Qu’est-ce qu’un VPN pour PC ? Différences entre VPN et TOR, proxy et anonymiseurs. VPN, qu'est-ce que c'est ?

D'année en année communication électronique s'améliore et les exigences en matière d'échange d'informations en matière de rapidité, de sécurité et de qualité du traitement des données sont de plus en plus élevées.

Et ici, nous allons regarder de plus près connexion VPN: qu'est-ce que c'est, à quoi sert un tunnel VPN et comment utiliser une connexion VPN.

Ce matériel est une sorte de mot d'introduction à une série d'articles dans lesquels nous vous expliquerons comment créer un VPN sur différents systèmes d'exploitation.

La connexion VPN, qu'est-ce que c'est ?

Ainsi, un réseau privé virtuel VPN est une technologie qui fournit une connexion sécurisée (fermée à tout accès externe) d'un réseau logique sur un réseau privé ou public en présence d'Internet haut débit.

Une telle connexion réseau d'ordinateurs (géographiquement éloignés les uns des autres à une distance considérable) utilise une connexion « point à point » (en d'autres termes, « ordinateur à ordinateur »).

Scientifiquement, cette méthode de connexion est appelée tunnel VPN (ou protocole de tunnel). Vous pouvez vous connecter à un tel tunnel si vous disposez d'un ordinateur doté d'un système d'exploitation doté d'un client VPN intégré capable de « transférer » les ports virtuels à l'aide du protocole TCP/IP vers un autre réseau.

Pourquoi avez-vous besoin d'un VPN ?

Le principal avantage d’un VPN est que les négociateurs ont besoin d’une plate-forme de connectivité qui non seulement évolue rapidement, mais qui garantit également (principalement) la confidentialité, l’intégrité et l’authentification des données.

Le diagramme montre clairement l'utilisation des réseaux VPN.

Les règles de connexion sur un canal sécurisé doivent d'abord être écrites sur le serveur et le routeur.

Comment fonctionne le VPN

Lorsqu'une connexion est établie via VPN, l'en-tête du message contient des informations sur l'adresse IP du serveur VPN et la route distante.

Les données encapsulées transitant sur un réseau partagé ou public ne peuvent pas être interceptées car toutes les informations sont cryptées.

L'étape de cryptage VPN est mise en œuvre du côté de l'expéditeur et les données du destinataire sont déchiffrées à l'aide de l'en-tête du message (s'il existe une clé de cryptage partagée).

Une fois le message correctement déchiffré, une connexion VPN est établie entre les deux réseaux, ce qui permet également de travailler sur un réseau public (par exemple échanger des données avec un client 93.88.190.5).

Concernant la sécurité de l'information, Internet est extrêmement réseau non protégé, et un réseau VPN avec les protocoles OpenVPN, L2TP/IPSec, PPTP, PPPoE est une méthode de transfert de données totalement sécurisée et sécurisée.

Pourquoi avez-vous besoin d’un canal VPN ?

Le tunneling VPN est utilisé :

Au sein du réseau d'entreprise;

Pour fédérer les bureaux distants, ainsi que les petites succursales ;

Pour les services de téléphonie numérique avec une large gamme de services de télécommunications ;

Pour accéder à des ressources informatiques externes ;

Pour créer et mettre en œuvre des vidéoconférences.

Pourquoi avez-vous besoin d'un VPN ?

Une connexion VPN est requise pour :

Travail anonyme sur Internet ;

Télécharger des applications lorsque l'adresse IP est située dans une autre zone régionale du pays ;

Travailler en toute sécurité dans un environnement d'entreprise utilisant les communications ;

Simplicité et commodité de configuration de la connexion ;

Assurer une vitesse de connexion élevée sans interruption ;

Création d'un canal sécurisé sans attaques de pirates.

Comment utiliser le VPN ?

Des exemples du fonctionnement d’un VPN peuvent être donnés à l’infini. Ainsi, sur n'importe quel ordinateur du réseau d'entreprise, lorsque vous établissez une connexion VPN sécurisée, vous pouvez utiliser le courrier pour vérifier les messages, publier des documents depuis n'importe où dans le pays ou télécharger des fichiers à partir de réseaux torrent.

VPN : qu'est-ce qu'il y a sur votre téléphone ?

L'accès via VPN sur un téléphone (iPhone ou tout autre appareil Android) vous permet de conserver l'anonymat lorsque vous utilisez Internet dans des lieux publics, ainsi que d'empêcher l'interception du trafic et le piratage des appareils.

Un client VPN installé sur n’importe quel système d’exploitation vous permet de contourner de nombreux paramètres et règles du fournisseur (si le fournisseur a défini des restrictions).

Quel VPN choisir pour votre téléphone ?

Les téléphones mobiles et smartphones fonctionnant sous Android OS peuvent utiliser les applications de Google Playmarket :

  • - vpnRoot, droïdeVPN,
  • - navigateur tor pour surfer sur les réseaux, alias orbot
  • - Dans le navigateur, orfox (firefox+tor),
  • - Client VPN gratuit SuperVPN
  • - Connexion OpenVPN
  • - VPN TunnelBear
  • - VPN Hideman

La plupart de ces programmes servent à faciliter la configuration « à chaud » du système, le placement de raccourcis de lancement, surf anonyme Internet, en sélectionnant le type de cryptage de la connexion.

Mais les principales tâches liées à l'utilisation d'un VPN sur votre téléphone consistent à vérifier courrier d'entreprise, créer des vidéoconférences avec plusieurs participants, ainsi que tenir des réunions en dehors de l'organisation (par exemple, lorsqu'un employé est en voyage d'affaires).

Qu’est-ce qu’un VPN sur iPhone ?

Voyons plus en détail quel VPN choisir et comment le connecter à votre iPhone.

Selon le type de réseau pris en charge, lorsque vous démarrez pour la première fois la configuration VPN sur votre iPhone, vous pouvez sélectionner les protocoles suivants : L2TP, PPTP et Cisco IPSec (de plus, vous pouvez « établir » une connexion VPN à l'aide d'applications tierces) .

Tous les protocoles répertoriés prennent en charge les clés de cryptage, l'identification de l'utilisateur à l'aide d'un mot de passe et une certification sont effectuées.

Parmi fonctions supplémentaires Lors de la configuration d'un profil VPN sur un iPhone, vous pouvez noter : la sécurité RSA, le niveau de cryptage et les règles d'autorisation pour la connexion au serveur.

Pour un téléphone iPhone de l'Appstore, vous devez choisir :

  • - une application gratuite Tunnelbear avec laquelle vous pouvez vous connecter aux serveurs VPN de n'importe quel pays.
  • - OpenVPN Connect est l'un des meilleurs clients VPN. Ici, pour lancer l'application, vous devez d'abord importer les clés RSA via iTunes dans votre téléphone.
  • - Cloak est une application shareware, puisque pendant un certain temps le produit peut être « utilisé » gratuitement, mais pour utiliser le programme après l'expiration de la période de démonstration, vous devrez l'acheter.

Création VPN : sélection et configuration des équipements

Pour communication d'entreprise dans de grandes organisations ou associations ami supprimé d'autres bureaux utilisent un équipement matériel capable de prendre en charge un travail continu et sécurisé sur le réseau.

Pour mettre en œuvre les technologies VPN, le rôle d'une passerelle réseau peut être : des serveurs Unix, des serveurs Windows, un routeur réseau et une passerelle réseau sur laquelle VPN est installé.

Un serveur ou un appareil utilisé pour créer un réseau d'entreprise VPN ou un canal VPN entre bureaux distants doit effectuer des tâches techniques complexes et fournir une gamme complète de services aux utilisateurs aussi bien sur les postes de travail que sur les appareils mobiles.

Tout routeur ou routeur VPN doit fournir fonctionnement fiable sur le réseau sans geler. Et la fonction VPN intégrée vous permet de modifier la configuration réseau pour travailler à domicile, dans une organisation ou dans un bureau distant.

Configuration du VPN sur le routeur

En général, la configuration d’un VPN sur un routeur se fait via l’interface web du routeur. Sur les appareils « classiques », pour organiser un VPN, vous devez vous rendre dans la section « paramètres » ou « paramètres réseau », où vous sélectionnez la section VPN, précisez le type de protocole, saisissez les paramètres de votre adresse de sous-réseau, masquez et précisez la plage d’adresses IP pour les utilisateurs.

De plus, pour sécuriser la connexion, vous devrez spécifier des algorithmes de codage, des méthodes d'authentification, générer des clés d'accord et spécifier Serveur dns GAGNE. Dans les paramètres « Passerelle », vous devez spécifier l'adresse IP de la passerelle (votre propre IP) et remplir les données sur toutes les cartes réseau.

S'il y a plusieurs routeurs sur le réseau, vous devez remplir la table de routage VPN pour tous les appareils du tunnel VPN.

Voici une liste des équipements matériels utilisés pour construire des réseaux VPN :

Routeurs Dlink : DIR-320, DIR-620, DSR-1000 avec nouveau firmware ou routeur D-Link DI808HV.

Routeurs Cisco PIX 501, Cisco 871-SEC-K9

Routeur Linksys Rv082 prenant en charge environ 50 tunnels VPN

Routeur Netgear DG834G et modèles de routeurs FVS318G, FVS318N, FVS336G, SRX5308

Routeur Mikrotik avec fonction OpenVPN. Exemple de carte RouterBoard RB/2011L-IN Mikrotik

Équipement VPN RVPN S-Terra ou VPN Gate

Modèles de routeurs ASUS RT-N66U, RT-N16 et RT N-10

Routeurs ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Dans notre vaste pays, ils aiment tout bloquer. Si auparavant le blocage se limitait aux seuls sites Internet, c’est désormais au tour des messageries instantanées. Et alors que les messageries instantanées sont déjà bloquées et que l'interdiction des VPN est toujours prévue, je vais vous expliquer pourquoi ces trois lettres sont nécessaires. De plus, vous apprendrez comment configurer un VPN sur n’importe quel appareil, gratuitement ou moyennant des frais. Comment choisir le bon VPN et pourquoi vous devez le faire maintenant.

Qu'est-ce qu'un VPN ?

Pourquoi ai-je besoin d’un VPN si je n’accède pas à des ressources interdites ?

Pour la plupart d’entre nous, j’ai dressé une liste de ceux qui prouvent que tout le monde a besoin d’un VPN :

  1. Accès aux ressources bloqué dans le pays ;
  2. Sécurité dans les réseaux publics ;
  3. Sécurité du réseau domestique ;
  4. Connexion sécurisée avec des amis ;
  5. Anonymat.

Les points les plus importants sont le premier et le cinquième. Tandis que les personnes soucieuses de l’anonymat comprendront parfaitement quoi et comment. Le reste d’entre vous devra lire des articles comme celui-ci.

Bloquer l’accès à certains sites ou applications sur Internet n’est pas toujours une mauvaise chose. De plus, le blocage ne vient pas toujours de l’État. Certains services, comme Spotify, ne fonctionnent tout simplement pas en Russie et limitent eux-mêmes l'accès pour nous. Le fournisseur Internet lui-même peut bloquer l'accès aux ressources pour ses propres raisons. Et bien entendu, l’État peut bloquer l’accès à des ressources interdites dans le pays.

Je ne discuterai pas ici si cela est correct ou non. Et un tel blocage a-t-il un sens ? Il est important de comprendre que lorsqu'une ressource est bloquée, l'accès à plusieurs autres sites absolument légaux peut être accidentellement limité. Souvent, ces erreurs ne sont pas remarquées par le visiteur moyen du réseau. Mais parfois, des ressources aussi importantes que Google tombent par erreur dans la distribution.

De là, il est facile de conclure que vous devriez toujours avoir un VPN à portée de main. Du moins jusqu’à ce que les VPN soient également interdits.

Comment choisir un VPN ?

Choisir un service VPN est très difficile. Un utilisateur inexpérimenté ne voit pas la différence entre des centaines divers programmes(et elle est). Les utilisateurs avancés comparent les services en fonction de paramètres tels que l'anonymat, la vitesse d'accès, le stockage des journaux et bien plus encore. Ce tableau permettra de simplifier un peu la tâche :

Les développeurs garantissent sécurité totale et l'anonymat (lorsqu'il est utilisé correctement). Dans le même temps, la vitesse n'est pas limitée, mais les amateurs de torrent ne sont pas les bienvenus ici. La sécurité est garantie par le fait qu'IVPN est membre de l'EFF (Electronic Frontier Foundation), et que la société elle-même est enregistrée à Gibraltar et est prête à partir à la moindre pression. Les serveurs ne stockent aucune information personnelle pouvant révéler les utilisateurs. Par conséquent, lorsque l’État le leur demandera, ils n’auront tout simplement rien à fournir. Il existe également un support pour OpenVPN, ce qui signifie que le VPN peut être configuré sur n'importe quel appareil.

Mais pour un tel plaisir, vous devrez payer 8,33 $ par mois, ce qui est nettement plus cher que celui des concurrents.

Parmi les avantages du programme :

  • prix raisonnables pour une licence (5 appareils) ;
  • Langue russe;
  • multiplateforme ;
  • aucune restriction de vitesse et de trafic, même pour les torrents ;
  • il existe une version gratuite.

Dans la version gratuite, vous trouverez de la publicité et des « écoutes » du trafic pour afficher cette publicité. Mais la plupart des gens ne s’en soucient pas, ils s’en occupent. Dans la version mobile, il s'agit d'une vidéo promotionnelle lorsque la connexion est activée, et dans le navigateur, de bannières de partenaires. En dehors de cela, vous ne pouvez vous connecter qu’à un serveur aux États-Unis.

Le programme peut également activer lui-même la connexion VPN (lorsque vous travaillez avec certaines applications). De cette façon, vous pouvez travailler via un VPN avec une liste de programmes, tandis que le reste utilisera une connexion régulière.

La version payante coûte 6,99 € par mois ou 139,99 € pour une licence à vie. Vous pouvez toujours acheter une licence à vie pour 10 appareils pour 69,99 $.

Quelque part entre les deux options ci-dessus. Ici, dans la version gratuite, vous avez le choix entre plusieurs serveurs : Allemagne, Hong Kong, Roumanie et États-Unis. La liberté de choix est compensée par des limitations sur la vitesse de connexion, mais pas sur le trafic.

Un abonnement payant coûte 2 100 roubles par an.

VPN de fret

Mesure de la vitesse lors de la connexion via VPN

De nombreuses personnes ne souhaitent pas installer un VPN car elles ont peur de perdre en vitesse de connexion. Oui, un tel problème peut exister. La vitesse peut être limitée à forfaits gratuits Services VPN. Mais les grands fournisseurs VPN garantissent une connexion sans perte de débit, mais dans ce cas vous devrez payer un abonnement. En revanche, je recommande dans tous les cas d’acheter un abonnement VPN. Parce que les services gratuits tentent d'une manière ou d'une autre de « gagner de l'argent » auprès de leurs utilisateurs. Dans ce cas, la sécurité de la connexion, vos données personnelles ou encore les informations sur l'appareil en souffrent.

Lorsque vous vous connectez au bon service VPN, vous ne rencontrerez aucun ralentissement notable ni augmentation de la consommation de données.

Maintenant quoi?

Surtout rien. Installez le client dont vous avez besoin sur tous les appareils et profitez de la vie sans restrictions, sans écoute ni surveillance. Utilisez n'importe quel programme, allez sur n'importe quel site et soyez vous-même !

Imaginez une scène d'un film plein d'action dans laquelle le méchant s'échappe de la scène du crime le long de l'autoroute dans une voiture de sport. Il est poursuivi par un hélicoptère de la police. La voiture entre dans un tunnel comportant plusieurs sorties. Le pilote de l'hélicoptère ne sait pas de quelle sortie la voiture apparaîtra et le méchant échappe à la poursuite.

Le VPN est un tunnel reliant de nombreuses routes. Personne de l’extérieur ne sait où finiront les voitures qui y entrent. Personne de l’extérieur ne sait ce qui se passe dans le tunnel.

Vous avez probablement entendu parler du VPN plus d'une fois. Lifehacker parle aussi de cette chose. Le plus souvent, un VPN est recommandé car en utilisant le réseau, vous pouvez accéder à des contenus géobloqués et généralement augmenter la sécurité lorsque vous utilisez Internet. La vérité est qu’accéder à Internet via un VPN peut être tout aussi dangereux que directement.

Comment fonctionne un VPN ?

Très probablement, vous disposez d’un routeur Wi-Fi à la maison. Les appareils qui y sont connectés peuvent échanger des données même sans Internet. Il s’avère que vous disposez de votre propre réseau privé, mais pour vous y connecter, vous devez être physiquement à portée du signal du routeur.

VPN (virtuel Réseau privé) est un réseau privé virtuel. Il fonctionne sur Internet, vous pouvez donc vous y connecter de n'importe où.

Par exemple, l'entreprise pour laquelle vous travaillez peut utiliser un réseau privé virtuel pour les travailleurs à distance. Grâce à un VPN, ils se connectent à leur réseau de travail. Dans le même temps, leurs ordinateurs, smartphones ou tablettes sont virtuellement transférés au bureau et connectés au réseau de l'intérieur. Pour vous connecter à un réseau privé virtuel, vous devez connaître l'adresse, le login et le mot de passe du serveur VPN.

Utiliser un VPN est assez simple. Habituellement, une entreprise installe un serveur VPN quelque part sur ordinateur local, serveur ou centre de données, et la connexion à celui-ci s'effectue à l'aide d'un client VPN sur la machine utilisateur.

De nos jours, les clients VPN intégrés sont disponibles dans tous les systèmes d'exploitation actuels, notamment Android, iOS, Windows, macOS et Linux.

La connexion VPN entre le client et le serveur est généralement cryptée.

Alors le VPN, c'est bien ?

Oui, si vous êtes propriétaire d’une entreprise et souhaitez sécuriser les données et services de l’entreprise. En autorisant les employés à accéder à l'environnement de travail uniquement via un VPN et en utilisant des comptes, vous saurez toujours qui a fait et fait quoi.

De plus, le propriétaire du VPN peut surveiller et contrôler tout le trafic qui circule entre le serveur et l'utilisateur.

Vos employés passent beaucoup de temps sur VKontakte ? Vous pouvez bloquer l'accès à ce service. Gennady Andreevich passe-t-il la moitié de sa journée de travail sur des sites contenant des mèmes ? Toute son activité est automatiquement enregistrée dans des journaux et deviendra un argument à toute épreuve pour le licenciement.

Pourquoi VPN alors ?

Le VPN vous permet de contourner les restrictions géographiques et juridiques.

Par exemple, vous êtes en Russie et vous le souhaitez. Nous regrettons d'apprendre que ce service n'est pas disponible depuis la Fédération de Russie. Vous ne pouvez l'utiliser qu'en accédant à Internet via un serveur VPN dans le pays dans lequel Spotify opère.

Dans certains pays, il existe une censure sur Internet qui restreint l'accès à certains sites. Vous souhaitez accéder à une ressource, mais elle est bloquée en Russie. Vous ne pouvez ouvrir le site qu'en accédant à Internet via un serveur VPN d'un pays dans lequel il n'est pas bloqué, c'est-à-dire depuis presque tous les pays à l'exception de la Fédération de Russie.

Le VPN est une technologie utile et nécessaire qui s'acquitte bien d'un certain nombre de tâches. Mais la sécurité des données personnelles dépend toujours de l'intégrité du fournisseur de services VPN, de votre bon sens, de votre attention et de vos connaissances sur Internet.

Le développement des technologies Internet mobiles a permis d’utiliser pleinement les téléphones et tablettes pour surfer sur Internet. Les gadgets mobiles sont utilisés non seulement pour rechercher les informations nécessaires, mais avec leur aide : communiquer dans communautés sociales, effectuer des achats, effectuer des transactions financières, travailler dans des réseaux d'entreprise.

Mais qu’en est-il d’une connexion Internet fiable, sécurisée et anonyme ? La réponse est simple : utilisez un VPN, par exemple https://colander.pro/servers.

Qu'est-ce qu'un VPN et pourquoi en avez-vous besoin sur votre téléphone ?

Les technologies qui vous permettent de créer un réseau logique avec une ou plusieurs connexions sont collectivement appelées Réseau Privé Virtuel (en abrégé VPN). Traduite littéralement, cette expression sonne comme un réseau privé virtuel.

Son essence est de créer une connexion sécurisée sur ou à l'intérieur d'un autre réseau (une sorte de tunnel) à travers laquelle, grâce à l'application installée sur le gadget, le client peut accéder au serveur VPN. Au sein d'une telle connexion, toutes les données transmises sont modifiées, cryptées et protégées.

Pourquoi les services offrant la possibilité d’utiliser de tels réseaux virtuels sont-ils devenus si populaires et est-il vraiment nécessaire de les avoir sur une tablette ou un smartphone ?

Lors de déplacements touristiques ou professionnels, il est souvent nécessaire d'utiliser Internet : pour se connecter à un bureau mobile, correspondance commerciale, commander et payer des billets et communiquer via Skype, etc. Il est pratique de consulter vos e-mails, d’analyser les devis et d’étudier l’actualité en utilisant l’appareil à portée de main. Mais pour cela, il faut recourir au Wi-Fi, désormais gratuit dans de nombreuses gares, aéroports, cafés et hôtels.

Bien sûr, la possibilité d'accéder à Internet n'importe où est une chose utile et pratique, mais dans quelle mesure est-elle sûre ? Les experts impliqués dans la sécurité de l'information affirment que grâce à une connexion Wi-Fi non sécurisée, vous pouvez accéder simplement et sans trop de difficultés à toutes les données situées sur le gadget.

Dans ce cas, choisir les services VPN sera la meilleure opportunité de protéger l'utilisateur contre le vol de ses informations confidentielles. Cependant, ces réseaux virtuels peuvent être utilisés pour bien plus que la simple sécurité. Leur utilisation vous permet d'accéder à une ressource Web indisponible dans une certaine région, de contourner les restrictions du réseau d'entreprise, etc.

Caractéristiques des technologies mobiles

Afin que les propriétaires de gadgets mobiles puissent profiter de ces technologies cloud, de nombreux serveurs VPN ont été adaptés pour fonctionner avec de tels appareils. Les canaux de communication utilisés par les smartphones et les tablettes pour accéder à Internet changent souvent, il peut s'agir du Wi-Fi, puis d'une connexion 3G ou 4G. Cela complique grandement la capacité d'un serveur VPN classique à maintenir une connexion stable sur un canal dédié.

Cela se produit parce qu'il voit des gadgets lui accéder à partir de différents sous-réseaux et adresses IP, ce qui entraîne la perte des applications installées sur les appareils. connexion active. Pour éviter cela, des méthodes d'autorisation spéciales ont commencé à être utilisées sur des serveurs spécialement adaptés et équipés de la technologie VPN. Ce qui permet d'effectuer un transfert de données bidirectionnel du serveur vers des gadgets portables, où les appareils modifient périodiquement les paramètres réseau.

Comment utiliser correctement les fonctionnalités VPN sur votre téléphone

Il existe des services de serveur VPN payants et leurs analogues gratuits. Ce qu'il est préférable de choisir, c'est à chaque utilisateur de décider individuellement. Si vous parvenez à décider du choix du service et du serveur, vous devez passer à la configuration. De nos jours, les gadgets mobiles les plus populaires sont les appareils iPhone et Android.

Activer le VPN sur iPhone

Il existe deux manières de configurer votre iPhone pour utiliser ces technologies. La première consiste à sélectionner l’application la plus appropriée dans l’App Store et à l’installer. Effectuez ensuite les actions suivantes :

  • Visitez la section des paramètres.
  • Ouvrez l'onglet VPN et activez-le avec le curseur.
  • Sélectionnez ensuite le service installé.

La seconde consiste à configurer le VPN manuellement. Pour ce faire, vous devez effectuer les manipulations suivantes :

  • En entrant dans la section des paramètres de l'appareil, activez le VPN et cliquez sur l'icône « ajouter une configuration ».
  • Sélectionnez ensuite le type de sécurité : L2TP, IPSec ou IKEv2 et activez la configuration souhaitée.
  • Après cela, vous devez renseigner les informations sur les paramètres du réseau privé : une description de l'identifiant distant, du serveur et renseigner les informations nécessaires à l'enregistrement - pseudo, mot de passe.
  • Si vous disposez d'un serveur proxy, vous devez choisir en fonction de vos préférences si vous souhaitez l'utiliser : automatique ou manuel.
  • En cliquant sur le bouton « Terminé » et en plaçant le curseur d'état sur la position souhaitée, vous pouvez commencer à surfer sur Internet.

Désormais, tout le trafic provenant de l'iPhone passera par le VPN.

Configurer un VPN sur Android

Ici, il est beaucoup plus facile de connecter le service VPN sélectionné ; pour cela, vous devez :

  • Activez la section « Paramètres », où dans la ligne « Réseau sans fil» Cliquez sur l'inscription : « Avancé ».
  • Après quoi, après avoir ouvert la sous-section « VPN » et cliqué sur le signe +, des informations sur les protocoles disponibles pour connecter de tels services seront fournies.
  • Après avoir sélectionné et enregistré la connexion souhaitée, il ne reste plus qu'à saisir et créer les identifiants nécessaires au travail : login et mot de passe.

Bien sûr sur les chantiers différents smartphones peuvent différer, mais les étapes de base sont largement similaires.

Conclusion

Il est difficile d’affirmer que l’utilisation de VPN sur les appareils mobiles devient un service de plus en plus populaire. Grâce à de tels services, de nombreuses opportunités s'ouvrent aux utilisateurs : lorsqu'ils voyagent, ils ont la possibilité de ne pas interrompre le processus de travail, sachant que toutes leurs données sont toujours protégées, tout en étant dans une autre région, d'avoir accès aux informations nécessaires. ressources et autres préférences.

DANS Dernièrement Dans le monde des télécommunications, on constate un intérêt croissant pour les réseaux privés virtuels (VPN). Cela est dû à la nécessité de réduire les coûts de maintenance des réseaux d'entreprise grâce à une connexion moins coûteuse des bureaux distants et des utilisateurs distants via Internet. En effet, en comparant le coût des services de connexion de plusieurs réseaux via Internet, par exemple avec les réseaux Frame Relay, on peut constater une différence de coût significative. Cependant, il convient de noter que lors de la connexion de réseaux via Internet, la question de la sécurité de la transmission des données se pose immédiatement, il est donc devenu nécessaire de créer des mécanismes pour assurer la confidentialité et l'intégrité des informations transmises. Les réseaux construits sur la base de tels mécanismes sont appelés VPN.

De plus, très souvent à l'homme moderne, pour développer votre activité, vous devez beaucoup voyager. Il peut s'agir de voyages dans des coins reculés de notre pays ou dans des pays étrangers. Les gens ont souvent besoin d’accéder à leurs informations stockées sur leur ordinateur personnel ou professionnel. Ce problème peut être résolu en organisant l'accès à distance à l'aide d'un modem et d'une ligne. L'utilisation d'une ligne téléphonique a ses propres caractéristiques. Les inconvénients de cette solution sont que les appels depuis un autre pays coûtent très cher. Il existe une autre solution appelée VPN. Les avantages de la technologie VPN sont que l'accès à distance est organisé non pas via une ligne téléphonique, mais via Internet, ce qui est beaucoup moins cher et de meilleure qualité. À mon avis, la technologie. Le VPN a le potentiel de se généraliser dans le monde entier.

1. Concept et classification des réseaux VPN, leur construction

1.1 Qu'est-ce qu'un VPN

VPN(eng. Virtual Private Network - réseau privé virtuel) - un réseau logique créé au-dessus d'un autre réseau, par exemple Internet. Bien que les communications s'effectuent sur des réseaux publics à l'aide de protocoles non sécurisés, le cryptage crée des canaux d'échange d'informations fermés aux étrangers. VPN vous permet de regrouper, par exemple, plusieurs bureaux d'une organisation en réseau unique utiliser des canaux incontrôlés pour communiquer entre eux.

À la base, un VPN possède de nombreuses propriétés d’une ligne louée, mais il est déployé au sein d’un réseau public, par exemple. Avec la technique du tunneling, les paquets de données sont diffusés sur le réseau public comme s'il s'agissait d'une connexion point à point normale. Une sorte de tunnel est établi entre chaque paire expéditeur-récepteur de données - une connexion logique sécurisée qui permet aux données d'un protocole d'être encapsulées dans les paquets d'un autre. Les principaux éléments du tunnel sont :

  • initiateur;
  • réseau routé ;
  • commutateur de tunnel ;
  • un ou plusieurs terminateurs de tunnel.

Le principe de fonctionnement du VPN lui-même ne contredit pas les principes fondamentaux technologies de réseau et les protocoles. Par exemple, lors de l'établissement d'une connexion d'accès à distance, le client envoie un flux de paquets au serveur protocole standard PPP. Dans le cas de l'organisation de lignes louées virtuelles entre réseaux locaux, leurs routeurs échangent également des paquets PPP. Cependant, un aspect fondamentalement nouveau est la transmission des paquets via un tunnel sécurisé organisé au sein d'un réseau public.

Le tunneling vous permet d'organiser la transmission de paquets du même protocole dans un environnement logique utilisant un protocole différent. En conséquence, il devient possible de résoudre les problèmes d'interaction entre plusieurs types de réseaux différents, en commençant par la nécessité d'assurer l'intégrité et la confidentialité des données transmises et en terminant par surmonter les incohérences dans les protocoles externes ou les schémas d'adressage.

L'infrastructure réseau existante d'une entreprise peut être préparée pour une utilisation VPN à l'aide d'un logiciel ou d'un matériel. La mise en place d'un réseau privé virtuel peut être comparée à la pose d'un câble sur un réseau mondial. En règle générale, une connexion directe entre un utilisateur distant et un périphérique d'extrémité de tunnel est établie à l'aide du protocole PPP.

La méthode la plus courante pour créer des tunnels VPN consiste à encapsuler les protocoles réseau (IP, IPX, AppleTalk, etc.) dans PPP, puis à encapsuler les paquets résultants dans un protocole de tunneling. Habituellement, ce dernier est IP ou (beaucoup moins souvent) ATM et Frame Relay. Cette approche est appelée tunneling de deuxième niveau, puisque le « passager » est ici le protocole de deuxième niveau.

Une approche alternative consistant à encapsuler les paquets de protocole réseau directement dans un protocole de tunneling (tel que VTP) est appelée tunneling de couche 3.

Quels que soient les protocoles utilisés ou les objectifs poursuivi lors de l'aménagement d'un tunnel, la technique de base restepratiquement inchangé. Généralement, un protocole est utilisé pour établir une connexion avec un nœud distant et un autre est utilisé pour encapsuler les données et les informations de service à transmettre via le tunnel.

1.2 Classification des réseaux VPN

Les solutions VPN peuvent être classées selon plusieurs paramètres principaux :

1. Par type d’environnement utilisé :

  • Réseaux VPN sécurisés. La version la plus courante des réseaux privés privés. Avec son aide, il est possible de créer un sous-réseau fiable et sécurisé basé sur un réseau peu fiable, généralement Internet. Des exemples de VPN sécurisés sont : IPSec, OpenVPN et PPTP.
  • Réseaux VPN de confiance. Ils sont utilisés dans les cas où le support de transmission peut être considéré comme fiable et où il est uniquement nécessaire de résoudre le problème de la création d'un sous-réseau virtuel au sein d'un réseau plus vaste. Les questions de sécurité deviennent hors de propos. Des exemples de telles solutions VPN sont : MPLS et L2TP. Il serait plus correct de dire que ces protocoles transfèrent la tâche d'assurer la sécurité à d'autres, par exemple L2TP, en règle générale, est utilisé conjointement avec IPSec.

2. Selon le mode de mise en œuvre :

  • Réseaux VPN sous forme de logiciels et de matériel spéciaux. La mise en œuvre d'un réseau VPN s'effectue à l'aide d'un ensemble spécial de logiciels et de matériels. Cette implémentation offre des performances élevées et, en règle générale, haut degré sécurité.
  • Les réseaux VPN comme solution logicielle. Utiliser Ordinateur personnel avec un logiciel spécial qui fournit une fonctionnalité VPN.
  • Réseaux VPN avec une solution intégrée. La fonctionnalité VPN est assurée par un complexe qui résout également les problèmes de filtrage du trafic réseau, d'organisation d'un pare-feu et d'assurance de la qualité de service.

3. Par finalité :

  • VPN intranet. Ils sont utilisés pour unir plusieurs branches distribuées d'une organisation en un seul réseau sécurisé, échangeant des données via des canaux de communication ouverts.
  • VPN d'accès à distance. Ils sont utilisés pour créer un canal sécurisé entre un segment du réseau d'entreprise (bureau central ou succursale) et un utilisateur unique qui, travaillant à domicile, se connecte aux ressources de l'entreprise à partir d'un ordinateur personnel ou, lors d'un voyage d'affaires, se connecte aux ressources de l'entreprise en utilisant un ordinateur portable.
  • VPN extranet. Utilisé pour les réseaux auxquels les utilisateurs « externes » (par exemple, des clients ou des clients) se connectent. Le niveau de confiance en eux est bien inférieur à celui des employés de l’entreprise, il est donc nécessaire de prévoir des « lignes » de protection spéciales qui empêchent ou limitent l’accès de ces derniers à des informations confidentielles particulièrement précieuses.

4. Par type de protocole :

  • Il existe des implémentations de réseaux privés virtuels pour TCP/IP, IPX et AppleTalk. Mais on observe aujourd'hui une tendance vers une transition générale vers le protocole TCP/IP, et la majorité absolue Solutions VPN le soutient.

5. Par niveau de protocole réseau :

  • Par niveau de protocole réseau sur la base d'une comparaison avec les niveaux de référence modèle de réseau ISO/OSI.

1.3. Construire un VPN

Exister diverses options construire un VPN. Lorsque vous choisissez une solution, vous devez prendre en compte les facteurs de performances des constructeurs de VPN. Par exemple, si un routeur fonctionne déjà à sa capacité maximale, l'ajout de tunnels VPN et l'application du cryptage/déchiffrement des informations peuvent arrêter l'ensemble du réseau car ce routeur ne sera pas en mesure de gérer un trafic simple, encore moins un trafic simple. VPN. L'expérience montre que pour construire Le VPN est meilleur Surtout, utilisez un équipement spécialisé, mais s'il y a une limitation de fonds, vous pouvez alors faire attention à une solution purement logicielle. Examinons quelques options pour créer un VPN.

  • VPN basé sur des pare-feu. La plupart des fournisseurs de pare-feu prennent en charge le tunneling et le cryptage des données. Tous ces produits sont basés sur le fait que le trafic passant à travers le pare-feu est crypté. Un module de cryptage est ajouté au logiciel pare-feu lui-même. L'inconvénient de cette méthode est que les performances dépendent du matériel sur lequel le pare-feu s'exécute. Lorsque vous utilisez des pare-feu basés sur PC, vous devez vous rappeler qu'une telle solution ne peut être utilisée que pour de petits réseaux avec une petite quantité d'informations transférées.
  • VPN basé sur un routeur. Une autre façon de créer un VPN consiste à utiliser des routeurs pour créer des canaux sécurisés. Puisque toutes les informations provenant de réseau local, passe par un routeur, il est alors conseillé d'attribuer des tâches de chiffrement à ce routeur.Un exemple d'équipement permettant de créer un VPN sur des routeurs est l'équipement de Cisco Systems. Depuis la version logiciel iOS 11.3 Routeurs Cisco prend en charge les protocoles L2TP et IPSec. En plus cryptage simple Cisco prend également en charge d'autres fonctionnalités VPN telles que l'authentification lors de l'établissement d'une connexion tunnel et de l'échange de clés.Pour améliorer les performances du routeur, un module de cryptage ESA en option peut être utilisé. De plus, Cisco System a lancé un appareil spécialisé pour VPN, appelé Cisco 1720 VPN Access Router (routeur d'accès VPN), destiné à être installé dans les petites et moyennes entreprises, ainsi que dans les succursales de grandes organisations.
  • VPN basé sur logiciel. La prochaine approche pour créer un VPN consiste à utiliser des solutions purement logicielles. Lors de la mise en œuvre d'une telle solution, un logiciel spécialisé est utilisé qui s'exécute sur un ordinateur dédié et agit dans la plupart des cas comme un serveur proxy. L'ordinateur exécutant ce logiciel peut être situé derrière un pare-feu.
  • VPN basé sur le système d'exploitation réseau.Nous examinerons des solutions basées sur un système d'exploitation réseau en prenant comme exemple le système d'exploitation Windows de Microsoft. Pour créer un VPN, Microsoft utilise le protocole PPTP, intégré au système Windows. Cette solution est très attractive pour les organisations utilisant Windows comme système d'exploitation d'entreprise. Il convient de noter que le coût d’une telle solution est nettement inférieur à celui des autres solutions. VPN en opération Basé sur Windows une base de données utilisateur stockée sur le contrôleur de domaine principal (PDC) est utilisée. Lors de la connexion à un serveur PPTP, l'utilisateur est authentifié grâce aux protocoles PAP, CHAP ou MS-CHAP. Les paquets transmis sont encapsulés dans des paquets GRE/PPTP. Pour chiffrer les paquets, un protocole non standard de Microsoft Point-to-Point Encryption est utilisé avec une clé de 40 ou 128 bits reçue au moment de l'établissement de la connexion. Les inconvénients de ce système sont le manque de contrôle de l'intégrité des données et l'impossibilité de changer les clés pendant la connexion. Points positifs sont la facilité d'intégration avec Windows et le faible coût.
  • VPN basé sur le matériel. La possibilité de créer un VPN sur des appareils spéciaux peut être utilisée dans les réseaux nécessitant des performances élevées. Un exemple d'une telle solution est le produit IPro-VPN de Radguard. Ce produit utilise un cryptage matériel des informations transmises, capable de transmettre un flux de 100 Mbit/s. IPro-VPN prend en charge le protocole IPSec et le mécanisme de gestion des clés ISAKMP/Oakley. Entre autres choses, cet appareil prend en charge les outils de traduction d'adresses réseau et peut être complété par une carte spéciale qui ajoute des fonctions de pare-feu

2. Protocoles VPN

Les réseaux VPN sont construits à l'aide de protocoles de tunneling des données via l'Internet public, et les protocoles de tunneling assurent le cryptage des données et assurent la transmission de bout en bout entre les utilisateurs. En règle générale, aujourd'hui pour la construction Réseaux VPN Les niveaux de protocoles suivants sont utilisés :

  • Couche de liaison de données
  • Couche réseau
  • Couche de transport.

2.1 Couche de liaison

Au niveau de la couche liaison de données, les protocoles de tunneling de données L2TP et PPTP peuvent être utilisés, qui utilisent l'autorisation et l'authentification.

PPTP.

Actuellement, le protocole VPN le plus courant est le protocole de tunneling point à point (PPTP). Il a été développé par 3Com et Microsoft pour fournir un accès distant sécurisé aux réseaux d'entreprise via Internet. PPTP utilise les normes TCP/IP ouvertes existantes et s'appuie fortement sur l'ancien protocole point à point PPP. En pratique, PPP reste le protocole de communication de la session de connexion PPTP. PPTP crée un tunnel à travers le réseau jusqu'au serveur NT du destinataire et transmet les paquets PPP de l'utilisateur distant via celui-ci. Le serveur et le poste de travail utilisent un réseau privé virtuel et ne se soucient pas du degré de sécurité ou d'accessibilité du WAN entre eux. La terminaison de session initiée par le serveur, contrairement aux serveurs d'accès à distance spécialisés, permet aux administrateurs de réseau local de maintenir les utilisateurs distants dans les limites de sécurité de Windows Server.

Bien que la compétence du protocole PPTP ne s'étende qu'aux appareils fonctionnant sous Contrôle Windows, il offre aux entreprises la possibilité d'interagir avec les infrastructures réseau existantes sans compromettre leurs propres systèmes de sécurité. Ainsi, un utilisateur distant peut se connecter à Internet via un FAI local via une ligne téléphonique analogique ou une liaison RNIS et établir une connexion avec le serveur NT. Dans le même temps, l'entreprise n'a pas à dépenser des sommes importantes pour organiser et entretenir un parc de modems fournissant des services d'accès à distance.

Ce qui suit traite du fonctionnement du RRTR. PPTP encapsule les paquets IP pour la transmission sur un réseau IP. Les clients PPTP utilisent le port de destination pour créer une connexion de contrôle de tunnel. Ce processus se produit au niveau de la couche transport du modèle OSI. Une fois le tunnel créé, l'ordinateur client et le serveur commencent à échanger des paquets de service. En plus de la connexion de contrôle PPTP qui garantit le fonctionnement du lien, une connexion est créée pour transmettre les données via le tunnel. L'encapsulation des données avant de les envoyer via un tunnel se déroule quelque peu différemment que lors d'une transmission normale. Encapsuler les données avant de les envoyer dans le tunnel implique deux étapes :

  1. Tout d’abord, la partie information PPP est créée. Les données circulent de haut en bas, de la couche application OSI vers la couche liaison de données.
  2. Les données reçues sont ensuite envoyées vers le modèle OSI et encapsulées par des protocoles de couche supérieure.

Ainsi, lors du deuxième passage, les données atteignent la couche transport. Cependant, l'information ne peut pas être envoyée à sa destination, puisque le canal en est responsable. Couche OSI. Par conséquent, PPTP crypte le champ de charge utile du paquet et prend en charge les fonctions de deuxième couche généralement associées à PPP, c'est-à-dire ajoute un en-tête et une fin PPP à un paquet PPTP. Ceci termine la création du cadre de couche de liaison.

Ensuite, PPTP encapsule la trame PPP dans un paquet Generic Routing Encapsulation (GRE), qui appartient à la couche réseau. GRE encapsule les protocoles de couche réseau tels que IPX, AppleTalk, DECnet pour leur permettre d'être transportés sur des réseaux IP. Cependant, GRE n'a pas la capacité d'établir des sessions et de protéger les données contre les intrus. Cela utilise la capacité de PPTP à créer une connexion de contrôle de tunnel. L'utilisation de GRE comme méthode d'encapsulation limite la portée de PPTP aux réseaux IP uniquement.

Après que la trame PPP a été encapsulée dans une trame avec un en-tête GRE, l'encapsulation est effectuée dans une trame avec un en-tête IP. L'en-tête IP contient les adresses source et de destination du paquet. Enfin, PPTP ajoute un en-tête et une fin PPP.

Le système émetteur envoie les données via le tunnel. Le système de réception supprime tous les en-têtes généraux, ne laissant que les données PPP.

L2TP

Dans un avenir proche, une augmentation du nombre de réseaux privés virtuels est attendue, déployés sur la base du nouveau protocole de tunneling de deuxième niveau Layer 2 Tunneling Protocol - L2TP.

L2TP est né de la combinaison des protocoles PPTP et L2F (Layer 2 Forwarding). PPTP permet de transmettre des paquets PPP via le tunnel et des paquets L2F SLIP et PPP. Pour éviter toute confusion et tout problème d'interopérabilité sur le marché des télécommunications, l'Internet Engineering Task Force (IETF) a recommandé que Cisco Systems combine PPTP et L2F. De toute évidence, le protocole L2TP intègre Meilleures caractéristiques PPTP et L2F. Le principal avantage de L2TP est que ce protocole vous permet de créer un tunnel non seulement dans les réseaux IP, mais également dans les réseaux ATM, X.25 et Frame Relay. Malheureusement, l'implémentation Windows 2000 de L2TP ne prend en charge qu'IP.

L2TP utilise UDP comme transport et utilise le même format de message pour le contrôle du tunnel et le transfert de données. L2TP tel qu'implémenté par Microsoft utilise des paquets UDP contenant des paquets PPP cryptés comme messages de contrôle. La fiabilité de la livraison est garantie par le contrôle de la séquence des paquets.

La fonctionnalité de PPTP et L2TP est différente. L2TP peut être utilisé non seulement dans les réseaux IP : les messages de service pour créer un tunnel et envoyer des données à travers celui-ci utilisent le même format et les mêmes protocoles. PPTP ne peut être utilisé que sur les réseaux IP et nécessite une connexion TCP distincte pour créer et utiliser le tunnel. L2TP sur IPSec offre plus de couches de sécurité que PPTP et peut garantir une sécurité proche de 100 % pour les données critiques de votre organisation. Les fonctionnalités de L2TP en font un protocole très prometteur pour la construction de réseaux virtuels.

Les protocoles L2TP et PPTP diffèrent des protocoles de tunneling de troisième niveau par un certain nombre de fonctionnalités :

  1. Offrir aux entreprises la possibilité de choisir indépendamment la méthode d'authentification des utilisateurs et de vérification de leurs informations d'identification - sur leur propre « territoire » ou auprès d'un fournisseur de services Internet. En traitant les paquets PPP tunnelisés, les serveurs du réseau d'entreprise reçoivent toutes les informations nécessaires pour identifier les utilisateurs.
  2. Prise en charge de la commutation de tunnel : terminer un tunnel et en lancer un autre vers l'un des nombreux terminateurs potentiels. La commutation de tunnel vous permet d'étendre la connexion PPP jusqu'au point de terminaison requis.
  3. Permettre aux administrateurs réseau d'entreprise de mettre en œuvre des stratégies de contrôle d'accès des utilisateurs directement sur le pare-feu et les serveurs internes. Étant donné que les terminateurs de tunnel reçoivent des paquets PPP contenant des informations utilisateur, ils sont capables d'appliquer des politiques de sécurité définies par l'administrateur au trafic utilisateur individuel. (Le tunneling de troisième niveau ne permet pas de distinguer les paquets provenant du fournisseur, des filtres de politique de sécurité doivent donc être appliqués aux postes de travail finaux et aux périphériques réseau.) De plus, si vous utilisez un commutateur de tunnel, il devient possible d'organiser une « suite » de le tunnel deuxième niveau pour la transmission directe du trafic individuelutilisateurs vers les serveurs internes. Ces serveurs peuvent être chargés d'un filtrage de paquets supplémentaire.

MPLS

Au niveau des liaisons de données également, la technologie MPLS peut être utilisée pour organiser les tunnels ( De l'anglais Multiprotocol Label Switching - commutation d'étiquettes multiprotocoles - un mécanisme de transfert de données qui émule diverses propriétés des réseaux à commutation de circuits sur les réseaux à commutation de paquets). MPLS fonctionne au niveau d'une couche qui pourrait être positionnée entre la couche liaison de données et la troisième couche réseau du modèle OSI, et est donc communément appelé protocole de couche liaison de données. Il a été conçu pour fournir un service de données universel aux clients des réseaux à commutation de circuits et à commutation de paquets. MPLS peut transporter une grande variété de trafic, tels que des paquets IP, des trames ATM, SONET et Ethernet.

Les solutions pour organiser le VPN au niveau du lien ont une portée assez limitée, généralement au sein du domaine du fournisseur.

2.2 Couche réseau

Couche réseau (couche IP). Le protocole IPSec est utilisé, qui met en œuvre le cryptage et la confidentialité des données, ainsi que l'authentification des abonnés. L'utilisation du protocole IPSec permet un accès complet équivalent à connexion physique au réseau d'entreprise. Pour établir un VPN, chaque participant doit configurer certains paramètres IPSec, c'est-à-dire Chaque client doit disposer d'un logiciel qui implémente IPSec.

IPSec

Bien entendu, aucune entreprise ne souhaite transférer ouvertement Informations financières ou autres informations confidentielles sur Internet. Canaux VPN protégé par de puissants algorithmes de cryptage intégrés dans les normes de protocole de sécurité IPsec. IPSec ou Internet Protocol Security - une norme choisie par la communauté internationale, l'IETF - Internet Engineering Task Force, crée le cadre de sécurité pour le protocole Internet (le protocole IP/IPSec assure la sécurité au niveau du réseau et nécessite la prise en charge de la norme IPSec uniquement à partir de Les appareils communiquent entre eux des deux côtés de la connexion. Tous les autres appareils situés entre eux assurent simplement le trafic de paquets IP.

La méthode d'interaction entre les personnes utilisant la technologie IPSec est généralement définie par le terme « association sécurisée » - Security Association (SA). Une association sécurisée fonctionne sur la base d'un accord entre les parties qui utilisent IPSec pour protéger transmis à un ami informations sur les amis. Cet accord régule plusieurs paramètres : adresses IP de l'expéditeur et du destinataire, algorithme cryptographique, ordre d'échange des clés, tailles des clés, durée de vie des clés, algorithme d'authentification.

IPSec est un ensemble cohérent de normes ouvertes dont le noyau peut être facilement étendu avec de nouvelles fonctionnalités et de nouveaux protocoles. Le cœur d'IPSec se compose de trois protocoles :

· UN ou Authentication Header - en-tête d'authentification - garantit l'intégrité et l'authenticité des données. L’objectif principal du protocole AH est qu’il permet au côté récepteur de garantir que :

  • le paquet a été envoyé par une partie avec laquelle une association sécurisée a été établie ;
  • le contenu du paquet n'a pas été déformé lors de sa transmission sur le réseau ;
  • le paquet n'est pas un double d'un paquet déjà reçu.

Les deux premières fonctions sont obligatoires pour le protocole AH, et la dernière est facultativement sélectionnée lors de l'établissement d'une association. Pour exécuter ces fonctions, le protocole AH utilise un en-tête spécial. Sa structure est considérée selon le schéma suivant :

  1. Le champ d'en-tête suivant indique le code du protocole de niveau supérieur, c'est-à-dire le protocole dont le message se trouve dans le champ de données du paquet IP.
  2. Le champ de longueur de charge utile contient la longueur de l’en-tête AH.
  3. L'index des paramètres de sécurité (SPI) est utilisé pour associer un paquet à son association de sécurité prévue.
  4. Le champ Numéro de séquence (SN) indique le numéro de séquence du paquet et est utilisé pour se protéger contre l'usurpation d'identité (lorsqu'un tiers tente de réutiliser les paquets sécurisés interceptés envoyés par l'expéditeur réellement authentifié).
  5. Le champ de données d'authentification, qui contient ce que l'on appelle la valeur de contrôle d'intégrité (ICV), est utilisé pour authentifier et vérifier l'intégrité du paquet. Cette valeur, également appelée résumé, est calculée à l'aide de l'une des deux fonctions informatiquement irréversibles MD5 ou SAH-1 requises par le protocole AH, mais toute autre fonction peut être utilisée.

· ESP ou charge utile de sécurité encapsulante- encapsulation des données cryptées - crypte les données transmises, garantissant la confidentialité, peut également prendre en charge l'authentification et l'intégrité des données ;

Le protocole ESP résout deux groupes de problèmes.

  1. Le premier comprend des tâches similaires à celles du protocole AH : garantir l'authentification et l'intégrité des données sur la base du résumé,
  2. La seconde concerne les données transmises en les chiffrant pour éviter toute visualisation non autorisée.

L'en-tête est divisé en deux parties, séparées par un champ de données.

  1. La première partie, appelée en-tête ESP lui-même, est formée de deux champs (SPI et SN), dont la finalité est similaire aux champs du même nom dans le protocole AH, et est placée avant le champ de données.
  2. Les champs restants du service de protocole ESP, appelés en-queue ESP, sont situés à la fin du paquet.

Les deux champs de fin - l'en-tête suivant et les données d'authentification - sont similaires aux champs de l'en-tête AH. Le champ Données d'authentification est absent si une décision est prise de ne pas utiliser les capacités d'intégrité du protocole ESP lors de l'établissement d'une association sécurisée. En plus de ces champs, la bande-annonce contient deux champs supplémentaires : remplissage et longueur de remplissage.

Les protocoles AH et ESP peuvent protéger les données selon deux modes :

  1. dans le transport - la transmission s'effectue avec les en-têtes IP d'origine ;
  2. dans un tunnel - le paquet d'origine est placé dans un nouveau paquet IP et la transmission s'effectue avec de nouveaux en-têtes.

L'utilisation d'un mode ou d'un autre dépend des exigences de protection des données, ainsi que du rôle joué dans le réseau par le nœud qui termine le canal sécurisé. Ainsi, un nœud peut être un hôte (nœud final) ou une passerelle (nœud intermédiaire).

Ainsi, il existe trois schémas d'utilisation du protocole IPSec :

  1. hôte-hôte;
  2. passerelle-passerelle ;
  3. passerelle hôte.

Les capacités des protocoles AH et ESP se chevauchent partiellement : le protocole AH est uniquement chargé d'assurer l'intégrité et l'authentification des données, le protocole ESP peut crypter les données et, en plus, remplir les fonctions du protocole AH (sous une forme allégée ). Un ESP peut prendre en charge les fonctions de chiffrement et d'authentification/intégrité dans n'importe quelle combinaison, c'est-à-dire soit l'ensemble du groupe de fonctions, soit l'authentification/intégrité uniquement, soit le chiffrement uniquement.

· IKE ou Internet Key Exchange - échange de clés Internet - résout la tâche auxiliaire consistant à fournir automatiquement aux points finaux d'un canal sécurisé les clés secrètes nécessaires au fonctionnement des protocoles d'authentification et de cryptage des données.

2.3 Couche de transport

La couche de transport utilise le protocole SSL/TLS ou Secure Socket Layer/Transport Layer Security, qui implémente le cryptage et l'authentification entre les couches de transport du récepteur et de l'émetteur. SSL/TLS peut être utilisé pour sécuriser le trafic TCP, mais ne peut pas être utilisé pour sécuriser le trafic UDP. Pour exploiter un VPN basé sur SSL/TLS, il n'est pas nécessaire de mettre en œuvre un logiciel spécial puisque chaque navigateur et client de messagerieéquipés de ces protocoles. Du fait que SSL/TLS est implémenté au niveau de la couche transport, une connexion sécurisée est établie « de bout en bout ».

Le protocole TLS est basé sur le protocole Netscape SSL version 3.0 et se compose de deux parties : le protocole d'enregistrement TLS et le protocole TLS Handshake. Les différences entre SSL 3.0 et TLS 1.0 sont mineures.

SSL/TLS comprend trois phases principales :

  1. Dialogue entre les parties ayant pour but de sélectionner un algorithme de chiffrement ;
  2. Échange de clés basé sur des cryptosystèmes à clé publique ou une authentification basée sur des certificats ;
  3. Transfert de données crypté à l'aide d'algorithmes de cryptage symétriques.

2.4 Implémentation VPN : IPSec ou SSL/TLS ?

Les responsables du service informatique sont souvent confrontés à la question : quel protocole choisir pour construire un réseau VPN d'entreprise ? La réponse n’est pas évidente puisque chaque approche présente des avantages et des inconvénients. Nous allons essayer de déterminer et d'identifier quand il est nécessaire d'utiliser IPSec, et quand SSL/TLS. Comme le montre l’analyse des caractéristiques de ces protocoles, ils ne sont pas interchangeables et peuvent fonctionner aussi bien séparément qu’en parallèle, définissant les caractéristiques fonctionnelles de chacun des VPN implémentés.

Le choix du protocole pour construire un réseau VPN d'entreprise peut se faire selon les critères suivants :

· Type d'accès requis pour les utilisateurs VPN.

  1. Connexion entièrement fonctionnelle et permanente au réseau d’entreprise. Le choix recommandé est le protocole IPSec.
  2. Connexion temporaire, par exemple, par un utilisateur mobile ou un utilisateur utilisant un ordinateur public, afin d'accéder à certains services, comme la messagerie électronique ou une base de données. Le choix recommandé est le protocole SSL/TLS, qui vous permet d'organiser un VPN pour chaque service individuel.

· Si l'utilisateur est un employé de l'entreprise.

  1. Si l'utilisateur est un employé d'une entreprise, l'appareil qu'il utilise pour accéder au réseau d'entreprise via VPN IPSec peut être configuré d'une manière spécifique.
  2. Si l'utilisateur n'est pas un employé de l'entreprise à laquelle il accède au réseau d'entreprise, il est recommandé d'utiliser SSL/TLS. Cela limitera l'accès des invités à certains services uniquement.

· Quel est le niveau de sécurité du réseau d'entreprise.

  1. Haut. Le choix recommandé est le protocole IPSec. En effet, le niveau de sécurité offert par IPSec est bien supérieur à celui offert par le protocole SSL/TLS du fait de l'utilisation d'un logiciel configurable côté utilisateur et d'une passerelle de sécurité côté réseau d'entreprise.
  2. Moyenne. Le choix recommandé est le protocole SSL/TLS, qui permet l'accès depuis n'importe quel terminal.

· Niveau de sécurité des données transmises par l'utilisateur.

  1. Élevé, par exemple, la gestion de l'entreprise. Le choix recommandé est le protocole IPSec.
  2. Moyenne, par exemple, partenaire. Le choix recommandé est le protocole SSL/TLS.

Selon le service - de moyen à élevé. Le choix recommandé est une combinaison de protocoles IPSec (pour les services nécessitant haut niveau sécurité) et SSL/TLS (pour les services nécessitant un niveau de sécurité moyen).

Ce qui est plus important, c'est rapide Déploiement VPN ou l'évolutivité de la solution dans le futur.

  1. Déployez rapidement un réseau VPN à un coût minime. Le choix recommandé est le protocole SSL/TLS. Dans ce cas, il n’est pas nécessaire d’implémenter de logiciel spécial côté utilisateur comme dans le cas d’IPSec.
  2. Évolutivité du réseau VPN - ajout de l'accès à divers services. Le choix recommandé est le protocole IPSec, qui permet d'accéder à tous les services et ressources du réseau d'entreprise.
  3. Déploiement et évolutivité rapides. Le choix recommandé est une combinaison d'IPSec et de SSL/TLS : utilisez SSL/TLS dans la première étape pour accéder services nécessaires suivi de l'introduction d'IPSec.

3. Méthodes de mise en œuvre des réseaux VPN

Un réseau privé virtuel repose sur trois méthodes de mise en œuvre :

· Tunnelage ;

· Chiffrement;

· Authentification.

3.1 Tunnelage

Le tunneling assure le transfert de données entre deux points - les extrémités du tunnel - de telle sorte que toute l'infrastructure réseau située entre eux est cachée à la source et au récepteur des données.

Le support de transport du tunnel, tel un ferry, récupère les paquets du protocole réseau utilisé à l'entrée du tunnel et les délivre inchangés à la sortie. Construire un tunnel suffit à connecter deux nœuds de réseau de sorte que, du point de vue du logiciel qui y est exécuté, ils semblent connectés au même réseau (local). Cependant, il ne faut pas oublier qu'en réalité le « ferry » transportant les données passe par de nombreux nœuds intermédiaires (routeurs) d'un réseau public ouvert.

Cet état de fait pose deux problèmes. La première est que les informations transmises via le tunnel peuvent être interceptées par des attaquants. Si c'est confidentiel (numéros cartes bancaires, rapports financiers, informations personnelles), alors la menace de sa compromission est bien réelle, ce qui en soi est désagréable. Pire encore, les attaquants ont la possibilité de modifier les données transmises via le tunnel afin que le destinataire ne puisse pas vérifier leur authenticité. Les conséquences peuvent être les plus désastreuses. Compte tenu de ce qui précède, nous arrivons à la conclusion que le tunnel dans sa forme pure ne convient qu'à certains types de jeux informatiques en réseau et ne peut prétendre être utilisé plus sérieusement. Les deux problèmes sont résolus moyens modernes protection cryptographique information. Pour empêcher que des modifications non autorisées soient apportées au paquet de données lors de son passage dans le tunnel, la méthode de signature numérique électronique () est utilisée. L'essence de la méthode est que chaque paquet transmis est équipé de bloc supplémentaire informations, qui sont générées conformément à un algorithme cryptographique asymétrique et sont uniques au contenu du colis et à la clé secrète de la signature numérique de l’expéditeur. Ce bloc d'informations constitue la signature numérique du colis et permet d'authentifier les données par le destinataire, qui connaît la clé publique de la signature numérique de l'expéditeur. La protection des données transmises via le tunnel contre toute visualisation non autorisée est obtenue grâce à l'utilisation d'algorithmes de cryptage puissants.

3.2 Authentification

La sécurité est la fonction principale d'un VPN. Toutes les données des ordinateurs clients transitent via Internet vers le serveur VPN. Un tel serveur peut être situé sur longue distance depuis l'ordinateur client et les données en route vers le réseau de l'organisation passent par les équipements de plusieurs fournisseurs. Comment puis-je m'assurer que les données n'ont pas été lues ou modifiées ? Pour cela, diverses méthodes d'authentification et de cryptage sont utilisées.

PPTP peut utiliser n'importe lequel des protocoles utilisés pour PPP pour authentifier les utilisateurs

  • EAP ou Extensible Authentication Protocol ;
  • MSCHAP ou Microsoft Challenge Handshake Authentication Protocol (versions 1 et 2) ;
  • CHAP ou Challenge Handshake Authentication Protocol ;
  • Protocole d'authentification par mot de passe SPAP ou Shiva ;
  • PAP ou protocole d'authentification par mot de passe.

Les meilleurs protocoles sont MSCHAP version 2 et Transport Layer Security (EAP-TLS), car ils assurent une authentification mutuelle, c'est-à-dire Le serveur VPN et le client s'identifient. Dans tous les autres protocoles, seul le serveur authentifie les clients.

Bien que PPTP offre un degré de sécurité suffisant, L2TP sur IPSec est plus fiable. L2TP sur IPSec fournit une authentification au niveau de l'utilisateur et de l'ordinateur, et effectue également l'authentification et le cryptage des données.

L'authentification s'effectue soit par un test ouvert (mot de passe en texte clair), soit par un schéma challenge/réponse. Tout est clair avec le texte direct. Le client envoie un mot de passe au serveur. Le serveur compare cela avec la norme et refuse l'accès ou dit « bienvenue ». L'authentification ouverte n'est presque jamais vue.

Le schéma requête/réponse est beaucoup plus avancé. En général, cela ressemble à ceci :

  • le client envoie au serveur une demande d'authentification ;
  • le serveur renvoie une réponse aléatoire (défi) ;
  • le client prend un hachage de son mot de passe (un hachage est le résultat d'une fonction de hachage qui convertit un tableau de données d'entrée de longueur arbitraire en une chaîne de bits de sortie d'une longueur fixe), crypte la réponse avec et la transmet au serveur ;
  • le serveur fait de même, en comparant le résultat reçu avec la réponse du client ;
  • si la réponse chiffrée correspond, l'authentification est considérée comme réussie ;

Dans la première étape d'authentification des clients et des serveurs VPN, L2TP sur IPSec utilise des certificats locaux obtenus auprès d'une autorité de certification. Le client et le serveur échangent des certificats et créent une connexion sécurisée ESP SA (association de sécurité). Une fois que L2TP (sur IPSec) a terminé le processus d'authentification de l'ordinateur, l'authentification au niveau de l'utilisateur est effectuée. Pour l'authentification, vous pouvez utiliser n'importe quel protocole, même PAP, qui transmet le nom d'utilisateur et le mot de passe à formulaire ouvert. C'est assez sécurisé, puisque L2TP sur IPSec crypte l'intégralité de la session. Toutefois, l'authentification des utilisateurs à l'aide de MSCHAP, qui utilise différentes clés de chiffrement pour authentifier l'ordinateur et l'utilisateur, peut améliorer la sécurité.

3.3. Chiffrement

Le cryptage PPTP garantit que personne ne peut accéder à vos données pendant leur envoi sur Internet. Il existe actuellement deux méthodes de cryptage prises en charge :

  • MPPE ou Microsoft Point-to-Point Encryption est uniquement compatible avec MSCHAP (versions 1 et 2) ;
  • EAP-TLS peut sélectionner automatiquement la longueur de la clé de chiffrement lors de la négociation des paramètres entre le client et le serveur.

MPPE prend en charge les clés d'une longueur de 40, 56 ou 128 bits. Les anciens systèmes d'exploitation Windows ne prennent en charge que le cryptage d'une longueur de clé de 40 bits. Par conséquent, dans un environnement Windows mixte, vous devez choisir la longueur de clé minimale.

PPTP modifie la valeur de la clé de cryptage après chaque paquet reçu. Le protocole MMPE a été conçu pour les liaisons de communication point à point dans lesquelles les paquets sont transmis séquentiellement et où il y a très peu de perte de données. Dans cette situation, la valeur de clé du paquet suivant dépend des résultats du déchiffrement du paquet précédent. Lors de la construction de réseaux virtuels via des réseaux publics, ces conditions ne peuvent pas être remplies, car les paquets de données arrivent souvent au destinataire dans un ordre différent de celui dans lequel ils ont été envoyés. Par conséquent, PPTP utilise des numéros de séquence de paquets pour modifier la clé de chiffrement. Cela permet d’effectuer le décryptage quels que soient les paquets reçus précédemment.

Les deux protocoles sont implémentés comme dans Microsoft Windows, et en dehors de celui-ci (par exemple, dans BSD), les algorithmes de fonctionnement VPN peuvent différer considérablement.

Ainsi, la combinaison « tunneling + authentification + cryptage » permet de transférer des données entre deux points via un réseau public, simulant le fonctionnement d'un réseau privé (local). En d’autres termes, les outils considérés permettent de construire un réseau privé virtuel.

Un autre effet agréable d'une connexion VPN est la possibilité (et même la nécessité) d'utiliser le système d'adressage adopté dans le réseau local.

La mise en œuvre d'un réseau privé virtuel ressemble en pratique à ceci : En local réseau informatique le bureau de l'entreprise est en cours d'installation serveur VPN. L'utilisateur distant (ou le routeur, s'il connecte deux bureaux) utilisant le logiciel client VPN lance la procédure de connexion avec le serveur. L'authentification de l'utilisateur a lieu - la première phase d'établissement d'une connexion VPN. Si l'autorité est confirmée, la deuxième phase commence - les détails permettant d'assurer la sécurité de la connexion sont convenus entre le client et le serveur. Après cela, une connexion VPN est organisée, assurant l'échange d'informations entre le client et le serveur sous la forme où chaque paquet de données passe par des procédures de cryptage/déchiffrement et de contrôle d'intégrité - authentification des données.

Le principal problème des réseaux VPN est le manque de normes établies pour l’authentification et l’échange d’informations cryptées. Ces normes sont encore en cours d'élaboration et donc les produits divers fabricants ne peut pas établir de connexions VPN et échanger automatiquement des clés. Ce problème entraîne un ralentissement de la diffusion des VPN, car il est difficile de forcer différentes entreprises à utiliser les produits d'un même fabricant, et donc le processus de combinaison des réseaux d'entreprises partenaires en réseaux dits extranet est difficile.

Les avantages de la technologie VPN sont que l'accès à distance est organisé non pas via une ligne téléphonique, mais via Internet, ce qui est beaucoup moins cher et de meilleure qualité. L’inconvénient de la technologie VPN est que les outils de création de VPN ne constituent pas un moyen à part entière de détecter et de bloquer les attaques. Ils peuvent empêcher un certain nombre d’actions non autorisées, mais pas toutes les possibilités pouvant être utilisées pour pénétrer dans un réseau d’entreprise. Malgré tout cela, la technologie VPN a des perspectives de développement ultérieur.

À quoi pouvons-nous nous attendre en termes de développement de la technologie VPN à l’avenir ? Sans aucun doute, une norme unifiée pour la construction de tels réseaux sera élaborée et approuvée. Très probablement, la base de cette norme sera le protocole IPSec déjà éprouvé. Ensuite, les fabricants se concentreront sur l'amélioration des performances de leurs produits et la création d'outils conviviaux. Gestion VPN. Très probablement, le développement des outils de création de VPN ira dans le sens des VPN basés sur des routeurs, car cette solution combine des performances assez élevées, l'intégration du VPN et du routage dans un seul appareil. Toutefois, des solutions peu coûteuses destinées aux petites organisations vont également se développer. En conclusion, il faut dire que, même si la technologie VPN est encore très jeune, elle a un bel avenir devant elle.

Laisse ton commentaire!

ARTICLES LIÉS