Maraming user ang malamang na nakarinig ng terminong “PPTP connection”. Ang ilang mga tao ay hindi kahit na malayuang isipin kung ano ito. Gayunpaman, kung ilalarawan namin ang mga prinsipyo ng pagtatatag ng koneksyon batay sa protocol na ito sa simpleng wika, hindi mahirap intindihin ang mga ito.

Koneksyon ng PPTP: ano ito?

Ang isang koneksyon ng ganitong uri ay binuo batay sa isang protocol ng parehong pangalan, ang pagdadaglat sa pangalan nito ay nagmula sa English point-to-point tunneling protocol, na maaaring literal na isalin bilang "point-to-point tunnel protocol.” Sa madaling salita, ito ay isang koneksyon sa pagitan ng dalawang subscriber sa pamamagitan ng pagpapadala ng mga naka-encrypt na data packet sa mga hindi secure na TCP/IP-based na network.

Pinapayagan ka ng uri ng koneksyon ng PPTP na i-convert ang tinatawag na mga PPP frame sa karaniwang mga IP packet, na ipinadala, halimbawa, sa Internet. At kahit na pinaniniwalaan na ang PPTP protocol ay mas mababa sa antas ng seguridad sa ilang iba pang mga pagpipilian tulad ng IPSec, ito ay medyo laganap ngayon, dahil, sa katunayan, ang gumagamit ay nakikitungo sa isa sa mga uri ng mga koneksyon sa VPN (wireless na koneksyon).

Koneksyon ng PPTP: para saan ito ginagamit?

Ang saklaw ng aplikasyon ng protocol na ito ay napakalawak. Una sa lahat, ang ganitong uri ng koneksyon sa pagitan ng dalawang user ay nagbibigay-daan hindi lamang upang maprotektahan ipinadalang impormasyon, ngunit makatipid din nang malaki sa mga long-distance na tawag.

Bilang karagdagan, ang protocol na ito ay madalas na kailangang-kailangan sa pagtiyak ng komunikasyon sa pagitan ng dalawang lokal na network nang tumpak sa pamamagitan ng pagpapadala ng mga packet sa Internet sa isang secure na linya (tunnel) nang hindi gumagamit ng direktang koneksyon sa pagitan nila. Ibig sabihin, ang dalawang lokal na network ay walang direktang kontak at ginagamit ang tunnel bilang isang tagapamagitan.

Sa kabilang banda, maaari ding gamitin ang PPTP-based tunneling kapag lumilikha ng koneksyon sa client-server, kapag kumokonekta ang terminal ng user sa server sa isang secure na channel.

Pagpapatupad ng PPTP sa iba't ibang OS

Ngayon lumihis tayo ng kaunti at tingnan ang koneksyon ng PPTP mula sa kabilang panig. Ano ito, mula noong pagbuo ng protocol ng Microsoft, kakaunti ang naiintindihan ng mga tao. At sa unang pagkakataon sa isang buong bersyon ay ipinatupad ito ng Cisco.

Gayunpaman, ang mga espesyalista sa Microsoft ay hindi nahuli. Simula sa Mga bersyon ng Windows 95 OSR2, ang kakayahang lumikha ng koneksyon batay sa PPTP ay lumitaw sa mga susunod na produkto ng software, kahit na may mga built-in na tool para sa pag-configure ng isang PPTP server. Sa ibaba, bilang isang halimbawa, isasaalang-alang namin ang koneksyon sa Windows 7 PPTP, lalo na dahil ang system na ito ay nananatiling pinakasikat sa karamihan ng mga gumagamit ngayon.

SA Linux system hanggang kamakailan lang buong suporta ang teknolohiyang ito ay hindi umiiral. Ito ay lumitaw lamang sa pagbabago 2.6.13, at opisyal na inihayag sa kernel na bersyon 2.6.14.

Ang mga FreeBSD at Mac OS X system ay may kasamang mga built-in na PPTP client. Mga Palm PDA na sumusuporta wireless na koneksyon Wi-Fi, nilagyan ng Mergic client.

Mga paunang kundisyon para sa tamang koneksyon

Ang paggamit ng tunneling ay medyo tiyak. Ang pag-set up ng isang PPTP na koneksyon ay nangangailangan ng paggamit ng TCP port 1723 at, walang kabiguan, ang IP GRE protocol na may numero 47.

Ito ay sumusunod mula dito na ang setting, kung mayroon man, o ang built-in na Windows firewall ay dapat na ang mga IP packet ay malayang makapasa at walang mga paghihigpit. Nalalapat ito hindi lamang sa mga makina ng gumagamit o mga lokal na network. Gayundin, ang ganitong libreng paglilipat ng naka-tunnel na data ay dapat matiyak sa antas ng provider.

Kung ang NAT ay ginagamit sa intermediate na yugto ng paglilipat ng data, ang pagpoproseso ng VPN sa segment na ito ay dapat na i-configure nang naaayon.

Pangkalahatang mga prinsipyo ng operasyon at koneksyon

Tiningnan namin ang koneksyon ng PPTP nang maikli. Ano ito, marami na sigurong nakakaintindi kahit kaunti. Ang kumpletong kalinawan sa isyu ay gagawin pagkatapos suriin ang mga pangunahing prinsipyo ng paggana ng protocol at komunikasyon batay dito, pati na rin sa seksyon kung saan ang proseso ng pag-install ay ipapakita nang sunud-sunod para sa isang PPTP GRE na koneksyon.

Kaya, ang koneksyon sa pagitan ng dalawang punto ay itinatag batay sa isang regular na sesyon ng PPP batay sa protocol ng GRE (encapsulation). Ang pangalawang koneksyon nang direkta sa TCP port ay responsable para sa kontrol at pagsisimula ng GRE.

Ang ipinadalang IPX packet mismo ay binubuo ng data mismo, kung minsan ay tinatawag na payload, at karagdagang kontrolin ang impormasyon. Ano ang mangyayari kapag natanggap ang isang packet sa kabilang dulo ng linya? Ang kaukulang programa para sa isang koneksyon sa PPTP, kumbaga, ay kinukuha ang impormasyong nakapaloob sa buong IPX packet at ipinapadala ito para sa pagproseso gamit ang mga tool na tumutugma sa sariling protocol ng system.

Sa karagdagan, ang isa sa mga mahalagang bahagi ng tunnel transmission at pagtanggap ng mga pangunahing impormasyon ay kinakailangan gamit ang access gamit ang kumbinasyon ng login-password. Siyempre, posible na i-hack ang mga pag-login at password sa yugto ng pagtanggap, ngunit sa proseso ng pagpapadala ng impormasyon sa pamamagitan ng isang ligtas na koridor (tunel), imposible.

Seguridad ng Koneksyon

Tulad ng nabanggit na, ang tunneling batay sa PPTP protocol ay hindi secure sa lahat ng aspeto. Gayunpaman, kung isasaalang-alang namin na ang mga tool tulad ng EAP-TLS, MSCHAP-v2 o kahit na MPEE ay ginagamit, maaari naming pag-usapan ang isang medyo mataas na antas ng proteksyon.

Minsan, upang mapataas ang antas ng seguridad, maaaring gumamit ng mga return call (dial), kung saan kinukumpirma ng nagpapadala o tumatanggap na partido ang koneksyon at paglilipat ng impormasyon sa programmatically.

Pagse-set up ng PPTP gamit ang sariling mga tool ng Windows 7: mga setting ng network adapter

Ang pag-set up ng koneksyon sa PPTP sa anumang Windows system ay medyo simple. Gaya ng nabanggit na, kinukuha natin ang "pito" bilang isang halimbawa.

Una kailangan mong pumunta sa Network and Sharing Center nakabahaging pag-access" Magagawa ito alinman sa "Control Panel". O mula sa menu na tinawag sa pamamagitan ng pag-right-click sa icon ng koneksyon sa Internet o network.

Sa kaliwang bahagi ng menu mayroong isang linya para sa pagbabago ng mga parameter ng network adapter, na kailangan mong gamitin, pagkatapos ay i-right-click sa lokal na koneksyon sa network upang tumawag menu ng konteksto at piliin ang linya ng mga katangian.

Sa isang bagong window, gamitin ang mga katangian ng TCP/IPv4 protocol. Sa window ng mga setting, dapat mong tukuyin ang mga parameter na ibinigay ng provider kapag kumokonekta (sa karamihan ng mga kaso, ito ay nakatakda awtomatikong resibo mga address para sa mga IP at DNS server).

Ise-save namin ang mga pagbabago at bumalik sa koneksyon sa lokal na network, kung saan kailangan naming suriin kung ito ay aktibo sa ngayon. Upang gawin ito, gamitin ang kanang pag-click. Kung sa karamihan nangungunang linya Ang "Idiskonekta" ay ipinahiwatig, na nangangahulugan na ang koneksyon ay aktibo. Kung hindi, i-on ito.

Lumikha at i-configure ang mga setting ng VPN

Ang susunod na hakbang ay upang lumikha ng isang koneksyon sa VPN. Upang gawin ito, sa seksyong "Control Center" sa kanang bahagi ng window, gamitin ang linya upang lumikha ng bagong koneksyon.

Pagkatapos nito, piliin ang pagkonekta sa isang lugar ng trabaho, at pagkatapos ay gumamit ng isang umiiral na koneksyon sa Internet.

Susunod, ipinagpaliban namin ang pag-set up ng koneksyon sa Internet, at sa susunod na window ipinapahiwatig namin ang address ng Internet ng operator ng VPN at nagpasok ng isang di-makatwirang pangalan (siguraduhing suriin ang kahon sa tabi ng "Huwag kumonekta ngayon" sa ibaba) .

Pagkatapos nito, ipasok ang iyong pag-login at password, kung mayroon man ay ibinigay para sa kasunduan sa serbisyo, at i-click ang pindutang "Lumikha".

Sa listahan magagamit na mga koneksyon piliin ang kakagawa mo lang at sa bagong window i-click ang properties button. Susunod, kailangan mong kumilos nang maingat. Sa tab ng seguridad, ipinag-uutos na itakda ang mga sumusunod na parameter:

• Uri ng VPN: awtomatiko;
• pag-encrypt ng data: opsyonal;
• Mga pahintulot sa protocol: CHAP at CHAP bersyon 2.

Kinukumpirma namin ang mga pagbabago at pumunta sa window ng pag-setup ng koneksyon, kung saan pinindot namin ang pindutan ng kumonekta. Kung ang mga setting ay ginawa nang maayos, ikaw ay konektado sa Internet.

Dapat ko bang gamitin ang mga third-party na utility?

Iba ang reaksyon ng mga user sa tanong ng pag-install ng mga karagdagang PPTP server o kliyente, ngunit karamihan sa kanila ay sumasang-ayon na ang pag-set up at paggamit ng built-in Windows module mukhang mas kanais-nais sa mga tuntunin ng pagiging simple.

Siyempre, maaari kang mag-install ng isang bagay tulad ng pfSense, na isang firewall-router package, ngunit ang katutubong Multilink PPP Daemon client nito ay maraming problema sa paggamit ng mga server ng Windows na nakabase sa PPTP sa mga tuntunin ng pamamahagi ng paggamit ng protocol ng pagpapatunay sa pagitan ng kliyente at ng server sa bagaman walang ganoong mga problema ang napansin sa mga terminal ng user sa bahay. Ang utility na ito, tulad ng iba pa, ay mas mahirap i-configure, at walang espesyal na kaalaman na maaari mong tukuyin tamang mga parameter o hindi posibleng itama ang permanenteng "leakage" ng IP address ng user.

Maaari mong subukan ang ilang iba pang mga utility ng kliyente o server na idinisenyo upang magtatag ng isang koneksyon sa PPTP, ngunit ano ang punto ng pag-load ng system hindi kinakailangang mga programa kailan ang anumang Windows OS ay may mga katutubong tool? Bukod dito, ang ilang mga programa ay hindi lamang mahirap i-configure, ngunit maaari ring magdulot ng mga salungatan sa software at pisikal na antas. Kaya mas mabuting limitahan mo ang sarili mo sa kung anong meron ka.

Sa halip na isang afterword

Iyon, sa katunayan, ay ang lahat na may kinalaman sa PPTP protocol, pati na rin ang paglikha, pag-configure at paggamit ng koneksyon sa tunnel batay dito. Tulad ng para sa paggamit nito, hindi ito makatwiran para sa karaniwang gumagamit. Mayroong simpleng mga lehitimong pagdududa na maaaring kailanganin ng isang tao ang isang secure na channel ng komunikasyon. Kung talagang kailangan mong protektahan ang iyong IP, ito ay mas mahusay na gamitin hindi kilalang proxy server sa Internet o tinatawag na mga anonymizer.

Ngunit upang matiyak ang pakikipag-ugnayan sa pagitan ng mga lokal na network komersyal na negosyo o anumang iba pang istruktura, ang pagtatatag ng koneksyon sa PPTP ay maaaring ang pinakamadaling paraan. At kahit na ang gayong koneksyon ay hindi masisiguro ang 100% na seguridad, gayunpaman, ang bahagi bait sa pagkakasangkot nito ay meron.

Ang mga Pptp port ay mga protocol (isang hanay ng mga panuntunan sa komunikasyon) na nagpapahintulot sa mga korporasyon na palawigin ang kanilang sariling corporate network sa pamamagitan ng mga pribadong channel at pampublikong Internet. Salamat sa ang pamamaraang ito gamit ng korporasyon Global network bilang isang malaking lokal na network. Ang kumpanya ay hindi kailangang mag-arkila ng sarili nitong mga linya para sa broadband, ngunit maaasahang gumamit ng mga pampublikong network. Ang ganitong uri ng koneksyon ay tinatawag

Mga pptp port - ano ang mga ito?

Salamat sa PPTP, na isang extension ng Internet Point-to-Point Protocol (PPP), maaaring gamitin ng sinumang PC user na may suporta para sa mga PPP client independiyenteng tagapagtustos mga serbisyo (ISP) para sa secure na koneksyon sa isang server sa ibang lokasyon (iyon ay, sa pamamagitan ng malayuang pag-access). Ang mga Pptp port ay kabilang sa mga pinaka-malamang na panukala bilang batayan para sa isang bagong pamantayan ng Internet Engineering Task Force (IETF).

Paglalarawan ng teknolohiya

Ang detalye ay unang inilabas sa publiko noong Hulyo 1999 at binuo ng Microsoft subsidiary na Ascend Communications (bahagi ngayon ng Alcatel-Lucent). Ang PPTP ay hindi pinagtibay o na-standardize ng Internet Engineering Task Force. Ang protocol ay nilikha sa pamamagitan ng pakikipag-ugnayan sa isang peer sa PPTP port 1723. Ang koneksyong TCP na ito ay ginamit upang simulan at kontrolin ang peer.

Ang format ng PPTP GRE packet ay hindi karaniwan, kabilang ang isang bagong field ng acknowledgement number na pumapalit sa karaniwang field ng pagruruta. Gayunpaman, tulad ng sa isang normal na koneksyon ng GRE, ang mga binagong GRE packet na ito ay direktang naka-encapsulate sa mga IP packet at itinuturing bilang protocol IP number 47. Ang GRE tunnel ay ginagamit upang maghatid ng mga PPP packet. Sa pagpapatupad ng Microsoft, ang tunneled na trapiko ng PPP ay maaaring mapatotohanan gamit ang PAP, CHAP, MS-CHAP v1/v2.

Pptp: aling mga port ang pinaka-secure?

Ang PPTP ay naging paksa ng maraming pagsusuri sa seguridad, at ang mga seryosong kahinaan sa seguridad ay natukoy sa protocol na nauugnay sa mga pangunahing protocol PPP authentication, MPPE protocol development, at integration sa pagitan ng MPPE at PPP authentication para sa session establishment.

Ang PPTP ay may ilang kilalang mga kahinaan. Hindi na ito itinuturing na secure, dahil ang orihinal na pagpapatunay ng MS-CHAPv2 ay maaaring sirain sa pamamagitan ng pag-crack ng isang 56-bit na DES key. Ito ay madaling kapitan sa mga pag-atake ng MITM, kung saan maaaring magsagawa ng pag-atake ang isang umaatake offline mode upang makuha ang RC4 key at i-decrypt ang trapiko. Ang PPTP ay mahina din sa mga bit-flipping na pag-atake. Maaaring baguhin ng isang attacker ang mga PPTP packet nang walang detection. Ang OpenVPN na may AES encryption ay isang mas ligtas na pagpipilian.

Pangkalahatang-ideya ng kahinaan na hanay ng mga panuntunan sa komunikasyon

Ang MS-CHAP-v1 ay pangunahing hindi secure. May mga kilalang tool para i-extract ang mga hash ng NT Password mula sa isang nakunan na MSCHAP-v1 exchange.
Ginagamit ng MS-CHAP-v1 MPPE ang parehong RC4 session key para sa pag-encrypt sa parehong direksyon ng daloy ng komunikasyon. Maaaring isagawa ang cryptanalysis dito gamit ang mga karaniwang pamamaraan sa pamamagitan ng XORing stream mula sa bawat direksyon nang magkasama.
Ang MS-CHAP-v2 ay mahina sa mga pag-atake sa diksyunaryo sa mga nakuhang packet ng pagtugon sa tawag. meron mga pangunahing kasangkapan upang mabilis na makumpleto ang prosesong ito.

Ang isang online na serbisyo ay ipinakita din noong 2012 na may kakayahang mag-decrypting passphrase MS-CHAP-v2 MD4 sa loob ng 23 oras. Ginagamit ng MPPE ang RC4 stream cipher. Walang paraan upang mapatunayan ang stream ng ciphertext, na ginagawa itong mahina sa isang pag-atake ng kaunting flipping. Maaaring baguhin ng isang attacker ang stream sa transit at ayusin ang mga indibidwal na bit upang baguhin ang output stream nang walang detection. Ang mga bit flip na ito ay maaaring makita ng mga protocol mismo sa pamamagitan ng mga checksum o iba pang paraan.

Ang EAP-TLS ay itinuturing na pinakamahusay na pagpipilian pagpapatunay para sa PPTP. Gayunpaman, nangangailangan ito ng pagpapatupad ng isang pampublikong pangunahing imprastraktura para sa mga sertipiko ng kliyente at server. Dahil dito, maaaring hindi ito isang mabubuhay na opsyon sa pagpapatotoo para sa ilang mga setup ng malayuang pag-access.

Gabay sa Pag-troubleshoot: I-ruta ang mga VPN sa pamamagitan ng NAT Firewalls

Ang katanyagan ng telekomunikasyon ay patuloy na lumalaki, ngunit ang mga isyu sa seguridad ng impormasyon ay hindi nawawala ang kanilang kaugnayan. Kaya naman ang maliliit at malalaking kumpanya ay gumagamit ng mga virtual private network (VPN). Sa kabutihang palad, mga departamento ng impormasyon Napagtanto ng mga kumpanya na maraming empleyado ang konektado sa pamamagitan ng mga naupahang linya at koneksyon sa broadband gamit ang mga consumer-grade router. Ang mga departamento ng IT ay maaaring gawing mas madali ang buhay ng mga gumagamit sa pamamagitan ng paggamit ng "NAT-friendly" na mga gateway ng VPN at Mga kliyente ng VPN, na hindi nangangailangan ng mga pagbabago sa configuration ng mga home router para sa pag-install VPN tunnel.

Kung hindi ka maswerte, maaari mo pa ring itama ang sitwasyon. Una, dapat mong suriin kung sinusuportahan ng iyong router ang tampok na PPTP o IPSEC pass-through "pass through" ng PPTP/IPsec. Katulad na function nasa lahat ng dako sa mga router Linksys, para mahanap mo ang mga modelong ito. Naka-on kanin. 1 ibaba ng screen na ipinapakita mga filter Linksys BEFSR41, na naglalaman ng mga opsyon para hiwalay na paganahin ang PPTP o IPsec pass-through.

kanin. 1. Linksys BEFSR41 VPN end-to-end.

Ang kailangan mo lang gawin ay paganahin ang suporta para sa iyong ginagamit. VPN protocol, i-reboot ang router. Kung magiging maayos ang lahat, gagana kaagad ang iyong VPN.

Sa kasamaang palad, hindi lahat ng mga router ay may kakayahang paganahin ang VPN pass-through, ngunit ang kawalan ng mga pagpipiliang ito ay hindi nangangahulugan na ang lahat ay tapos na.

Hindi gumagana? Pagkatapos ay dapat mong subukang buksan ang ilang port sa firewall ng iyong router upang Suporta sa VPN- mga koneksyon. Dapat mo lamang buksan ang mga port (at protocol) sa IP address ng computer na tatakbo sa VPN client. Tandaan na ang tampok na pagpapasa ng port ay gumagana lamang sa isang computer sa isang pagkakataon. Kung kailangan mong suportahan ang maramihang mga kliyente ng VPN na nangangailangan sabay-sabay na gawain sa network, dapat native na sinusuportahan ng iyong router ang VPN protocol na iyong ginagamit.

Kung ikaw ay gumagamit Microsoft protocol PPTP, pagkatapos ay kailangan mong i-configure ang pagpapasa ng port TCP 1723 para sa pagpasa sa trapiko ng PPTP. Naka-on kanin. 2 ipinapakita ang screen Pag-redirect/Pagpapasa Linksys BEFSR41 router, kung saan nakatakda ang port forwarding sa isang client na may IP address 192.168.5.100 .

kanin. 2. VPN Linksys BEFSR41 port forwarding.

Nangangailangan din ang PPTP ng suporta sa protocol IP 47(Generic Routing Encapsulation) na ipapasa trapiko ng VPN. Pakitandaan na kailangan ang suporta. protocol, hindi ang daungan. Ang suporta para sa protocol na ito ay dapat na binuo sa NAT engine, tulad ng ginagawa sa karamihan sa mga modernong router.

Ang pagbubukas ng firewall, nagpatuloy

Para suportahan ang VPN based IPsec Kailangan ng mga VPN na magbukas ng port UDP 500 para sa susi ng negosasyon ISAKMP, protocol IP 50 para sa traffic Header ng Pagpapatunay(hindi palaging ginagamit), at ang protocol IP 51 upang ilipat ang data mismo. Muli, ang tanging port na ipinapasa dito ay ang UDP 500, kung saan din namin na-program kanin. 2 sa parehong client machine sa lokal na network; suporta para sa mga protocol 50 at 51 ay dapat na binuo sa iyong router.

Hindi lahat ng router ay pareho! Sinusuportahan lamang ng ilan ang pagbubukas ng isang VPN tunnel at tanging kliyente. Sinusuportahan ng iba ang maraming lagusan, ngunit isang kliyente lamang bawat tunel. Sa kasamaang palad, karamihan sa mga tagagawa ay hindi masyadong malinaw sa kanilang dokumentasyon tungkol sa kung paano sinusuportahan ng kanilang mga produkto ang VPN pass-through, at ang serbisyo teknikal na suporta madalas ay walang tamang kwalipikasyon upang malutas ang isyung ito. Sa karamihan ng mga kaso, kakailanganin mong subukan ang router sa iyong network at ibalik ito kung hindi ito gumana.

Hindi gumagana?

Halos imposibleng pilitin ang ilang mga router na suportahan ang IPsec-based na VPN nang hindi gumagawa ng shamanic dance na may tamburin. Ang katotohanan ay gusto ng mga tagagawa na ipatupad ang kanilang sariling mga mekanismo para sa suportang ito. Gayunpaman, habang tumatanda ang teknolohiya, nagiging mas malapit sa ideal ang suporta ng IPsec, at maaaring gumagamit ang iyong kumpanya ng mga mas lumang produkto na nilikha nang walang anumang pagsasaalang-alang para sa pagkakaroon ng NAT o nangangailangan ng pagbubukas ng mga karagdagang port sa firewall.

Kung marunong ka ng English, inirerekomenda namin na basahin mo ang mga gabay ni Tin Bird IPsec At PPTP, na naglalaman ng mga nakahanda nang configuration para sa maraming produkto. Maaari mo ring tingnan ang aming English section Mga Link at Tool ng VPN para sa karagdagang impormasyon.

Ano ang Virtual pribadong network(VPN)? Ano ang PPTP, L2TP, IPSec, SSL?

Ano ang Virtual Private Network (VPN)?

Noong nakaraan, upang maisagawa ang ligtas na paglilipat ng data, kailangan ang isang nakalaang linya na nagkokonekta sa dalawang punto. Ang mga gastos sa pag-aayos ng mga naturang linya ay medyo mataas.
Ang isang virtual pribadong network ay nagbibigay sa mga user ligtas na paraan i-access ang mga mapagkukunan ng corporate network sa Internet o iba pang pampubliko o pribadong network nang hindi nangangailangan ng nakalaang linya.

Ang isang secure na pribadong virtual network ay isang koleksyon ng tunneling, authentication, access control, at control na mga teknolohiya/serbisyo na ginagamit upang protektahan ang data at trapiko sa Internet.

Maraming dahilan para gumamit ng VPN. Ang pinakakaraniwan sa kanila ay:

Kaligtasan(proteksyon ng data).
Sa pagpapatotoo, ang isang tatanggap ng isang mensahe na isang gumagamit ng VPN ay maaaring masubaybayan ang pinagmulan ng mga packet na natanggap at matiyak ang integridad ng data.
Gamit ang mga tool sa proteksyon ng data sa mga virtual private network, ginagarantiyahan ang pagiging kumpidensyal ng orihinal na data ng user.

Presyo(pagbabawas ng bilang ng mga linya ng pag-access at pagbabawas ng mga gastos para sa malalayong komunikasyon sa telepono).
Ang pagtatatag ng isang virtual na pribadong network ay nagbibigay-daan sa isang kumpanya na magpadala ng data sa mga linya ng pag-access sa Internet, sa gayon ay binabawasan ang pangangailangan para sa ilan sa mga umiiral na linya.
Kapag nag-aayos ng isang virtual pribadong network, nababawasan ang mga gastos sa teleponong malayuan, dahil karaniwang tumatanggap ang gumagamit ng mga serbisyo mula sa isang lokal na tagapagbigay ng Internet, sa halip na gumawa long distance na tawag upang magtatag ng direktang komunikasyon sa kumpanya.

Nabatid na ang mga network na gumagamit ng IP protocol ay may "weak spot" dahil sa mismong istraktura ng IP protocol. Ang mga taga-disenyo ng IP ay hindi nilayon na magbigay ng anumang mga tampok ng seguridad sa antas ng IP, at ang flexibility ng IP ay nagbibigay-daan para sa matalinong paggamit ng mga tampok. ng protocol na ito upang mapagtagumpayan ang kontrol sa trapiko, kontrol sa pag-access at iba pang mga hakbang sa seguridad. Samakatuwid, ang data sa isang network gamit ang IP protocol ay madaling makikialam o maharang.
Kapag tunneling upang maghatid ng mga protocol packet mula sa isang uri ng network sa isang network, ang mga ito ay ipinapasok o naka-encapsulate sa mga protocol packet mula sa isa pang network. Tinitiyak nito ang seguridad sa panahon ng paghahatid ng data.

Mga protocol para sa pagbuo ng isang VPN tunnel:

PPTP(Point-to-Point Tunneling Protocol) ay isang point-to-point tunnel protocol na nagpapahintulot sa isang computer na magtatag ng secure na koneksyon sa isang server sa pamamagitan ng paglikha ng isang espesyal na tunnel sa isang standard, hindi secure na network. Ang PPTP protocol ay nagpapahintulot sa mga PPP packet na ma-encapsulated (naka-pack o nakatago mula sa paggamit) sa mga packet Internet protocol Protocol (IP) at ipadala ang mga ito sa mga IP network (kabilang ang Internet).

Nagbibigay ang PPTP ligtas na paglipat data mula sa malayong kliyente sa hiwalay na server negosyo sa pamamagitan ng paglikha ng pribadong TCP/IP network virtual network. Maaari ding gamitin ang PPTP upang magtatag ng tunel sa pagitan ng dalawang lokal na network. Gumagana ang PPTP sa pamamagitan ng pagtatatag ng regular na session ng PPP kasama ang kabilang partido gamit ang Generic Routing Encapsulation (GRE) protocol. Pangalawang koneksyon sa TCP port Ang 1723 ay ginagamit upang simulan at pamahalaan ang isang GRE na koneksyon. Maaaring gamitin ang protocol ng MPPE upang protektahan ang data ng trapiko ng PPTP. Maaaring gamitin ang iba't ibang mekanismo upang patotohanan ang mga kliyente, ang pinaka-secure sa mga ito ay MSCHAPv2 at EAP-TLS.

Upang matiyak na ang kliyente ay gumagana gamit ang PPTP protocol, kinakailangan na magtatag ng isang IP na koneksyon sa PPTP tunnel server. Ang lahat ng data na ipinadala sa koneksyon na ito ay maaaring protektahan at i-compress. Ang PPTP tunnel ay maaaring magdala ng data mula sa iba't ibang network layer protocol (TCP/IP, NetBEUI at IPX).

Mga kalamangan ng PPTP protocol:

• Paggamit ng pribadong IP address. Ang espasyo ng IP address ng pribadong network ay hindi dapat iugnay sa pandaigdigang (panlabas) na espasyo ng address.
• Sinusuportahan ang maramihang mga protocol. Maaari mong ma-access ang mga pribadong network gamit ang iba't ibang kumbinasyon ng TCP/IP o IPX.
• Seguridad sa paghahatid ng data. Ang mga protocol at patakaran sa seguridad ng remote access server ay ginagamit upang maiwasan ang mga hindi awtorisadong koneksyon.
• Ang kakayahang gumamit ng pagpapatunay at proteksyon ng data kapag nagpapadala ng mga packet sa Internet.

L2TP(Layer 2 Tunneling Protocol) - layer 2 tunneling protocol ( link layer). Pinagsasama ang L2F (Layer 2 Forwarding) protocol na binuo ng Cisco at ang PPTP protocol mula sa Microsoft. Binibigyang-daan kang ayusin ang isang VPN na may mga tinukoy na priyoridad sa pag-access, ngunit hindi naglalaman ng mga tool para sa proteksyon ng data at mga mekanismo ng pagpapatunay.

Gumagamit ang L2TP protocol ng dalawang uri ng mga mensahe: mga mensahe ng kontrol at impormasyon. Ginagamit ang mga control message para magtatag, magpanatili, at wakasan ang mga tunnel at tawag. Upang matiyak ang paghahatid, gumagamit sila ng maaasahang control channel ng L2TP protocol. Mga mensahe ng impormasyon ay ginagamit upang i-encapsulate ang mga PPP frame na ipinadala sa ibabaw ng tunnel. Kung ang isang packet ay nawala, hindi ito muling ipinadala.

Inilalarawan ng istraktura ng protocol ang pagpapadala ng mga PPP frame at mga mensahe ng kontrol sa control channel at data channel ng L2TP protocol. Ang mga PPP frame ay ipinapadala sa isang hindi mapagkakatiwalaang link ng data, na naka-pre-pad na may L2TP header, at pagkatapos ay sa isang packet transport gaya ng Frame Relay, ATM, atbp. Ang mga mensahe ng kontrol ay ipinapadala sa isang maaasahang L2TP na control channel, na sinusundan ng pagpapadala sa parehong transportasyon patungo sa mga packet.

Dapat naglalaman ang lahat ng mga mensahe ng kontrol mga serial number, ginamit upang magbigay maaasahang paghahatid sa pamamagitan ng control channel. Ang mga mensahe ng impormasyon ay maaaring gumamit ng mga numero ng pagkakasunud-sunod upang mag-order ng mga packet at tukuyin ang mga nawawalang packet.

Mga kalamangan ng L2TP protocol:

Iba't ibang mga protocol. Dahil ginagamit ang PPP framing, magagamit ng mga malalayong user malaking bilang iba't ibang mga protocol tulad ng IP, IPX, atbp.

Paglikha ng mga tunnel sa iba't ibang network. Maaaring gumana ang L2TP pareho sa mga IP network at Mga network ng ATM, Frame Relay, atbp.

Seguridad sa paghahatid ng data. Sa kasong ito, ang gumagamit ay hindi dapat magkaroon ng anumang espesyal software.

Posibilidad ng pagpapatunay ng user.

IPSec(IP Security) - isang hanay ng mga protocol na nauugnay sa pagtiyak ng proteksyon ng data sa panahon ng transportasyon ng mga IP packet. Kasama rin sa IPSec ang mga protocol para sa secure na key exchange sa Internet. Gumagana ang mga protocol ng IPSec antas ng network(OSI Layer 3).

Ang Internet Protocol (IP) ay walang anumang paraan ng pagprotekta sa ipinadalang data. Ni hindi nito masisiguro na ang nagpadala ay kung sino ang sinasabi niyang siya. Ang IPSec ay isang pagtatangka na ayusin ang sitwasyon. Sa IPSec, lahat ng ipinadalang trapiko ay maaaring ma-secure bago ito maglakbay sa network. Kapag gumagamit ng IPSec, masusubaybayan ng tatanggap ng mensahe ang pinagmulan ng mga natanggap na packet at i-verify ang integridad ng data. Kailangan mong tiyakin na ang isang transaksyon ay maaari lamang isagawa nang isang beses (maliban kung ang user ay pinahintulutan na ulitin ito). Nangangahulugan ito na hindi dapat posible na maitala ang isang transaksyon at pagkatapos ay maulit sa talaan upang mabigyan ang user ng impresyon na maraming transaksyon ang naganap. Isipin na ang isang manloloko ay nakatanggap ng impormasyon tungkol sa trapiko at alam niya na ang pagpapadala ng naturang trapiko ay maaaring magbigay sa kanya ng ilang mga benepisyo (halimbawa, ang pera ay ililipat sa kanyang account bilang resulta). Ito ay kinakailangan upang matiyak ang imposibilidad muling paghahatid ganyang traffic.

Gamit ang isang virtual private network (VPN), maaari mong lutasin ang mga sumusunod na problema sa application:

• Virtual pribadong network sa pagitan ng mga organisasyon
• Gumagamit ng mobile
• Gumagamit SOHO

Ang IPSec VPN ay pinakamainam para sa pagkonekta ng mga network ng iba't ibang mga opisina sa pamamagitan ng Internet.

Maaari kang magtatag ng koneksyon sa VPN gamit ang IPSec protocol.

Para sa mga gumagamit ng SMB/SOHO (Small Business/Small Office/Home Office):

• Pang-ekonomiyang kahusayan
• Kumpletong solusyon para sa komersyal na paggamit

Para sa mga malayuang gumagamit:

• Pinagsamang Secure Solution
• Madaling i-configure

Para sa mga kolektibong gumagamit:

• Sa ekonomiya mabisang solusyon para sa mga malalayong gumagamit at sangay
• Tugma sa karamihan ng mga nagbibigay ng solusyon sa VPN.

Mayroong dalawang uri ng IPSec protocol: ESP(Encapsulation Security Payload, encapsulation ng protektadong data) at A.H.(Authentication Header, Authentication header). Ang ESP at AH ay mga bagong IP protocol. Ang field ng IP header protocol ay nagpapahiwatig na ang packet ay isang ESP packet kung ito ay 50, at para sa isang AH packet ito ay 51.

Sa mga ESP at AH packet sa pagitan ng IP header at data ng protocol pinakamataas na antas ang ESP/AH header ay ipinasok.
Ang ESP ay maaaring magbigay ng parehong data security at authentication, at ang isang variant ng ESP protocol na walang data security o walang authentication ay posible rin. Gayunpaman, hindi posible na gamitin ang protocol ng ESP nang walang proteksyon ng data at walang pagpapatunay, dahil sa kasong ito ay hindi natiyak ang seguridad. Kapag pinoprotektahan ang ipinadalang data, hindi pinoprotektahan ang header ng ESP, ngunit pinoprotektahan ang data ng protocol sa itaas na layer at bahagi ng trailer ng ESP.
At sa kaso ng authentication, ang ESP header, ang upper layer protocol data at ang ESP trailer part ay authenticated.
Bagama't ang AH protocol ay maaari lamang magbigay ng authentication, ito ay hindi lamang para sa AH header at upper-layer protocol data, ngunit para din sa IP header.

Maaaring gamitin ang pamilya ng mga protocol ng IPSec upang protektahan ang alinman sa buong payload ng isang IP packet o ang upper-layer protocol data sa payload field ng IP packet. Ang pagkakaiba na ito ay natutukoy sa pamamagitan ng pagpili ng dalawa iba't ibang mga mode IPSec protocol: mode ng transportasyon o tunnel mode.
Pangunahing ginagamit ng isang IP host ang transport mode upang protektahan ang data na nabuo nito mismo, at ang tunnel mode ay ginagamit ng isang gateway ng seguridad upang magbigay ng serbisyo ng IPSec sa iba pang mga makina na walang mga kakayahan sa IPSec. Gayunpaman, ang IPSec host at security gateway function ay maaaring gawin ng parehong makina. Parehong IPSec protocol, AH at ESP, ay maaaring tumakbo sa transport o tunnel mode.

SSL VPN

SSL(Secure Socket Layer) ay isang secure na sockets protocol na nagsisiguro ng secure na paglipat ng data sa Internet. Kapag ginamit, ang isang secure na koneksyon ay nilikha sa pagitan ng kliyente at ng server.

Gumagamit ang SSL ng seguridad ng pampublikong key upang i-verify ang pagkakakilanlan ng nagpadala at tatanggap. Pinapanatili ang pagiging maaasahan ng paghahatid ng data sa pamamagitan ng paggamit ng mga correction code at secure na hash function.

Gumagamit ang SSL ng RC4, MD5, RSA at iba pang mga algorithm ng seguridad ng data.
Gumagamit ang SSL ng dalawang susi upang protektahan ang data - pampublikong susi at isang pribado o pribadong susi na alam lamang ng tatanggap ng mensahe.

Ngayon, sa Internet maaari kang makahanap ng maraming mga site na gumagamit ng SSL protocol upang matiyak ang seguridad ng data ng gumagamit (halimbawa, mga website na nagbibigay ng komersyal at serbisyo sa pagbabangko). Halos lahat ng pinakasikat na browser, email client at Internet application ay sumusuporta sa pagtatrabaho SSL protocol. Upang ma-access ang mga pahinang protektado ng SSL, karaniwang ginagamit ng URL ang https prefix (port 443) sa halip na ang karaniwang prefix na http upang isaad na gagamit ng SSL na koneksyon.
Ang SSL ay maaari ding magbigay ng seguridad para sa mga protocol ng layer ng aplikasyon (OSI Layer 7), gaya ng POP3 o FTP. Kinakailangan ng SSL na ang server ay may SSL certificate upang gumana.
Secure na koneksyon Sa pagitan ng kliyente at server, kapag gumagamit ng SSL, nagsasagawa ito ng dalawang function - pagpapatunay at proteksyon ng data.

Ang SSL ay binubuo ng dalawang layer. Naka-on mas mababang antas(mga antas 4-5) multi-level protocol ng transportasyon(hal. TCP) ito ay isang recording protocol at ginagamit upang i-encapsulate (i.e. bumuo ng isang packet) ng iba't ibang protocol. Para sa bawat naka-encapsulated na protocol, nagbibigay ito ng mga kundisyon kung saan mapapatunayan ng server at client ang kanilang pagkakakilanlan sa isa't isa, secure ang data na ipinadala, at makipagpalitan ng mga key bago ang protocol. programa ng aplikasyon magsisimulang magpadala at tumanggap ng data.

Mga kalamangan ng SSL protocol:

• Dali ng paggamit
• Walang kinakailangang karagdagang software
• Secure na malayuang pag-access

Ang SSL VPN ay pinakamainam para sa koneksyon malalayong gumagamit sa opisina ng mga mapagkukunan ng lokal na network sa pamamagitan ng Internet.

Para sa karagdagang impormasyon Para sa impormasyon sa pagpapatakbo ng PPTP, L2TP, IPSec at SSL protocol, mangyaring bisitahin ang opisyal na website ng organisasyon ng IETF (Internet Engineering Task Force), na kasangkot sa pagbuo ng mga protocol at arkitektura ng Internet -http://www.ietf.org

Noong Nobyembre 1, isang pagbabawal sa pag-bypass ng pagharang sa gamit ang VPN. At maraming kumpanya, kabilang ang mga dayuhan, ang nag-iisip kung ano ang gagawin para sa mga organisasyong gumagamit ng teknolohiya upang lumikha ng mga corporate network.

Tulad ng sinabi ng mga kinatawan ng State Duma, ang batas ay naglalaman ng isang sugnay ayon sa kung saan ang pag-encrypt ng network ay maaaring gamitin para sa mga layunin ng korporasyon. Nangangahulugan ito na ang mga kumpanya ay hindi na kailangang gumastos ng malaking halaga ng pera at mag-install ng mga pribadong network sa pagitan ng kanilang mga opisina, dahil ang pag-set up ng isang koneksyon sa VPN ay praktikal (at sa ilang mga kaso ay) libre. Samakatuwid, ngayon nagpasya kaming tumingin sa dalawang paraan upang ayusin ang isang koneksyon sa VPN sa isang corporate network at ilang mga protocol na ginagamit para dito: PPTP, L2TP/IPsec, SSTP at OpenVPN.

Ito ay "bilang default" sa anumang platform na katugma sa VPN at madaling i-configure nang walang karagdagang software. Ang isa pang bentahe ng PPTP ay ang mataas na pagganap nito. Ngunit sa kasamaang palad, ang PPTP ay hindi sapat na ligtas. Mula nang maisama ang protocol sa Windows 95 OSR2 noong huling bahagi ng nineties, ilang mga kahinaan ang nalantad.

Ang pinakaseryoso ay ang non-encapsulated authentication capability ng MS-CHAP v2. Dahil sa pagsasamantalang ito, naging posible na ma-crack ang PPTP sa loob ng dalawang araw. "Na-patch up" ng Microsoft ang butas sa pamamagitan ng paglipat sa PEAP authentication protocol, ngunit sila mismo ang nagmungkahi ng paggamit ng L2TP/IPsec o SSTP VPN protocol. Ang isa pang punto ay ang mga koneksyon sa PPTP ay madaling i-block dahil gumagana ang protocol sa isang port number 1723 at gumagamit ng GRE protocol.

Kapag naitatag ang isang VPN tunnel, sinusuportahan ng PPTP ang dalawang uri ng mga mensaheng ipinadala: kontrolin ang mga mensahe upang mapanatili at i-disable ang koneksyon ng VPN, at ang mga data packet mismo.

L2TP at IPsec

Ang Layer 2 Tunneling Protocol, o L2TP, ay naroroon din sa halos lahat ng mga modernong operating system at gumagana sa lahat ng mga device na maaaring "mapansin" ang isang VPN.

Hindi ma-encrypt ng L2TP ang trapikong dumadaan dito, kaya madalas itong ginagamit kasabay ng IPsec. Gayunpaman, humahantong ito sa isang negatibong epekto - ang dobleng encapsulation ng data ay nangyayari sa L2TP/IPsec, na negatibong nakakaapekto sa pagganap. Gumagamit din ang L2TP ng UDP port 500, na madaling maharangan ng firewall kung nasa likod ka ng NAT.

Maaaring gumana ang L2TP/IPsec sa mga cipher ng 3DES o AES. Ang una ay vulnerable sa meet-in-the-middle at sweet32 attacks, kaya bihira itong makita sa practice ngayon. Walang kilalang mga pangunahing kahinaan kapag nagtatrabaho sa AES cipher, kaya sa teorya ang protocol na ito ay dapat na ligtas (kung ipinatupad nang tama). Gayunpaman, ipinahiwatig ni John Gilmore, tagapagtatag ng Electronic Frontier Foundation, sa kanyang post na maaaring humina ang IPSec sa isang espesyal na paraan.

Ang pinaka-seryosong problema sa L2TP/IPsec ay ang maraming serbisyo ng VPN ay hindi ito naipapatupad nang maayos. Gumagamit sila ng mga pre-shared key (PSK), na maaaring i-download mula sa website. Kailangan ang PSK para magtatag ng koneksyon, kaya kahit na nakompromiso ang data, nananatili itong protektado ng AES. Ngunit ang isang umaatake ay maaaring gumamit ng PSK upang magpanggap bilang isang VPN server at pagkatapos ay mag-eavesdrop sa naka-encrypt na trapiko (kahit na mag-inject ng malisyosong code).

SSTP

Ang Secure Socket Tunneling Protocol, o SSTP, ay isang VPN protocol na binuo ni kumpanya ng Microsoft. Ito ay batay sa SSL at unang inilunsad noong Windows Vista SP1. Ngayon ang protocol ay magagamit para sa mga operating system tulad ng RouterOS, Linux, SEIL at Mac OS X, ngunit nahahanap pa rin nito ang pangunahing paggamit nito sa Windows platform. Ang SSTP ay isang proprietary standard na pag-aari ng Microsoft at ang code nito ay hindi available sa publiko.

Ang SSTP mismo ay walang cryptographic functionality maliban sa isang function - pinag-uusapan natin tungkol sa cryptographic binding na nagpoprotekta laban sa mga pag-atake ng MITM. Ang pag-encrypt ng data ay ginagawa ng SSL. Ang isang paglalarawan ng pamamaraan para sa pagtatatag ng koneksyon sa VPN ay matatagpuan sa website ng Microsoft.

Ang mahigpit na pagsasama sa Windows ay pinapasimple ang paggamit ng protocol at pinapabuti ang katatagan nito sa platform na ito. Gayunpaman, ang SSTP ay gumagamit ng SSL 3.0, na mahina sa pag-atake ng POODLE, na sa teorya ay nakakaapekto sa seguridad ng VPN protocol.

Mga uri ng koneksyon sa VPN

Sa artikulong ngayon ay pag-uusapan natin ang tungkol sa dalawang pinakakaraniwang ginagamit na uri ng mga koneksyon sa VPN. Pag-uusapan natin ang tungkol sa malayuang pag-access sa corporate network (remote access) at point-to-point na koneksyon (site-to-site)

Ang malayuang pag-access ay nagbibigay-daan sa mga empleyado ng kumpanya na ligtas na kumonekta sa corporate network sa pamamagitan ng Internet. Ito ay lalong mahalaga kapag ang isang empleyado ay hindi nagtatrabaho sa opisina at kumokonekta sa pamamagitan ng hindi secure na mga access point, halimbawa, Wi-Fi sa isang cafe. Upang ayusin ang koneksyon na ito, isang tunnel ang itinayo sa pagitan ng kliyente sa gadget ng user at ng VPN gateway sa network ng kumpanya. Ang gateway ay nagpapatotoo at pagkatapos ay nagbibigay (o naghihigpit) ng access sa mga mapagkukunan ng network.

Upang ma-secure ang koneksyon, madalas silang ginagamit Mga protocol ng IPsec o SSL. Posible ring gumamit ng PPTP at L2TP protocol.

/ Wikimedia / Philippe Belet / PD