VPN (англ. virtual private network — «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх чьей-либо другой сети[1]. Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем доверия (например, публичные сети), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Уровни реализации
правитьОбычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).
В среде Microsoft Windows термином VPN обозначается одна из реализаций виртуальной сети — PPTP, причём, используемую зачастую не для создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия).
Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.
При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации.
Структура VPN
правитьVPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет).
Возможно также подключение к виртуальной сети отдельного компьютера.
Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем — процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удалённая сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN
правитьВ разделе не хватает ссылок на источники (см. рекомендации по поиску). |
Классифицировать решения VPN можно по нескольким основным параметрам:
По степени защищённости используемой среды
править- Защищённые
Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищённую сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
- Доверительные
Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных решений VPN являются: MPLS (Multi-protocol label switching) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
По способу реализации
править- В виде специального программно-аппаратного обеспечения
Реализация сети VPN осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
- В виде программного решения
Используется персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
- Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению
править- Intranet VPN
Используется для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
- Remote-access VPN
Используется для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоска.
- Extranet VPN
Используется для сетей, к которым подключаются «внешние» пользователи (например заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
- Internet VPN
Используется провайдерами для предоставления доступа к интернету, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.
L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет — дешёвый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.
- Client/server VPN
Этот вариант обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.
По типу протокола
правитьСуществуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство решений VPN поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона приватных сетей TCP/IP.
По уровню сетевого протокола
правитьПо уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
VPN-соединение на маршрутизаторах
правитьС ростом популярности VPN-технологий многие пользователи стали активно настраивать VPN-соединение на маршрутизаторах ради увеличения безопасности в сети[2]. VPN-соединение, сконфигурированное на маршрутизаторе[3], шифрует сетевой трафик всех подсоединённых устройств, в том числе и тех, которые не поддерживают VPN-технологий[4].
Многие маршрутизаторы поддерживают VPN-соединение и имеют встроенный VPN-клиент. Существуют маршрутизаторы, для которых требуется программное обеспечение с открытым исходным кодом, такое как DD-WRT, OpenWrt и Tomato, для того, чтобы поддерживать протокол OpenVPN.
Уязвимости
правитьИспользование технологии WebRTC, которая по умолчанию включена во многих популярных браузерах, позволяет третьей стороне определить реальный публичный IP-адрес устройства, работающего через VPN. Это является прямой угрозой для конфиденциальности, поскольку, зная настоящий IP-адрес пользователя, можно однозначно идентифицировать его в сети[5]. Для предотвращения утечки адреса рекомендуется либо полностью отключить WebRTC в настройках браузера[6], либо установить специальное дополнение[7][8] или конфиденциально-ориентированный браузер (например, LibreWofl).
VPN уязвимы для атаки, называемой дактилоскопией трафика веб-сайта[9]. Очень кратко: это пассивная атака перехвата; хотя противник только наблюдает зашифрованный трафик с VPN, он всё ещё может догадаться, какой веб-сайт посещается, потому что все веб-сайты имеют определённые шаблоны трафика. Содержание передачи по-прежнему скрыто, но к какому веб-сайту он подключается, больше не является секретом[10][11].
20 июля 2020 года в интернете обнаружились данные 20 млн пользователей бесплатных VPN-сервисов, среди которых могут быть как минимум десятки тысяч россиян. На незащищённом сервере находятся данные приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, в том числе электронные адреса, незашифрованные пароли, IP- и домашние адреса, данные о моделях смартфонов и идентификаторы устройств пользователей[12].
Примеры VPN
править- IPSec (IP security) — часто используется поверх IPv4.
- PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
- PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
- L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
- L2TPv3[англ.] (Layer 2 Tunnelling Protocol version 3).
- OpenVPN SSL — VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server.
- FreeLAN SSL P2P — VPN с открытым исходным кодом[13].
- Hamachi — программа для создания одноранговой VPN-сети.
- NeoRouter — zeroconf (не нуждающаяся в настройке) программа для обеспечения прямого соединения компьютеров за NAT, есть возможность выбрать свой сервер.
Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.
В России
правитьВ России, по данным британской исследовательской компании GWI, до начала российского вторжения на Украину в феврале 2022 года Россия занимала 40-е место в мире по числу пользователей VPN. К ноябрю того же года доля пользователей VPN составляет почти половину россиян; большую часть пользователей VPN составляют жители городов, однако и в сельских районах доля пользователей составляет около 20 % населения[14].
Примерно в это же время Роскомнадзор разворачивает активную борьбу против VPN-сервисов, многие из которых блокируются через системы противодействия киберугрозам — ТСПУ (до конца 2023 года весь интернет-трафик в России начнет проходить через ТСПУ, не подключившиеся к нему провайдеры получат штрафы и могут быть привлечены к уголовной ответственности)[15] и вынуждены покинуть рынок. Хотя некоторые из зарубежных VPN-провайдеров до сих пор работают в России[16].
В июле 2024 года, по требованию Роскомнадзора, Apple удалила из российского App Store 25 VPN-сервисов, в числе которых NordVPN, Proton VPN, PIA VPN[англ.] и другие[17].
См. также
правитьПримечания
править- ↑ What Is a Virtual Private Network (VPN)? (англ.). Cisco. Cisco Systems, Inc.. Дата обращения: 28 октября 2023. Архивировано 21 октября 2023 года.
- ↑ Jeff Tyson, Chris Pollette, Stephanie Crawford. How a VPN (Virtual Private Network) Works (англ.). HowStuffWorks. System1 (9 апреля 2021). Дата обращения: 28 октября 2023. Архивировано 31 августа 2023 года.
- ↑ How to install a VPN on your router (англ.). NordVPN.
- ↑ Introduction to DrayTek VPN Overview (англ.). DrayTek. Дата обращения: 28 октября 2023. Архивировано 24 апреля 2018 года.
- ↑ Тест на утечку через WebRTC . ExpressVPN. Дата обращения: 28 октября 2023.
- ↑ rotifer. Where can I disable WebRTC and PeerConnection? (англ.). Firefox Support Forum. Mozilla. Дата обращения: 28 октября 2023. Архивировано 27 февраля 2021 года.
- ↑ video-cmi. WebRTC Network Limiter (англ.). Chrome Web Store. Дата обращения: 28 октября 2023. Архивировано 20 декабря 2018 года.
- ↑ Antaki, Chris. Disable WebRTC (англ.). Firefox add-ons (18 апреля 2020). — WebRTC leaks your actual IP addresses from behind your VPN, by default. Дата обращения: 28 октября 2023. Архивировано 28 октября 2023 года.
- ↑ Mike Perry, Erinn Clark, Steven Murdoch, Georg Koppen. The Design and Implementation of the Tor Browser [DRAFT] (англ.). The Tor Project (15 июня 2018). Дата обращения: 28 октября 2023. Архивировано 6 октября 2019 года.
- ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Touching from a Distance: Website Fingerprinting Attacks and Defenses (англ.) (PDF). www3.cs.stonybrook.edu. New York, NY, USA: Association for Computing Machinery (16 октября 2012). doi:10.1145/2382196.2382260. Дата обращения: 28 октября 2023. Архивировано из оригинала 17 июня 2020 года.
- ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Touching from a distance: website fingerprinting attacks and defenses (ут) // Proceedings of the 2012 ACM conference on Computer and communications security. — New York, NY, USA: Association for Computing Machinery, 2012. — 16 октября. — С. 605–616. — ISBN 978-1-4503-1651-4. — doi:10.1145/2382196.2382260.
- ↑ Королев Н., Степанова Ю.. Анонимность раскрылась в сети // Коммерсантъ : газета. — 2020. — 20 июля (№ 126/П). — С. 5. — ISSN 1561-347X. Архивировано 20 июля 2020 года.
- ↑ freelan - A VPN client that loves you ! (англ.). FreeLAN. Дата обращения: 28 октября 2023. Архивировано 30 октября 2023 года.
- ↑ How “offshore journalists” challenge Vladimir Putin’s empire of lies (англ.) // The Economist : журнал. — 2022. — 26 November. — ISSN 0013-0613. Архивировано 28 октября 2023 года.
- ↑ Кодачигов, Валерий. Трафик виноват: не подключившихся к «суверенному интернету» провайдеров ждут штрафы. Поможет ли это защитить пользователей Рунета от киберугроз и нежелательного контента . Известия. ООО «МИЦ „Известия“» (20 июля 2023). Дата обращения: 28 октября 2023. Архивировано 27 октября 2023 года.
- ↑ Васильев, Павел. Какой VPN работает в России в 2023 — список работающих сервисов . VPN Scanner (25 октября 2023). Дата обращения: 28 октября 2023. Архивировано 5 июля 2023 года.
- ↑ Apple по требованию РКН заблокировала 25 VPN-сервисов в российском App Store . Интерфакс (4 июля 2024). Дата обращения: 6 июля 2024.
Литература
править- Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.
- Кульгин М. Технологии корпоративных сетей. Энциклопедия. — СПб.: Питер, 2000. — 704 с.
- Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Питер, 2001. — 672 с.
- Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. 2-е изд. — М: Радио и связь, 2002. — 328 с.
- Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. — М.: Вильямс, 2002. — С. 432. — ISBN 0-13-016093-8.
- Сергей Петренко. Защищённая виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. — 2001. — № 2
- Маркус Файльнер. Виртуальные частные сети нового поколения // LAN. — 2005. — № 11
- Алексей Лукацкий. Неизвестная VPN // Компьютер Пресс. — 2001. — № 10
- Александр Барсков. Говорим WAN, подразумеваем VPN / «Журнал сетевых решений/LAN», № 06, 2010
- Обзоры продуктов для построения VPN
- Джоул Снайдер. VPN: поделённый рынок // Сети. — 1999. — № 11
- Райан Норманн. Выбираем протокол VPN // Windows IT Pro. — 2001. — № 7
- Первый кирпич в стене VPN. Обзор устройств VPN начального уровня [Электронный документ] / Валерий Лукин.
- Обзор оборудования VPN [Электронный документ]
- Pure hardware VPNs rule high-availability tests [Электронный документ] / Joel Snyder, Chris Elliott.
- Особенности российского рынка VPN [Электронный документ]
- Отечественные средства построения виртуальных частных сетей [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицын, С. Селезнёв, Д. Шепелявый
- Обзоры рынка VPN
- Мировой рынок MPLS VPN по данным Inonetics Research http://www.infonetics.com/pr/2011/Ethernet-and-IP-MPLS-VPN-Services-Market-Highlights.asp Архивная копия от 21 апреля 2012 на Wayback Machine
Ссылки
править- A Framework for IP Based Virtual Private Networks [Электронный документ] / B. Gleeson, A. Lin, J. Heinanen (англ.)
- VPN и IPSec на пальцах [Электронный документ] / Dru Lavigne (англ.)
Для улучшения этой статьи желательно:
|