Настройка VPN (L2TP/IPsec) для Android, iPhone и iPad. Бесплатные серверы VPN Gate
Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate с помощью L2TP/IPsec VPN клиента, встроенного в мобильную операционную систему Android.
Предварительная конфигурация
- Перейдите в приложение Настройки.
- В разделе сетевых настроек Подключения перейдите в меню Другие настройки > VPN.
- Нажмите меню и выберите Добавить профиль VPN.
- Откроется экран настройки нового VPN-подключения. Введите произвольное название в поле имя, например, VPN Gate и выберите тип подключения L2TP/IPSec PSK.
- На данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate http://www.vpngate.net/en/.
- Откройте список публичных серверов ретрансляции и выберите VPN-сервер, к которому хотите подключиться.
Важная информация
Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.
- Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле “Адрес сервера” на экране конфигурации.
Примечание
Рекомендуется использовать имя DDNS – его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS – в этом случае следует использовать IP-адрес.
- Введение vpn в поле «Общий ключ IPSec».
- Отметьте галочку “Показать дополнительные параметры”, если она доступна.
- В поле “Перенаправление маршрутов” введите 0.0.0.0/0. Убедитесь, что вы правильно ввели значение этого поля. В противном случае, вы не сможете установить подключение к VPN-серверу.
- После этого нажмите кнопку “Сохранить”.
Запуск VPN-подключения
- Вы можете в любое время установить новое подключение к VPN-серверу. Откройте настройки VPN, и вы увидите следующий список.
- Введите vpn в поля “Имя пользователя” и “Пароль” при первом использовании. Отметьте галочку “Сохранить учетные данные”. Нажмите кнопку Подключиться, чтобы установить VPN-подключение
- После установки VPN-подключения у соответствующей записи из списка VPN появится статус Подключено. На устройстве Android может появится уведомление об активации VPN. Нажмите по сообщению, чтобы посмотреть статус текущего подключения.
Интернет без ограничений
Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Вы также можете перейти на сайт ipinfo.io, чтобы посмотреть глобальный IP-адрес.. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.
При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.
Настройка VPN (L2TP/IPsec) для iPhone, iPad
Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate на iPhone / iPad с помощью L2TP/IPsec VPN клиента, встроенного в iOS.
Предварительная конфигурация
- На главном экране iPhone / iPad выберите приложение Настройки.
- Выберите опцию VPN (или перейдите в меню «Основные > VPN»), затем нажмите Добавить конфигурацию VPN.
- На странице настроек выберите Тип >L2TP и добавьте название соединения в поле Описание, например «VPN Gate».
- Далее на данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate http://www.vpngate.net/en/ (для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка).
- Откройте список открытых серверов ретрансляции и выберите VPN-сервер, к которому хотите подключиться.
Важная информация
Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.
- Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле Сервер на экране конфигурации.
Примечание
Рекомендуется использовать имя DDNS – его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS – в этом случае следует использовать IP-адрес.
- Введите vpn в поля «Учетная запись», «Пароль» и «Общий ключ», затем нажмите «Готово».
Запуск VPN-подключения
- Вы можете в любое время установить новое подключение к VPN-серверу, выбрав необходимую конфигурацию в меню настроек VPN и установив переключатель Статус в положение «Вкл».
- iOS показывает индикатор «VPN» в верхней панели, если VPN-подключение установлено.
- Перейдя в конфигурацию, вы можете получить следующую информацию: назначенный IP-адрес и время подключения.
Интернет без ограничений
Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Вы также можете перейти на сайт ipinfo.io, чтобы посмотреть глобальный IP-адрес.. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.
При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.
VPN: IPsec. Основы.
IPsec представляет из себя не один протокол, а систему протоколов предназначенную для защиты данных на сетевом уровне IP-сетей. В данной статье будет описан теория применения IPsec для создания VPN туннеля.
Введение
VPN основанный на технологии IPsec можно разделить на две части:
Первая часть (IKE) является фазой согласования, во время которой две VPN-точки выбирают какие методы будут использоваться для защиты IP трафика посылаемого между ними. Помимо этого IKE также используется для управления соединениями, для этого вводится понятие Security Associations (SA) для каждого соединения. SA направлены только в одну сторону, поэтому типичное IPsec соединение использует два SA.
Вторая часть – это те IP данные, которые необходимо зашифровать и аутентифицировать перед передачей методами, согласованными в первой части (IKE). Существуют разные протоколы IPsec, которые могут быть использованы: AH, ESP или оба.
Последовательность установления VPN через IPsec можно кратко описать как:
IKE, Internet Key Exchange
Для шифрования и аутентификации данных требуется выбрать способ шифрования/аутентификации (алгоритм) и ключи используемые в них. Задача Internet Key Exchange protocol, IKE, в этом случае сводится к распространению данных "ключей сессии" и согласованию алгоритмов, которыми будут защищаться данные между VPN-точками.
Основные задачи IKE:
IKE ведет учет соединений путем назначения каждому из них некого Security Associations, SA. SA описывает параметры конкретного соединения, включая IPsec протокол (AH/ESP или оба), ключи сессии, используемые для шифрования/дешифрования и/или аутентификации данных. SA является однонаправленной, поэтому используется несколько SA на одно соединение. В большинстве случаев, когда используется только ESP или AH, создаются только две SA для каждого из подключений, одна для входящего трафика, а вторая для исходящего. Когда ESP и AH используются вместе, SA требуется четыре.
Процесс согласования IKE проходит через несколько этапов (фаз). Данные фазы включают:
Соединения IKE и IPsec ограничены по продолжительности (в секундах) и по кол-ву переданных данных (в килобайтах). Это сделано для повышения защищенности.
Продолжительность IPsec подключения, как правило, короче IKE. Поэтому, когда заканчивается срок IPsec соединения, новое IPsec соединение пересоздается через вторую фазу согласования. Первая фаза согласования используется только при пересоздании IKE подключения.
Для согласования IKE вводится понятие IKE предложение (IKE Proposal) – это предложение того, как защитить данные. VPN-точка инициализирующая IPsec подключение отправляет список (предложение) в котором указаны разные методы защиты подключения. Переговоры могут вестись как об установлении нового IPsec соединения, так и об установлении нового IKE соединения. В случае IPsec защищаемыми данными является тот трафик, что отправлен чрез VPN-туннель, а в случае IKE защищаемые данные – данные самих согласований IKE.
VPN-точка получившая список (предложение), выбирает из него наиболее подходящее и указывает его в ответе. Если ни одно из предложений не может быть выбрано, VPN шлюз отвечает отказом. Предложение содержит всю необходимую информацию для выбора алгоритма шифрования и аутентификации и пр.
IKE первой фазы – согласование защиты IKE (ISAKMP Tunnel)
На первой фазе согласования VPN-точки аутентифицируют друг друга на основе общего ключа (Pre-Shared Key). Для аутентификации используются хэш алгоритм: MD5, SHA-1, SHA-2.
Однако перед тем как аутентифицировать друг друга, чтобы не передавать информацию открытым текстом, VPN-точки выполняют обмен списками предложений (Proposals), описанный ранее. Только после того как устраивающее обеих VPN-точек предложение выбрано, происходит аутентификация VPN-точка друг друга.
Аутентификацию можно осуществлять разными способами: через общие ключи (Pre-Shared Keys), сертификаты или шифрование с открытым ключом. Общие ключи являются наиболее распространенным способом аутентификации.
Согласование IKE первой фазы может происходить в одном из двух режимов: main (основной) и aggressive (агресивный). Основной режим более длительный, но зато и более защищенный. В его процесее происходит обмен шестью сообщениями. Агресивный режим происходит быстрее, ограничиваясь тремя сообщениями.
Основная работа первой фазы IKE лежит в обмене ключами Диффи-Хеллмана. Он основан на шифровании с открытым ключем, каждая из сторон шифрует аутентификационный параметр (Pre-Shared Key) открытым ключем соседа, который получив данное сообщение расшифровывает его своим закрытым ключем. Другой способо аутентификации сторон друг друга — использование сертификатов.
IKE второй фазы – согласование защиты IPsec
Во второй фазе осуществляется выбор способа защиты IPsec подключения.
Для работы второй фазы используется материал (keying material) извлеченный из обмена ключами Диффи-Хеллмана (Diffie-Hellman key exchange), произошедшего на первой фазе. На основе этого материала создаются ключи сессии (session keys), использующиеся для защиты данных в VPN-туннеле.
Если используется механизм Perfect Forwarding Secrecy (PFS), то для каждого согласования второй фазы будет использоваться новый обмен ключами Диффи-Хеллмана. Несколько снижая скорость работы, данная процедура гарантирует, что ключи сессии не зависимы друг от друга, что повышает защиту, поскольку даже если произойдет компромат одного из ключей, он не сможет быть использован для подбора остальных.
Режим работы второй фазы согласования IKE только один, он называется quick mode — быстрый режим. В процессе согласования второй фазы происходит обмен тремя сообщениями.
По окончании второй фазы, устанавливается VPN-подключение.
Параметры IKE.
Во время установления соединения используются несколько параметров, без согласования которых невозможно установить VPN-подключение.
Методы аутентификации IKE
Протоколы IPsec
IPsec протоколы используются для защиты передаваемых данных. Выбор протокола и его ключей происходит при согласовании IKE.
AH (Authentication Header)
AH предоставляет возможно аутентифицировать передаваемые данные. Для этого используется криптографическая хэш-функция по отношению к данным содержащимся в IP-пакете. Вывод данной функции (хэш) передается вместе с пакетом и позволяет удаленной VPN точке подтвердить целостность оригинального IP-пакета, подтверждая, что он не был изменен по пути. Помимо данных IP-пакета, AH также аутентифицирует часть его заголовка.
В режиме транспорта, AH встраивает свой заголовок после оригинального IP пакета.
В режиме туннеля AH встраивает свой заголовок после внешнего (нового) IP-заголовка и перед внутренним (оригинальным) IP заголовком.
ESP (Encapsulating Security Payload)
ESP протокол используется для шифрования, для аутентификации или и того, и другого по отношению к IP пакету.
В режиме транспорта ESP протокол вставляет свой заголовок после оригинально IP заголовка.
В режиме туннеля ESP заголовок находится после внешнего (нового) IP заголовка и перед внутренним (оригинальным).
Два основных различия между ESP и AH:
Работа за NAT (NAT Traversal)
Для поддержки работы за NAT была реализована отдельная спецификация. Если VPN-точка поддерживает данную спецификацию, IPsec поддерживает работу за NAT, однако существуют определённые требования.
Поддержка NAT состоит из двух частей:
NAT Traversal используется только в том случае, если обе точки поддерживают его.
Определение NAT: обе VPN-точки посылают хеши своих IP адресов вместе с UDP портом источника IKE согласования. Данная информация используется получателем, для того чтобы определить был ли изменен IP адрес и/или порт источника. Если данные параметры не были изменены, то трафик не проходит через NAT и механизм NAT Traversal не нужен. Если адрес или порт были изменены, значит между устройствами находится NAT.
Как только конечные точки определят, что необходим NAT Traversal, согласование IKE перемещаются с порта UDP 500 на порт 4500. Делается это потому, что некоторые устройства некорректно обрабатывают IKE сессию на 500 порту при использовании NAT.
Другая проблема возникает из-за того, что ESP протокол – протокол транспортного уровня и располагается непосредственно поверх IP. Из-за этого к нему не применимы понятия TCP/UDP порта, что делает невозможным подключение через NAT более одного клиента к одному шлюзу. Для решения данной проблемы ESP запаковывается в UDP дейтаграмму и посылается на порт 4500, тот же самый, который использует IKE при включенном NAT Traversal. NAT Traversal встроен в работу протоколов, его поддерживающих и работает без предварительной настройки.
Как настроить подключение к VPN через L2TP ipsec
Если вы хотите развернуть собственный VPN сервер прямо из коробки и не мучиться с настройкой, мы создали для вас образ с VPN L2TP ipsec. Заказать такой сервер можно в нашем маркетплейсе.
Итак, вы заказали сервер с L2TP VPN ipsec и хотите подключиться к вашему серверу. Расскажем пошагово, как это сделать
ИНСТРУКЦИЯ ПО ПОДКЛЮЧЕНИЮ К L2TP VPN IPSEC ДЛЯ WINDOWS 10
Для демонстрационных целей выберем Windows 10. В меню пуск ищем VPN.
Жмем на кнопку добавления подключения и переходим в настройки.
Имя подключения задавайте какое вам хочется. IP адрес – это адрес вашего VPN сервера. Тип VPN – l2TP с предварительным ключом. Общий ключ – vpn (для нашего образа в маркетплейсе.) А логин и пароль – это логин и пароль от локального пользователя, то есть от администратора.
Жмем на подключение и готово. Вот и ваш собственный VPN готов.
ИНСТРУКЦИЯ ПО ПОДКЛЮЧЕНИЮ К L2TP VPN IPSEC ДЛЯ ДЛЯ WINDOWS 8 И НИЖЕ
В Windows 8 и 8,1 ищем в меню пуск VPN би выбираем пункт с настройкой VPN.
В меню адреса вводим ip адрес вашего сервера.
В свойствах подключения нужно выбрать L2Tp IPsec .
В дополнительных параметрах нужно переключиться на первый пункт и ввести ключ. Для нашего образа ключ – vpn.
Что такое IPSec, протокол для VPN с большей безопасностью и как он работает
Поддержание безопасного обмена данными через небезопасную сеть, такую как Интернет, является одной из основных задач любого пользователя Интернета, а также различных компаний. Основные причины использования VPN в том, что это позволяет нам установить безопасную связь с аутентификацией и шифрованием данных для защиты всей передаваемой информации. IPsec — один из наиболее важных протоколов безопасности, который обеспечивает уровень безопасности для всех IP-коммуникаций между двумя или более участниками. Сегодня в этой статье мы подробно рассмотрим, что такое IPsec, как он работает, а также как мы можем его настроить и где.
VPN — это аббревиатура от Virtual Private Cеть«Или также известная как виртуальная частная сеть, это сетевая технология, которая позволяет нам расширять локальную связь через сеть Интернет, и все это абсолютно безопасным способом благодаря использованию криптографии. VPN позволит компьютеру отправлять и получать данные в общих или общедоступных сетях, но логически находиться в частной сети со всеми ее функциями, разрешениями, безопасностью, политиками управления и т. Д.
- Возможность подключения двух и более офисов компании друг к другу с помощью подключения к Интернету.
- Разрешите членам группы технической поддержки подключаться к компании из дома.
- Что пользователь может получить доступ к своему домашнему компьютеру с удаленного сайта, например из гостиницы.
Все эти виды использования всегда будут осуществляться через инфраструктуру, которую мы все хорошо знаем: Интернет.
В рамках виртуальных частных сетей у нас в основном две архитектуры VPN: виртуальные частные сети удаленного доступа (Roadwarrior VPN или мобильные клиенты) и виртуальные частные сети типа «сеть-сеть» (Site-to-site VPN). В зависимости от наших потребностей мы должны настраивать ту или иную архитектуру.
- VPN с удаленным доступом (Roadwarrior или мобильный клиент) : Эта архитектура VPN спроектирована так, чтобы один или несколько пользователей подключались к серверу VPN и могли получить доступ ко всем общим ресурсам вашего дома или компании, кроме того, она позволяет выполнять перенаправление трафика, таким образом, мы будет выходить в Интернет через VPN-сервер (и с публичным IP-адресом VPN-сервера). Этот тип VPN является наиболее типичным, который мы можем настроить на серверах NAS, маршрутизаторах и других устройствах, цель которых — обеспечить нам безопасный просмотр в Интернете. Эти виртуальные частные сети корпоративного уровня также будут служить для изоляции зон и внутренних сетевых сервисов, требующих дополнительной аутентификации, кроме того, когда мы используем подключение к Wi-Fi, как дома, так и на работе, может быть хорошей идеей добавить еще один уровень шифрования.
- Site-to-Site VPN (VPN между сайтами) : эта архитектура VPN предназначена для соединения разных сайтов, если, например, у нас есть компания с разными сайтами, мы можем соединить их через VPN и получить доступ ко всем ресурсам. Установление соединения не выполняется в конечном клиенте, как в случае с виртуальными частями удаленного доступа, а выполняется маршрутизаторами или межсетевыми экранами, таким образом, вся сеть будет рассматриваться как «одна», хотя трафик перемещается через несколько туннелей VPN.
На следующем изображении мы можем увидеть архитектуру VPN с обеими моделями, VPN типа «сеть-сеть» (слева) и VPN с удаленным доступом (справа):
Что должна гарантировать безопасность VPN?
Чтобы обеспечить безопасность соединения через виртуальную частную сеть (VPN), необходимо гарантировать определенные функции, иначе мы можем столкнуться с ненадежной VPN. Мы уже предполагаем, что протокол IPsec будет соответствовать всем из них, поскольку это безопасный протокол VPN, который широко используется в компаниях.
Аутентификация
Аутентификация — один из самых важных процессов в VPN, эта функция позволяет показать пользователю, что он действительно такой, каким он себя называет. Чтобы доказать это, введите пароль, используйте цифровой сертификат или комбинацию обеих форм аутентификации. Когда хост получает дейтаграмму IPsec от источника, он уверен, что исходный IP-адрес дейтаграммы является фактическим источником дейтаграммы, потому что он ранее был успешно аутентифицирован.
Конфиденциальность
Конфиденциальность — еще одна из фундаментальных характеристик VPN, конфиденциальность означает, что информация должна быть доступна только авторизованным объектам, то есть все коммуникации зашифрованы между двумя точками, и только тот, кто ранее прошел аутентификацию в системе, будет уметь расшифровать всю полученную информацию. Если кто-то сможет попасть в середину сообщения и перехватить его, он не сможет его расшифровать, потому что он будет использовать криптографию с симметричным или асимметричным ключом.
Целостность
Аутентификация и конфиденциальность так же важны, как и целостность. Целостность означает, что можно гарантировать, что информация не была изменена между источником сообщения и получателем. Все коммуникации в VPN включают коды обнаружения ошибок и информацию о том, что информация не изменяется. В случае изменения пакет автоматически отбрасывается, и это может даже вызвать сбой VPN-туннеля по соображениям безопасности. Протокол IPsec позволяет принимающему узлу проверять, что поля заголовка дейтаграммы и зашифрованная полезная нагрузка не были изменены, пока дейтаграмма была на пути к месту назначения.
Представим, что у нас есть аутентификация и конфиденциальность в VPN, но нет целостности. Если пользователь в середине сеанса связи изменяет некоторые значения, вместо отправки денежного перевода на сумму 10 евро он может преобразовать его в 1,000 евро. Благодаря функции целостности, как только бит изменен, пакет отбрасывается и будет ждать его повторной отправки.
Я не отрицаю
Эта характеристика криптографии означает, что вы не можете сказать, что не отправляли какую-либо информацию, потому что она подписана вашим цифровым сертификатом или парой вашего имени пользователя и пароля. Таким образом, мы можем точно знать, что этот пользователь отправил конкретную информацию. Неотказуемость можно «обойти», только если кто-то сможет украсть пару имени пользователя и пароля или цифровые сертификаты.
Контроль доступа (авторизация)
Речь идет о том, чтобы аутентифицированные участники имели доступ только к тем данным, к которым они авторизованы. Личность пользователей должна быть проверена, а их доступ ограничен авторизованными лицами. В бизнес-среде это очень важно, у пользователя должен быть такой же уровень доступа и такие же разрешения, как если бы они были физически, или меньше разрешений, но никогда не больше разрешений, чем у него было физически.
Регистр активности
Речь идет об обеспечении надлежащей работы и устойчивости. Протокол VPN должен записывать все установленные соединения с исходным IP-адресом, кто прошел аутентификацию и даже то, что они делают в системе на основе предоставленного виртуального IP-адреса.
Качество обслуживания
Речь идет об обеспечении хорошей производительности без недопустимого снижения скорости передачи. Мы должны помнить, что, когда мы устанавливаем VPN-соединение, у нас всегда будет меньшая реальная скорость, потому что весь трафик зашифрован от точки к точке, и в зависимости от мощности VPN-сервера и клиентов мы можем достичь более высокой или более высокой скорости. более низкая скорость. Перед тем, как начать развертывание VPN, мы должны посмотреть на оборудование оборудования и максимальную пропускную способность, которую мы можем иметь.
Введение в IPsec
Протокол IPsec — один из наиболее важных протоколов безопасности, который широко используется в компаниях, а также среди домашних пользователей. В последнее время такие производители, как ASUS, AVM и даже D-Link интегрируют VPN в свои домашние маршрутизаторы на основе протокола IPsec. Этот протокол предоставляет услуги безопасности для уровня IP и для всех протоколов более высокого уровня, таких как TCP и UDP (транспортный уровень Интернета). Благодаря IPsec мы можем безопасно обмениваться данными между различными точками Интернета, такими как две или более компаний друг с другом или пользователь у своего дома, IPsec идеально подходит для нужд VPN обоих «миров».
Очень важной особенностью IPsec является то, что он работает на уровне 3 OSI (сетевой уровень), другие протоколы VPN, такие как OpenVPN или WireGuard работают на уровне 4 (транспортный уровень), поскольку последние два основывают свою безопасность на TLS и DTLS соответственно. IPsec в сетях IPv4 находится чуть выше заголовка IP, однако в сетях IPv6 он интегрирован (ESP) в самом заголовке в разделе «Расширения».
IPsec предоставляет все службы, необходимые для обеспечения безопасности связи, как мы объясняли ранее, эти службы аутентификация, конфиденциальность, целостность и неотказуемость . Благодаря этим сервисам безопасность связи гарантирована. Конечно, у нас также есть контроль доступа, качество обслуживания и журнал активности.
Другой очень важной особенностью IPsec является то, что он позволяет обе архитектуры VPN , как VPN с удаленным доступом, так и VPN типа «сеть-сеть». Что касается согласования криптографии, IPsec интегрирует систему согласования, так что конечные группы согласовывают наилучшее возможное шифрование, которое они поддерживают, согласовывают ключи обмена и выбирают общие алгоритмы шифрования. В зависимости от используемого заголовка IPsec (AH или ESP) мы можем только проверить подлинность пакета или зашифровать полезную нагрузку всего IP-пакета, а также проверить его подлинность.
Когда два хоста установили сеанс IPsec, сегменты TCP и дейтаграммы UDP пересылаются между ними в зашифрованном виде и с проверкой подлинности, кроме того, также проверяется целостность, чтобы никто не мог ее изменить. Следовательно, IPsec гарантирует безопасность связи.
Некоторые преимущества IPsec заключаются в том, что он поддерживается всеми стандартами IETF и предоставляет «стандарт» VPN, поэтому все устройства должны быть совместимы. IPSec получает очень важную поддержку со стороны всего коммуникационного оборудования, так как это «стандарт» для VPN, который используется гораздо шире, чем OpenVPN или WireGuard. Все версии операционных систем ПК, такие как Windows or Linux, MacOS для iOS компьютеры, а также Android и iOS поддерживают протокол IPsec. Кроме того, еще одной очень важной характеристикой является то, что, будучи стандартом, существует возможность взаимодействия между производителями, что является гарантией для пользователей. Еще одна замечательная особенность IPSec — это его природа как открытого стандарта, и он прекрасно дополняется технологией PKI (Public Key Infrastructure).
IPsec сочетает в себе технологии открытого ключа (RSA или Elliptical Curves), алгоритмы симметричного шифрования (в основном AES, хотя он также поддерживает другие, такие как Blowfish или 3DES) и алгоритмы хеширования (SHA256, SHA512 и т. Д.), А также цифровые сертификаты на основе X509v3.
Заголовки IPsec
- Заголовок аутентификации (AH)
- Инкапсулированная полезная нагрузка безопасности (ESP)
Далее мы собираемся подробно объяснить, как работают оба заголовка.
Заголовок аутентификации (AH)
Этот заголовок обеспечивает аутентификацию и целостность передаваемых IP-пакетов, чтобы обеспечить эту функцию IPsec, он использует отпечатки пальцев HMAC. Сам протокол будет отвечать за вычисление хэш-функции содержимого IP-пакета, некоторые из хэш-функций, используемых этим протоколом, — это MD5 или SHA-1, которые не являются безопасными, но он также поддерживает SHA256 или SHA512, которые являются безопасными. .
Этот заголовок предоставляет получателю IP-пакетов метод аутентификации источника данных и проверки того, что указанные данные не были изменены во время связи. Очень важная деталь: этот заголовок не обеспечивает конфиденциальности поскольку он не шифрует данные IP-пакета, поэтому обмениваемая информация может быть видна третьим лицам, если они не используют такие протоколы, как HTTPS или FTPES с безопасностью TLS.
AH — это заголовок аутентификации, который вставляется между стандартным заголовком IP (как в сетях IPv4, так и в сетях IPv6) и передаваемыми данными. Эти передаваемые данные могут быть сообщением TCP, UDP или ICMP и даже полной дейтаграммой IP. В заголовке AH указываются данные верхнего уровня, кроме того, AH обеспечивает целостность и подлинность самого заголовка IP, за исключением изменений переменных, таких как TOS, TTL, флаги, смещение и контрольная сумма.
- Отправитель вычисляет хэш-функцию из сообщения, которое нужно передать. Он будет скопирован в заголовок AH в поле «Данные аутентификации».
- Данные передаются через Интернет.
- Когда пакет достигает получателя, он применяет хеш-функцию и сравнивает ее с уже имеющейся (у них обоих одинаковый общий секретный ключ).
Если отпечатки совпадают, это означает, что дейтаграмма не была изменена, в противном случае мы можем заявить, что информация была изменена.
Инкапсулированная полезная нагрузка безопасности (ESP)
Инкапсулированный Безопасность Payload, также известный как ESP, предлагает аутентификацию, целостность и конфиденциальность данных, передаваемых через IPsec. То есть в этом случае мы будем шифровать все поле данных, чтобы все сообщения были конфиденциальными, в отличие от AH, который не шифрует передаваемое сообщение. Для достижения этих функций безопасности осуществляется обмен открытым ключом с использованием Diffie-Hellmann для обеспечения связи между обоими хостами.
Основная функция протокола ESP, интегрированного в IPsec, заключается в обеспечении конфиденциальности данных. Для этого ESP определяет шифрование и способ размещения данных в новой дейтаграмме IP. Для обеспечения аутентификации и целостности ESP использует механизмы, аналогичные AH. Поскольку ESP предоставляет больше функций, чем AH, формат заголовка более сложен: этот формат состоит из заголовка и хвоста (который помещается в конец пакета), поэтому ESP «окружает» передаваемые данные. Что касается данных, ESP позволяет использовать любой протокол IP, например, TCP, UDP, ICMP и даже полный IP-пакет.
Структура пакета ESP следующая:
ESP относится к сетевому уровню в TCP / IP. Область данных полностью зашифрованный , дейтаграмма сам по себе также может быть аутентифицирован для обеспечения большей безопасности. Шифрование данных выполняется с использованием алгоритмы симметричного ключа , обычно используются блочные шифры (например, AES), шифрование данных выполняется с использованием кратных размер блока , по этой причине у нас есть «Padding», поле для заполнения.
Чтобы зашифровать данные, отправитель сначала шифрует исходное сообщение с помощью ключа и вставляет его в новую дейтаграмму IP (которая защищена заголовком ESP). В гипотетическом случае, когда кто-то перехватывает сообщение (Man In The Middle), он получит только бессмысленные данные, поскольку у них нет секретного ключа для расшифровки сообщения. Когда сообщение достигает места назначения, оно применяет секретный ключ к данным и расшифровывает пакет.
Наиболее широко используемый алгоритм AES во всех его версиях (128 и 256 бит) и в различных режимах шифрования, таких как AES-CBC, AES-CFB и AES-OFB . Тем не менее, рекомендуется использовать AES-GCM, который предоставит нам AEAD, и он намного безопаснее, чем другие. Поэтому важно использовать хороший алгоритм шифрования для защиты всех данных , очень важно будет распространение ключей безопасным способом. Сложный вопрос заключается в том, что обе стороны связи согласовывают алгоритмы и аутентификацию, это будет выполняться протоколом IKE.
IKE: что это такое и для чего
Этот протокол IKE (Internet Key Exchange) используется для генерации и управления ключами, необходимыми для установления AH (заголовок аутентификации) и Соединения ESP (Encapsulated Security Payload) . Два или более участников соединения IPsec должны каким-то образом согласовать типы шифрования и алгоритмы аутентификации, чтобы иметь возможность установить соединение безопасным способом. Эта конфигурация может быть выполнена вручную на обоих концах канала или через протокол ( Протокол IKE ), чтобы обеспечить автоматическое согласование участников (SA = Security Association).
Протокол IKE отвечает не только за управление ключами и их администрирование, но и за установление соединения между соответствующими участниками. IKE входит не только в IPsec, но и может использоваться в различных алгоритмах маршрутизации, таких как OSPF или RIP.
Фазы согласования IKE
Установление безопасного канала будет выполнено с использованием алгоритма обмена ключами, такого как Diffie-Hellman, для шифрования обмена данными IKE. Это согласование выполняется через единую двунаправленную SA. Аутентификация может осуществляться через PSK (общий ключ) или другими методами, такими как сертификаты RSA. Используя созданный защищенный канал, будет согласовано соответствие безопасности IPsec (или других служб).
Некоторые особенности IKE
IKE поддерживает NAT обход даже если один или оба участника находятся за NAT, соединение может быть выполнено без особых проблем, хотя нам придется открывать порты на сервере VPN, если он находится за NAT. Порядковые номера и ACK используются для обеспечения надежности, а также включают систему обработки ошибок. IKE устойчив к атакам типа «отказ в обслуживании», и IKE не предпринимает никаких действий до тех пор, пока не определит, действительно ли существует запрашивающая конечная точка, тем самым защищая от атак с поддельных IP-адресов.
В настоящее время IKEv2 широко применяется во всех профессиональных межсетевых экранах и маршрутизаторах, однако он еще не полностью распространен в мире Android или iOS, только Samsung Пользователи смартфонов поддерживают IPsec с IKEv2. Операционные системы Windows, Linux и macOS поддерживают этот протокол.
IKEv2: что изменилось
IKEv2 — вторая версия этого популярного протокола обмена ключами в Интернете, в него включены улучшения для обхода NAT, что упрощает взаимодействие и прохождение через брандмауэры в целом. Он также поддерживает новый стандарт мобильности, который позволяет очень быстро переподключить связь, кроме того, он также поддерживает множественную адресацию (multi-origin), что идеально подходит для пользователей смартфонов, планшетов или ноутбуков. IKEv2 позволяет использовать SCTP, который используется в VoIP, он также имеет более простой обмен сообщениями, он имеет меньше криптографических механизмов, позволяя использовать только самые безопасные. Какой смысл использовать VPN с небезопасными шифрами? IKEv2 позволяет использовать только самые безопасные
Режимы работы: транспорт или туннель
IPsec предоставляет нам два очень разных режима работы, как для заголовка аутентификации (AH), так и для инкапсулированной полезной нагрузки безопасности (ESP). Эти режимы работы различаются способом адресации пакетов. Далее мы более подробно объясним различия между ними.
Транспортный режим
Заголовок AH или ESP вставляется между областью данных и заголовком IP таким образом, чтобы сохранялись исходные IP-адреса. Контент, инкапсулированный в дейтаграмму AH или ESP, поступает непосредственно с транспортного уровня. Следовательно, заголовок IPsec будет вставлен после заголовка IP и непосредственно перед данными, предоставляемыми транспортным уровнем. Таким образом шифруется и аутентифицируется только полезная нагрузка. Схема дейтаграммы будет следующей:
Транспортный режим обеспечивает сквозную связь, но стороны должны знать о существовании протокола IPsec, чтобы понимать друг друга.
Туннельный режим
В туннельном режиме весь IP-пакет (заголовок + данные) зашифровывается и аутентифицируется, если используется ESP. Этот пакет будет инкапсулирован в новый IP-пакет, поэтому IP-адрес изменится на адрес последнего IP-пакета. Следовательно, к исходному пакету добавляется заголовок AH или ESP, а затем добавляется заголовок IP, который будет служить для маршрутизации пакета по сети.
Туннельный режим обычно используется для связи сетей с сетями, но он также может использоваться (и фактически используется) для связи компьютеров с сетями и компьютеров с компьютерами. Этот режим работы позволяет узлам скрыть свою личность от других узлов, которые обмениваются данными. Используя туннельный режим, мы сможем создать подсеть, специально предназначенную для клиентов VPN. Туннельный режим используется в основном шлюзами IPSec, чтобы идентифицировать сеть, которую они защищают под одним и тем же IP-адресом, и, таким образом, централизовать обработку трафика IPSec на компьютере.
На следующем изображении вы можете увидеть сравнение обеих схем работы, всегда с использованием ESP:
После того, как мы увидели два режима работы, мы увидим, какие методы аутентификации у нас есть в IPsec.
Методы аутентификации
В протоколе IPsec у нас есть всего четыре метода аутентификации: общий ключ, цифровые подписи RSA, цифровые сертификаты X.509 и аутентификация через группу пользователей XAuth. В зависимости от сценария, в котором мы хотим реализовать IPsec, будет использоваться тот или иной метод аутентификации, каждый из этих методов имеет преимущества и недостатки, которые будут упомянуты. Далее мы подробно объясним эти четыре метода.
Общий ключ
Общий ключ — это ключ, состоящий из строки символов (символ времени жизни), который будет известен только двум концам связи для установления соединения IPsec. Используя алгоритмы аутентификации (HASH), будет проверяться правильность ключей без необходимости раскрытия указанных ключей. Чтобы этот метод был безопасным, должен быть ключ для каждой пары участников коммуникации. Этот тип аутентификации не подходит для многих участников, так как будет очень большое количество ключей.
Хотя хэши используются для обмена ключами в соединении, до этого соединения ключи должны быть на обоих концах соединения, по этой причине мы не можем точно знать, был ли этот ключ захвачен при его отправке. Мы можем гарантировать его безопасность только в том случае, если доставим его вручную. Этот метод полезен для небольших сетей, но для средних и крупных сетей он совершенно невозможен.
Цифровые подписи RSA
IPsec работает с протоколом IKE для автоматического управления ключами и обеспечения безопасности, использует цифровые подписи RSA для безопасного обмена ключами через пару открытого и закрытого ключей. У этих ключей та же проблема, что и у общего ключа: каким-то образом мы должны отправить ключи «другой стороне», но мы можем безопасно изменить ключи, используя протокол IKE.
Поэтому для защиты сети рекомендуется регулярно менять эти ключи. Эти подписи RSA обеспечивают аутентификацию и конфиденциальность сети.
Сертификаты X.509
Одна из самых безопасных форм аутентификации в IPsec — это работа с цифровыми сертификатами, создание инфраструктуры открытого ключа (PKI) с соответствующим CA (центром сертификации), цифровым сертификатом сервера и цифровыми сертификатами клиентов. Благодаря этим цифровым сертификатам мы можем установить очень надежную аутентификацию, кроме того, мы также можем работать с цифровыми сертификатами, эти сертификаты содержат открытый ключ владельца и его идентификацию. У владельца также есть пара открытых и закрытых ключей, с которыми он может работать во время проверки.
Использование этих сертификатов заставляет протокол PKI появляться на сцене для аутентификации узлов, участвующих в обмене данными IPsec. Использование этой PKI помогает в создании новых сертификатов и удалении других. Действительность цифрового сертификата предоставляется PKI, эта PKI объединяет CA, который содержит открытый ключ и личность владельца. Конечные точки, участвующие в соединении IPsec, будут распознавать CA как действительный, поскольку они владеют копией этого CA (открытого ключа CA).
Проверка сертификата выполняется с использованием списка отзыва сертификатов (CRL), который хранится в PKI. Все участники будут иметь копию этого CRL, который постоянно обновляется.
Аутентификация группы пользователей XAuth
Этот метод добавляет пользователя и пароль к ранее просмотренным цифровым сертификатам (X.509) таким образом, что, помимо проверки сертификата, он также проверяет пользователя и пароль. Для проверки этих пользователей и паролей мы можем использовать сервер Radius или непосредственно небольшую базу данных со списком пользователей и паролей.
Установление связи
Согласование туннеля IPsec осуществляется через протокол IKE, который обеспечивает зашифрованное и аутентифицированное соединение между двумя сторонами связи. В процедуре подключения будут согласованы ключи и безопасность, используемые для установления соединения IPsec. Процедура подключения состоит из двух отдельных частей. Мы объясним эти две части ниже.
1. Обеспечьте аутентификацию и безопасность соединения.
Для защиты соединения будет использоваться алгоритм симметричного шифрования и подпись HMAC. Обмен ключами осуществляется с использованием алгоритма обмена ключами, такого как Diffie-Hellman. Этот метод не гарантирует, что участники являются теми, кем они являются, поэтому мы будем использовать предварительный общий ключ или цифровые сертификаты.
Первая часть связи заканчивается, когда параметры безопасности согласованы, и канал связи защищен.
2. Обеспечить конфиденциальность данных.
Установленный нами защищенный канал IKE используется для согласования определенных параметров безопасности IPsec (заголовок AH или ESP, алгоритмы аутентификации и т. Д.). Эти конкретные параметры могут включать новые ключи Диффи-Хеллмана для обеспечения большей безопасности, если мы настроили PFS (Perfect Direct Confidentiality), что настоятельно рекомендуется для повышения надежности VPN.
Услуги безопасности, предлагаемые IPsec
Конфиденциальность
Услуга конфиденциальности достигается за счет функции шифрования, включенной в протокол ESP. В этом случае рекомендуется активировать опцию аутентификации, поскольку, если целостность данных не гарантируется, шифрование бесполезно. Это связано с тем, что, хотя данные не могут быть интерпретированы кем-либо в пути, они могут быть изменены путем отправки бессмысленного трафика получателю сообщения, который будет принят как действительный трафик.
Помимо шифрования трафика, протокол ESP также имеет инструменты, позволяющие скрыть тип выполняемой связи; для этого он позволяет вводить символы-заполнители в содержимое данных пакета, так что истинная длина пакета скрыта. Это полезная защита от методов анализа трафика, которые позволяют злоумышленнику извлекать полезную информацию из изучения характеристик зашифрованного трафика.
Целостность и аутентификация источника данных
Протокол AH является наиболее подходящим, если не требуется шифрование. Опция аутентификации протокола ESP предлагает аналогичные функции, хотя эта защита, в отличие от AH, не включает заголовок IP. Как упоминалось ранее, эта опция имеет большое значение для тех приложений, в которых важно гарантировать неизменность содержимого IP-пакетов.
Повторное обнаружение
Аутентификация защищает от подмены IP-адресов, однако злоумышленник может перехватывать действительные пакеты и пересылать их по назначению. Чтобы избежать этой атаки, как ESP, так и AH включают процедуру обнаружения повторяющихся пакетов. Упомянутая процедура основана на порядковом номере, включенном в заголовок ESP или AH, отправитель увеличивает указанный номер для каждой отправляемой дейтаграммы, а получатель проверяет его, так что повторяющиеся пакеты будут игнорироваться.
Эта последовательность не может быть изменена злоумышленником, поскольку она защищена с помощью параметра целостности для любого из двух протоколов (AH и ESP), и любое изменение этого номера приведет к ошибке при проверке целостности пакета.
Контроль доступа: аутентификация и авторизация
Поскольку использование ESP и AH требует знания ключей, а эти ключи распространяются безопасным способом через сеанс IKE, в котором оба узла аутентифицируют друг друга, есть гарантия, что в обмене данными участвуют только нужные компьютеры.
Стоит пояснить, что действительная аутентификация не предполагает полного доступа к ресурсам, поскольку IPSec также предоставляет функции авторизации. Во время согласования IKE указывается поток IP-трафика, который будет циркулировать через соединение IPSec. Эта спецификация аналогична пакетному фильтру, учитывая протокол, IP-адреса портов источника и назначения, байт «TOS» и другие поля. Например, IPSec можно использовать для разрешения доступа из филиала в локальную сеть центра.
Я не отрицаю
Служба неотказуемости возможна с использованием IKE с аутентификацией цифрового сертификата. В этом случае процедура аутентификации основана на цифровой подписи сообщения, содержащего идентификационные данные участника. Эта подпись, благодаря связи между открытым ключом и удостоверением, которое гарантирует цифровой сертификат, является недвусмысленным доказательством того, что соединение IPSec было установлено с конкретным компьютером, поэтому он не может его отрицать. На практике, однако, этот тест более сложен, так как он требует сохранения сообщений согласования IKE.
L2TP / IPsec — что это?
L2TP (Layer 2 Tunneling Protocol) — это протокол, используемый для VPN, который был разработан рабочей группой IETF как наследник PPTP, и был создан для исправления недостатков этого протокола и установления его в качестве стандарта. L2TP использует PPP для предоставления коммутируемого доступа, который может быть туннелирован через Интернет до указанной точки. L2TP включает в себя механизмы аутентификации PPP, PAP и CHAP, кроме того, как и PPTP, он поддерживает использование этих протоколов аутентификации, таких как RADIUS.
Хотя L2TP предлагает доступ с поддержкой нескольких протоколов и доступ к удаленным локальным сетям, он не имеет особо надежных криптографических характеристик. Операция аутентификации выполняется только между конечными точками туннеля, но не для каждого из пакетов, проходящих через него. Это может привести к подделке где-то внутри туннеля. Без проверки целостности каждого пакета можно было бы выполнить атаку типа «отказ в обслуживании» с использованием ложных управляющих сообщений, которые завершают основной туннель L2TP или соединение PPP.
L2TP не обеспечивает надежного шифрования трафика пользовательских данных, что вызывает проблемы, когда важно сохранить конфиденциальность данных. Несмотря на то, что информация, содержащаяся в пакетах, может быть зашифрована, в этом протоколе нет механизмов автоматической генерации ключей или автоматического обновления ключей. Это может дать тому, кто прослушивает сеть и обнаруживает единственный ключ, получить доступ ко всем передаваемым данным.
Принимая во внимание все эти недостатки L2TP, IETF приняла решение использовать протоколы самого протокола IPsec для защиты данных, проходящих через туннель L2TP. По этой причине они всегда пишутся «L2TP / IPsec», потому что оба протокола используются одновременно, и этот совместный протокол широко используется. Можно сказать, что L2TP является протоколом на уровне «канального» уровня и что он не имеет защиты, однако IPSec обеспечивает безопасность на сетевом уровне, так что использование этого протокола является безопасным.
По этой причине мы всегда будем находить номенклатуру L2TP / IPSec вместе, потому что оба протокола используются для безопасного соединения VPN.
Выводы
IPSec — чрезвычайно мощный и гибкий стандарт безопасности. Его важность заключается в том, что он устраняет традиционный недостаток протокола IP: безопасность. Благодаря IPSec теперь можно использовать IP-сети для критически важных приложений, таких как бизнес-транзакции между компаниями. В то же время это идеальное решение для тех сценариев, в которых требуется безопасность, независимо от приложения, поэтому он является важным элементом безопасности IP-сетей. Протокол IPSec уже сегодня является одним из основных компонентов безопасности в IP-сетях.