah. Pasangan SA yang terhasil disimpan pada setiap nod.
Memandangkan setiap nod mampu mewujudkan berbilang terowong dengan nod lain, setiap SA mempunyai nombor unik untuk mengenal pasti nod yang dimilikinya. Nombor ini dipanggil SPI (Indeks Parameter Keselamatan).
SA disimpan dalam pangkalan data (DB) S.A.D.(Pangkalan Data Persatuan Keselamatan).
Setiap nod IPSec juga mempunyai DB kedua − SPD(Pangkalan Data Dasar Keselamatan) – pangkalan data dasar keselamatan. Ia mengandungi dasar tapak yang dikonfigurasikan. Kebanyakan penyelesaian VPN membenarkan penciptaan berbilang dasar dengan gabungan algoritma yang sesuai untuk setiap hos yang sambungannya perlu diwujudkan.
Fleksibiliti IPSec terletak pada hakikat bahawa untuk setiap tugas terdapat beberapa cara untuk menyelesaikannya, dan kaedah yang dipilih untuk satu tugas biasanya bebas daripada kaedah untuk melaksanakan tugas lain. Pada masa yang sama, kumpulan kerja IETF telah mentakrifkan set asas fungsi dan algoritma yang disokong, yang harus dilaksanakan secara seragam dalam semua produk yang menyokong IPSec. Mekanisme AH dan ESP boleh digunakan dengan pelbagai skim pengesahan dan penyulitan, beberapa daripadanya adalah wajib. Sebagai contoh, IPSec menentukan bahawa paket disahkan menggunakan sama ada fungsi MD5 sehala atau fungsi SHA-1 sehala, dan penyulitan dilakukan menggunakan algoritma DES. Pengeluar produk yang menjalankan IPSec boleh menambah algoritma pengesahan dan penyulitan lain. Contohnya, sesetengah produk menyokong algoritma penyulitan seperti 3DES, Blowfish, Cast, RC5, dsb.
Untuk menyulitkan data dalam IPSec, sebarang algoritma penyulitan simetri yang menggunakan kunci rahsia boleh digunakan.
Protokol perlindungan strim dihantar (AH dan ESP) boleh beroperasi dalam dua mod: mod pengangkutan dan dalam mod terowong. Apabila beroperasi dalam mod pengangkutan, IPsec hanya berfungsi dengan maklumat lapisan pengangkutan, i.e. Hanya medan data paket yang mengandungi protokol TCP/UDP disulitkan (pengepala paket IP tidak diubah (tidak disulitkan)). Mod pengangkutan biasanya digunakan untuk mewujudkan sambungan antara hos.
Dalam mod terowong, keseluruhan paket IP disulitkan, termasuk pengepala lapisan rangkaian. Agar ia dihantar melalui rangkaian, ia diletakkan dalam paket IP lain. Pada asasnya, ia adalah terowong IP yang selamat. Mod terowong boleh digunakan untuk menyambungkan komputer jauh ke rangkaian peribadi maya (skim sambungan hos-ke-rangkaian) atau untuk mengatur pemindahan data selamat melalui saluran komunikasi terbuka (contohnya, Internet) antara pintu masuk untuk menyambungkan bahagian-bahagian yang berlainan dalam peribadi maya. rangkaian (skim sambungan rangkaian -net").
Mod IPsec tidak saling eksklusif. Pada nod yang sama, sesetengah SA mungkin menggunakan mod pengangkutan manakala yang lain menggunakan mod terowong.
Semasa fasa pengesahan, ICV (Nilai Semakan Integriti) paket dikira. Ini mengandaikan bahawa kedua-dua nod mengetahui kunci rahsia, yang membolehkan penerima mengira ICV dan membandingkannya dengan hasil yang dihantar oleh pengirim. Jika perbandingan ICV berjaya, penghantar paket dianggap telah disahkan.
Dalam mod pengangkutanA.H.
keseluruhan paket IP, kecuali beberapa medan dalam pengepala IP yang mungkin diubah suai semasa penghantaran. Medan ini, yang ditetapkan kepada 0 untuk pengiraan ICV, boleh menjadi Jenis Perkhidmatan (TOS), bendera, offset serpihan, masa untuk hidup (TTL) dan pengepala semak;
semua bidang dalam AH;
Muatan paket IP.
AH dalam mod pengangkutan melindungi pengepala IP (tidak termasuk medan yang mana perubahan dibenarkan) dan muatan dalam paket IP asal (Rajah 3.39).
Dalam mod terowong, paket asal diletakkan dalam paket IP baharu, dan penghantaran data dilakukan berdasarkan pengepala paket IP baharu.
Untuk mod terowongA.H. Semasa melakukan pengiraan, ICV checksum termasuk komponen berikut:
semua medan pengepala IP luar, kecuali beberapa medan dalam pengepala IP yang boleh diubah suai semasa penghantaran. Medan ini, yang ditetapkan kepada 0 untuk pengiraan ICV, boleh menjadi Jenis Perkhidmatan (TOS), bendera, offset serpihan, masa untuk hidup (TTL) dan pengepala semak;
semua bidang AH;
paket IP asal.
Seperti yang anda boleh lihat dalam ilustrasi berikut, mod terowong AH melindungi keseluruhan paket IP asal dengan menggunakan pengepala luar tambahan, yang tidak digunakan oleh mod pengangkutan AH:
nasi. 6.10. Terowong dan mod pengangkutan operasi protokol AN
Dalam mod pengangkutanESP tidak mengesahkan keseluruhan paket, tetapi hanya melindungi muatan IP. Pengepala ESP dalam mod pengangkutan ESP ditambahkan pada paket IP sejurus selepas pengepala IP, dan treler ESP (Treler ESP) ditambah dengan sewajarnya selepas data.
Mod pengangkutan ESP menyulitkan bahagian paket berikut:
Muatan IP;
Algoritma penyulitan yang menggunakan mod Cipher Block Chaining (CBC) mempunyai medan tidak disulitkan antara pengepala ESP dan muatan. Medan ini dipanggil IV (Initialization Vector) untuk pengiraan CBC yang dilakukan pada penerima. Oleh kerana medan ini digunakan untuk memulakan proses penyahsulitan, ia tidak boleh disulitkan. Walaupun penyerang mempunyai keupayaan untuk melihat IV, tidak ada cara untuk dia menyahsulit bahagian paket yang disulitkan tanpa kunci penyulitan. Untuk menghalang penyerang daripada menukar vektor permulaan, ia dilindungi oleh ICV checksum. Dalam kes ini, ICV melakukan pengiraan berikut:
semua medan dalam pengepala ESP;
muatan termasuk plainteks IV;
semua medan dalam Treler ESP kecuali medan data pengesahan.
Mod terowong ESP merangkumi keseluruhan paket IP asal dalam pengepala IP baharu, pengepala ESP dan Treler ESP. Untuk menunjukkan bahawa ESP hadir dalam pengepala IP, pengecam protokol IP ditetapkan kepada 50, meninggalkan pengepala IP asal dan muatan tidak berubah. Seperti mod terowong AH, pengepala IP luar adalah berdasarkan konfigurasi terowong IPSec. Dalam kes mod terowong ESP, kawasan pengesahan paket IP menunjukkan tempat tandatangan diletakkan untuk mengesahkan integriti dan ketulenannya, dan bahagian yang disulitkan menunjukkan bahawa maklumat itu selamat dan sulit. Pengepala sumber diletakkan selepas pengepala ESP. Selepas bahagian yang disulitkan dikapsulkan dalam pengepala terowong baharu, yang tidak disulitkan, paket IP dihantar. Apabila dihantar melalui rangkaian awam, paket dihalakan ke alamat IP get laluan rangkaian penerima, dan get laluan menyahsulit paket dan membuang pengepala ESP menggunakan pengepala IP asal untuk kemudiannya mengarahkan paket ke komputer pada rangkaian dalaman. Mod terowong ESP menyulitkan bahagian paket berikut:
Untuk mod terowong ESP, ICV dikira seperti berikut:
semua medan dalam pengepala ESP;
paket IP asal termasuk plainteks IV;
semua medan pengepala ESP kecuali medan data pengesahan.
paket IP asal;
nasi. 6.11. Mod terowong dan pengangkutan protokol ESP
nasi. 6.12. Perbandingan protokol ESP dan AH
Ringkasan mod aplikasiIPSec:
Protokol – ESP (AH).
Mod – terowong (pengangkutan).
Kaedah pertukaran kunci ialah IKE (manual).
Mod IKE – utama (agresif).
Kunci DH – kumpulan 5 (kumpulan 2, kumpulan 1) – nombor kumpulan untuk memilih kunci sesi yang dibuat secara dinamik, panjang kumpulan.
Pengesahan – SHA1 (SHA, MD5).
Penyulitan – DES (3DES, Blowfish, AES).
Apabila membuat dasar, biasanya mungkin untuk membuat senarai tersusun bagi algoritma dan kumpulan Diffie-Hellman. Diffie-Hellman (DH) ialah protokol penyulitan yang digunakan untuk mewujudkan kunci rahsia kongsi untuk IKE, IPSec dan PFS (Perfect Forward Secrecy). Dalam kes ini, kedudukan pertama yang sepadan pada kedua-dua nod akan digunakan. Adalah sangat penting bahawa segala-galanya dalam dasar keselamatan membenarkan penjajaran ini. Jika semua yang lain sepadan kecuali satu bahagian dasar, nod masih tidak akan dapat mewujudkan sambungan VPN. Apabila menyediakan terowong VPN antara sistem yang berbeza, anda perlu mengetahui algoritma mana yang disokong oleh setiap pihak supaya anda boleh memilih dasar yang paling selamat yang mungkin.
Tetapan asas yang termasuk dalam dasar keselamatan:
Algoritma simetri untuk penyulitan/penyahsulitan data.
Jumlah semak kriptografi untuk mengesahkan integriti data.
Kaedah pengenalan nod. Kaedah yang paling biasa ialah rahsia pra-kongsi atau sijil CA.
Sama ada untuk menggunakan mod terowong atau mod pengangkutan.
Kumpulan Diffie-Hellman yang manakah hendak digunakan (kumpulan DH 1 (768-bit); Kumpulan DH 2 (1024-bit); Kumpulan DH 5 (1536-bit)).
Sama ada nak guna AH, ESP, atau kedua-duanya sekali.
Sama ada hendak menggunakan PFS.
Batasan IPSec ialah ia hanya menyokong komunikasi lapisan protokol IP.
Terdapat dua skim utama untuk menggunakan IPSec, berbeza dalam peranan nod yang membentuk saluran selamat.
Dalam skema pertama, saluran selamat dibentuk antara hos akhir rangkaian. Dalam skema ini, protokol IPSec melindungi nod yang berikut dijalankan:
nasi. 6.13. Cipta saluran selamat antara dua titik akhir
Dalam skim kedua, saluran selamat diwujudkan antara dua pintu masuk keselamatan. Gerbang ini menerima data daripada hos akhir yang disambungkan ke rangkaian yang terletak di belakang pintu masuk. Hos akhir dalam kes ini tidak menyokong protokol IPSec; trafik yang dihantar ke rangkaian awam melalui gerbang keselamatan, yang melakukan perlindungan bagi pihaknya.
nasi. 6.14. Mencipta saluran selamat antara dua pintu masuk
Untuk hos yang menyokong IPSec, kedua-dua mod pengangkutan dan terowong boleh digunakan. Gerbang hanya dibenarkan menggunakan mod terowong.
Pemasangan dan sokonganVPN
Seperti yang dinyatakan di atas, memasang dan menyelenggara terowong VPN ialah proses dua langkah. Pada peringkat pertama (fasa), dua nod bersetuju dengan kaedah pengenalan, algoritma penyulitan, algoritma cincang dan kumpulan Diffie-Hellman. Mereka juga mengenal pasti satu sama lain. Semua ini boleh berlaku akibat pertukaran tiga mesej yang tidak disulitkan (mod yang dipanggil agresif, Agresif mod) atau enam mesej, dengan pertukaran maklumat pengenalan yang disulitkan (mod standard, Utama mod).
Dalam Mod Utama, adalah mungkin untuk menyelaraskan semua parameter konfigurasi peranti penghantar dan penerima, manakala dalam Mod Agresif tidak ada kemungkinan sedemikian, dan beberapa parameter (kumpulan Diffie-Hellman, penyulitan dan algoritma pengesahan, PFS) mesti dikonfigurasikan secara sama dalam terlebih dahulu pada setiap peranti. Walau bagaimanapun, dalam mod ini, kedua-dua bilangan pertukaran dan bilangan paket yang dihantar adalah lebih rendah, menyebabkan lebih sedikit masa yang diperlukan untuk mewujudkan sesi IPSec.
nasi. 6.15. Pemesejan dalam mod standard (a) dan agresif (b).
Dengan mengandaikan operasi selesai dengan jayanya, fasa pertama SA dicipta − fasa 1 S.A.(juga dipanggil IKES.A.) dan proses bergerak ke fasa kedua.
Pada peringkat kedua, data utama dijana dan nod bersetuju dengan dasar untuk digunakan. Mod ini, juga dipanggil mod Pantas, berbeza daripada fasa pertama kerana ia hanya boleh diwujudkan selepas fasa pertama, apabila semua paket fasa kedua disulitkan. Penyiapan fasa kedua yang betul menghasilkan penampilan fasa 2 S.A. atau IPSecS.A. dan pada ketika ini pemasangan terowong dianggap selesai.
Pertama, paket dengan alamat destinasi dalam rangkaian lain tiba di nod, dan nod memulakan fasa pertama dengan nod yang bertanggungjawab untuk rangkaian lain. Katakan terowong antara nod telah berjaya diwujudkan dan sedang menunggu paket. Walau bagaimanapun, nod perlu mengenal pasti semula satu sama lain dan membandingkan dasar selepas tempoh masa tertentu. Tempoh ini dipanggil seumur hidup Fasa Satu atau seumur hidup IKE SA.
Nod juga mesti menukar kunci untuk menyulitkan data selepas tempoh masa yang dipanggil Fasa Dua atau seumur hidup IPSec SA.
Hayat Fasa Dua adalah lebih pendek daripada fasa pertama, kerana... kunci perlu ditukar lebih kerap. Anda perlu menetapkan parameter seumur hidup yang sama untuk kedua-dua nod. Jika anda tidak melakukan ini, maka kemungkinan terowong pada mulanya akan berjaya ditubuhkan, tetapi selepas seumur hidup pertama yang tidak konsisten sambungan akan terganggu. Masalah juga mungkin timbul apabila hayat fasa pertama kurang daripada fasa kedua. Jika terowong yang dikonfigurasikan sebelum ini berhenti berfungsi, maka perkara pertama yang perlu disemak ialah jangka hayat pada kedua-dua nod.
Perlu diingatkan juga bahawa jika dasar diubah pada salah satu nod, perubahan akan berkuat kuasa hanya apabila fasa pertama berlaku. Untuk perubahan berkuat kuasa serta-merta, SA untuk terowong ini mesti dialih keluar daripada pangkalan data SAD. Ini akan menyebabkan perjanjian antara nod dirundingkan semula dengan tetapan dasar keselamatan baharu.
Kadang-kadang apabila menyediakan terowong IPSec antara peralatan dari pengeluar yang berbeza, kesukaran timbul disebabkan oleh penyelarasan parameter semasa menubuhkan fasa pertama. Anda harus memberi perhatian kepada parameter seperti Local ID - ini adalah pengecam unik titik akhir terowong (pengirim dan penerima). Ini amat penting apabila mencipta berbilang terowong dan menggunakan protokol NAT Traversal.
MatiRakan sebayaPengesanan
Semasa operasi VPN, jika tiada trafik antara titik akhir terowong, atau apabila data awal nod jauh berubah (contohnya, menukar alamat IP yang diberikan secara dinamik), situasi mungkin timbul apabila terowong pada dasarnya tidak lagi terowong, menjadi, seolah-olah, terowong hantu. Untuk mengekalkan kesediaan berterusan untuk pertukaran data dalam terowong IPSec yang dicipta, mekanisme IKE (diterangkan dalam RFC 3706) membolehkan anda memantau kehadiran trafik dari nod jauh terowong, dan jika ia tidak hadir untuk masa yang ditetapkan, mesej helo dihantar (dalam tembok api Mesej "DPD-R-U-THERE" dihantar ke D-Link. Jika tiada respons kepada mesej ini dalam masa tertentu, dalam tembok api D-Link yang ditentukan oleh tetapan "Masa Tamat DPD", terowong akan dibongkar. Tembok api D-Link selepas ini menggunakan tetapan "DPD Keep Time" ( nasi. 6.18), cuba memulihkan terowong secara automatik.
ProtokolNATTraversal
Trafik IPsec boleh dihalakan mengikut peraturan yang sama seperti protokol IP lain, tetapi memandangkan penghala tidak boleh sentiasa mengekstrak maklumat khusus untuk mengangkut protokol lapisan, IPsec tidak boleh melalui get laluan NAT. Seperti yang dinyatakan sebelum ini, untuk menyelesaikan masalah ini, IETF mentakrifkan cara untuk merangkum ESP dalam UDP, dipanggil NAT-T (NAT Traversal).
Protokol NAT Traversal merangkum trafik IPSec dan pada masa yang sama mencipta paket UDP yang NAT ke hadapan dengan betul. Untuk melakukan ini, NAT-T meletakkan pengepala UDP tambahan sebelum paket IPSec supaya ia dianggap sebagai paket UDP biasa di seluruh rangkaian dan hos penerima tidak melakukan sebarang pemeriksaan integriti. Sebaik sahaja paket tiba di destinasinya, pengepala UDP dialih keluar dan paket data meneruskan laluannya sebagai paket IPSec terkapsul. Oleh itu, menggunakan mekanisme NAT-T, adalah mungkin untuk mewujudkan komunikasi antara pelanggan IPSec pada rangkaian selamat dan hos IPSec awam melalui tembok api.
Apabila mengkonfigurasi tembok api D-Link pada peranti penerima, dua perkara perlu diberi perhatian:
Dalam medan Rangkaian Jauh dan Titik Tamat Jauh, nyatakan rangkaian dan alamat IP peranti penghantar jauh. Ia adalah perlu untuk membenarkan terjemahan alamat IP pemula (pengirim) menggunakan teknologi NAT (Rajah 3.48).
Apabila menggunakan kunci kongsi dengan berbilang terowong yang disambungkan ke tembok api jauh yang sama yang telah NAT ke alamat yang sama, adalah penting untuk memastikan bahawa ID Setempat adalah unik untuk setiap terowong.
Tempatan ID mungkin salah satu daripada:
Auto– alamat IP antara muka trafik keluar digunakan sebagai pengecam tempatan.
IP– Alamat IP port WAN bagi tembok api jauh
DNS– Alamat DNS
VPN dan pelayan proksi mempunyai satu persamaan: ia direka untuk melindungi maklumat sensitif dan menyembunyikan alamat IP anda. Di sinilah persamaan berakhir.
| Proksi atau VPN | proksi | VPN | |
|---|---|---|---|
| Akses kepada mana-mana kandungan | |||
| Menyembunyikan lokasi anda (alamat IP) | |||
| Menyembunyikan identiti anda daripada penipu | |||
| Berfungsi dengan penyemak imbas (Chrome, Firefox) | |||
| Berfungsi dengan pelbagai peranti (telefon pintar, tablet, konsol) | |||
| Berfungsi dengan permainan dan aplikasi | |||
| Menyulitkan aktiviti anda, melindungi daripada penggodam | |||
| Melindungi anda daripada perisian hasad dan taktik pancingan data | |||
| Sentiasa menukar lokasi maya (alamat IP) | |||
| Kandungan melayari dan penstriman berkelajuan tinggi | |||
KesimpulanSeperti yang anda lihat, VPN adalah lebih baik daripada pelayan proksi dari segi keupayaan. Kedua-dua perkhidmatan membenarkan anda menyembunyikan alamat IP anda, tetapi ciri VPN tambahan termasuk penyulitan yang kuat, perlindungan sistem yang komprehensif, dsb. – jadikan teknologi ini lebih selamat dan sulit daripada pelayan proksi. | |||
Bagaimana untuk memilih VPN terbaik
Kini anda faham mengapa anda memerlukan VPN dalam hutan digital hari ini. Bagaimana untuk memilih perkhidmatan yang sesuai untuk anda? Berikut adalah beberapa petua berguna untuk membantu anda membuat pilihan yang tepat.
harga
Harga sentiasa penting, tetapi mendapatkan apa yang anda bayar adalah lebih penting. Perkhidmatan VPN percuma biasanya penuh dengan masalah - mereka hampir selalu mempunyai beberapa jenis sekatan yang ketat. Dan bagaimana anda boleh memastikan bahawa mereka tidak akan cuba menjana wang dengan menjual data anda? Lagipun, mengekalkan rangkaian pelayan VPN bukanlah usaha yang murah, jadi jika anda tidak membayar untuk produk tersebut, kemungkinan besar anda adalah produk tersebut.
Kelajuan
Terdapat banyak faktor yang mempengaruhi kelajuan VPN. Rangkaian pelayan perlu dioptimumkan dengan baik untuk memastikan anda mendapat output, jadi pastikan perkhidmatan yang anda pilih mengoptimumkan rangkaiannya. Di samping itu, perkhidmatan yang benar-benar baik tidak akan mengehadkan jumlah trafik dan kapasiti penghantaran data, jadi anda boleh menikmati kelajuan tinggi seberapa banyak yang anda suka.
Kerahsiaan
Sesetengah perkhidmatan VPN menyimpan data peribadi anda, yang mengalahkan keseluruhan tujuan menggunakan VPN untuk melindungi privasi anda! Jika privasi adalah penting kepada anda, maka hanya perkhidmatan yang mematuhi prinsip "Tiada Rekod" yang sesuai untuk anda. Ia juga baik untuk mengekalkan privasi jika perkhidmatan VPN menerima pembayaran dalam Bitcoin.
Keselamatan
Untuk memastikan bahawa perkhidmatan memberikan perlindungan yang baik terhadap pelbagai ancaman, lihat protokol penyulitan yang digunakannya. Selain itu, pelanggan perkhidmatan mesti mempunyai fungsi "Stop Faucet" untuk menyekat sebarang komunikasi antara peranti dan Rangkaian jika sambungan VPN telah terganggu atau terputus sambungan.
Bilangan pelayan/negara
Ini adalah satu kemestian mutlak untuk memastikan sambungan VPN yang pantas dan stabil. Lebih banyak pelayan perkhidmatan VPN dan lebih besar senarai negara tempat mereka berada, lebih baik. Tetapi bukan itu sahaja. Semak sama ada perkhidmatan itu membenarkan anda bertukar antara pelayan VPN yang berbeza tanpa sekatan. Anda mesti boleh menukar pusat akses Internet anda pada bila-bila masa.
Bilangan sambungan serentak
Sesetengah perkhidmatan membenarkan hanya satu peranti untuk menyambung ke rangkaian VPN mereka pada satu masa. Lain-lain membenarkan anda menyambungkan PC, komputer riba, telefon pintar, Xbox dan tablet secara serentak. Di SaferVPN, kami percaya bahawa lebih banyak adalah lebih baik. Oleh itu, kami membenarkan anda menyambungkan sehingga lima peranti pada setiap akaun secara serentak.
Sokongan
Ramai pengguna VPN pada mulanya memerlukan bantuan untuk membiasakan diri dengan teknologi baharu, jadi faktor penting apabila memilih perkhidmatan boleh menjadi kehadiran perkhidmatan sokongan teknikal yang baik, yang, pertama, segera menjawab soalan pengguna dan, kedua, memberikan nasihat yang benar-benar masuk akal. . Pasukan SaferVPN sentiasa bersedia untuk menjawab soalan anda melalui e-mel. mel atau melalui sembang dalam talian.
Percubaan percuma, jaminan wang dikembalikan
Mencuba produk sebelum membeli adalah perkara sebenar. Tidak semua perkhidmatan VPN bersedia untuk menyediakannya. Tetapi tidak ada cara yang lebih baik untuk mengetahui sama ada perkhidmatan itu sesuai untuk anda daripada mencubanya sendiri. Ia juga bagus jika ada jaminan wang dikembalikan, terutamanya jika pemulangan dibuat dengan segera.
Perisian
Tidak begitu mudah untuk mencari perkhidmatan VPN yang mudah digunakan, mudah dipasang, dan pada masa yang sama memberikan perlindungan yang baik dan mempunyai fungsi yang kaya. Ciri sambungan satu sentuhan kami adalah sangat mudah dan ciri automatik kami memastikan keselamatan anda.
Keserasian merentas platform
Setiap platform memerlukan membangunkan klien VPN yang berasingan. Ini bukanlah tugas yang mudah, tetapi perkhidmatan VPN yang baik harus mempunyai pelanggan untuk sebarang peranti, menawarkan pelanggan kepada pengguna untuk pelbagai platform, dan juga memberikan sokongan teknikal dengan segera dan membantu pengguna menyelesaikan masalah.
Kamus VPN
Terminologi dalam bidang keselamatan Internet adalah perkara yang agak rumit dan mengelirukan. Tetapi jangan tergesa-gesa untuk putus asa! Pasukan SaferVPN akan membantu anda memahami semua selok-belok.
Penyekat iklan
Inggeris Standard Penyulitan Lanjutan – standard penyulitan lanjutan. AES 256-bit pada masa ini dianggap sebagai "standard emas" penyulitan, yang digunakan oleh kerajaan AS untuk melindungi data sensitif. AES ialah standard penyulitan terbaik yang tersedia untuk pengguna VPN.
Pintu belakang
Pintu belakang matematik, kod kriptografi rahsia yang dibenamkan dalam urutan penyulitan supaya sifir kemudiannya boleh dipecahkan.
Bitcoin
Peer-to-peer terdesentralisasi (dipindahkan dari satu pengguna ke pengguna lain secara langsung) membuka mata wang maya (cryptocurrency). Seperti wang tradisional, Bitcoin boleh ditukar dengan produk dan perkhidmatan, serta mata wang lain. SaferVPN menerima pembayaran dalam Bitcoin.
Log sambungan (metadata)
Pendaftaran yang menyimpan rekod tarikh sambungan anda, tempoh, kekerapan, alamat, dsb. Keperluan untuk mengekalkan rekod sedemikian biasanya dijelaskan oleh fakta bahawa mereka membantu menyelesaikan pelbagai masalah teknikal dan memerangi semua jenis pelanggaran. SaferVPN tidak menyimpan rekod sedemikian sebagai prinsip.
Kelajuan sambungan
Jumlah data yang dipindahkan dalam tempoh masa tertentu. Biasanya diukur dalam kilobit atau megabit sesaat.
biskut
Inggeris biskut - biskut. Ini adalah cebisan kecil data yang disimpan oleh penyemak imbas sebagai fail teks. Mereka boleh digunakan untuk melakukan banyak perkara yang berguna (contohnya, ingat maklumat log masuk pengguna atau tetapan peribadi di tapak), tetapi kuki sering digunakan untuk menjejak pengguna.
DD-WRT ialah perisian tegar terbuka untuk penghala, memberikan anda pilihan yang luas untuk mengurus penghala anda. Alternatif terbaik kepada perisian tegar proprietari bagi mereka yang ingin mengkonfigurasi penghala secara bebas untuk memenuhi keperluan mereka.
Inggeris Sistem Nama Domain – sistem nama domain. Ini adalah pangkalan data yang mampu mengubah alamat halaman web (URL) daripada bentuk yang biasa dan boleh difahami oleh kami kepada format digital "sebenar" yang boleh difahami oleh komputer. Terjemahan DNS biasanya dijalankan oleh pembekal perkhidmatan Internet anda, pada masa yang sama menyemak dan menapis semua trafik anda.
Keselamatan Data
Peraturan atau undang-undang di mana syarikat mengumpul data tentang penggunanya. Di kebanyakan negara, penyedia perkhidmatan Internet dikehendaki menyimpan beberapa data pengguna (seperti sejarah melayari) selama beberapa bulan.
Penyulitan
Pengekodan data menggunakan algoritma matematik untuk menghalang capaian yang tidak dibenarkan kepadanya. Penyulitan adalah satu-satunya perkara yang boleh melindungi data digital daripada orang yang tidak dibenarkan. Ia adalah asas keselamatan Internet.
Penyekatan geo
Mengehadkan akses kepada perkhidmatan dalam talian berdasarkan lokasi geografi. Sekatan ini secara amnya diperkenalkan supaya pemegang hak cipta boleh memasuki perjanjian pelesenan yang menguntungkan dengan pengedar di seluruh dunia. Sudah tentu, pengantara menjadikan produk lebih mahal untuk pengguna akhir.
HTTPS ialah protokol berasaskan SSL/TLS untuk melindungi tapak web, digunakan oleh bank dan pedagang dalam talian.
alamat IP
Inggeris Alamat Protokol Internet – Alamat protokol Internet. Setiap peranti di Internet menerima alamat digital yang unik - alamat IP. SaferVPN menyembunyikan alamat IP anda daripada pemerhati luar, dengan itu memastikan privasi dan akses kepada mana-mana perkhidmatan Internet.
Pembekal Internet
Sebuah syarikat yang menyediakan perkhidmatan capaian Internet. Hak untuk menyediakan perkhidmatan sedemikian dikawal ketat: Penyedia perkhidmatan Internet dikehendaki oleh undang-undang untuk memantau dan menapis trafik pelanggan mereka.
