Удаленный доступ и виртуальные частные сети что это
Виртуальная частная сеть для удаленного оборудования
Однажды к нам прилетел интересный запрос: необходимо обеспечить резервирование каналов связи (2х3G/4G и/или Ethernet+3G/4G) для подключения серверов к удаленному оборудованию, которые работают по принципу запрос-ответ, и обязательное условие – обеспечить постоянный статический IP адрес для подключения к каждой единице оборудования.
Имея большой опыт организации удаленной работы для различных компаний в наше ковидное время и, после внутреннего мозгового штурма, была рождена концепция:
Создаем закрытую виртуальную сеть на базе нашего действующего решения
Подключаем в нее сервера заказчика
Назначаем статические адреса всем
Концепция согласована и утверждена и начинается самое интересное:
1. Почему VPN? Потому что далеко не на всех объектах Заказчика можно было вообще организовать статический IP и даже динамический, при использовании каналов 3-х лиц. А так при включении резервного канала IP будет изменен, что потребует ручной перенастройки сервера, и так каждый раз при смене IP
2. Нужен роутер, который умеет:
a. переключаться между каналами в случае недоступности основного;
b. каждый раз восстанавливать VPN соединение;
c. поддерживать статический IP на виртуальном интерфейсе VPN;
d. поддерживать NAT с пробросом портов на том же виртуальном интерфейсе;
Эта задача нам не казалось сложной, как оказалось – мы сильно ошибались. Изучив ТТХ с десяток роутеров – мы выбрали лучшие варианты, как нам казалось, и приступили к испытаниям:
Основная масса роутеров ставит VPN интерфейс на тот же уровень, что и основные интерфейсы и не позволяет настроить резервирование на связку 2х3G/4G или Ethernet+3G/4G, а потом осуществить подключение VPN. Как только мы настраивали VPN – он появлялся в общем списке и ПО роутера предлагала настраивать связки для резервирования VPN+3G/4G и VPN+Ethernet. Такие особенности не позволяли реализовать концепцию, которую мы согласовали и в целом мы не до конца поняли, как применять такой подход.
Вторая часть роутеров имела крайне кастрированные настройки для VPN соединений либо вообще роутеры стабильно могли работать только по своим проприетарным протоколам в связке с железом того же производителя на другой стороне.
Отдельная эпопея была со статическими адресами, но об этом чуть ниже.
Что мы получили – роутер умеет:
Гибко настраивать резервирование как 2х3G/4G, так и Ethernet+3G/4G
До бесконечности пытаться переподключаться к VPN
Умеет маршрутизировать весь трафик в VPN
Позволяет настраивать NAT на VPN интерфейс
Не умеет настраивать статический IP на стороне роутера (мы посчитали это не существенным и так же за это поплатились)
Настроили отдельный хаб на своем VPN сервере, настроили DHCP c резервированием IP адресов по MAC.
Настроили роутер: резервирование, NAT, пробросили необходимые порты и т.д.
Связка заработала, и мы тестировали разные режимы более 2-х недель – всё было отлично.
Добавили в эту связку еще один роутер и опять всё отлично. Суммарно 4 недели тестов без нареканий в нашей лаборатории и принимается решение провести тесты на стороне Заказчика сначала на 2-х доступных модемах и добавить еще 3-й по мере его поставки.
Два модема были размещены на реальных объектах и так началась большая опытная эксплуатация, которая планировалась на срок не менее 2-х месяцев. В целом железо работало хорошо. Добавили 3-й модем и опять все хорошо. Мы искренне радовались, что смогли собрать решение, которое на 100% удовлетворяет Заказчика.
Но, примерно, на 3-ю неделю испытаний произошло странное: модем 2 и 3 поменялись IP адресами, что было критично для Заказчика, потому что начали поступать некорректные данные на сервера. Мы начали проверки всех систем и логов и результат был не радужный.
Модем 2 и 3 на какое-то время отключались от сети по электропитанию
Модем 3 вернулся в сеть раньше 2
Модем 3 на интерфейсе VPN представился MAC адресом 2 модема
Соответственно DHCP отдал IP, который был привязан к этому MAC адресу
Модем 2 представился MAC от 3-го модема и т.д.
Эта была катастрофа, т.к. мы не могли гарантировать статический адрес, что было основным требованием Заказчика.
Два роутера были возвращены в нашу лабораторию, и мы начали воспроизводить выявленную проблему:
Логика роутера была проста:
Если роутер первый в сети, то он присваивает себе на VPN интерфейсе MAC XX:XX:XX:XX:XX:XX:XX
Если в сети есть MAC XX:XX:XX:XX:XX:XX:XX, то роутер присвоит MAC вида XX:XX:XX:XX:XX:XX:XY и т.д.
И так при каждом подключении к VPN
Т.е. при восстановлении связи роутер принимает первый свободный MAC и DHCP присваивает ему соответствующий IP адрес…
После мозгового штурма была обозначено 3 направления, куда стоит попробовать двигаться:
Разворачивание альтернативного VPN сервера, который позволит привязывать IP к аккаунту (мы его успели развернуть и протестировать);
Подбор нового оборудования и весь процесс тестирование заново;
Доработка логики работы текущего роутера.
Соответственно т.к. сроки горели мы начали прорабатывать все 3 направления сразу. В последний пункт мы верили слабо, но написали большое письмо в службу поддержки китайского производителя и начали активно работать по пункту 1 и 2. Был развернут новый VPN сервер c нужно функциональностью, так же заказаны несколько новых роутеров и… Мы получили ответ от вендора с радостной новостью, что они реализовали функцию статического IP адреса в новых прошивках для другого проекта и с радостью с нами поделятся данной прошивкой!
Проекту уже год – полет нормальный. Подключаем новые объекты.
Спасибо, кто дочитал до конца.
Теперь у нас есть интересное решение для подключения удаленного оборудования 😉
Что такое удаленный доступ и как его организовать
Рассказываем про удаленный доступ – чем он полезен и как оптимизирует рабочие процессы.
Что такое «удаленный доступ»
В IT под удаленным доступом (или remote access) понимается технология/приложение или набор технологий/приложений для управления одним устройством с помощью другого по сети.
По сути, это возможность управлять офисным компьютером со своего ноутбука так, будто это одно устройство. С теми же файлами, программами и возможностями. Достаточно установить с удаленным ПК интернет-соединение и можно контролировать его хоть с пляжа на Бали.
Удаленный доступ используется для управления одним или несколькими компьютерами по всему миру из одного места. Технология популярна среди крупных корпораций, особенно в IT-сфере. Но не только в ней.
Подобные технологии используют в различных профессиях, а иногда вовсе не для работы.
Для чего нужен удаленный доступ?
Есть масса сценариев применения этой технологии, но мы рассмотрим только наиболее популярные.
Решение технических проблем
Системные администраторы и IT-специалисты других профилей в штате компании часто занимаются тем, что решают проблемы, связанные с компьютерами в офисе или на предприятии.
Всегда присутствовать лично у ПК не получится, поэтому на помощь приходит удаленный доступ. Сотрудник может подключиться дистанционно к любому из компьютеров корпорации и решить возникшие проблемы. Правда, доступ к другим ПК должен быть настроен заранее (установка специализированных приложений и т.п.).
Это применимо только в компаниях, где нет ограничений на подключение к одной рабочей сети из другой (через VPN, к примеру). И в ситуациях, когда проблема касается исключительно ПО, а не «железа».
Управление сервером
Администраторы и разработчики используют удаленный доступ, чтобы контролировать арендованные серверы, держать на них файлы сайта и поддерживать ресурс в рабочем состоянии 24 на 7. Или для тестирования веб-приложений на более мощном устройстве (аналогично тому, как пользователи управляют серверами, арендованными в Timeweb).
Для решения этой задачи можно использовать разные инструменты. Самый распространенный – протокол Secure Shell для удаленного управления компьютером через терминал. Но есть и другие методы. В том числе и те, что поддерживают графический интерфейс.
Администратор получает полный контроль над удаленным устройством, может управлять всеми его функциями, включая возможность менять параметры BIOS и/или перезагружать систему.
Техподдержка
Отделу техподдержки часто приходится объяснять клиенту алгоритм действий, чтобы решить возникшую проблему. Но человеку даже самая четкая и доходчивая инструкция может показаться сложной, если он совсем не разбирается в вопросе.
Удаленный доступ позволяет специалисту техподдержки устранить возникающий барьер (или его часть). Сотрудники некоторых компаний могут получить полный доступ к мобильному устройству пользователя и управлять им дистанционно. Они устраняют проблемы самостоятельно без вмешательства владельца гаджета. Некоторые компании предоставляют сотрудникам доступ к экрану, чтобы специалист мог показать клиенту наглядно, куда надо нажать и что сделать.
Гейминг
В связи с постоянным ростом системных требований к играм и непропорциональным ростом производительности некоторых ПК, появилась новая категория сервисов – игровой стриминг.
Это мощные удаленные «машины», к которым можно подключиться по сети и играть в популярные видеоигры, не заботясь о наличии в своем компьютере подходящей видеокарты или достаточного количества оперативной памяти. Главное, чтобы интернет был быстрым, а играть можно хоть с телефона.
Обычно доступ к таким сервисам осуществляется автоматически после регистрации, как в случае с арендой сервера у хостинг-провайдера.
Совместная работа сотрудников из разных городов
Коллаборация между несколькими работниками, трудящимися над одним проектом из разных точек мира, станет проще благодаря удаленному доступу к офисным ПК.
Они смогут работать в одной локальной сети, быстро обмениваться файлами и тестировать продукт чуть ли не на одном устройстве, сохраняя полную безопасность и высокую производительность.
Преимущества удаленного доступа
Удаленный доступ – это удобно, и мы это уже выяснили. Но технология дает еще больше.
Гибкость
Начав использовать удаленный доступ на постоянной основе, вы ощутите гибкость буквально во всем.
В выборе устройств.
В выборе места работы.
В выборе своей деятельности.
В выборе масштабов проекта.
От мощности и параметров вашего ПК больше не будет зависеть, можете ли вы сделать какую-то работу в данный момент или нет. Можно даже на относительно старом ноутбуке сделать работу, требующую мощности полноценного стационарного компьютера.
График работы можно будет варьировать, потому что необязательно находиться в офисе, чтобы закончить проект или внести критически важные правки в приложение, доступ к которому есть только в офисной «машине».
Удаленный доступ к серверу, например, гарантирует высокую производительность даже на слабом ПК. Можно заняться веб-разработкой или даже созданием полноценных приложений, не прибегая к апгрейду своего устройства. А сама программа может быть рассчитана на любой масштаб и аудиторию за счет того же мощного сервера.
Постоянный доступ к необходимым данным
Дистанция больше не помешает получить необходимые файлы. То, что является эксклюзивом для офисного ПК, может стать портативным набором файлов, который можно достать даже с планшета или смартфона.
Подобный доступ можно сравнить с использованием облачного хранилища. Но облачные хранилища не так часто используются в корпоративной среде, где ценится высокая степень безопасности, а для взаимодействия используется протокол VPN.
Поэтому remote access становится спасением для «удаленщиков», нуждающихся в документах, лежащих на жестком диске офисного компьютера.
Скорость
Выполнение любых задач ускорится, причем сразу в нескольких направлениях.
IT-специалисту не придется нестись через весь офис с 30 на 1 этаж, чтобы перезагрузить программу одному из работников. И не придется ехать, тратя кучу времени, в другое подразделение компании, чтобы исправить программную ошибку у коллеги. Удаленный доступ позволит сделать все, не уходя с рабочего места и экономя от получаса до дня.
Разработчику больше не придется часами выжидать, пока запустится нужный «софт» или скомпилируется написанный код на собственном древнем ПК. Можно все «тяжелые обязанности» переложить на мощный офисный ПК или арендованный сервер.
Дешевизна
Удаленный доступ экономит деньги и тем, кто его использует, и тем, кто организует. Пользователи могут не тратить большие деньги на мощное оборудование, чтобы выполнять свою работу.
Работодателям же не придется обеспечивать сотрудников мощными ноутбуками, если те смогут подключиться к офисному ПК и использовать его в полную мощность через VPN.
Удобная среда для удаленной работы
Я отдельно отмечу, что тренд «удаленки» вряд ли пойдет на спад. Коронавирус не планирует отступать в ближайшее время да и другие вирусы не за горами. Иностранные компании приглашают специалистов из России и наоборот. Поэтому учиться и работать мы будет все больше удаленно (когда это технически и физически реализуемо, конечно).
Приложения, обеспечивающие удаленный доступ к компьютерам, заметно облегчают весь процесс, сохраняя за работниками офисное рабочее место со всеми его преимуществами. Включая повышенный уровень безопасности.
Безопасен ли удаленный доступ?
Безопасен. Разработчики программ для дистанционного управления системами по сети используют технологии, защищающие все передаваемые между устройствами данные.
Протокол VPN позволяет огородить шлюз, по которому сотрудник фирмы подключается к корпоративной сети с домашней Wi-Fi-сети. Так что у злоумышленников остается мало шансов украсть информацию «по пути» из офисного компьютера на домашний.
Для подключения нужны логин и пароль, которые есть только у сотрудника. Система не впустит чужака.
Лучшие приложения для удаленного управления компьютером
Наиболее популярные программы для дистанционного подключения к PC.
Протокол SSH
Самый распространенный метод взаимодействия с удаленными ПК и серверами. Secure Shell – протокол для подключения при помощи технологии туннелирования. Используя SSH, можно дистанционно передавать в другую систему команды через терминал. SSH популярен, потому что все команды, передаваемые в другую ОС, шифруются.
Secure Shell распространен среди системных администраторов, так как он прост в освоении, не нагружает ОС и не требует графической оболочки для полноценной работы с системой.
Взаимодействие осуществляется через утилиту, называемую SSH-клиентом. В macOS и Linux он встроен и запускается через базовый терминал. В Windows нужна программа наподобие PuTTY.
Microsoft Remote Desktop
Популярная графическая утилита для установки соединения между ПК на базе Windows и любым другим устройством (включая мобильные).
Дистанционный доступ к устройству осуществляется через графический интерфейс. Можно использовать мышь и привычные программы. Открыв MRD-клиент на весь экран, можно вообще забыть, что работа ведется не с другим устройством, которое может находиться в нескольких километрах от пользователя.
MRD, как и SSH, можно использовать на смартфонах. Правда, из-за необходимости взаимодействия с ОС через GUI процесс усложняется небольшими размерами гаджета и сенсорным экраном вместо привычных органов управления.
TeamViewer
Одна из старейших утилит для полноценного дистанционного управления компьютерами. Она давно стала неким стандартом как для личного использования, так и для оказания технической помощи в крупных компаниях.
Правда, в отличие от MRD и SSH, TV стоит денег. От 2300 рублей ежемесячно.
LogMeIn
Еще один платный аналог MRD, основной конкурент TeamViewer. Выполняет те же задачи, что и TV. Позволяет настроить безопасный туннель между своим устройством и офисным ПК, управлять программами на удаленном компьютере или оказывать поддержку клиентам.
Для этого есть две отдельные версии программы: LogMeIn Pro и LogMeIn Rescue. Каждую из них можно опробовать бесплатно в течение ограниченного тестового периода.
Apple Remote Desktop
Система удаленного подключения для устройств компании Apple. С помощью нее можно получить полный контроль над чужим компьютером Mac (по воле владельца, конечно). Функции здесь те же, что в TeamViewer или MRD.
Также программа годится для администрирования большого количества компьютеров. Можно отправлять на них файлы пачками, обновлять настройки сразу в нескольких системах.
Программа стоит 7500 рублей (разовая покупка без подписки) и доступна в Mac App Store.
Chrome Remote Desktop
Еще один бесплатный способ дистанционно управлять чужим ПК. Можно сделать это прямо через браузер Google Chrome, установив утилиту Chrome Remote Desktop.
Google использует веб-технологии для подключения и работы с удаленным компьютером. Каких-то продвинутых функций здесь нет, но базовый набор опций доступен. Можно запускать программы, контролировать мышь и т.п.
Также Google обещает полную безопасность и шифрование пользовательских данных. Программа распространяется бесплатно.
Это последняя утилита в списке. На этом и закончим обсуждение удаленного доступа. Теперь вы знаете, что он собой представляет, зачем может понадобиться и какие программы нужны, чтобы его настроить.
VPN: ещё раз просто о сложном
Вы сталкивались с ошибкой “Это видео не доступно для просмотра в Вашей стране”? Пробовали заходить на LinkedIn? Подобные ограничения можно обойти с помощью включения VPN на своем девайсе. В последнее время огромное количество людей было вынуждено перейти на дистанционный формат работы и многие работодатели обязали своих сотрудников пользоваться VPN для защищенного доступа к корпоративным сервисам. Сегодня мы постараемся разобраться в том, что такое VPN и как это работает.
Disclaimer: я искала на Хабре базовую статью о VPN, но нашла из базы только часть цикла «Сети для самых маленьких«. Это очень крутая работа, но она сразу не выпадает. Поэтому я решила обобщить все собранные мной определения, знания и структуры, а в начале дать ссылку на «Сети». Надеюсь, это поможет другим пользователям Хабра.
Что такое VPN?
VPN – Virtual Private Network – виртуальная частная сеть.
Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией. Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться. Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.
Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.
Зачем нужен VPN?
Для удаленной работы. Например, вы работаете из дома. По VPN вы можете получить доступ к сервисам и документации своей организации, при этом соединение будет более безопасным, данные будет сложно перехватить и расшифровать.
Чтобы объединить разные части одной компании. Офисы могут быть удалены друг от друга на любое расстояние.
Внутри компаний – для объединения и изоляции отделов.
При подключении к Wi-fi в кафе, метро и т.д., чтобы хакеры не могли украсть ваши данные. При пользовании публичной сетью безопасно, разве что просматривать сайты в браузере. А вот если использовать соц.сети, злоумышленник может не только перехватить вашу конфиденциальную информацию, но и использовать ее в своих целях, авторизовавшись в этой самой соц.сети от Вашего имени. Еще хуже, если ему удастся взломать почту. Тогда атаке подвергнутся все приложения, привязанные к этому почтовому ящику. Но самой неприятной может оказаться утечка данных вашей банковской карты, если вы решили перевести кому-то деньги, подключившись к бесплатному Wi-fi.
Для получения доступа к сайтам, которые заблокированы на определенной территории. Приведем пример: Teen Spirit снимает передачу “Орёл и Решка” и продает ее двум телеканалам: российской “Пятнице” и украинскому “Интеру”. Обычно телеканалы на следующий день после выхода премьеры по телевидению, выкладывают выпуск на свой ютуб-канал, чтобы те, кто не успел посмотреть передачу по телевизору, имели возможность сделать это в интернете и, конечно же, для того, чтобы заработать дополнительно на встроенной в ютуб рекламе. На Украине выпуски выходят на день раньше, чем в России. Соответственно, “Интер” выкладывает видео на ютуб, когда по “Пятнице” передачу еще не показали. Поэтому в России в этот день запрещен доступ к этому видео.
Для обеспечения анонимности. Нельзя вычислить, какие сайты вы посещали, каким браузером пользуетесь, где находитесь и т.д. Надобность скрыть свою геолокацию может может возникнуть в путешествиях. Например, в Турции запрещен YouTube и WhatsApp. Значит, просто так зайти в привычные соц.сети не получится, а с VPN это сделать вполне возможно.
Чтобы в браузере оставалась история поиска, на основе которой создается таргетированная реклама
Чтобы сэкономить, например, при покупке авиабилетов. Авиакомпании устанавливают разные цены на одни и те же билеты для покупателей из разных регионов. А VPN позволяет изменить информацию о геолокации.
Как можно пользоваться VPN?
Итак, мы поняли, что VPN – полезный сервис, но как именно можно его включить? Если Вы работаете за компьютером и хотите посетить заблокированный сайт, используя браузер, то можно или установить специальную программу на ПК (так называемый VPN-клиент), или добавить расширение для браузера, или использовать встроенный в Opera VPN. Все эти способы просты в исполнении, но имеют некоторые недостатки. Так, VPN-клиент выдает случайный IP-адрес, то есть нет возможности выбрать страну. Еще один неудобство заключается в необходимости постоянного запуска программы, однако, существуют программы, которые запускаются одновременно с ОС. Теперь рассмотрим следующий способ – добавление расширения для браузера через Webstore. Нужно будет зарегистрироваться, после чего одним кликом можно выбрать страну, к VPN-серверу которой Вы хотите подключиться.
Использование VPN на смартфонах и айфонах реализуется через мобильные приложения. Самые популярные из них – это OpenVPN для Android и Cloak для iOS.
О плюсах VPN и о том, как его можно установить уже Вы прочитали. Самое время поговорить о минусах.
Чем приходится платить за безопасность в Интернете?
Низкая скорость интернета. На дополнительное шифрование требуется время. Также часто трафик проходит большее расстояние, что связано с удаленностью расположения VPN-сервера.
Периодический разрыв VPN-подключения, внезапный выход трафика в публичную сеть. Часто можно не заметить разрыв подключения и утечку данных, также VPN-соединение может не восстанавливаться автоматически, что не удобно. Во современных ОС на базе Windows предусмотрена функция VPN Reconnect. Если ее нет, то придется использовать особые программы или специальные настройки маршрутизации, которые контролируют VPN-соединение и в случае его разрыва сначала блокируют передаваемую информацию, закрывают приложения, потом обновляют VPN-подключение.
К сожалению, IPv6 почти никогда не поддерживается VPN. Следовательно, когда в публичной сети используется IPv6, и в интернет-ресурсе он также поддерживается, трафик пойдет по умолчанию по открытой IPv6 сети. Чтобы такого не произошло можно просто отключить IPv6 в ОС.
DNS-протечки: на практике часто DNS-запросы обрабатываются DNS-серверами публичной сети (а не виртуальной, защищенной). В случае их некорректного ответа можно получить поддельный адрес запрашиваемого домена. Так, ничего не подозревающие пользователи могут быть перенаправлены, например, на сайты мошеннических онлайн-банков. Также по DNS-серверам можно определить примерную геолокацию и интернет-провайдера пользователя.
Присутствуют также разнообразные юридические аспекты. Во-первых, это отличия в законодательстве разных государств. VPN-клиент и VPN-сервер часто находятся в разных странах. Также трафик может проходить через третью страну транзитом. Таким образом существует возможность сохранить себе копию передаваемых данных для дальнейшей расшифровки и изучения.
Существует не только вопрос что шифровать, но и как. Далеко не все криптографические средства разрешены. Из-за этого производители сетевого оборудования (в том числе для организаций VPN) при экспорте в другие страны вынуждены отключать в своей продукции ряд алгоритмов шифрования, а также уменьшать максимально возможную длину ключа.
Проблема кроется еще и в том, что сами мировые стандарты шифрования могут быть уязвимыми. Так, в 2013 году NIST (The National Institute of Standards and Technology – организация, утверждающая стандарты шифрования в США) обвинили в том, что он разрешил включить в новый стандарт уязвимую версию генератора псевдослучайных чисел. Это позволило сильно упростить расшифровку информации, защищенной с применением этого генератора. Более того, составителей стандартов нередко обвиняют в сознательном усложнении описаний стандартов.
Как работает VPN?
Соединение VPN – это, так называемый, “туннель” между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в “туннель”.
Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).
Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.
Однако, следует помнить, что не вся информация шифруется. У разных VPN-провайдеров могут отличаться такие характеристики как степень шифрования, сокрытие факта подключения к серверу, хранение логов (журнал, в который сохраняется информация о посещаемых сайтах, реальный IP адреси т.п.) и сотрудничество при выдаче информации третьим лицам.
Если VPN-провайдер вообще не записывает логи, то передавать третьим лицам просто нечего. А сокрытие факта подключения к серверу – уже более редкая услуга. При некорректном подключении или резком разрыве соединения может произойти утечка части данных. Решить проблему поможет технология Multihop VPN, которая предполагает соединение с сайтом сразу через несколько серверов.
Рассмотрим популярные VPN:
PPTP – Point-to-Point Tunneling Protocol
+ поддерживается всеми ОС
+ не требует много вычислительных мощностей
— плохая защищенность. Методы шифрования устарели, плохая архитектура, есть ошибки в реализации протокола от Microsoft. Нет шифрования по умолчанию, на взлом требуется менее суток.
Используется, когда защита данных не очень важна или когда нет других вариантов.
L2TP – Layer 2 Tunneling Protocol
+ более эффективен для построения виртуальных сетей
— более требователен к вычислительным ресурсам
— не предполагает шифрования по умолчанию
Работает совместно с другими протоколами, чаще всего IPSec.
Используется интернет-провайдерами и корпоративными пользователями.
IPSec – Internet Protocol Security – группа протоколов и стандартов для безопасных соединений.
— сложен в настройке (следовательно, снижение защиты, если настроить неправильно)
— требует много вычислительных ресурсов
+ этот недостаток компенсируется путем аппаратного ускорения алгоритма шифрования АЕС
Часто используется совместно с другими технологиями.
SSL – Secure Sockets Layer & TLS – Transport Layer Security – группа методов, включающая в себя протоколы SSL и TLS и другие методы защиты.
+ беспрепятственно пропускаются большинством публичных сетей
— довольно низкая производительность
— сложность в настройке, необходимость установки дополнительного ПО
используется на веб-сайтах, URL которых начинается с https (там еще виден зеленый замочек)
некоторые реализации: OpenVPN, Microsoft SSTP.
+ OpenVPN имеет открытый код, реализован практически для всех платформ, считается очень надежным.
Заключение
VPN – комплекс технологий, позволяющих создать логическую сеть поверх физической. Используется для обеспечения защиты трафика от перехвата злоумышленниками и безопасной деятельности в интернете. VPN открывает доступ к заблокированным ресурсам, так что многие готовы мириться с более низкой скоростью интернета и возможными логами программ. Хотя VPN использует довольно надежные алгоритмы шифрования, включение VPN-клиента на вашем ПК не гарантирует 100% сохранности конфиденциальной информации, поэтому следует внимательно отнестись к выбору VPN-провайдера.