vpnmegaseedkz

Содержание

• Как это работает?
• Основные реализации
• PPTP
• L2TP
• MS-SSTP
• OpenVPN
• BadVPN
• Прочие применения
• Сокрытие IP (Hide IP)
• Первая линия защиты
• Публичный Wi-Fi
• Разблокирование ресурсов
• Обход фильтрации трафика
• Приоритезация
• Доступ извне
• VPN на практике

VPN — как это работает?

VPN — группа технологий, позволяющих устанавливать сетевое соединение поверх другой сети (например Интернет) и передавать данные по защищенному каналу. Главное достоинство этого подхода в том, что трафик внутри канала не может быть расшифрован «в пути» — т.е. передача данных будет безопасной даже в сетях с низким уровнем доверия.

PPTPОдна из самых старых и популярных реализаций. Несмотря на то, что PPTP не является достаточно безопасным протоколом даже при использовании шифрования (а оно является необязательным), этот протокол вполне пригоден для защиты от нецеленаправленных атак и фильтрации трафика провайдером. Кроме того, PPTP — единственный протокол, поддерживаемый «из коробки» почти всеми операционными системами и роутерами.

L2TPБыл разработан совместно Cisco и Microsoft как замена PPTP. Лишен практически всех недостатков последнего, используется вместе с IPSec. Каких‑либо нареканий в отношении безопасности не имеет. Единственный минус — «двухуровневая» реализация вносит чуть бо́льшие накладные расходы. Поддерживается всеми современными ОС и устройствами, кроме наиболее простых роутеров.

MS-SSTPИспользует протокол SSLv3, возможно задать любой порт — что облегчает прохождение NAT и обход фильтрации. На данный момент используется практически исключительно в среде Windows.

OpenVPNОдна из наиболее гибких, мощных и безопасных реализаций VPN. Использование стандартных протоколов (TCP или UDP) в сочетании с настраиваемыми портами делают OpenVPN весьма устойчивым к фильтрации трафика. Возможно туннелирование как Layer 3 (tun), так и Layer 2 Ethernet (tap). Доступны все алгоритмы шифрования, поддерживаемые OpenSSL, а также сжатие данных (lzo).

BadVPNУспешно решает одну из основных проблем других VPN‑реализаций при организации распределенных сетей через «чужой» сервер, используя двухуровневое шифрование (клиент — клиент поверх шифрования клиент — сервер). Это делает невозможным доступ к информации не только в среде передачи данных, но и на самом сервере.

Прочие применения VPN

Сокрытие IP (Hide IP)Многие интернет‑ресурсы ведут статистику посещений, по которой вполне возможно идентифицировать реального пользователя. Подобные данные могут быть использованы против вас не только силовыми структурами, но и злоумышленниками — в том числе даже без ведома владельцев этих ресурсов. В отличие от прокси, VPN полностью скрывает ваш реальный IP.

Первая линия защитыVPN, используемый для подключения к интернетам, защищает ваш трафик на самых уязвимых участках — на «последней миле» и в зоне, контролируемой вашим провайдером. Поставить небольшую «черную коробочку» и прослушивать весь ваш трафик вполне реально — особенно в многоквартирных домах и сдаваемых под офисы зданиях; провайдеру для этого не нужна даже и «коробочка». Единственная защита — шифрование всего интернет‑трафика.

Публичный Wi-FiТрафик через него может быть абсолютно «беззащитным» — для доступа к нему злоумышленнику не нужно никакого оборудования, достаточно смартфона со специальным программным обеспечением. Подключение через VPN эффективно нейтрализует данную угрозу.

Разблокирование ресурсовПрактически в любом государстве есть свой список запрещенных ресурсов. К сожалению, под эту же гребенку нередко попадают и полезные сайты. Кроме того, попытки доступа к ресурсам в «красной зоне» (в том числе и через прокси) могут привлечь нежелательное внимание известных структур. Через VPN можно не только направлять трафик на подобные ресурсы в обход ограничений провайдера, но и делать это совершенно непрозрачным для них образом.

Обход фильтрации трафикаНе все провайдеры предоставляют «честный» интернет. К примеру, небезызвестный speedtest может показывать запредельные десятки мегабит, в то время как скачивать что‑либо через пиринговые сети или совершать звонки — практически невозможно. Одна из причин этого — фильтрация трафика провайдером по маркетинговым соображениям или же просто с целью его экономии. Однако трафик внутри VPN туннеля провайдеру недоступен — поэтому выборочная его фильтрация невозможна.

ПриоритезацияЗнакома ли вам ситуация, когда запущенный торрент‑клиент делает практически невозможным комфортный доступ к другим интернет‑ресурсам? Пропускная способность подключения делится примерно поровну между всеми соединениями, а у настроенного на максимальную скорость скачивания торрент‑клиента их могут быть сотни. Это достаточно неприятно даже в домашней сети, в то время как для организации это может стать весьма серьезной проблемой. С другой стороны, ограничивать скорость скачивания (или пытаться запретить «вредный» трафик) — выход далеко не оптимальный. Решением этой проблемы является приоритезация — более «важному» трафику (например HTTP/HTTPS) дается больший приоритет, а торрент‑клиент будет использовать на максимум всю оставшуюся полосу пропускания, позволяя полную утилизацию соединения. Реализовать подобное на клиентских рабочих станциях достаточно сложно, а на шлюзе (если в качестве него используется недорогой роутер) — так вообще невозможно. Гораздо проще делать это на VPN‑сервере — единым и прозрачным для клиента образом.

Доступ извнеЧто делать, если провайдер помещает вас за NAT, полностью блокируя входящие соединения? К тому же дополнительная услуга «белый IP» у провайдера может вообще отсутствовать или быть недоступной на выгодном тарифном плане. Кроме этого, для удобного доступа извне IP должен быть не только белым, но и статическим, а решения класса DDNS не обеспечивают оперативного обновления резолва при смене динамического IP. При использовании VPN возможно не только выделение постоянного IP c пробросом всех входящих соединений на клиентский шлюз, но и привязка DNS имени — без обращения к регистратору.

VPN на практике

КроссплатформенностьОрганизовать VPN‑подключение можно на любой популярной платформе — Windows, OS X, Linux и устройства на его базе (DD‑WRT, OpenWRT и т.д.), RouterOS, Android.

ДоступностьДаже в отсутствие выделенного интернет‑шлюза затраты на его приобретение невелики — практически любое современное устройство с функцией машрутизации имеет встроенный VPN‑клиент, как минимум PPTP/L2TP.

КриптостойкостьНа практике взлом даже 128‑битного шифра путем перебора требует несопоставимых с результатами затрат — однако для пущей безопасности можно использовать длину ключа вплоть до 2048 бит.