Немного О Vpn: Протоколы Удаленного Доступа

1 ноября в России начался действовать запрет на обход блокировок с помощью VPN. И многие компании, в том числе зарубежные, задаются вопросом, что делать организациям, использующим технологии создания корпоративных сетей.

Как рассказали представители Госдумы, в законе есть пункт, согласно которому сетевое шифрование может использоваться в корпоративных целях.

Это означает, что компаниям не придется тратить значительные суммы и проложить частные сети между своими офисами, поскольку настройка VPN-соединения практически (а в некоторых случаях и является) бесплатной.

Поэтому сегодня мы решили рассмотреть два способа организации VPN-подключения в корпоративной сети и несколько используемых для этого протоколов: PPTP, L2TP/IPsec, SSTP и OpenVPN.



/Фликр/ Йоханнес Вебер / СС

PPTP

Поэтому PPTP долгое время оставался стандартом для корпоративных сетей.

По той же причине он использует протокол шифрования Microsoft Point-to-Point Encryption ( МПП? ).

Он поставляется «по умолчанию» на любой VPN-совместимой платформе и легко настраивается без дополнительного программного обеспечения.

Еще одним преимуществом PPTP является его высокая производительность.

Но, к сожалению, PPTP недостаточно безопасен.

С момента включения протокола в Windows 95 OSR2 в конце девяностых годов было выявлено несколько уязвимостей.

Наиболее серьезной является функция неинкапсулированной аутентификации MS-CHAP v2. Этот эксплойт позволил взломать PPTP за два дня.

Microsoft залатала дыру, перейдя на протокол аутентификации ПЭАП , но потом сами предложенный используйте протоколы VPN L2TP/IPsec или SSTP. Еще один момент заключается в том, что PPTP-соединения легко заблокировать, поскольку протокол работает с одним номером порта 1723 и использует протокол GRE .

Когда VPN-туннель установлен, PPTP поддерживает передаются два типа сообщений: это управляющие сообщения для поддержания и отключения VPN-соединения, а также сами пакеты данных.

L2TP и IPsec

Однако это приводит к отрицательному эффекту — в L2TP/IPsec происходит двойная инкапсуляция данных, что отрицательно влияет на производительность.

L2TP также использует порт UDP 500, который легко блокируется брандмауэром, если вы находитесь за NAT. L2TP/IPsec может работать с шифрами 3DES или АЕС.

Первый из них уязвим для таких атак, как встреча посередине И сладкий32 , поэтому сегодня его редко можно увидеть на практике.

Никаких серьезных уязвимостей при работе с шифром AES не известно, поэтому теоретически этот протокол должен быть безопасным (при правильной реализации).

Однако Джон Гилмор, основатель Electronic Frontier Foundation, указано в своем посте о том, что IPSec можно ослабить особым образом.

Самая серьезная проблема с L2TP/IPsec заключается в том, что многие VPN-сервисы не реализуют его должным образом.

Они используют предварительные общие ключи (PSK), которые можно скачать с сайта.

PSK необходим для установления соединения, поэтому даже если данные будут скомпрометированы, они останутся защищенными AES. Но нападавший Может быть используйте PSK, чтобы выдать себя за VPN-сервер, а затем подслушивать зашифрованный трафик (даже внедрять вредоносный код).

ССТП

Сам SSTP не имеет криптографического функционала, за исключением одной функции — речь идет о криптографическая привязка (криптографическая привязка), которая защищает от атак MITM. Шифрование данных осуществляется с помощью SSL. Описание процедуры установки VPN-соединения можно найти здесь.

находить на сайте Майкрософт. Тесная интеграция с Windows упрощает использование протокола и повышает его стабильность на этой платформе.

Однако SSTP использует SSL 3.0 , который уязвим для атаки ПУДЕЛЬ , Что в теории влияет на безопасность протокола VPN.

ОпенВПН

Сегодня это отраслевой стандарт коммерческих VPN-сервисов, который реализуется на любой платформе с использованием стороннего программного обеспечения.

Многие провайдеры даже предоставляют собственные клиенты OpenVPN, но разработчики проекта все еще работают над основным кодом.

Среди преимуществ OpenVPN выделяется его настраиваемость.

Его можно настроить для работы с любым портом.

Это позволяет перенаправлять трафик на порт 443, чтобы «маскировать» его под HTTPS, что затрудняет его блокировку.

Однако гибкость этого протокола VPN в некоторой степени можно считать недостатком.

В частности, это приводит к необходимости скачивания и установки дополнительных файлов конфигурации при использовании стандартного клиента Windows. Но эту проблему можно решить, используя предварительно настроенные VPN-клиенты, которые реализуют некоторые провайдеры.

Еще одним преимуществом протокола является библиотека OpenSSL. Он поддерживает множество криптоалгоритмов — 3DES, CAST-128, Camelia, AES и Blowfish. Последние два чаще всего используются на практике.

Регулярные проверки также можно считать плюсом OpenVPN. Последнее выполненное сканирование не раскрыл «дыры», влияющие на безопасность пользовательских данных.

Тогда было обнаружено несколько уязвимостей, которые давали злоумышленникам возможность осуществлять DDoS-атаки, но разработчики исправленный их в OpenVPN версии 2.4.2. OpenVPN считается одним из самых надежных протоколов VPN, доступных сегодня, и широко поддерживается индустрией VPN. И хотя OpenVPN раньше не работал на мобильных платформах без root-доступа, сегодня есть сторонние приложения, исправившие это «недоразумение».

/Фликр/ Эндрю Харт / СС

Типы VPN-подключений

Удаленный доступ позволяет сотрудникам компании безопасно подключаться к корпоративной сети через Интернет. Это особенно важно, когда сотрудник не работает в офисе и подключается через незащищенные точки доступа, например, Wi-Fi в кафе.

Для организации этого соединения устанавливается туннель между клиентом на гаджете пользователя и VPN-шлюзом в сети компании.

Шлюз проверяет подлинность, а затем предоставляет (или ограничивает) доступ к сетевым ресурсам.

Для защиты соединения чаще всего используются протоколы IPsec или SSL. Также возможно использование протоколов PPTP и L2TP.



/Викимедиа/ Филипп Беле /ПД Межсайтовый VPN служит объединение различных локальных сетей.

В этом случае пользовательские устройства работают без VPN-клиентов — всю работу выполняет шлюз.

Этот тип соединения применяется когда у компании несколько удаленных офисов, которые необходимо объединить в одну частную сеть.

А также если у организации есть партнер, сеть которого требует подключения.

Это позволяет компаниям работать вместе в безопасном общем пространстве.

/Викимедиа/ Филипп Беле /ПД IPsec чаще всего используется для защиты соединения «точка-точка».

Также используется операторский облачный вариант MPLS без сетей общего пользования.

В этом случае становится возможным организовать соединения Layer3 (MPLS IP VPN) или Layer2 (VPLS).

Напоследок хотелось бы отметить, что есть еще несколько вариантов использования VPN-подключений:

• Установление соединения между двумя серверами в дата-центрах.

  Полезно, если по каким-то причинам невозможно установить защищенный канал с использованием стандартной корпоративной сети.

• Подключение к сервису IaaS.
• Размещение VPN-шлюза в облаке.

• Как безопасно делиться паролями в вашей сети
• Wi-Fi: спрос растет, но возможности ограничены
• 5 проблем НФВ

• Тестировщики Против Тестирования

  19 Oct, 24

• «Спроси Питера» — Сервис По Поиску Работы Для Русскоязычных Программистов За Рубежом.

  19 Oct, 24

• От Тестов До Ide В Браузере: Как Мы Разработали Систему Проверки Учеников Для Онлайн-Школы

  19 Oct, 24

• [Личный Опыт] Удаленный Разработчик: Как Искать Работу На Биржах И Кому Это Подходит?

  19 Oct, 24

• Ученые Нашли Способ «Выключить» Нейропатическую Боль

  19 Oct, 24

• Билайн Упал? Снова?

  19 Oct, 24

• Следующий Seedcamp Пройдет В Киеве

  19 Oct, 24

• Что Я Узнал О Машинном Обучении, Поработав В 12 Стартапах

  19 Oct, 24

• Краудсорсинг Поможет Найти Пропавший Самолет

  19 Oct, 24

• Тестирование Установщиков На Windows, Когда Вам Это Нужно Быстро И Дешево

  19 Oct, 24