VPN技術 VPNまたはネットワークの保護方法とは何ですか。 VPNを作るもの

VPNが何であるかを理解するために、この省略形を解読して翻訳するのに十分です。 その下で、彼らは送信された情報の秘密とセキュリティを確実にするために、個々のコンピュータまたはローカルネットワークを統合する「仮想プライベートネットワーク」を理解しています。 このテクノロジは、特殊サーバーベースのサーバーとの接続のインストールを想定しています 一般アクセス 特別なプログラムで。 その結果、現代の暗号化アルゴリズムによって確実に保護されている既存の接続にチャネルが表示されます。 言い換えれば、VPNは、保護されていないネットワーク内のポイントツーポイント方式に従った接続であり、これはユーザとサーバ間で情報を交換するための安全なトンネルである。

基本特性VPN

その主なプロパティを理解せずにVPNが不完全なのかを理解する。暗号化、認証、およびアクセス制御。 これは、公的に利用可能な化合物に基づいて運用されている普通の企業ネットワークからVPNを区別する3つの基準です。 提示された特性の実施形態は、組織のユーザコンピュータおよびサーバを保護することを可能にする。 財政的に保護されていないチャネルを通過する情報は、外部要因にとって恐ろしいことになり、その漏洩と違法な使用の可能性を排除します。

類型VPN

VPNが何であるかを理解するには、使用されるプロトコルに基づいて割り当てられているその亜種を検討することができます。

1. PPTP - ポイントツーポイントトンネルプロトコルは、通常のネットワーク上で保護されたチャネルを作成します。 接続は2つのネットワークセッションを使用して設定されます。データはPPPを介してGREプロトコルを介して送信され、接続はTCP（ポート1723）を介して初期化され制御されます。 モバイルや他のネットワークで確立するのは難しいです。 今日、このタイプのVPNネットワークは信頼性が最も低いです。 データを操作するときは、第三者の手に入らないでください。
2. L2TP - 第2レベルのトンネリング。 この改善されたプロトコルは、PPTPとL2Fに基づいて開発されました。 IPSecの暗号化、および単一のUDPセッションでメインチャンネルとコントロールチャネルを組み合わせることは、それほど安全です。
3. SSTP - SSLソケットの安全なトンネリング。 このプロトコルでは、信頼性の高い接続はHTTPS経由で作成されます。 プロトコル機能では、オープン443ポートが必要です。これにより、プロキシの外部でさえも、任意の点からの接続を確立できます。

VPNの特徴

前のセクションでは、そのようなVPNが言われました 技術的なポイント ビジョン。 今、あなたはユーザーの目や契約を通してこの技術を見るべきです、それがどのような具体的な利点です。

1. 安全性。 ソーシャルネットワーク上で彼のページをハッキングするか、さらに悪いのは、銀行カードや仮想財布から盗まれます。 VPNは個人データを効果的に保護します。 発信情報および着信情報の流れの両方が暗号化された形式でトンネルを介して送信されます。 プロバイダーでもアクセスできません。 このアイテムは、インターネットカフェのネットワークと保護されていないWi-Fiの他の点でネットワークに接続する人にとって特に重要です。 そのような場所でVPNを使用しない場合は、送信された情報だけでなく、接続されているデバイスもリスクされます。
2. 匿名。 VPNは、訪問したユーザーリソースの実際のIPを表示しないため、IPアドレスを隠して変更するという問題を解決します。 情報の全流れは安全なサーバーを通過します。 匿名プロキシを介した接続は暗号化を意味するものではなく、ユーザーのアクティビティはプロバイダの秘密ではなく、IPは使用されるリソースのプロパティになります。 この場合、VPNはユーザーにあなた自身のIPを与えます。
3. 無制限のアクセス。 多くのサイトは、状態レベルまたはローカルネットワークでブロックされています。たとえば、ソーシャルネットワークは深刻な企業オフィスではアクセスできません。 しかし、あなたがあなたのお気に入りのサイトにさえ到達できないとき。 ユーザーのIPを自分で置き換えるVPNは、その場所を自動的に変更し、すべてのブロックされたサイトへのパスを開きます。

VPNの範囲

最も頻繁に仮想プライベートネットワークが適用されます。

1. グローバルネットワークへの安全なアクセスを確実にするための企業のプロバイダーとSysadmins。 同時に中に働くために 地元のネットワーク そして全体的なレベルにアクセスするために、さまざまなセキュリティ設定が使用されます。
2. プライベートネットワークへのアクセスを制限するための管理者。 このケースは古典的です。 VPNを使用して、エンタープライズユニットが組み合わされ、リモートで従業員を接続する機能が提供されます。
3. さまざまなレベルのネットワークを組み合わせるための管理者。 原則として、企業ネットワークは多レベルであり、各次のレベルは高保護によって確保されます。 この場合VPNは単純な組合よりも信頼性が高まります。

VPNを設定するときのメインニュアンス

それを設定するためにVPN接続が頻繁に設定されていることをすでに知っているユーザー。 さまざまなオペレーティングシステムのための保護されたネットワークを設定するためのステップバイステップの説明は、どこにでも見つけることができますが、必ずしも言及されていません。 大会。 標準的なVPN接続では、メインゲートウェイがVPNネットワークに表示され、その結果、インターネットがリモートネットワークを介して消えたり接続したりすることができます。 これは不便を生み出し、時には二重トラフィックを支払うためのさらなる費用につながる。 トラブルを回避するには、次のことを実行する必要があります。ネットワークの設定で、TCP / IPv4プロパティとウィンドウ内 追加の設定 リモートネットワーク内のメインゲートウェイをアプリケーションのアプリケーションを許可するマークを取り外します。

毎年、電子通信が改善されており、情報交換は速度要件、セキュリティ、およびデータ処理を増やすことによって行われます。

そしてここで私たちは詳細を検討します vPN接続：どのようなもので、VPNトンネルが必要なもの、およびVPN接続の使用方法。

この資料は、さまざまなOSにVPNを作成する方法を教えてくれます。

vPN接続それは何ですか？

したがって、VPN仮想プライベートネットワークは、高速インターネットでプライベートまたはパブリックの上に論理ネットワークの接続を保護（外部アクセスから閉じた）を提供するテクノロジです。

それ ネットワーク接続 コンピュータ（地理的に立体距離で互いに除去された）は、「ポイントポイント」タイプの接続（言い換えれば、「コンピュータコンピュータ」）を使用します。

科学的には、この接続方法はVPNトンネル（またはトンネルプロトコル）と呼ばれます。 TCP / IPプロトコルを別のネットワークに使用することができるVPNクライアントが統合されているVPNクライアントが統合されているオペレーティングシステムを搭載したコンピュータとのそのようなトンネルに接続することができます。

なぜあなたはVPNが必要ですか？

VPNの基本的な利点は、接続プラットフォームが一致した締約国に要求されることです。これはすぐに拡大縮小するだけでなく（まず最初に）データ、データの整合性、および認証の機密性を提供します。

この図は、VPNネットワークの使用を明確に表しています。

サーバーとルーターの前に、保護されたチャネル上の接続のための規則を指定する必要があります。

運転原理VPN

VPNを介して接続すると、VPNサーバーのIPアドレスとリモートルートに関する情報がメッセージヘッダーで送信されます。

すべての情報が暗号化されているため、一般的なネットワークまたはパブリックネットワークを通過するカプセル化データは傍受できません。

暗号化VPNステップは送信側に実装され、データはメッセージヘッダーによって受信者によって復号化されます（一般的な暗号化キーがある場合）。

適切に復号化された後、2つのネットワーク間のメッセージがVPN接続に設定され、それによって公衆ネットワークで作業することもできます（たとえば、クライアント93.88.190.5との通信）。

er 情報セキュリティーインターネットは非常に保護されていないネットワークであり、OpenVPN、L2TP / IPsec、PPTP、PPPoEプロトコルを備えたVPNネットワークは、完全に保護され、安全なデータ転送方法です。

なぜあなたはVPNチャンネルが必要ですか？

vPNトンネリングが使用されます。

企業ネットワーク内で。

リモートオフィスと小部門とを組み合わせること。

大規模な電気通信サービスを使ってデジタルテレフォニーを維持する。

外部ITリソースにアクセスする。

ビデオ会議を構築して実装する。

なぜあなたはVPNが必要ですか？

vPN接続が必要です。

インターネット上の匿名の仕事。

アプリケーションのダウンロードは、IPアドレスが国の別の地域ゾーンにある場合の場合。

通信を利用した企業環境で安全な作業。

シンプルさと接続設定の容易さ

財産 高速 崖のない接続。

ハッカー攻撃なしで保護されたチャンネルを作成する。

VPNの使い方？

VPNが機能する方法の例は無限にもたらされます。 そのため、インストール時の企業ネットワーク内のすべてのコンピュータで 保護されたVPN 接続メールを使用してメッセージを確認したり、国のどこからでも資料を公開したり、急流のネットワークからファイルをダウンロードしたりできます。

VPN：電話でそれは何ですか？

電話機（iPhone、またはその他のAndroidデバイス）のVPN経由でアクセスできるようにして、インターネットを公共の場所に使用するときに匿名性を保存したり、トラフィックの傍受とデバイスを破ったりすることができます。

任意のOSにインストールされているVPNクライアントを使用すると、多くの設定とプロバイダのルールを回避できます（いくつかの制限が設定されている場合）。

あなたの携帯電話のために選択するVPNは何ですか？

Android OS上の携帯電話とスマートフォンは、Google PlayMarketからアプリケーションを使用できます。

• - vpnroot、droidvpn、
• - ネットワークサーフィンのためのTORブラウザ、彼はオーボットです
• - Inbrowser、Orfox（Firefox + TOR）、
• - SuperVPN Free VPNクライアント
• - OpenVPN Connect。
• - TunnelBear VPN
• - Hideman VPN。

これらのプログラムのほとんどは、「ホット」システム設定の利便性を提供し、起動のラベル、匿名のインターネットサーフィンのラベルを選択し、接続暗号化タイプを選択します。

しかし、電話でVPNを使用することの基本的なタスクは、企業メール、いくつかの参加者とのビデオ会議の作成、および組織外の会議を開催することです（従業員が出張中にある場合）。

iPhoneのVPNとは何ですか？

VPNを選択する必要があるものとiPhoneでより詳細に接続する方法を検討してください。

サポートされているネットワークの種類に応じて、iPhoneでVPN設定を最初に起動すると、次のプロトコルを選択できます.L2TP、PPTP、およびCisco IPsec（さらに、 "Make" VPN接続をサードパーティを使用して接続できます。アプリケーション）。

リストされているすべてのプロトコルは暗号化キーをサポートし、ユーザーはパスワードと認証を使用して識別されます。

追加機能の中で、iPhoneでVPNプロファイルを設定するときに、サーバーに接続するためのRSAセキュリティ、暗号化レベル、および許可ルールをマークします。

にとって 電話のiPhone。 AppStore Storeから選択する価値があります。

• - 無料のTunnelBearアプリケーション。サーバーに接続できます 誰でもVPN 国。
• - OpenVPN Connectは最高のVPNクライアントの1つです。 ここで、アプリケーションを起動するには、RSAキーをiTunesを通して電話機に事前にインポートする必要があります。
• - Cloakは自由に「使用する」ことができますが、デモ期間の満了後にプログラムを使用することができるため、条件付き無料アプリですが、デモ期間の満了後にプログラムを使用することができます。

VPN作成：選択と機器の設定

大規模な組織やリモートオフィスの関連会社の企業コミュニケーションのために、ネットワーク上で中断されない、保護された操作を維持することができるハードウェアを使用します。

ネットワークゲートウェイ、UNIXサーバ、Windowsサーバ、ネットワークルータ、およびVPNによって発生されるネットワークゲートウェイとしてVPN技術を実装するため。

VPN Enterprise Networkまたはリモートオフィス間のVPNチャネルを作成するために使用されるサーバーまたはデバイスは、複雑なテクニカルタスクを実行し、ワークステーションやモバイルデバイスの両方でユーザーにフル範囲のサービスを提供する必要があります。

すべてのルーターまたはVPNルーターは、「ハンギング」なしでネットワーク上で信頼できる操作を保証する必要があります。 組み込みのVPN機能を使用すると、組織やリモートオフィスで、家の作品のネットワーク構成を変更できます。

ルータにVPNを設定します

一般に、ルータのNPN設定はルータWebインターフェイスを使用して実行されます。 組織VPNの「クラシック」デバイスでは、「設定」または「ネットワーク設定」のセクションに移動し、VPNセクションを選択するには、プロトコルの種類を指定し、サブネットのアドレス設定、マスクのアドレス設定を行います。ユーザーのIPアドレスの範囲を指定してください。

さらに、接続を接続するためには、コーディングアルゴリズム、認証方法、マッチングキーの生成、およびDNS WINSサーバーの指定を指定する必要があります。 「ゲートウェイ」パラメータでは、ゲートウェイ（あなたのIP）のIPアドレスを指定し、すべてのネットワークアダプタのデータを記入する必要があります。

ネットワークに複数のルータがある場合は、VPNトンネル内のすべてのデバイスのルーティングVPNテーブルに記入する必要があります。

これはVPNネットワークの構築に使用されるハードウェア機器のリストです。

DLINKルーター：DIR-320、DIR-620、DSR-1000新しいファームウェアまたはD-Link DI808HVルータを使用した。

Cisco PIX 501ルータ、Cisco 871-SEC-K9

約50 VPNトンネルをサポートしているルーターLinkSys RV082

NetGearルーターDG834GおよびFVS318G、FVS318N、FVS336Gモデル、SRX5308

OpenVPN機能を持つMikrotikルーター。 Mikrotikのルータボードの例RB / 2011L -

VPN機器RVPN S-TERRAまたはVPNゲート

RT-N66U、RT-N16およびRT N-10モデルASUSルーター

Zyxel Zywall 5ルーター、Zywall P1、Zywall USG

最近、電気通信の世界では、仮想プライベートネットワーク（VPN仮想プライベートネットワーク）への関心が高まっています。 これは、インターネットを介したリモートオフィスとリモートユーザーの連携による企業ネットワークの維持管理のコストを削減する必要があるためです。 実際、例えばフレームリレーネットワークを介して複数のネットワークを接続するためのサービスコストを比較すると、値に大きな違いがあることがわかります。 しかしながら、インターネットを介してネットワークを組み合わせるとき、データ転送の問題が直ちに発生するので、送信された情報の機密性および完全性を確実にするためにメカニズムを作成することが必要であることに留意されたい。 そのようなメカニズムに基づいて構築され、VPN名を受信したネットワーク。

さらに、非常に頻繁に現代の人、彼の事業を展開して、たくさん旅行しなければなりません。 それは私たちの国や海外の国々の遠隔地に旅行することができます。 多くの場合、人々は自分のホームコンピュータ、または会社のコンピュータに保存されている情報にアクセスする必要があります。 この問題は、モデムと行を使用してリモートアクセスを整理することで解決できます。 電話回線の使用にはそれ自身の特性があります。 この解決策の欠点は、他の国からの電話が多い価値があるということです。 VPNと呼ばれる別の解決策があります。 VPNテクノロジの利点は、リモートアクセスの組織が電話回線を介して行われていませんが、インターネットを通してはるかに安価で優れています。 私の意見では、技術。 VPNには、世界中の広範囲にわたる見込みがあります。

1. VPNネットワークの概念と分類、それらの構造

1.1 VPNとは

VPN（英語。仮想プライベートネットワークは仮想プライベートネットワークです） - インターネットなどの別のネットワーク上で作成された論理ネットワーク。 不安定なプロトコルを使用してパブリックネットワーク上で通信が実行されているという事実にもかかわらず、暗号化により閉じられた情報が作成されます。 VPNでは、たとえばいくつかのOfficeオフィスを組み合わせることができます。 統合ネットワーク コンプレックス化されていないチャンネルからそれらの間の通信を使用します。

本質的に、VPNは専用回線の多くの特性を持っていますが、たとえばパブリックネットワーク内に展開されています。 トンネリング技術を使用して、データパケットは公衆ネットワークを介して通常の2点接続としてブロードキャストされます。 PECULIARトンネルは、各ペア "Sender-repient-repient"の間に確立されます。 トンネルの主な構成要素は次のとおりです。

• イニシエータ;
• ルーテッドネットワーク
• トンネルスイッチ
• 1つ以上のトンネルターミネータ。

それ自体では、動作VPNの原理は、主要なネットワーク技術とプロトコルに矛盾しません。 たとえば、リモートアクセス接続を確立すると、クライアントは標準のPPPパケットストリームをサーバーに送信します。 ローカルネットワーク間の仮想専用線の組織が発生した場合、それらのルータもPPPパッケージと交換されます。 ただし、基本的に新しい点は、公衆ネットワーク内で編成された安全なトンネルを通してパケットを送信することです。

トンネリングを使用すると、1のパッケージの転送を整理できます。 別のプロトコルを使用した論理環境のプロトコル。 その結果、送信データの完全性と機密性を確保し、外部プロトコルやアドレス指定方式の矛盾を伴うことで終わる必要性を踏まえ、いくつかの異なるタイプのネットワーク間の相互作用の問題を解決することが可能である。

既存の ネットワークインフラストラクチャ ソフトウェアとハ\u200b\u200bードウェアの両方を使用してVPNを使用するための企業を用意することができます。 仮想プライベートネットワークの組織は、グローバルネットワークを介したケーブルの敷設と比較できます。 原則として、トンネルのリモートユーザと端末装置との間の即時接続は、PPPプロトコルを介してインストールされる。

VPNトンネルを作成する最も一般的な方法 - トンネリングプロトコル内のPPPおよびそれに続くパッケージのカプセル化におけるネットワークプロトコル（IP、IPX、AppleTalkなど）のカプセル化。 通常、IPまたは（はるかに少ない）ATMとフレームリレーは後者として話す。 ここでの「乗客」が第2レベルのプロトコルであるため、このアプローチは第2のレベルのトンネリングと呼ばれます。

ネットワークプロトコルパケットの代替アプローチ - トンネリングプロトコル（例えばVTP）への直接カプセル化を第3レベルのトンネリングと呼ぶ。

どのプロトコルが使用されていても、どの目標に関係なく トンネルを組織するときに迫害された、主な技術は残りますほとんど変わりません。 通常は、トンネルを介して転送するために、リモートノードとの接続を確立するために1つのプロトコルが使用されます。

1.2 VPNネットワークの分類

分類VPNソリューションは、いくつかの基本パラメータによって分類できます。

1.使用される媒体の種類によって：

• 保護されたVPNネットワーク 専用プライベートネットワークの最も一般的な変形。 これにより、ルール、インターネットとして、信頼性の低いネットワークに基づいて信頼性が高く保護されたサブネットを作成することができます。 保護されたVPNの例は、IPSec、OpenVPN、PPTPです。
• VPNネットワークを信頼します。 送信媒体が信頼できると見なされ、仮想サブネットを作成するタスクのみを解決する必要がある場合に使用される 大規模ネットワーク。 セキュリティの問題は無関係になりつつあります。 類似のVPN溶液の例は、MPLSおよびL2TPの例である。 これらのプロトコルがセキュリティタスクを他の、例えばL2TPにシフトさせることが、ルールとしてIPsecとペアリングされていると言ってもよくなります。

実装として：

• 特別なソフトウェアとハ\u200b\u200bードウェアの形式のVPNネットワーク。 VPNネットワークの実装は、特別なソフトウェアおよびハードウェア複合体を使用して実行されます。 このような実装は、高い性能を提供し、原則として、高度なセキュリティを提供します。
• ソフトウェアソリューションの形式のVPNネットワーク。 VPN機能を提供する特別なソフトウェアでパーソナルコンピュータを使用してください。
• 統合ソリューションを備えたVPNネットワーク。 VPN機能は、ネットワークトラフィックのフィルタリング、ネットワークスクリーンの組織、および保守品質のタスクを解決する複合体を提供します。

3.目的のために：

• イントラネットVPN 1組の組織のいくつかの分散ブランチの統合された保護されたネットワークに組み合わせるために使用され、データの交換 チャンネルを開く コミュニケーション。
• リモートアクセスVPN 企業ネットワークセグメント（中央局や支店によって）と間に保護されたチャンネルを作成するために使用され、自宅で働いている単一のユーザー、ホームコンピュータからの企業リソースに接続したり、出張中の企業旅行につながったりするノートパソコン。
• エクストラネットVPN。 「外部」ユーザーが接続されているネットワークに使用します（たとえば、顧客や顧客など）。 それらへの信頼度は、会社の従業員よりもはるかに低いため、保護の特別な「フロンティア」を提供し、最新の貴重な機密情報を予防または制限することが必要です。

4.プロトコルの種類によって：

• TCP / IP、IPX、およびAppleTalkの下にある仮想プライベートネットワークの実装があります。 しかし今日、TCP / IPプロトコルへの普遍的な移行があり、VPNソリューションの絶対大部分はそれをサポートしています。

ネットワークプロトコルに関して：

• 基準レベルとの比較に基づくネットワークプロトコルの点で ネットワークモデル ISO / OSI。

1.3。 VPNを構築する。

VPNを構築するためのさまざまな選択肢があります。 解決策を選択するときは、VPNを構築する手段のパフォーマンス要因を考慮に入れる必要があります。 たとえば、ルータが電力制限で動作している場合は、VPNトンネルの追加と暗号化/復号化情報の使用がネットワーク全体の動作を停止できます。このルータは単純なトラフィックに対応しないという事実があります。 VPNに言及する。 経験は、VPNを構築するために専門の機器を使用するのが最善であることを示していますが、手段に限界がある場合は、純粋にソフトウェアソリューションに注意を払うことができます。 VPNを構築するためのいくつかのオプションを検討してください。

• ファイアウォールに基づくVPN。 ほとんどの製造業者のファイアウォールはトンネリングとデータの暗号化をサポートしています。 そのような製品はすべて、ファイアウォールを通過するトラフィックが暗号化されているという事実に基づいています。 暗号化モジュールはファイアウォール自体のソフトウェアに追加されます。 この方法の不利な点は、ファイアウォールが実行されるハードウェアから生産性の依存性と呼ぶことができます。 PCに基づいてファイアウォールを使用する場合、そのような解決策は、送信された情報の少量の小ネットワークに対してのみ使用できることを思い出さなければならない。
• ルータに基づくVPN。 VPNを構築するもう1つの方法は、保護されたルータの保護されたチャネルを作成するためのアプリケーションです。 ローカルネットワークから発行されたすべての情報はルータを通過するため、このルータや暗号化タスクを割り当てることをお勧めします。ルータ上のVPN構築装置の例は、シスコシステムです。 IOS 11.3ソフトウェアバージョンから、Cisco RoutersはL2TPおよびIPSecプロトコルをサポートしています。 現在のシスコ情報の単純な暗号化に加えて、トンネル接続を確立するときの識別や鍵交換など、他のVPN機能もサポートされています。ルータの性能を向上させるために、追加のESA暗号化モジュールを使用できます。 さらに、Cisco Systemは、中小企業と中規模の会社、および大規模な組織の部門で設計された、Cisco 1720 VPN Access Router（VPNアクセスルータ）とも呼ばれます。
• ソフトウェアに基づくVPN。 VPNを構築するための以下のアプローチは純粋なソフトウェアソリューションです。 そのような解決策を実装するとき、特殊なソフトウェアが使用され、それは専用のコンピュータで動作し、ほとんどの場合それがプロキシサーバーとして機能します。 そのようなソフトウェアを備えたコンピュータは、ファイアウォールの後ろに配置できます。
• ネットワークOSに基づいてVPN。Microsoft Windowsの例のネットワークOSに基づく解決策を検討します。 VPNを作成するには、Windowsシステムに統合されているPPTPプロトコルを使用します。 この解決策は、企業オペレーティングシステムとしてWindowsを使用した組織にとって非常に魅力的です。 そのような解決策のコストは他の解決策のコストよりも著しく低いことに留意されたい。 WindowsベースVPNでは、プライマリドメインコントローラ（PDC）に保存されているユーザーの基部が使用されます。 PPTPサーバーに接続すると、ユーザーはPAP、CHAP、またはMS-CHAPプロトコルによって認証されます。 送信されたパケットは、GRE / PPTPパッケージにカプセル化されています。 パケットを暗号化するために、Microsoft Point-Point Encryption C 40または128からの非標準プロトコルは、接続時に取得されたビット鍵です。 このシステムの不利な点は、データの完全性をチェックすることや接続中のキーを変更することの不可能性を欠いています。 積極的な瞬間は、窓と低コストとの統合が容易です。
• ハードウェアに基づくVPN。 特殊装置上のVPNの実施形態は、高性能を必要とするネットワークにおいて使用することができる。 そのような解決策の例は、IPRO-VPN Radguardを持つ製品です。 この製品は100 Mbpsのストリームを通過することができる送信された情報のハードウェア暗号化を使用します。 IPRO-VPNは、IPsecプロトコルとISAKMP / Oakleyキー管理メカニズムをサポートしています。 とりわけ、この装置はネットワークアドレスのブロードキャストツールをサポートし、ファイアウォール機能を追加する特別なボードで補足することができます。

2. VPNネットワークプロトコル

VPNネットワークは、パブリックユーティリティ通信ネットワークを介してデータトンネリングプロトコルを使用して構築され、トンネリングプロトコルはデータの暗号化を提供し、それらをユーザ間の伝送を通じて行使する。 この原則として、今日の建物のために ネットワークVPN 次のレベルのプロトコルが使用されます。

• チャネルレベル
• ネットワークレベル
• 輸送レベル

2.1チャンネルレベル

チャネルレベルでは、L2TPおよびPPTPデータトンネリングプロトコルを使用できます。これは、許可と認証を使用します。

PPTP。

現在、最も一般的なVPNプロトコルは、2点トンネル通信プロトコルまたはポイントツーポイントトンネリングプロトコル - PPTPです。 インターネットを介して企業ネットワークへの安全なリモートアクセスを提供するために、3ComおよびMicrosoft企業によって開発されました。 PPTPは既存のTCP / IPオープンスタンダードを使用し、最新のPRPツーポイントプロトコルと想定されています。 RDPの実際には、PRTR複合セッションの通信プロトコルのままです。 PRTRネットワークを介して受信者のNTサーバーにトンネルを作成し、リモートユーザーのRWPパケットを送信します。 サーバーとワークステーションは仮想プライベートネットワークを使用しており、それらの間のグローバルネットワークであるか、または手頃な価格であるかに注意を払わないでください。 サーバーイニシアチブでの接続セッションの完了は、特殊なリモートアクセスサーバーとは異なり、ローカルネットワーク管理者がWindows Serverセキュリティシステムの外部でリモートユーザーをスキップしないことを可能にします。

RTRプロトコルの能力は、Windowsを実行しているデバイスにのみ適用されますが、既存のネットワークインフラストラクチャと対話する機会を企業に提供し、独自のセキュリティシステムを害に害しません。 したがって、リモートユーザは、アナログ電話回線またはISDNチャネルを介してローカルプロバイダを使用してインターネットに接続し、NTサーバへの接続を確立することができる。 同時に、企業はリモートアクセスサービスを提供するモデムプールの組織上に大きな合計を費やす必要はありません。

RRTRの作業をさらに考慮します。 PPTPはIPネットワークによる送信のためにIPパケットをカプセル化します。 PPTPクライアントは宛先ポートを使用して接続トンネル制御を作成します。 このプロセスはOSIモデルのトランスポートレベルで発生します。 トンネルを作成したら、クライアントとサーバーはサービスパッケージの交換を開始します。 チャネル性能を提供するPPTP制御コンパウンドに加えて、データトンネル用に接続が作成されます。 トンネルを通る出荷前のデータの切断は、通常の伝送とは多少異なります。 トンネルに送信する前のデータの切り替えには2段階があります。

1. まず、PPPの情報部分を作成する。 データがOSIアプリケーションレベルから下へ、チャンネルから下に実行されます。
2. その後、取得したデータはOSIモデルを使用して送信され、上位レベルでカプセル化されます。

したがって、2回目のパスの間、データはトランスポートレベルに達します。 ただし、OSIのチャネルレベルが責任があるため、情報を目的の目的のために送信できません。 したがって、PPTPはパッケージのペイロードフィールドを暗号化し、通常はPPP、すなわちPPPが所有しています。 PPPヘッダーとEndをPPTPパッケージに追加します。 これにより、チャネルレベルのフレームが終了します。

次に、PPTPはPPPフレームをネットワークレベルに属する一般的なルーティングカプセル化パケット（GRE）にカプセル化します。 GREは、IPX、AppleTalk、DECnetなどのネットワーク層プロトコルをカプセル化して、IPネットワークを介して送信する可能性を提供します。 ただし、GREにはセッションを設定して侵入者からデータを保護することができません。 これを行うには、PPTP機能を使用してトンネルを制御するための接続を作成します。 カプセル化メソッドとしてのアプリケーションGREは、IPネットワークによってのみPPTPフィールドを制限します。

PPPフレームをGRE見出しでフレームにカプセル化した後、IPヘッダを有するフレーム内でカプセル化された。 IPヘッダーには、送信者のアドレスとパッケージの受信者が含まれています。 結論として、PPTPはPPPヘッダを追加して終了します。

送信者システムはトンネルを介してデータを送信します。 受信者システムはすべてのサービスヘッダーを削除し、PPPデータのみを残します。

L2TP。

近い将来、レイヤ2トンネリングプロトコルの新しい第2レベルトンネリングプロトコルに基づいて展開された仮想プライベートネットワークの数の増加が予想される。

L2TPは、PPTPおよびL2Fプロトコル（レイヤ2転送）をマージした結果として登場しました。 PPTPを使用すると、PPPパケットをトンネル、およびSLIPとPPP L2Fパケットを介して送信できます。 電気通信市場におけるシステムの相互作用の混乱と問題を避けるために、インターネットエンジニアリングタスクフォース委員会（IETF）はPPTPとL2Fをマージするためにシスコシステムズを推奨しました。 一般的な意見として、L2TPプロトコルはPPTPとL2Fの最良の機能を吸収しました。 L2TPの主な利点は、このプロトコルでは、IPネットワークだけでなく、ATM、X.25、およびフレームリレーなどのトンネルを作成することができます。 残念ながら、Windows 2000のL2TPの実装はIPのみをサポートしています。

L2TPは、UDPプロトコルをトランスポートとして適用し、同じメッセージフォーマットを使用してトンネルを制御してデータを送信します。 Microsoftの実装のL2TPは、PPP暗号化パケットを含むチェックメッセージとしてUDPパッケージを使用します。 配信信頼性はパッケージシーケンス制御を保証します。

PPTPとL2TPの機能が異なります。 L2TPは、IPネットワーク、サービスメッセージ、およびデータを介して配送されるサービスメッセージだけでなく、同じフォーマットとプロトコルを使用しています。 PPTPはIPネットワークにのみ適用でき、トンネルを作成して使用するための別々のTCP接続が必要です。 IPSec上のL2TPはPPTPよりも多くのセキュリティレベルを提供し、データ組織のほぼ100％のセキュリティを保証できます。 特長L2TPは、仮想ネットワークを構築するための非常に有望なプロトコルになります。

L2TPプロトコルとPPTPプロトコルは、第3レベルのトンネリングプロトコル数と異なります。

1. 独自にユーザーを認証し、自分の権限を確認する能力の企業を提供し、それ自身の「地域」またはインターネットサービスのプロバイダーからの権限を確認します。 トンネリングされたPPPパケットの処理では、企業ネットワークサーバーはユーザーを識別するために必要なすべての情報を受け取ります。
2. スイッチングトンネルのサポート - 1つのトンネルが完了し、多数の潜在的なターミネータの1つに別のトンネルを開始します。 スイッチングトンネルを使用すると、PPPを必要なエンドポイントに接続するように拡張できます。
3. 提供されている システム管理者 企業ネットワークファイアウォールおよび内部サーバー上で直接アクセス権のユーザーに割り当て戦略を実装する機能。 トンネルターミネータはユーザー情報を使用してPPPパケットを受信するため、セキュリティ戦略管理者を個々のユーザーに適用することができます。 （3番目のレベルのトンネリングはプロバイダからのパッケージを区別することはできませんので、セキュリティ戦略フィルタはエンドワークステーションとネットワークデバイスで使用する必要があります。）また、トンネルスイッチを使用する場合は可能です。トンネルの「継続」を整理する 個人の直接放送トラフィックの2番目のレベル適切な内部サーバーへのユーザー。 そのようなサーバの場合、追加のフィルタリングパッケージのタスクを割り当てることができる。

・MPLS。

トンネルを整理するためのチャネルレベルでもMPLSテクノロジを使用できます（日本語マルチプロトコルラベルスイッチング - ラベルによるマルチプロトコルスイッチング - パケット交換ネットワークを介してチャネルスイッチングネットワークのさまざまな特性をエミュレートするデータ伝送メカニズム。 MPLSは、OSIモデルのチャネルと3番目のネットワークレベルの間に配置される可能性があるレベルで動作します。したがって、通常はネットワークレベルのプロトコルと呼ばれます。 それは、顧客交換ネットワークとパケット交換ネットワークのためのユニバーサルデータ転送サービスを確実にするように設計されました。 MPLSを使用すると、IPパケット、ATM、SONET、およびイーサネットフレームなど、最も異なる性質のトラフィックを転送できます。

チャネルレベルでの組織VPNの解決策は、プロバイダのドメインのフレームワーク内で、ルールとして十分に限られたアクション領域を有する。

2.2ネットワークレベル

ネットワークレベル（IPレベル） IPsecプロトコルは、データの暗号化とコンバンシティ、および加入者認証を実装しています。 IPsecプロトコルのアプリケーションを使用すると、企業ネットワークへの物理的な接続と同等のフル機能のアクセスを実装できます。 VPNを確立するために、各参加者は特定のIPSecパラメータを設定する必要があります。 各クライアントにはIPsecを実装するソフトウェアが必要です。

IPsec。

自然に、会社は公然としないでください インターネット財務またはその他の機密情報。 VPNチャネルは、IRSECセキュリティプロトコル規格に埋め込まれている強力な暗号化アルゴリズムによって保護されています。 IPSecまたはインターネットプロトコルセキュリティ - IETFインターネットエンジニアリングのタスクフォースである国際社会によって選択された規格は、インターネットプロトコルのセキュリティベースを作成します（IPsec IP /プロトコルはネットワークレベルを保護し、通信のみのみIPSec規格のサポートを必要とします。接続側それらの間にある他のすべてのデバイスは単にIPパケットトラフィックを提供します。

IPSecテクノロジを使用した個人の相互作用の方法は、「安全な協会」 - セキュリティ協会（SA）という用語を決定するために行われます。 保護された協会は、IPSecを使用して互いに送信された情報を保護するためにIPSecを使用する締約国によって締結された合意に基づいて機能しています。 この契約は、送信者と受信者のIPアドレス、暗号化アルゴリズム、鍵交換順序、キーサイズ、鍵寿命、認証アルゴリズムを規定しています。

IPsecは、カーネルを持つ一貫したオープンスタンダードのセットです。これは、新機能とプロトコルによって簡単に補完されるのに十分です。 IPsecコアは3つのプロトコルを構成します。

· an。または認証ヘッダー - 認証タイトル - データの整合性と信頼性を保証します。 Annの主な目的 - 受信側が確かめることを可能にします。

• セキュアアソシエーションがインストールされているパーティに送信されました。
• パッケージの内容は、ネットワーク上の転送の過程で歪んでいませんでした。
• パッケージはすでに受信しているパッケージの複製ではありません。

2つの最初の機能がannconsに必要であり、後者は意志で確立されたときに後者が選択されます。 これらの機能を実行するには、プロトコルは特別なヘッダーを使用します。 その構造は次のスキームに従って見られます。

1. 次のヘッダー（次のヘッダー）では、高レベルのプロトコルのコード、すなわちプロトコルがIPパケットデータフィールドに投稿されている。
2. [ペイロード長]フィールドには、ANの長さが含まれています。
3. セキュリティパラメータ索引（セキュリティパラメータ索引、SPI）は、それに提供された安全な関連付けを持つパッケージを通信するために使用されます。
4. シーケンス番号フィールド（シーケンス番号、SN）はシーケンスパッケージ番号を示し、その誤った再生から保護するために使用されます（第三者が実際の認証された送信者によって送信された傍受された保護パッケージの再利用を試みるとき）。
5. いわゆる整合性チェック値（整合性チェック値ICV）を含む認証データ（認証データ）は、パッケージの整合性を認証し検証するために使用されます。 この値は、ダイジェストとも呼ばれ、MD5またはSAH-1の計算上不可逆機能によってサポートされている2つのうちの1つを使用して計算されますが、他の機能も使用できます。

· ESPまたはセキュリティペイロードのカプセル化 - 暗号化データのカプセル化 - 送信されたデータを暗号化し、機密性を提供することもデータ認証と整合性をサポートすることがあります。

ESPプロトコルは2つのグループのタスクを解決します。

1. 最初に、Anプロトコルのタスクと同様のタスクが含まれています - ダイジェストに基づくデータの認証と整合性を確保することです。
2. 不正な視聴から暗号化することによる第2の送信されたデータ。

タイトルはデータフィールドで区切られた2つの部分に分けられます。

1. 実際のESPヘッダーと呼ばれる最初の部分は、2つのフィールド（SPIとSN）によって形成されており、その目的はANESTフィールドの同じフィールドに似ており、データフィールドの前に配置されます。
2. ESP端末と呼ばれる残りのESPプロトコルサービスフィールドは、パッケージの最後にあります。

2つのエンドフィールド - 次のタイトルと認証データはアンカーのフィールドと似ています。 安全協会がESP機能を使用して整合性を確保するために確認された場合、認証データフィールドは見つかりません。 これらのフィールドに加えて、端末には2つの追加フィールドがあります - 集計とフィラーの長さとフィラーの長さがあります。

AHとESPプロトコルは、2つのモードでデータを保護できます。

1. 輸送中 - 送信は元のIPヘッドラインで行われます。
2. トンネルでは、ソースパッケージは新しいIPパッケージに配置され、転送は新しいヘッドラインで実行されます。

特定のモードの使用は、データ保護の要件、ならびに保護されたチャネルが再生されるネットワーク内でノードが再生される役割によって異なります。 したがって、ノードはホスト（エンドノード）またはゲートウェイ（中間ノード）であり得る。

したがって、3つのIPSecプロトコルアプリケーション方式があります。

1. ホストホスト
2. ゲートウェイゲートウェイ。
3. ホストゲートウェイ。

ANおよびESPプロトコルの機能は部分的に重複しています。Anプロトコルは、整合性とデータ認証の提供のみを担当しており、ESPプロトコルはデータを暗号化することができ、さらにAnプロトコルの機能を実行することができます（トリミング形式）。 。 ESPは、任意の組み合わせ、つまり関数のグループ全体、または認証/整合性、または暗号化のみのみのいずれかの組み合わせで、暗号化関数と認証/整合性関数をサポートできます。

・IKEまたはインターネットの鍵交換 - インターネット鍵交換 - 認証およびデータ暗号化プロトコルの操作に必要な秘密鍵の保護されたチャネルに保護されたチャネルを自動提供する補助タスクを解決します。

2.3輸送レベル

トランスポートレベルは、受信側と送信機のトランスポートレベルの間の暗号化と認証を実装するSSL / TLSまたはSecure Socket Layer / Transport Layerセキュリティプロトコルを使用します。 SSL / TLSを使用してTCPトラフィックを使用してUDPトラフィックを保護することはできません。 SSL / TLSに基づいてVPNを機能させるには、各ブラウザと電子メールクライアントがこれらのプロトコルを装備しているため、特別なソフトウェアを実装する必要はありません。 SSL / TLSがトランスポートレベルで実装されているという事実のため、保護された接続は「エンドエンドから」設定されます。

TLSプロトコルは、Netscape SSLプロトコルバージョン3.0に基づいており、TLSレコードプロトコルとTLSハンドシェイクプロトコルの2つの部分で構成されています。 SSL 3.0とTLS 1.0の違いはマイナーです。

SSL / TLSには、3つのメインフェーズが含まれています。

1. 目標が暗号化アルゴリズムを選択するという締約国間の対話。
2. 証明書に基づくオープンキー暗号システムまたは認証に基づくExchangeキー。
3. 対称暗号化アルゴリズムを使用して暗号化されたデータの送信

2.4 VPNの実装：IPsecまたはSSL / TLS？

多くの場合、IT部門の頭部が質問です。企業ネットワークVPNを構築するためのプロトコルのうちどれを選択しますか？ それぞれのアプローチが長所と短所の両方を持っているので、答えは明らかではありません。 IPsecを適用する必要があるとき、およびSSL / TLSの場合は、費やして表示しようとします。 これらのプロトコルの特性の分析から分かるように、それらは交換可能ではなく、実装された各VPNの機能的特徴を識別し、別々にそして並行して機能することができる。

企業ネットワークVPNを構築するためのプロトコルの選択は、以下の基準に従って実行できます。

・VPNユーザーに必要なアクセスタイプ。

1. 企業ネットワークへのフル機能の常設接続。 推奨選択 - IPsecプロトコル。
2. 例えば、特定のサービスへのアクセスを得るために、例えば、パブリックコンピュータを使用しているモバイルユーザまたはユーザが一時的な接続を行う。 eメール またはデータベース。 推奨される選択 - SSL / TLSプロトコル。個々のサービスごとにVPNを整理できます。

・ユーザーの従業員会社です。

1. ユーザーが会社の従業員である場合、IPsec VPNを介して企業ネットワークにアクセスするために使用するデバイスは、特定の方法で設定できます。
2. ユーザーがそのアクセスが利用可能な企業ネットワークに会社の従業員ではない場合は、SSL / TLSを使用することをお勧めします。 これは特定のサービスによってのみゲストアクセスを制限します。

・企業ネットワークのセキュリティのレベルは何ですか。

1. 背が高い。 推奨選択 - IPsecプロトコル。 実際、証明されたIPsecは、企業ネットワーク側のユーザーフレンドリーでセキュリティゲートウェイの使用によって提案されたSSL / TLSのセキュリティレベルよりはるかに高いです。
2. 中間。 推奨される選択 - SSL / TLSプロトコルは、任意の端末へのアクセスを許可します。

・ユーザーのセキュリティレベルが送信されます。

1. 会社の管理などの高さ。 推奨選択 - IPsecプロトコル。
2. たとえば、パートナーです。 推奨選択 - SSL / TLSプロトコル。

サービスに応じて - 平均から高さまで。 推奨選択は、IPsecプロトコル（高セキュリティを必要とするサービスの場合）とSSL / TLS（平均セキュリティレベルを必要とするサービス用）の組み合わせです。

・将来の決定の迅速な展開や、将来の決定のスケーラビリティの迅速な展開。

1. VPNネットワークの高速展開 最小限のコスト。 推奨選択 - SSL / TLSプロトコル。 この場合、IPsecの場合と同様に、ユーザ側に特別なソフトウェアを実装する必要はない。
2. VPNネットワークスケーラビリティ - さまざまなサービスへのアクセスを追加します。 推奨選択 - IPsecプロトコルは、すべての企業ネットワークサービスとリソースへのアクセスを許可します。
3. 高速展開とスケーラビリティ。 推奨選択 - IPSecとSSL / TLSの組み合わせ：最初のステップでSSL / TLを使用して、その後のIPsecの紹介で必要なサービスにアクセスします。

3. VPNネットワークを実装するための方法

仮想プライベートネットワークは、3つの実装方法に基づいています。

・トンネリング

・暗号化。

・認証。

3.1トンネリング

トンネリングは、データソースとデータ受信機の基礎となるネットワークインフラストラクチャ全体がそれらの間で覆われているように、トンネルの終了の間のデータ伝送を提供します。

トンネルの車両は、フェリーとして、トンネルへの入り口で使用されているネットワークプロトコルのパケットを拾い上げて出口に変更します。 トンネルの構築ソフトウェアのビューの点から、それらは1つの（ローカル）ネットワークに接続されているように、2つのネットワークノードを接続するのに十分です。 しかし、実際にはデータが多くの中間ノード（ルータ）を開く公衆網を通過することを「フェリー」であることを忘れてはなりません。

この事態は2つの問題を支払う。 1つ目は、トンネルを介して送信された情報を侵入者によって傍受することができるということです。 機密（銀行カード番号、財務報告、個人情報）であれば、その妥協の脅威はかなり本当であり、それ自体は不快です。 さらに悪いことに、攻撃者はトンネルを介して送信されたデータを修正することができ、受信者がそれらの正確性をチェックすることができないでしょう。 結果は最小限に抑えることができます。 これを考慮すると、我々はいくつかのネットワークを除いてトンネルが純粋な形式であるという結論に達する コンピューターゲーム そしてそれはより深刻な使い方を請求することはできません。 両方の問題は現代の暗号化情報保護の手段によって解決されています。 以下のトンネルの途中でパッケージ内の不正な変更を防ぐために、電子デジタル署名方法（）を使用してください。 この方法の本質は、送信された各パケットに、非対称暗号化アルゴリズムに従って生成され、そして送信者の秘密鍵の内容に固有の情報の追加の情報ブロックが供給されることである。 この情報ブロックはパッケージのEDPで、認識されている受信者によってデータ認証を実行することができます。 オープンキーの EDP\u200b\u200b送信者 不正な視聴からトンネルを介して送信されたデータの保護は、強力な暗号化アルゴリズムを使用することによって達成されます。

3.2認証

セキュリティは主なVPN機能です。 クライアントコンピュータからのすべてのデータは、インターネットを介してVPNサーバーに渡されます。 そのようなサーバは、クライアントコンピュータからの高い距離にあり、組織のネットワークへの道は多くのプロバイダの機器を通過する。 データが読み込まれなかったか変更されていないことを確認する方法 このために、さまざまな認証方法と暗号化方法が適用されます。

PPTPユーザーの認証のために、PPPに使用されるプロトコルのいずれかを使用できます。

• EAPまたは拡張認証プロトコル。
• MSCHAPまたはMicrosoft Challengeハンドシェイク認証プロトコル（バージョン1と2）。
• CHAPまたはチャレンジハンドシェイク認証プロトコル。
• スパップまたはシバパスワード認証プロトコル。
• PAPまたはパスワード認証プロトコル。

最良のことは、相互認証を提供するように、MSCHAPバージョン2およびトランスポート層セキュリティ（EAP-TLS）プロトコルです。 VPNサーバーとクライアントはお互いを識別します。 他のすべてのプロトコルでは、サーバーだけが顧客認証を行います。

PPTPは十分な程度のセキュリティを提供しますが、IPsec上の依然としてL2TPはより信頼性があります。 IPSec上のL2TPは、 "USER"レベルと "コンピュータ"レベルで認証を提供し、認証とデータの暗号化も実行します。

認証は、オープンテスト（テキストパスワードをクリア）またはクエリ/レスポンス方式（チャレンジ/レスポンス）によって実行されます。 まっすぐなテキストで、すべてが明確です。 クライアントはパスワードサーバーを送信します。 サーバーはこれをベンチマークと比較し、アクセスを禁止するか、または「歓迎」と言います。 オープン認証は実際には見つかりません。

クエリ/レスポンス方式ははるかに高度です。 一般的に、それはこのように見えます：

• クライアントは認証時にサーバー（要求）に要求を送信します。
• サーバーはランダムな応答（挑戦）を返します。
• クライアントは、ハッシュを自分のパスワードで取り除きます（ハッシュはハッシュ関数の結果です。これは、固定長の出力ビット線に任意の長さのデータの入力配列を変換します）、応答を暗号化してサーバーに送信します。
• 同じことがサーバーによって行われ、クライアントの応答で受け取った結果を比較します。
• 暗号化された応答が一致する場合、認証は成功したと見なされます。

顧客認証およびVPNサーバーの最初の段階で、IPSecの上のL2TPは認証サービスから受信したローカル証明書を使用します。 クライアントとサーバーは証明書によって交換され、安全なESP SA接続（セキュリティアソシエーション）を作成します。 L2TP（over ipsec）がコンピュータ認証プロセスを完了した後、ユーザーレベルは認証されます。 Openフォームにユーザー名とパスワードを送信するPAPでさえ、認証に任意のプロトコルを使用できます。 IPSecの上のL2TPはセッション全体を暗号化するため、非常に安全です。 ただし、MSCHAPを使用したユーザー認証は、さまざまな暗号化キーを認証するためのさまざまな暗号化キーを適用し、ユーザーが保護を強化することができます。

3.3。 暗号化

PPTPを使用した暗号化は、インターネットを通過するときにデータにアクセスできないことを確認します。 現在サポートされている2つの暗号化方法がサポートされています。

• MPPEまたはMicrosoft Point-To-Point暗号化暗号化プロトコルは、MSCHAP（バージョン1と2）と互換性があります。
• EAP-TLSと、クライアントとサーバー間のパラメーターをネゴシエートしながら、暗号化キーの長さを自動的に選択できます。

MPPEは、キー40,56または128ビットの作業をサポートしています。 古いWindowsオペレーティングシステムは、キー長さだけ40ビットの暗号化をサポートしているため、混在している環境内でWindowsの最小キー長を選択する必要があります。

PPTPは、受信した各パケットの後に暗号化キー値を変更します。 MMPEプロトコルは、パケットが順次送信され、データの損失が非常に小さいポイントツーポイント通信チャネルのために開発されました。 この状況では、次のパッケージのキー値は前のパッケージの復号化の結果によって異なります。 共有アクセスネットワークを介して仮想ネットワークを構築する場合、データパケットはそれが送信されたシーケンスに含まれていない受信者に頻繁に行われるため、これらの条件を観察することはできません。 したがって、PPTPはシーケンスパケット番号を使用して暗号化キーを変更します。 これにより、以前に受信したパッケージに関係なく復号化を実行できます。

どちらのプロトコルも、Microsoft Windowsとその外部の両方に実装されています（たとえば、BSDで）、VPNアルゴリズムは大きく異なる場合があります。

したがって、「トンネリング+認証+暗号化」の束は、共通のネットワークを介して2つの点間でデータを送信することができ、プライベート（ローカル）ネットワークの動作をシミュレートすることができます。 言い換えれば、ファンドは仮想プライベートネットワークを構築することを可能にします。

VPN接続の追加の心地よい効果は、ローカルネットワーク上で採用されているアドレス指定システムを使用する能力（そして必要とされている）です。

実際には仮想プライベートネットワークの実装は以下の通りです。 会社のオフィスのローカルコンピューティングネットワークでは、VPNサーバーがインストールされています。 クライアントソフトウェアVPNを使用して、リモートユーザー（または2つのオフィスが接続されている場合はルータ）を開始します。 ユーザー認証が発生します - VPN接続の確立の最初の段階。 権限が確認された場合、クライアントとサーバーの間では、複合セキュリティの詳細によって調整されるように調整されます。 その後、各データパッケージが暗号化/復号化手順を通過し、データデータ認証をテストするときに、クライアントとサーバー間の情報の交換を形式で保証するVPN接続が編成されます。

VPNネットワークの主な問題は、暗号化された情報の認証と交換のための確立された標準がないことです。 これらの規格はまだ開発プロセスにあり、したがってさまざまな製造業者の製品はVPN接続をインストールし、鍵を自動的に交換することはできません。 この問題は、さまざまな企業の製品を1つの製造業者の製品を使用することが困難であるため、VPNの分布の減速を伴い、したがって、いわゆるエクストラネットネットワークでパートナー企業を組み合わせるプロセスは困難です。

VPNテクノロジの利点は、リモートアクセスの組織が電話回線を介して行われていないが、インターネットを介して、これははるかに安価で優れていることです。 VPNテクノロジの欠如は、VPNビルド手段が検出および攻撃を攻撃する手段ではないということです。 それらは、いくつかの不正な行動を防ぐことができますが、企業ネットワークを貫通するために使用できるすべての可能性はありません。 しかし、これにもかかわらず、VPNテクノロジはさらなる開発のための視点を示しています。

将来的にはVPN技術の開発に関しては何が期待できますか？ 疑いなく、同様のネットワークを構築するための単一の標準が開発され承認されます。 ほとんどの場合、この規格の基礎はすでに実証済みのIPSecプロトコルになります。 さらに、製造業者は、製品の生産性の向上と便利なVPNコントロールを作成することに焦点を当てます。 ほとんどの場合、VPNビルド手段の開発はルーターに基づいてVPNに向かって行くでしょう。 この解決策 高性能、VPNの統合と1つのデバイスでのルーティングを組み合わせます。 しかし、小さな組織にとって安価な解決策が発展します。 結論として、VPN技術がまだ非常に若いという事実にもかかわらず、それは素晴らしい未来を待っています。

あなたのコメントを残してください！

vpnと少し知り合いましょう、主な質問を見つけて、私たちの祝福についてこれら3つのくちばしを使ってください。

VPNそれは何ですか？

LAPTOPとその隣にあるスマートフォンの間にある情報、いわゆるルートトレースの間の間の間の情報を見てください。 そしてデータが傍受できる弱いリンクが常にあります。

なぜあなたはVPNが必要ですか？

ネットワーク内のネットワークとその保護を整理する。 私たちはVPNが良いことを理解しています。 どうして？ あなたのデータはよりセキュリティになるからです。 建物です 安全なネットワーク インターネットまたは他のネットワーク経由で。 それは銀行から別の銀行へ通りにお金を輸送するためのブロンヴァルのようです。 あなたは定期的なマシンでお金を送ることができます、そしてあなたは装甲車で缶にすることができます。 いかなる方法では、鎧のお金は保存されています。 形のVPNとあなたの情報のためのブロンヴァルがあります。 だが VPNサーバー - 鎧の提供代理店。 要するに VPNは善です.

データセキュリティを確保するため

仮想プライベートネットワーク（VPN接続）を使用する
VPN接続を使用すると、公開されているWi-Fiネットワークに接続するときに、ネットワークを通過するデータ暗号化テクノロジを効果的に使用できます。 それはネットワークを追跡し、あなたのデータを傍受することを妨げることができます。

まだ確信していませんか？ ここでは、例えば、入札の1つのタイトル：

Kazanのロシアの内務省の部門間のデータ伝送の組織化のためのVPN技術に関する通信チャネルを提供するためのサービスの提供

警察は安全の世話をする、これらは心配しており、国有会社と企業のそのようなチャンネルの存在を必要としています、そして私たちは何を悪化させていますか？ 私たちは予算資金を費やすことはできませんが、私たちはすべてを素早く、シンプルで無料で構成します。

じゃあ、行きましょう。 Openを使用している場合は、アカウント、VPNを使用してパスワードを保護します wi-Fiネットワーク。 原則として、これは最も弱いリンクです。 もちろん、全世界の特別なサービスである刑事団体は、自分自身を交換し、Wi-Fiネットワークだけでなく衛星とモバイル通信ネットワークも交換し、トラフィックを傍受する機器を買うことができます。 これは別のレベルで、この記事を超えています。
一番いい方法あなたのVPNサーバーがあるとき。 そうでなければ、あなたはこれらのサービスを提供する人々の誠実さを願っています。 そのため、VPNと無料の有料バージョンがあります。 2番目に行きましょう。 はい、VPNサーバーはホームコンピュータに設定できますが、それについても別の投稿で設定できます。

VPNを設定する方法

consider consider Android用の無料VPN オペラVPN - 無制限のVPNの例について。

ダウンロード 無料クライアント VPN 設定は最小限に抑えられ、縮小してVPN、国の選択、デフォルトが近くにあるネットワークテスト単位です。 オン状態でVPNを維持するための設定はまだあります。

アプリケーションをインストールした後、VPN項目がAndroid設定メニューに表示されます。 このスイッチが発生します メインスクリーン Opera VPN（VPNを接続する方法が1つしかない場合）。

切断を制御してVPNを有効にするには、Android設定でアプリケーションアイコンを解決できます。

設定 - \u003e通知とステータス文字列 - \u003eアプリケーション通知 - \u003e Opera VPN

VPNトンネルを介した通信モードでの一部のアプリケーションは、あなたのステータスを確認するように求められます。 したがって、有効なVPNを使用したVKontakteアプリケーションは、あなたのアカウント内であなたが通常モスクワに入ると考えるので、あなたが通常モスクワやオランダから攻撃者を入力しようとしていると考えるでしょう。 番号を入力して使用し続けます。

これはあなたのAndroidデバイスでVPNを使用する最も簡単な方法です。 保護されたチャンネルで、ルーターに基づいて仮想プライベートネットワークを構成し、保護されたチャネル上のどこからでも自分のホームコンピュータに接続し、自由にプライベートデータによって交換されます。 しかしそれについて、もっと 複雑な方法有料のアプリケーションやサービスの設定だけでなく、他の投稿でも伝えます。

(8 推定値、平均： 4,75 5のうち）
Anton Tretyak Anton Tretak. [Eメールで保護されている] 管理者 サイト - レビュー、説明書、ライフハーキ

VPN接続によるリモートネットワーク間のチャネルの組織は、当社のWebサイトの最も人気のあるトピックの1つです。 同時に、読者の応答が示すように、最大\u200b\u200bの困難が原因 適切な設定 ルーティングは、この点に具体的には注意を払いました。 最もよく寄せられる質問を分析した後、私たちは別の記事をルーティングするトピックを専念することにしました。 質問がありますか？ 私たちはこの資料を読んだ後にそれが少ないことを願っています。

まず、それを理解します ルーティング。 ルーティングは、通信ネットワーク上の情報経路を決定するプロセスです。 正直に言及して、このトピックは非常に深く理論的な知識の荷物を必要とすることで、この記事の枠組みの中で、私たちは意識的に絵を単純化し、プロセスを理解するのに十分な範囲で正確に理論に触れて、実践的な結果の受信。

ネットワークに接続されている任意のワークステーションを取ります。また、1つまたは別のパッケージを送信する場所を決定しますか。 この目的のために意図したものです ルーティングテーブルこれには、可能なすべての宛先アドレスの規則のリストが含まれています。 このテーブルに基づいて、ホスト（またはルータ）は、宛先のインターフェイスとアドレスが特定の受信者にアドレス指定されたパッケージを送信するソリューションを作成します。

ルート印刷

その結果、次の表が表示されます。

すべてがとても簡単です、私たちはそのセクションに興味があります IPv4テーブルルート、最初の2つの列には宛先アドレスとネットワークマスクが含まれているため、ゲートウェイは指定された宛先、インターフェイス、およびメトリックのパケットをリダイレクトする必要があります。 列の中にある場合 ゲートウェイ 為替 オンリンクつまり、宛先アドレスはホストと同じネットワーク上にあり、ルーティングなしで利用可能です。 メトリック ルーティングルールの優先順位を定義します。宛先アドレスにルートテーブルにいくつかのルールがある場合は、メトリックが小さい方が使用されます。

私たちのワークステーションはネットワーク192.168.31.0に属しています。ルートテーブルによれば、このネットワークへのすべての要求はインタフェース192.168.31.175に送信され、これはこのステーションのネットワークアドレスに対応しています。 宛先アドレスがアドレスソースと同じネットワーク上にある場合、チャネルレベルでIPルーティング（ネットワークレベルL3 OSIモデル）を使用せずに情報の配信が行われます（L2）。 それ以外の場合、パッケージはルートテーブルの適切な宛先ネットワークで指定されたノードによって送信されます。

そのような規則がない場合、パッケージはによって送信されます ゼロルートこれにはメインネットワークゲートウェイのアドレスが含まれています。 私たちの場合、これはルータ192.168.31.100のアドレスです。 宛先アドレスは0.0.0.0で示されているため、このルートが呼び出されます。 この瞬間は、ルーティングプロセスのさらなる理解に非常に重要です：すべてのパッケージ、 このネットワークに属していません そして別々のルートを持たない 常に 出荷する ベーシックゲートウェイ 通信網。

ルーターはそのようなパッケージを作るのでしょうか？ まず第一に、私たちは通常のネットワーク局からのルータの違いを扱います。 それが非常に単純化されている場合、ルータ（ルータ）はネットワークインタフェース間でパケットを送信するように構成されているネットワークデバイスです。 Windowsでは、これはInforming Serviceによって達成されます ルーティングとリモートアクセス、Linuxタスクオプションで ip_forward..

この場合のパケット転送ソリューションもルーティングテーブルに基づいて受け付けられます。 このテーブルが通常のルータに含まれているのを見てみましょう。たとえば、記事で説明します。 Linuxシステムでは、コマンドでルートテーブルを取得できます。

ルート-N。

ご覧のとおり、私たちのルーターはIT 192.168.31.0および192.168.3.0に知られているネットワークへのルート、および高ゲートウェイ192.168.3.1へのゼロルートを含みます。

ゲートウェイ列（ゲートウェイ）内のアドレス0.0.0.0は、宛先アドレスがルーティングなしで利用可能であることを示します。 したがって、ネットワーク192.168.31.0および192.168.3.0の宛先アドレスを持つすべてのパッケージが適切なインターフェイスに送信され、他のすべてのパケットはさらにゼロルートに転送されます。

次の重要な点は、プライベート（プライベート）ネットワークのアドレスですが、それらは「グレー」で、これらは3つの範囲を含みます。

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

これらのアドレスは誰でも自由に使用できますので、 ルートしないでください。 どういう意味ですか？ ルーティングテーブルに別々のエントリがない場合、これらのネットワークの1つに属する宛先アドレスを持つパッケージはすべてルータによって破棄されます。 単純に置くだけでは、そのようなパケットのデフォルトルート（ゼロ）はルータには適用されません。 この規則は、ルーティング中にのみ適用されることも理解されたい、すなわち インターフェイス間でパケットを転送するとき、このノード自体がルータであっても、「グレー」アドレスを持つ発信パケットはゼロルートに送信されます。

たとえば、私たちのルーターが取得された場合 着信パッケージ 予定では、10.8.0.1、そのようなネットワークが彼に知られていないので、そのようなネットワークが彼に知られていないので、それは廃棄されるでしょう、そしてこの範囲のアドレスはルーティングされていません。 ただし、ルータから直接同じノードに向いていると、パッケージはゼロルートゲートウェイ192.168.3.1に送信され、もう廃棄されます。

すべてがどのように機能するかを確認する時が来ました。 ノード192.168.31.175を試してみて、ルータの後ろのネットワーク上にあるノード192.168.3.106を提案しましょう。 私たちが見ることができるように、ノードルートテーブルにはネットワーク192.168.3.0に関する情報が含まれていませんが、成功しました。

どうでしたか？ ソースノットは宛先ネットワークについて何もわからないので、彼はゲートウェイアドレスにパッケージを送信します。 ゲートウェイはそのルートテーブルをチェックし、ネットワークのエントリを検出し、そこで適切なインターフェイスにパッケージを送信し、パッケージのパス全体を表示するようにしてください。

Tracert 192.168.3.106

それでは、サイト192.168.3.106からPingノード192.168.31.175を実行しようとしましょう。 反対方向に。 出てこなかった。 どうして？

ルーティングテーブルを慎重に見てみましょう。 192.168.31.0 Networkのレコードは含まれていませんので、パッケージはルータ192.168.3.1によって、宛先ネットワーク上のデータがデータがないため、このパッケージが破棄されるメインネットワークゲートウェイとして送信されます。 どうやるべき？ 明らかに、必要な情報を含むノードにパッケージを送信する必要があり、このネットワークではアドレス192.168.3.108があるルータ192.168.31.100である場合にパッケージを宛先に転送することができます。

そのため、ネットワーク192.168.31.0のパッケージが彼に行きました、私たちは別のルートを作成する必要があります。

192.168.31.0マスク255.255.255.0 192.168.3.108

将来的には、そのような経路の記録を遵守します。どういう意味ですか？ マスク255.255.255.0を持つネットワーク192.168.31.0のすべての単純なパケットは、ノード192.168.3.108に送信されるべきです。 Windowsでは、ルートをコマンドで追加できます。

Route Add 192.168.31.0マスク255.255.255.0 192.168.3.108

Route Add -Net 192.168.31.0ネットマスク255.255.255.0 GW 192.168.3.108

やってみよう。

結果を分析しましょう、ルーティングテーブルに表示され、ネットワーク192.168.31.0へのすべてのパケットがこのネットワークのルータに送信され、PINGコマンドの応答からわかりますが、宛先に到達できません。 どうしたの？ ルータの主なタスクの1つがルーティングだけでなく、内部ネットワークからのアクセスを明示的に禁止するネットワーク画面の機能も明示的に禁止されていることを忘れないでください。 この規則を一時的に置き換えると、すべてがうまくいきます。

上記のコマンドに追加されたルートは、ノードを再起動する前に保存されます。便利ですが、たとえあなたが非常に空腹であっても、しばらくして、作成された変更をキャンセルするだけで十分です。 Windowsに永続的なルートを追加するには、コマンドを実行します。

Route Add 192.168.31.0マスク255.255.255.0 192.168.3.108 -p.

Linux Bで / etc / network / interfacesインターフェイスを説明したら、追加します。

ポストアップルートADD -NET 192.168.31.0ネットマスク255.255.255.0 GW 192.168.3.108

ちなみに、192.168.3.0ネットワークからネットワーク192.168.31.0へのアクセスを設定する唯一の方法ではありません。各ノードのルートを追加する代わりに、ネットワークを追加する代わりに、パケットルータを正しく送信できます。

この場合、ソースノードには宛先ネットワークに関するレコードがあり、最後にゲートウェイがそのようなパッケージを削除したが、今度はそのルーティングテーブルに目的のルートを追加していて、パッケージを送信します。宛先にそれを配信するノード192.168.3.108の。

ルーティングはあなたのブラックボックスのためのものであることを困難にし、そしてルートは中国語のレタスであることを強く勧めます。 理解が発生したら、この記事の2番目の部分に行くことができます。

これで、VPN接続を介してオフィスを組み合わせることの実例を考えてください。 OpenVPNがこれらの目的のために最も頻繁に使用されているという事実にもかかわらず、私達はまたそれに基づく解決策を意味する、すべてのタイプのVPN接続に対してすべてが公平になります。

VPNサーバー（クライアント）とネットワークルータが1つのホストにあるときの最も簡単な場合。 以下のスキームを考慮してください。

理論以来、実際に学んだことを願っていますが、192.168.31.0のオフィスからブランチ192.168.44.0のネットワークへのパッケージの経路を分析することを願っています。このようなパッケージはデフォルトゲートウェイに送信されます。 VPNサーバー。 ただし、このノードは宛先ネットワークについては何も知らず、このパッケージを削除する必要があります。 同時に、VPNネットワーク10.8.0.2のVPNネットワーク10.8.0.2のアドレスにすでにBranchルータに連絡できます。 このネットワーク Office Routerから入手できます。

ブランチネットワークにアクセスするには、このネットワークノードのためにこのネットワークノードのパッケージをベットする必要があります。またはそのルートを持っています。 私たちの場合、これはブランチルーターです。 Office Routerの詩人はルートを追加します。

ブランチネットワーク用のパッケージを受信したOffice Gatewayは、ネットワークノード192.168.44.0であるブランチルータのVPNチャネルを通して送信します。これは、ネットワークノード192.168.44.4.0であり、その目的のためのパッケージを提供します。 ブランチのネットワークからOfficeネットワークへのアクセスのためには、ブランチルータに類似のルートを登録する必要があります。

ルータとVPNサーバー（クライアント）が異なるネットワークノードの場合、スキームをより複雑にしてください。 ここに2つのオプションがあり、目的のパッケージをVPNサーバー（クライアント）に直接送信するか、ゲートウェイを作成します。

まず最初のオプションを検討してください。

ブランチネットワークのパッケージの場合は、VPNサーバーへのルートを各クライアントネットワークにVPNサーバー（クライアント）に追加する必要があります。そうしないと、それらをドロップするゲートウェイによって出荷されます。

ただし、VPNサーバーはブランチネットワークについては何も知っていませんが、興味のあるアフィリエイトネットワークノードホストがあるVPNネットワーク内にパッケージを送信することができます。そのため、VPNサーバー（クライアント）にルートを送信します。

192.168.44.0マスク255.255.255.0 10.8.0.2

この方式の不利な点は、ネットワークの各ノードにルートを規定する必要があります。これは必ずしも便利ではありません。 ネットワーク上のデバイスがわずかにまたは選択的なアクセスの場合は使用できます。 他の場合では、ルーティングタスクはメインネットワークルータに正しくシフトします。

この場合、Officeデバイスはブランチネットワークについて何も知らず、ネットワークゲートウェイのゼロルートにパケットを送信しません。 ゲートウェイタスクはこのパッケージVPNサーバー（クライアント）をリダイレクトすることです。ルーティングテーブルに目的のルートを追加するのは簡単です。

192.168.44.0マスク255.255.255.0 192.168.31.101

上述したVPNサーバー（クライアント）のタスクについて述べた、宛先ネットワークの一部であるVPNネットワークのパッケージを配信するか、またはそのルートを配信する必要があります。

192.168.44.0マスク255.255.255.0 10.8.0.2

ブランチネットワークからアクセスするには、ブランチネットワークノードに適切なルートを追加する必要があります。 あなたはどんな都合の良い方法でもこれを行うことができます、それは必ずしもオフィスで行われることができません。 単純な実例：ブランチのすべてのコンピュータはOfficeネットワークにアクセスできる必要がありますが、すべてのオフィスコンピュータがブランチにアクセスできるわけではありません。 この場合は、ルータ上のVPNサーバー（クライアント）へのルートを追加し、オフィス内の希望のコンピュータにのみ追加してください。

一般に、ルーティングがどのようにして作業するかとパケットのリダイレクトの決定とルーティングテーブルの読み方についても想像している場合、正しいルートの設定は困難を引き起こすべきではありません。 この記事を読んだ後は、あなたはそれらを持っていないことを願っています。

• タグ：

JavaScriptを有効にしてください