Вспомнить все: основные термины
Перед началом установим основные определения, чтобы не путать понятия вроде прокси и VPN.
VPN (Virtual Private Network) — это технология, которая позволяет создавать защищенные туннели поверх публичной сети, интернета. Само понятие является довольно общим, так как включает в себя различные реализации. Это может быть и VPN-сеть, и VPN-приложение, или прокси-сервер.
В чем разница между VPN-сетью и приложением
Насчет прокси-сервера — понятно. О нем более подробно мы рассказывали в отдельной статье «Что такое прокси-сервер и как его настроить». В этом контексте под VPN понимают технологию, которая позволяет установить соединение между сервером A и B через промежуточную машину C. Но в чем разница между VPN-сетью и VPN-приложением? На самом деле, вы с этими понятиями уже сталкивались.
VPN-сеть — это сеть, в рамках которой можно организовать безопасное соединение между устройством пользователя и удаленным сервером. Сеть настраивается на уровне ОС или сетевого оборудования, что позволяет обеспечить шифрование всего трафика.
В свою очередь, VPN-приложение — это ПО, которое позволяет пользоваться VPN-сетью. Как правило, оно предоставляет пользователю более простой способ подключения и настройки параметров соединения с удаленным сервером. Иначе говоря, сети и приложения VPN связаны между собой. Но в разговорах айтишников можно услышать не только эти определения.
Что такое виртуальная сеть
Еще одна составная часть VPN — виртуальная сеть. Под этим термином подразумевается сеть, которая создана программным или программно-аппаратным образом и функционирует на основе физической инфраструктуры. Ее можно поднять на базе общедоступной сети, что позволяет объединить удаленные устройства в один локальный пул. Не путайте виртуальную и VPN-сеть между собой. Виртуальная сеть может быть составляющей VPN, но не наоборот.
Что такое частная сеть
Другая составляющая VPN — частная сеть. Под этим термином подразумевают сеть, которую могут использовать только определенные лица или организации. От общедоступных VPN частная сеть отличается тем, что создается под конкретные нужды компаний. Например, с помощью нее организация может настроить удаленный доступ к офисным приложениям и сервисам для своих сотрудников.
Как устроен VPN
Супер — с основными определениями разобрались. Теперь можно разложить VPN и посмотреть, что лежит в его основе. Здесь можно выделить несколько «блоков»: аутентификацию, шифрование, проксирование и туннелирование. Рассмотрим каждый процесс подробнее.
- Аутентификация. В начале установки соединения между клиентом и сервером следует подтверждение подлинности обеих сторон. Это позволяет убедиться, что они имеют доступ к сети VPN и являются легитимными участниками.
- Шифрование. В момент передачи данных VPN шифрует их, тем самым защищает туннель передачи. С помощью специальных алгоритмов информация преобразуется в нечитаемый вид для третьих лиц.
- Проксирование. Используется для взаимодействия клиента и сервера во время передачи данных. По сути, это один из вариантов маршрутизации трафика, Proxy VPN.
- Туннелирование. Позволяет устанавливать соединения поверх общей сети. Весь трафик упаковывается внутри туннельного протокола и передается через сеть.
Если взять и разобрать любой VPN, то внутри будут «логические блоки», отвечающие за эти четыре процесса. Однако их реализация зависит от выбора вида соединения и протокола, по которому передаются данные.
Виды VPN-соединений
Client-to-Site VPN и Remote Access VPN
Данный тип VPN позволяет отдельным пользователям и устройствам безопасно подключаться в рамках общедоступной сети к частной сети компании. Удаленный доступ осуществляется с помощью установки соединения между пользователем и VPN-сервером, расположенным внутри сети организации. Для этого используются специальные протоколы, среди которых — IPSec, OpenVPN, SSL/TLS и другие.
Узел-узел, или Site-to-Site VPN
Это тип VPN-соединения, который используют для организации связности двух сетей. В данном случае используется шифрованный туннель между локальными сетями, в которых находятся хосты А и Б соответственно. Site-to-Site VPN позволяет работать так, будто они подключены к одному коммутатору.
Установить данный тип соединения несложно. Достаточно на границе сайта установить VPN-шлюз — например, файрвол. Он будет отвечать за обмен ключами, шифрование и дешифрование данных, а также за согласование параметров VPN-туннеля.
Точка-многоточка, или Point-to-Multipoint VPN (P2MP)
Данный тип соединения позволяет связать один VPN-шлюз с несколькими удаленными. При этом все последние могут обмениваться данными между собой, а не только с начальным устройством. Данная технология может быть полезна при создании виртуальной сети между различными филиалами организации.
Протоколы VPN
Видов VPN-соединений много, но какие протоколы для шифрования и передачи данных можно использовать на уровне сети? Кратко рассмотрим популярные решения и наиболее оптимальные с точки зрения скорости и безопасности.
- OpenVPN — это одно из наиболее популярных решений, сочетающее высокую скорость и безопасность.
- L2TP/IPSec — комбинированное решение, которое строит туннели при помощи протокола L2TP, а для шифрования данных использует протокол IPSec.
- IKEv2 — протокол с высокой скоростью и надежностью, которые достиг с помощью использования UDP и поддержки нескольких 256-разрядных алгоритмов шифрования.
- PPTP — один из родоначальников VPN-протоколов, утративший свою актуальность на данный момент из-за слабой безопасности.
- WireGuard — современный протокол, сочетающий высокую скорость, безопасность и малую кодовую базу. Из минусов — отсутствие динамического назначения IP-адресов.
- LightWay Protocol — неплохой безопасный протокол, обеспечивающий высокую скорость передачи трафика при малой кодовой базе. Исходный код полностью открытый, поэтому вы знаете, что происходит с вашими данными на стороне VPN-клиента.
Как работают цепочки
Понятие «VPN-цепочка», или DoubleVPN, используется в случае, когда передача трафика идет через несколько серверов, объединенных вместе. Это позволяет добавить дополнительный фактор безопасности и анонимности. Принцип работы выглядит просто.
- Устройство пользователя инициирует соединение с первым VPN-сервером в цепочке, который становится точкой входа.
- Первый сервер шифрует данные и отправляет их с ключом второму серверу по шифрованному туннелю. Следующий узел расшифровывает и шифрует данные уже со своим ключом.
- Предыдущий пункт повторяется со всеми серверами в цепочке. По сути, они занимаются ретрансляцией, которая препятствует отслеживанию первоисточника.
- Последний сервер завершает VPN-цепочку и передает информацию целевому ресурсу. После процесс повторяется, но уже в обратную сторону.
Данная технология приводит к росту сетевых задержек из-за дополнительных циклов шифрования и дешифрования, однако позволяет повысить безопасность передаваемых данных. Впрочем, это не все особенности использования VPN.
Зачем используют VPN
Есть несколько причин, почему используют VPN. Рассмотрим их подробнее.
- Безопасная передача данных. Если выбрать хороший протокол, то в рамках VPN-сети можно достичь высокого уровня шифрования данных. Это существенно снизит вероятность перехвата информации, например, при подключении к общественному Wi-Fi.
- Анонимность. VPN позволяет скрыть данные реального местоположения (геолокацию) и повысить приватность пользователя в сети.
Но это еще не все. VPN активно используют в компаниях для организации доступа к закрытым корпоративным сетям. Рассмотрим этот пункт отдельно.
VPN в корпоративных сетях
Помимо обычных пользователей, с VPN работают сотрудники разных организаций. Ведь технология особенно актуальна для корпоративного сектора. Но почему это так? Есть несколько причин.
- Безопасность и анонимность. Все то же самое, о чем мы говорили выше, но в корпоративном сегменте. Сотрудники могут относительно безопасно отправлять документы и другую конфиденциальную информацию, находясь вне офиса.
- Высокий уровень доступности. Компании могут разделять свои ресурсы между несколькими филиалами. С VPN они будут доступны для сотрудников из разных офисов.
- Централизованное управление. Компании могут централизованно управлять безопасностью в корпоративной сети. Администраторы с помощью специальных программ устанавливают права доступа для сотрудников, могут мониторить сетевую активность и применять политики защиты от угроз. Например, блокировать нелегитимных пользователей.
- Экономическая целесообразность. Организациям выгоднее использовать виртуальные соединения, чем прокладывать каналы для объединения своих филиалов в физическую сеть.
Если вы планируете создать безопасную сеть для работы с корпоративными системами, особенно важно ответственно подойти к выбору провайдера. У нас в Selectel доступен сервис ГОСТ VPN, который можно использовать для организации безопасного соединения между локальной и размещаемой в наших дата-центрах инфраструктурой. Сервис позволит соответствовать требованиям российского законодательства, безопасно обмениваться информацией и разграничивать доступ к ресурсам для своих сотрудников.