Что такое VPN и зачем он нужен - Академия Selectel
В панель
описание картинки

Что такое VPN и зачем он нужен

Андрей Салита Андрей Салита Архитектор ИБ 29 февраля 2024

Рассказываем, зачем компании используют VPN при организации частной сети и как уберечь свои данные с помощью «ювелирных изделий».

Изображение записи

Вспомнить все: основные термины

Перед началом установим основные определения, чтобы не путать понятия вроде прокси и VPN.

VPN (Virtual Private Network) — это технология, которая позволяет создавать защищенные туннели поверх публичной сети, интернета. Само понятие является довольно общим, так как включает в себя различные реализации. Это может быть и VPN-сеть, и VPN-приложение, или прокси-сервер.

В чем разница между VPN-сетью и приложением

Насчет прокси-сервера — понятно. О нем более подробно мы рассказывали в отдельной статье «Что такое прокси-сервер и как его настроить». В этом контексте под VPN понимают технологию, которая позволяет установить соединение между сервером A и B через промежуточную машину C. Но в чем разница между VPN-сетью и VPN-приложением? На самом деле, вы с этими понятиями уже сталкивались. 

VPN-сеть — это сеть, в рамках которой можно организовать безопасное соединение между устройством пользователя и удаленным сервером. Сеть настраивается на уровне ОС или сетевого оборудования, что позволяет обеспечить шифрование всего трафика.

В свою очередь, VPN-приложение — это ПО, которое позволяет пользоваться VPN-сетью. Как правило, оно предоставляет пользователю более простой способ подключения и настройки параметров соединения с удаленным сервером. Иначе говоря, сети и приложения VPN связаны между собой. Но в разговорах айтишников можно услышать не только эти определения.

Что такое виртуальная сеть

Еще одна составная часть VPN — виртуальная сеть. Под этим термином подразумевается сеть, которая создана программным или программно-аппаратным образом и функционирует на основе физической инфраструктуры. Ее можно поднять на базе общедоступной сети, что позволяет объединить удаленные устройства в один локальный пул. Не путайте виртуальную и VPN-сеть между собой. Виртуальная сеть может быть составляющей VPN, но не наоборот. 

Что такое частная сеть

Другая составляющая VPN — частная сеть. Под этим термином подразумевают сеть, которую могут использовать только определенные лица или организации. От общедоступных VPN частная сеть отличается тем, что создается под конкретные нужды компаний. Например, с помощью нее организация может настроить удаленный доступ к офисным приложениям и сервисам для своих сотрудников.

ГОСТ VPN как сервис

Создайте удаленный доступ к вашей инфраструктуре в Selectel, используя алгоритмы шифрования ГОСТ.

Как устроен VPN

Супер — с основными определениями разобрались. Теперь можно разложить VPN и посмотреть, что лежит в его основе. Здесь можно выделить несколько «блоков»: аутентификацию, шифрование, проксирование и туннелирование. Рассмотрим каждый процесс подробнее.

  • Аутентификация. В начале установки соединения между клиентом и сервером следует подтверждение подлинности обеих сторон. Это позволяет убедиться, что они имеют доступ к сети VPN и являются легитимными участниками.
  • Шифрование. В момент передачи данных VPN шифрует их, тем самым защищает туннель передачи. С помощью специальных алгоритмов информация преобразуется в нечитаемый вид для третьих лиц.
  • Проксирование. Используется для взаимодействия клиента и сервера во время передачи данных. По сути, это один из вариантов маршрутизации трафика, Proxy VPN.
  • Туннелирование. Позволяет устанавливать соединения поверх общей сети. Весь трафик упаковывается внутри туннельного протокола и передается через сеть.
Если взять и разобрать любой VPN, то внутри будут «логические блоки», отвечающие за эти четыре процесса. Однако их реализация зависит от выбора вида соединения и протокола, по которому передаются данные. 

Виды VPN-соединений

Client-to-Site VPN и Remote Access VPN

Данный тип VPN позволяет отдельным пользователям и устройствам безопасно подключаться в рамках общедоступной сети к частной сети компании. Удаленный доступ осуществляется с помощью установки соединения между пользователем и VPN-сервером, расположенным внутри сети организации. Для этого используются специальные протоколы, среди которых — IPSec, OpenVPN, SSL/TLS и другие.

Узел-узел, или Site-to-Site VPN

Это тип VPN-соединения, который используют для организации связности двух сетей. В данном случае используется шифрованный туннель между локальными сетями, в которых находятся хосты А и Б соответственно. Site-to-Site VPN позволяет работать так, будто они подключены к одному коммутатору. 

Установить данный тип соединения несложно. Достаточно на границе сайта установить VPN-шлюз — например, файрвол. Он будет отвечать за обмен ключами, шифрование и дешифрование данных, а также за согласование параметров VPN-туннеля.

Точка-многоточка, или Point-to-Multipoint VPN (P2MP)

Данный тип соединения позволяет связать один VPN-шлюз с несколькими удаленными. При этом все последние могут обмениваться данными между собой, а не только с начальным устройством. Данная технология может быть полезна при создании виртуальной сети между различными филиалами организации.

Протоколы VPN

Видов VPN-соединений много, но какие протоколы для шифрования и передачи данных можно использовать на уровне сети? Кратко рассмотрим популярные решения и наиболее оптимальные с точки зрения скорости и безопасности.

  • OpenVPN — это одно из наиболее популярных решений, сочетающее высокую скорость и безопасность.
  • L2TP/IPSec — комбинированное решение, которое строит туннели при помощи протокола L2TP, а для шифрования данных использует протокол IPSec.
  • IKEv2 — протокол с высокой скоростью и надежностью, которые достиг с помощью использования UDP и поддержки нескольких 256-разрядных алгоритмов шифрования.
  • PPTP — один из родоначальников VPN-протоколов, утративший свою актуальность на данный момент из-за слабой безопасности.
  • WireGuard — современный протокол, сочетающий высокую скорость, безопасность и малую кодовую базу. Из минусов — отсутствие динамического назначения IP-адресов.
  • LightWay Protocol — неплохой безопасный протокол, обеспечивающий высокую скорость передачи трафика при малой кодовой базе. Исходный код полностью открытый, поэтому вы знаете, что происходит с вашими данными на стороне VPN-клиента.
Подробнее о VPN-протоколах

Как работают цепочки

Понятие «VPN-цепочка», или DoubleVPN, используется в случае, когда передача трафика идет через несколько серверов, объединенных вместе. Это позволяет добавить дополнительный фактор безопасности и анонимности. Принцип работы выглядит просто. 

  1. Устройство пользователя инициирует соединение с первым VPN-сервером в цепочке, который становится точкой входа.
  2. Первый сервер шифрует данные и отправляет их с ключом второму серверу по шифрованному туннелю. Следующий узел расшифровывает и шифрует данные уже со своим ключом.
  3. Предыдущий пункт повторяется со всеми серверами в цепочке. По сути, они занимаются ретрансляцией, которая препятствует отслеживанию первоисточника. 
  4. Последний сервер завершает VPN-цепочку и передает информацию целевому ресурсу. После процесс повторяется, но уже в обратную сторону.

Данная технология приводит к росту сетевых задержек из-за дополнительных циклов шифрования и дешифрования, однако позволяет повысить безопасность передаваемых данных. Впрочем, это не все особенности использования VPN.

Зачем используют VPN

Есть несколько причин, почему используют VPN. Рассмотрим их подробнее. 

  • Безопасная передача данных. Если выбрать хороший протокол, то в рамках VPN-сети можно достичь высокого уровня шифрования данных. Это существенно снизит вероятность перехвата информации, например, при подключении к общественному Wi-Fi.
  • Анонимность. VPN позволяет скрыть данные реального местоположения (геолокацию) и повысить приватность пользователя в сети.

Но это еще не все. VPN активно используют в компаниях для организации доступа к закрытым корпоративным сетям. Рассмотрим этот пункт отдельно.

VPN в корпоративных сетях

Помимо обычных пользователей, с VPN работают сотрудники разных организаций. Ведь технология особенно актуальна для корпоративного сектора. Но почему это так? Есть несколько причин. 

  • Безопасность и анонимность. Все то же самое, о чем мы говорили выше, но в корпоративном сегменте. Сотрудники могут относительно безопасно отправлять документы и другую конфиденциальную информацию, находясь вне офиса.
  • Высокий уровень доступности. Компании могут разделять свои ресурсы между несколькими филиалами. С VPN они будут доступны для сотрудников из разных офисов.
  • Централизованное управление. Компании могут централизованно управлять безопасностью в корпоративной сети. Администраторы с помощью специальных программ устанавливают права доступа для сотрудников, могут мониторить сетевую активность и применять политики защиты от угроз. Например, блокировать нелегитимных пользователей. 
  • Экономическая целесообразность. Организациям выгоднее использовать виртуальные соединения, чем прокладывать каналы для объединения своих филиалов в физическую сеть. 

Если вы планируете создать безопасную сеть для работы с корпоративными системами, особенно важно ответственно подойти к выбору провайдера. У нас в Selectel доступен сервис ГОСТ VPN, который можно использовать для организации безопасного соединения между локальной и размещаемой в наших дата-центрах инфраструктурой. Сервис позволит соответствовать требованиям российского законодательства, безопасно обмениваться информацией и разграничивать доступ к ресурсам для своих сотрудников.

Информационная безопасность и 152-ФЗ

Читайте также: