Рассказываем, как устроена виртуальная частная сеть (VPN) и для чего она используется.
Что такое VPN
Виртуальная частная сеть защищает личные или корпоративные данные при их передаче через интернет или другие сети. Для этого VPN использует виртуальный туннель, а передаваемые данные зашифровывает.
Сам VPN действует как сетевой интерфейс для клиента и прозрачен для операционной системы, приложений и пользователей, получающих к нему доступ.
Для чего используется VPN
Прежде всего, виртуальная частная сеть обеспечивает конфиденциальную передачу данных. VPN защищает информацию во время ее передачи через общедоступную сеть. Если злоумышленники каким-то образом перехватят данные, то не смогут их расшифровать и использовать в своих целях.
VPN также используется в компаниях, где сотрудники работают удаленно — на дому, в публичных местах и даже в транспорте. Домашние сети и личные устройства не так хорошо защищены, как офисные сети и рабочие места. Вдобавок работники используют публичные сети, которые пересылают данные незашифрованными. Использование VPN предоставляет безопасное подключение к внутренним системам организации. Все конфиденциальные файлы или интеллектуальная собственность защищены при передаче через интернет.
VPN обязателен для любой организации, чьи сотрудники выезжают за границу по работе. В целях безопасности многие компании ограничивают доступ к своей внутренней сети списком определенных IP-адресов. Вдобавок в ряде стран некоторые необходимые для работы веб-сайты блокируются. VPN решает эту проблему.
Еще одна распространенная проблема безопасности — DNS-утечки. Из-за неправильной настройки запросы могут отправляться в незашифрованном виде в обход VPN. Благодаря этому злоумышленник способен получить информацию об IP-адресе устройств или сети, посещенных веб-сайтах и их IP-адресах. Эта информация поможет мошеннику создать фишинговую кампанию, чтобы украсть данные для входа в систему.
Недостатки VPN
Основной недостаток один — скорость. VPN-соединение — это еще одна остановка на пути передаваемых данных. Вдобавок шифрование требует дополнительного времени. В результате каждое VPN-соединение немного замедляет скорость работы.
В целом скорость VPN-соединения зависит от скорости соединения обеих конечных точек. Например, пользователь, получающий доступ к корпоративной сети через VPN, ограничен скоростью:
- подключения своей рабочей машины к интернету,
- подключения интернета к серверу VPN,
- подключения сервера VPN к доступным ресурсам.
Низкая скорость VPN-сервиса может привести к значительному падению пропускной способности.
Как устроена виртуальная частная сеть
Есть несколько типов VPN, каждый из них может использовать разные протоколы и способы шифрования. Выбор зависит от целей использования VPN.
Типы организации VPN-соединения
Основных типов организации виртуальной частной сети три: Remote Access VPN (шлюз защищенного удаленного доступа), Site to Site VPN (соединение точка-точка или роутер-роутер) и Client to Provider.
Remote Access VPN
Этот тип VPN позволяет отдельным пользователям устанавливать безопасные соединения с удаленной компьютерной сетью. Они получают доступ к защищенным ресурсам в этой сети через интернет, как если бы подключались напрямую к серверам сети. Такой способ подходит организациям, где работают сотни удаленных сотрудников.
Другое название этого типа VPN — виртуальная частная сеть с коммутируемым
доступом (VPDN). Слово «коммутируемый» напоминает, что в своей самой ранней форме VPN с удаленным доступом требовал подключения к серверу с использованием аналоговой телефонии.
Как работает
Для этого типа нужны два компонента. Первый — сервер доступа к сети NAS. Он может быть выделенным сервером или одним из нескольких программных приложений, работающих на общем сервере. NAS требует, чтобы пользователь предоставил свои учетные данные для входа в VPN. Аутентификацию NAS проводит самостоятельно или использует для этого отдельный сервер.
Второй компонент виртуальных частных сетей удаленного доступа — клиентское ПО. Оно устанавливается на компьютеры пользователей. Большинство операционных систем сегодня имеют встроенное ПО для подключения к VPN. Однако, некоторые VPN могут потребовать от пользователей установки специального приложения. Клиентское ПО устанавливает туннелированное соединение с NAS-сервером. Оно также управляет шифрованием, необходимым для обеспечения безопасности соединения.
Крупные корпорации или предприятия с квалифицированным ИТ-персоналом обычно развертывают и обслуживают свои собственные виртуальные частные сети Remote Access VPN.
Site to site VPN
Такой тип VPN подходит крупным корпорациям с филиалами по всей стране или миру.
Как работает
Существует два типа Site to Site VPN — интранет и экстранет.
Интранет
Если у компании есть один или несколько географически удаленных офисов, которые надо объединить в единую частную сеть, то создается интрасеть VPN. Она подключает каждую отдельную локальную сетку к общей сети организации.
Экстранет
Он создается для работы нескольких компаний, которые хотят совместно использовать
часть ресурсов, а другую часть оставить приватной. На основе экстрасети каждая организация подключается к VPN и выбирает ресурсы, которые хочет сделать доступным для другой компании. Такая сеть VPN позволяет организациям работать вместе в безопасной общей сетевой среде, предотвращая доступ к их отдельным интрасетям.
Client-to-provider
Это способ подключения для пользователей, использующих небезопасную общедоступную сеть Wi-Fi — например, в кафе, аэропорту или отеле.
Также этот способ подключения предназначен для тех, кому важно сохранить конфиденциальность своих данных. Благодаря ему пользователь шифрует трафик от своего интернет-провайдера.
Как работает
Для предотвращения перехвата трафика пользователь устанавливает VPN-соединение с провайдером VPN, а тот уже перенаправляет трафик в интернет. Легко перехватываемый локальный беспроводной трафик шифруется на всем пути к провайдеру, который затем безопасно подключается к Интернету. Это снижает вероятность атаки посредника (MITM) или сниффера.
VPN-клиенты
Для подключения к защищенной сети нужен VPN-клиент — программное обеспечение, работающее на выделенном устройстве. Оно действует как туннельный интерфейс для нескольких подключений и избавляет каждый компьютер от необходимости запускать собственное клиентское ПО VPN. Выбор способа подключения зависит от целей использования.
Автономный
На удаленной конечной точке устанавливается специализированное ПО. При запуске оно создает зашифрованное соединение с виртуальной частной сетью. Чтобы установить VPN-соединение, конечная точка должна запустить VPN-клиент и подключиться к другой конечной точке. Такой тип подключения часто встречается в общедоступных VPN-сервисах. Обычно пользователь самостоятельно загружает VPN-клиент для подключения.
Встроенный в операционную систему
Операционные системы Windows, iOS, MacOS, Android и Linux, позволяют подключаться к удаленному VPN-серверу при условии, что удаленная конечная точка поддерживает тот же протокол и конфигурацию VPN.
VPN-сервер действует как шлюз и роутер на границе локальной сети, либо на границе интернета. Он отвечает за развертывание пакетов и их переупаковку для передачи в локальной сети или в интернете.
Этот вариант подключения обычно используется в корпоративной среде. В крупных компаниях есть штатные ИТ-специалисты, которые способны устанавливать, настраивать и поддерживать инсталляцию клиентов и серверы VPN.
Router VPN
Решения для частных пользователей, у которых роутер поддерживает функцию настройки VPN. Такой способ позволяет подключить к VPN несколько устройств сразу. Минус такого подхода — сложность настройки, требующая хороших технических знаний.
VPN-расширение браузера
Несмотря на название, такие расширения не являются VPN-сервисами. Они не поддерживают защиту трафика — ключевую функцию VPN. Она обеспечивается оборудованием, а не браузером. Браузерное расширение только может при помощи прокси-сервера подменить IP-адрес пользователя. Этого достаточно, чтобы заходить на сайты, заблокированные Роскомнадзором. А вот скрыться от слежки не получится. Например, руководитель легко узнает на каких сайтах сидит сотрудник.
VPN-протоколы
Протоколы служат для создания защищенного соединения между VPN-клиентом и VPN-сервером и отличаются разным уровнем безопасности и производительности. Одни лучше работают на мобильных устройствах, другие предназначены для крупных корпоративных сетей.
OpenVPN
Протокол с открытым исходным кодом и высоким уровнем безопасности, благодаря чему, стал одним из самых популярных. Аутентификация пользователей возможна несколькими способами: при помощи предустановленного ключа, сертификата или логина и пароля. У OpenVPN нет коробочного решения — каждый провайдер VPN разрабатывает свое клиентское ПО для работы с ним. Поэтому протокол работает на всех операционных системах и совместим с сервисами облачных провайдеров.
PPTP
PPTV — протокол туннелирования точка-точка. Он все еще используется, хотя и устарел. Обычно он работает в бесплатных VPN-сервисах. Протокол медленно восстанавливается после обрыва соединения, а уровень его безопасности ниже, чем у прочих.
L2TP/IPSec
Комбинация двух протоколов — L2TP это усовершенствованная версия PPTP, а IPSec отвечает за аутентификацию и шифрование. У L2TP/IPSec высокий уровень безопасности, но скорость передачи данных ниже, чем у остальных.
IKEv2/IPSec
Это усовершенствованная версия протокола L2TP. IKEv2 хорошо подходит для мобильных устройств — он устойчив к частой смене сетей.
SSTP
Это протокол безопасного туннелирования сокетов. Протокол входит в состав ОС Windows. Шифрование обеспечивает SSL-протокол, а аутентификацию — сразу три протокола: — SSL, PPP и SSTP.
WireGuard
Новый и пока малораспространенный протокол. У него простой код, поэтому в нем легче обнаружить и исправить уязвимости. Разработчики предлагают его в качестве замены протоколам IPsec и OpenVPN.
Шифрование данных в VPN
Оно обеспечивает конфиденциальность данных, передаваемых через частную виртуальную сеть.
Зашифрованную информацию невозможно прочесть без ключа, который известен только VPN-серверу и компьютеру.
Есть два способа шифрования трафика.
Симметричное шифрование
Все пользователи, или точнее, компьютеры, используют один и тот же ключ, предназначенный для шифрования и для дешифрования сообщения.
Шифрование с открытым ключом
Каждый компьютер имеет пару ключей: закрытый и открытый. Закрытым ключом он шифрует отправляемые данные, а открытым расшифровывает то, что получает с других ПК.
Вместе с шифрованием в VPN применяется протокол безопасности IPSec, который обеспечивает дополнительную защиту.
IPSec
Широко используемый протокол для защиты трафика в IP-сетях. IPSec может шифровать данные между различными устройствами:
- роутера с роутером,
- роутера с межсетевым экраном,
- компьютера с роутером,
- компьютера с сервером.
IPSec состоит из двух подпротоколов, которые предоставляют инструкции, необходимые VPN для защиты своих пакетов: ESP и AH. Описывать их тут не будем.
Сетевые устройства используют IPSec-протокол в туннельном режиме — создают виртуальный туннель между двумя сетями.
Компьютеры на каждом конце туннеля шифруют отправляемые данные и расшифровывают их после получения.
VPN и виртуальное частное облако (VPC)
VPN создает защищенное соединение локальной сети с сервисами облачного провайдера. Как правило, провайдеры предлагают своим клиентам публичное или частное облако — Virtual Private Service (VPC). Если в публичном облаке все клиенты совместно используют выделяемые ресурсы, то в частном каждый получает отдельные изолированные мощности. Проще говоря, Virtual Private Service — это облако в облаке.
VPC в Yandex Cloud управляет облачными сетями и обеспечивает им доступ в интернет. При помощи таблиц статических маршрутов сервис помогает направлять трафик до выбранных диапазонов IP-адресов на специализированные виртуальные машины, например, IPSec-инстанс или NAT-шлюз.
В Yandex VPC можно изолировать нежелательный трафик, сегментировать сетевую инфраструктуру и гибко настраивать правила для приёма и передачи трафика с помощью групп безопасности.
Сервис Cloud Interconnect предоставляет выделенные каналы с гарантированной полосой пропускания и стабильной скоростью. В результате организация получает отказоустойчивое соединение с инфраструктурой Yandex.Cloud.
В Yandex.Cloud есть сервис Marketplace. В нем находятся образы виртуальных машин и сетевых устройств — криптошлюзов, роутеров, межсетевых экранов.
