Зміст:
Що таке VPN
Абревіатура VPN розшифровується як Virtual Private Network, тобто "віртуальна приватна мережа". Поняття "віртуальна" означає, що створитися віртуальна локальна або іншими словами приватна мережа на основі існуючої інфраструктури глобальної мережі Інтернет. Що таке "мережа" в контексті ІТ сьогодні зрозуміло багатьом. Спрощено, це об'єднання двох і більше ПК по лініях зв'язку для обміну інформацією.
У чому полягає робота VPN? Якщо коротко, то всередині робочої мережі створитися нова мережа, при підключенні до якої IP-адреса користувача замінюється на адресу VPN мережі. Таким чином формується штучне захищене з'єднання між ПК і VPN-сервером, передача даних по якому повністю зашифрована динамічно змінними ключами. Захист інформації в новій мережі здійснюється комплексно: шифрування неможливо зламати, несанкціоноване підключення сторонніх користувачів повністю виключено, а всі вхідні та вихідні пакети постійно перевіряються на цілісність.
З якою метою створюється мережа через VPN
На практиці локальна мережа через VPN являє собою лінію зв'язку між комп'ютерами на основі звичайного з'єднання через Інтернет. При цьому неважливо, через які саме вузли Глобальної Мережі буде встановлено це з'єднання, але можна не сумніватися - трафік піде по захищеній мережі. Таке виділене VPN-з'єднання прийнято називати тунелем.
Подібні тунелі будуються, наприклад, в тих випадках, коли співробітникам підприємства необхідно мати віддалений доступ до корпоративної мережі (з дому, у відрядженні, поза офісом з мобільних пристроїв). І мова тут не просто про підключення, а про безпечний канал зв'язку, який може виявитися дуже корисний в тому випадку, коли співробітники раптово перейшли на «удаленку», а їм необхідно підключитися до корпоративного ресурсу. Чи це не ідеальний сценарій офісної роботи в ракурсі обмежень, пов'язаних з COVID-19.
Тому у великих організаціях, співробітників при приєднанні робочого ноутбука до будь-яких дротових або бездротових мереж, що знаходяться за межами стін компанії, завжди змушують задіяти VPN-підключення до офісної мережі. Крім того, з'єднання через VPN також дозволяє налаштувати зв'язок між віддаленими філіями підприємств зв'язавши їх в одну надійну мережу.
Плюси і мінуси VPN
Будь-яка загальнодоступна точка доступу Wi-Fi-рай для зловмисників. У більшості випадків бездротові канали дуже вразливі бо будь-яка інформація яка передається у відкритому вигляді доступна всім користувачам в цій мережі. Також слід знати, що, здійснюючи покупки і вбиваючи дані карти через безкоштовну мережу Wi-Fi, ви сильно ризикуєте. Зловмисники вельми хитрі, винахідливі і користуються слабкими місцями в протоколах безпеки, використовуючи апаратні або програмні уразливості.
Причому хакером може бути фізична особа, конкурентна компанія або уряд. У будь-якому випадку злом становить велику загрозу для власника ПК або смартфона. Тому настійно радимо відвідувачам кав'ярень використовувати мережу VPN при Інтернет-серфінгу і перегляді Веб-сторінок. Якщо ви читаєте важливі листи, переглядаєте соціальні мережі або завантажуєте відео та інший контент, VPN захистить вас від більшості загроз при використанні загальнодоступних і приватних мереж Wi-Fi.
Іншою перевагою VPN є захист VoIP. Такі сервіси як Skype мало схильні до злому, але цілком доступні цензорам і гео-обмежувачів. Причому в Інтернеті нескладно знайти потрібні інструкції по "прослуховування", щоб впровадитися в одне з VoIP з'єднань. У разі застосування VPN проблема уразливості аудіо - та відеозв'язку вирішується легко і швидко.
Таким чином, перевагами VPN є:
- безпечне підключення до мережі
- обхід географічних обмежень
- обхід законодавчих заборон
- захист дзвінків по Skype і IP-телефонії
- Анонімність в мережі
Основні недоліки VPN-з'єднання-деяка складність в налаштуванні (необхідні знання конфігурації мереж на рівні сисадміна), падіння швидкості (в ряді випадків) і платна підписка. Звичайно, існують і безкоштовні VPN, але вони не завжди можуть забезпечити клієнтам належний рівень захисту. Деякі безкоштовні VPN навіть передають персональну інформацію на сторону. При організації великої кількості одночасних VPN з'єднань потрібен досить продуктивний сервер.
Відмінність між звичайним інтернет-з'єднанням і VPN
Основна відмінність між звичайним інтернет-з'єднанням і VPN полягає в тому, що в першому випадків шифрування не застосовується, а в другому – дані передаються по захищеному каналу зв'язку з шифруванням. Існує кілька видів тунельних протоколів, і рівень захисту безпосередньо залежить від використовуваного протоколу. Кожен з них має свої особливості і можливості захисту.
Можна виділити п'ять найбільш відомих VPN-протоколів:
- PPTP
- L2TP
- IPSec
- SSTP
- OpenVPN
PPTP (Point-to-Point Tunneling Protocol, тунельний протокол " точка-точка»). PPTP використовує протокол шифрування Microsoft Point-to-Point Encryption, але він має уразливості. Протокол часто використовується за замовчуванням на різних пристроях і може бути створений між двома локальними мережами. Перевагами є висока швидкість і можливість застосування на будь-яких платформах.
L2TP (Layer 2 Tunneling Protocol – тунельний протокол другого (канального) рівня) – симбіоз двох протоколів: PPTP від Microsoft і L2F, створеного компанією Cisco. Протокол L2TP дозволяє створювати VPN-тунель не тільки в мережах IP, але і в інших (наприклад, ATM, X. 25 і Frame Relay). Сам протокол не має шифрування, тому його часто використовують в зв'язці з IPSec. При такій інтеграції з IPsec використовується подвійний захист даних, тому користувачі можуть зіткнутися з проблемами продуктивності.
IPSec (IP Security - захищений міжмережевий протокол)- протокол третього мережевого рівня, що забезпечує захист при обміні ключами в Інтернеті і передачі IP-пакетів. IPSec найбільш часто використовується при створенні VPN-мереж для комерційного користування. Він одночасно економічний, ефективний і простий в налаштуванні конфігурацій.
SSTP (Secure Socket Tunneling Protocol - тунельний протокол захищених сокетів) - протокол захищеної передачі даних клієнт-серверної архітектури тільки по мережі Інтернет. Спочатку SSTP був створений для Windows, але зараз доступний і в інших середовищах. У нього хороше співвідношення швидкості і захисту передачі даних. Він легко проходить через фаєрволи, але має вразливість до деяких типів атак.
OpenVPN – протокол з відкритим вихідним кодом, який використовується більшістю VPN-сервісів. Протокол OpenVPN, використовуючи стороннє ПЗ, може бути реалізований на будь-якій платформі. Для створення зашифрованого підключення до Інтернету використовує SSL (Secure Socket Layer-протокол захищених сокетів) і проводить перевірку автентичності пристрою. OpenVPN має кращу комбінацію швидкості, надійності та захисту. Завдяки використанню SSL цей протокол застосовує різні алгоритми захисту даних (RC4, MD5, RSA і т.д.). Незважаючи на те, що OpenVPN має складну настройку для рядового користувача, існують сторонні сервіси, які роблять це автоматично і швидко.
Найпоширенішим протоколом для настройки VPN через роутер є PPTP. Цей протокол застосовується для забезпечення віддаленого доступу до корпоративних мереж і для інших цілей. Доступ через VPN можна налаштувати за допомогою різних маршрутизаторів.
Алгоритм отримання доступу через VPN
Щоб налаштувати доступ в VPN мережу через Інтернет, необхідно виконати три основні кроки:
- створити PPTP-сервер на маршрутизаторі зі статичною IP адресою
- створити акаунти користувачів
- додати виключення в файрвол роутера (щоб не виникало перешкод для підключення)
Алгоритм даної операції для роутера докладно описаний в статті «Налаштування VPN через MikroTik».
Для підключення до VPN по протоколу L2TP в Windows 10 необхідно виконати кілька кроків. Важливо, щоб віддалена локальна мережа відрізнялася адресацією від локальної мережі, в якій знаходиться ПК, смартфон або планшет. Тобто, вони повинні бути різними.
Попередньо, щоб налаштувати VPN, вам будуть потрібні наступні дані:
- Адреса сервера VPN
- Тип підключення
- ім'я користувача та пароль
- загальний ключ шифрування для підключення
1 крок Натисніть на значок сповіщень у нижньому правому куті екрана
2 крок Вибрати Віртуальна мережа (VPN)
3 крок У новому вікні Параметр вибрати Додати VPN-підключення
Постачальник послуг VPN - Windows (вбудований)
Ім'я підключення - зручне для вас ім'я підключення, наприклад My Connect
Ім'я або Адреса сервера - Адреса сервера VPN (причому, в якості адреси сервера VPN може бути як доменне ім'я, так і IP-адреса).
Тип VPN - L2TP/IPsec з попереднім ключем.
Загальний ключ - загальний ключ шифрування для підключення.
Тип даних для входу - Ім'я користувача та пароль.
Ім'я користувача - Ім'я користувача для підключення.
Пароль - Пароль для підключення.
Поставте галочку навпроти Запам'ятати мої дані для входу. Після чого натиснітьЗберегти.
5 крок Вибрати Підключитись
6 крок Дочекайтеся закінчення підключення і закрийте вікно Параметри
Після того, як ви закінчили працювати з підключенням, рекомендується відключитися від VPN. Ця процедура виконується ще простіше.
1 крок Натисніть на значок повідомлень в правому нижньому кутку екрану
2 крок Вибрати Віртуальна мережа (VPN)
3 крок Вибрати Відключитися і закрийте вікно Параметри
Налаштування підключення VPN по L2TP/IPsec на Android
Налаштування підключення VPN на телефонах з Android сьогодні також максимально спрощена. Але слід знати, що при використанні протоколу L2TP/IPSEC неможливо встановити більше одного з'єднання.
1 крок Зайдіть в меню «Налаштування». У розділі «Бездротові мережі» вибрати «Ще», потім VPN Натисніть на кнопку «+» - це потрібно для додавання нового підключення.
2 крок Далі, виберіть тип підключення - L2TP/IPSec PSK і вкажіть параметри підключення:
- Назва - вкажіть будь-яку назву з'єднання
- Адреса сервера - вкажіть адресу з особистого кабінету, виду vpn####.fornex.org.
- Загальний ключ IPSec - ввівши FornexVPN.
Збережіть підключення
3 крок Далі виберіть збережене підключення і введіть «Ім'я користувача» та «Пароль», доступні в особистому кабінеті та натисніть «Підключатися».
Налаштування фільтрування в роутері
Перед тим, як підключитися через VPN, необхідно прописати Винятки для фаєрвола. Розглянемо ці дії на прикладі роутера MikroTik. Але перед цим важливо пам'ятати: при налаштуванні фаєрвола на MikroTik, настійно рекомендуємо проводити їх в режимі Safe Mode - в іншому випадку ви ризикуєте втратити доступ до маршрутизатора!
Отже, в меню управління роутером потрібно зайти в розділ IPі в випадаючому списку вибратиFirewall. Відкриється розділ, в якому нас цікавить перша вкладка з назвою Filter Rules. Щоб додати нове правило, натискаємо кнопку «+».
В описі правила буде рядок Chain – тут потрібно вибрати input, у рядку Protocol вказати tcp. Трохи нижче знаходиться поле Dst. Port, в якому потрібно прописати 1723 порт для тунелю VPN.
У цьому ж віконці на вкладці Action у випадаючому списку потрібно вибрати accept, що буде означати, що ми дозволяємо трафік через VPN. Наступний крок-дозвіл протоколу GRE. Здійснюється воно за допомогою аналогічної послідовності дій: створюється нове правило, тільки в полі Protocol потрібно вибрати gre і дозволити трафік у вкладці Action. У списку розділу Firewall нові правила необхідно підняти вгору, щоб над ними не було забороняють правил, інакше вони не будуть працювати.
