МЕНЮ

Что такое VPN на самом деле? Как работает и зачем нужен ВПН в 2022Zip File, мои юные любители безопасности. С вами Денчик и сегодня мы поговорим о таком популярном нынче понятии, как VPN. Для чего используются виртуальные частные сети, кто является их целевой аудиторией и к чему в конечном итоге может привести регулярная практика использования подобного рода сетей. Погнали. Но, прежде чем мы начнём, мне бы хотелось рассказать вам о бюджетных выделенных сЕрверах Chipcore от компании СелектЭл. Такие серверы могут стать отличным решением для создания собственного VPN. СелектЭл – крупная компания, которая входит в тройку лучших российских провайдеров IT-инфраструктуры по рейтингу Cnews – крупнейшего издания в сфере корпоративных информационных технологий. У компании 6 собственных дата-центров, на базе которых можно арендовать бюджетные выделенные серверы чипкор.

Такие серверы можно использовать для решения повседневных задач, таких как, тестирование сОфта, создание геораспределительных кластеров, поднятие небольших личных VPN, VPS, сайто-хранилищ и VDIев, создание телеграм-ботов.

Для подобных домашних ламповых «ковырялок» вполне достаточно простого стабильного бюджетного сервера, ресурсы которого не нужно будет делить с другими людьми.

А для более требовательных задач можно арендовать мощные серверы Chipcore — с видеокартой. Они отлично подойдут для 3D-моделирования и рендеринга, анализа данных и обучения нейросетей. 

Главное преимущество линейки Chipcore — низкая стоимость аренды железа. Цены за аренду на месяц стартуют от 800 рублей за модель c четырехъядерным процессором и оперативной памятью 4 гига. При аренде от 3 или 6 месяцев предусмотрены скидки.

Ну а на самые популярные конфигурации Chipcore сейчас действует скидка 20%. Все они уже собраны, протестированы и готовы к работе. После оплаты, на их запуск потребуется не более двух 2 минут.

При этом качество и безопасность у Chipcore такие же, как и у более дорогих серверов. Техническая поддержка СелектЭл поможет с вопросами по настройке и обслуживанию оборудования 24/7.

Это значит, что на инфраструктуре СелектЭл вы сможете официально хранить персональные данные клиентов, сотрудников или третьих лиц по закону без лишних трудозатрат.  

Выбрать оптимальный вариант можно прямо на сайте СелектЭл через удобную и интуитивно-понятную панель управления. Регистрируйтесь в панели my.selectel.ru по ссылке в описании и заказывайте свой бюджетный выделенный сервер прямо сейчас. 

Ну а мы возвращаемся к основной теме нашего видео. Анонимность, безопасность, шифрование данных. Все эти крутые слова моментально приходят на ум, когда речь заходит о VPN.

Что такое VPN?

В толстых учебниках сказано, что Virtual Private Network, она же виртуальная частная сеть представляет собой механизм, позволяющий настроить подключение устройств через сети общего доступа, так, как если бы они находились в одной сети.

Говоря же простым человеческим языком, с помощью данной технологии можно реализоваться защищённую передачу трафика, таким образом, чтобы третья сторона не могла посмотреть, что же в действительности передаётся между двумя конечными узлами сети.

В России наиболее популярными компаниями и продуктами в области VPN, являются Infotecs с их VipNet’ом, КОД безопасности с Континентом АП, ну и конечно же, Крипто Про. Без него в отечественном инфобезе мы никуда. 

Всё это само-собой коммерческие продукты. Бесплатным решениям аля OpenVPN, я признаться не очень симпатизирую, т.к. при open source подходе часть библиотек всегда находится в открытом виде, а значит копаться и находить уязвимости в них потенциально может чуть ли не каждый желающий. 

Но повторюсь, это сугубо моя точка зрения. Для каких-то личных целей возможно такой вариант очень даже окей. Однако использовать лишний раз на государственных и окологосударственных предприятиях продукты, не одобренные нашим любимым ФСТЭКом уж точно не следует.

Как работает VPN

Схематически связь двух офисов или филиалов без VPN’а выглядит следующим образом. У каждого здания своя локальная сетка, на концах роутеры с настроенной маршрутизацией, смотрящие в интернет, которая как известно является глобальной сетью общего пользования.

Если вы не прогуливали уроки по информатике в школе, то наверняка помните, что любому компьютеру домашнему или рабочему всегда назначается какой-то частный IP-шник. Его ещё называют серым.

Этот IP-шник может использоваться только в локальных сетях и не может использоваться в сетях общего пользования. В связи с чем возникает логичный вопрос. Как, к примеру из дома получить доступ к сети на работе?

Или говоря более техническим языком, как объединить несколько частных адресов в одну сеть, используя для этого только сети общего доступа? Тут братцы мои на сцене наконец появляется VPN-туннель.

Данный туннель позволяет создать своеобразный защищенный мост между устройствами из разных сетей, где передаваемые данные шифруются при помощи надежных проверенных алгоритмов.

Виды VPN 

Что ж, общее представление о технологии мы получили. Теперь давайте разберёмся с видами VPN. В корпоративном случае выделяют несколько способов подключения.

Point-to-Point. Т.е. непосредственное подключение пользователя к удалённому серверу аля VPS. Remote Access или говоря по-русски точка – сеть. Т.е. подключение из дома к рабочей сети.

Пожалуй, наиболее популярный способ взаимодействия для тех, кто работает на удалёнке. Ну и site-to-site, она же сеть-сеть. Технология, предназначенная для связи нескольких удалённых сеток в одну.

Вроде ничего сложного. Для реализации всей это движухи применяются специальные протоколы обеспечивающие безопасность в момент передачи трафика в обе стороны.

Из популярных можно выделить уже знакомый нам OpenVPN, PPTP, L2TP, SSL и IPSec. На последнем, в виду его наибольшей распространённости в среде VPN мы чуть позднее пробежимся чутка по подробнее.

А пока, давайте немного поговорим о провайдерских VPN. Основная их суть – предоставить клиентам «выделенную сеть» с использованием каналов оператора связи и подключения к ним других офисов.

Если говорить, про VPN работающем на уровне L2, то тут всё просто. Между офисами находится MPLS свитч, отвечающий за объединение этой истории по принципу обычного коммутатора, т.е. без изменения IP-адресов. 

Соответственно в случае в L3, всё тоже самое, только с преобразованием этих самых адресов посредством маршрутизатора MPLS.

MPLS, к слову, это чисто провайдерский протокол, который в быту практически не встречается, так что просто запомните для общего развития, что такой есть.

IPSec

Но давайте вернёмся к популярному стеку сетевых протоколов для защищенной передачи данных под названием IPsec. Он обеспечивает аутентификацию, шифрование и проверку целостности передаваемых данных.

Версий данного стека существует великое множество. В новых разработках увеличивают ключи, добавляют дополнительные проверки (например, для защиты от атак типа Man-in-the-Middlе) и вообще делают его всё более безопасным.

У самого IPSec’а есть 2 режима. Транспортный и туннельный. Первый работает поверх протокола IP и шифрует содержимое IP-пакета (payload).

Недостатком этого режима является то, что адреса отправителя и получателя не шифруются, поэтому можно проанализировать адреса и объем переданной информации. Чаще всего используется для соединения между хостам.

С своё время по этому принципу пытались бороться с Телегой. Но, как говорится, не получилось, не фортунило. Тем не менее разговоры о том, что физическим лицам VPN запретить нужно на законодательном уровне идёт до сих пор.

Туннельный режим и Security Associations (SA)

Окей, туннельный режим, в свою очередь создаёт новый IP-пакет, полностью шифруя исходный. Использование туннельного режима сильно затрудняет анализ перехваченного трафика. Чаще всего используется для передачи данных через Интернет.

Сам процесс туннелирования представляет собой метод, используемый для передачи полезной нагрузки (кадра или пакета) одного протокола с использованием межсетевой инфраструктуры другого протокола.

Инкапсуляция, т.е. вложение данных или части данных в какой-то другой объект в туннеле отличается от инкапсуляции в сетевых моделях тем, что в первом случае вкладываются данные этого же или более нижних сетевых уровней. 

Базовым процессом в IPsec является SA, т.е. безопасное соединение. Это понятие включает в себя информацию о криптографических протоколах и алгоритмах, ключах шифрования и определяет какие данные будут проходить по туннелю.

Чаще всего для создания SA используется протокол ISAKMP, а для работы с ключами - протокол Internet Key Exchange. Также следует помнить, что SA является однонаправленным, т.е. для взаимодействия понадобится настроить два соединения с одной и с другой стороны.

На первом этапе узлы договариваются о методах идентификации и шифровании. Если всё завершилось успешно, то создаётся так называемый SA первой фазы и процесс переходит ко второму этапу.

В нём генерируются ключи и узлы договариваются непосредственно об используемой политике. Если вторая фаза проходит успешно, то создаётся SA 2 и установка туннеля считается завершённой.

Атаки на VPN

Что касается атак на VPN, стоит отметить, что сами по себе виртуальные частные сети, как правило и являются отправной точкой для совершения таковых.

Под угрозой обычно оказываются криптографические алгоритмы или протоколы VPN, ключи шифрования, конкретное ПО или оборудование для подключения, операционные системы, сами пользователи.

Ну и конечно же, получившие популярность в последнее время, бесплатные сервисы VPN, для которых вы становитесь самой сладкой и желанной добычей. Причём добровольно.

И это при том, что интернет пестрит новостями о сливах от данных сервисов. Буквально в начале прошлого года была новость, что в Дарке продаётся база данных 21 млн пользователей бесплатных VPN-приложений для Android.

Речь шла о приложениях GeckoVPN, SuperVPN и ChatVPN. В базе были собраны не только адреса электронной почты, пароли и логины клиентов сервисов, но и данные об их мобильных устройствах и платежах.

Ещё, как пример, можно вспомнить 20 год. Когда в СМИ была новость про участившиеся атаки в форме GRE-флуда. Такой тип атак, к слову, использовал небезызвестный ботнет Mirai.

Окей, друзья. Давайте подведём некий итог нашей порядком затянувшейся нынче беседы и разберёмся в каких случаях следует использовать VPN, а в каких не лишним будет и воздержаться.

Важно понимать, что самой технологией VPN вы пользуетесь всегда. Трафик от вашего домашнего или рабочего устройства идёт до провайдера через виртуальную частную сеть.

Зашифрован он или нет – это уже другой разговор. Но VPN так или иначе используется. Теперь что касается шифрования. В сети бытует мнение, что если вы будете использовать 100500 VPNов шифруя каждый бит передаваемой информации, то станете до*уя анонимны.

Однако на практике ситуация немножко обратная. Чем больше шифрованного трафика передаёт пользователь в сеть – тем пристальнее внимание провайдера он привлекает.

А т.к. по закону у нас все провайдеры обязаны нынче хранить этот трафик на протяжении долгого времени (спасибо за это славному пакетику Яровой) для расшифровки в случае каких-то запросов со стороны товарищ майора, то сами понимаете, чем это привлечение внимания чревато.

Меня вообще очень умиляют люди, думающие, что киберпространство лежит где-то вне границ государства. Будто это какое-то природное образование, которое развивается самостоятельно и независимо.

Ребятушки, интересуйтесь пожалуйста историей, хоть немножко. У основания всей этой движухи лежит в первую очередь министерство обороны и государственные университеты с федеральными фондами спонсируемые из соответствующей кормушки.

Именно государство создало гигансткие дата-центы с километрами кабелей, компьютеров, оптоволоконных магистралей и прочими прелестями, расходуя на это наши с вами налоги. 

Так почему вы считаете, что можете быть умнее и хитрее системы в которую вбуханы миллиарды для контроля каждого пика просто установив какую-то бесплатную или варезную прогу на свой ведрофон или допотопный ноутбук?

Не пребывайте в иллюзиях, живите, по совести, и тогда, никакой VPN, не сможет скомпрометировать ваши данные. На сим нынче всё. С вами, как обычно, был Денчик.

Напоминаю, что данная серия уроков представляет собой мой авторский курс «Информационная безопасность с нуля». Так что не забудьте после просмотра выполнить домашнее задание для закрепления практических навыков.

Ссылочка на ДЗ будет продублирована в описании.

Переходите, решайте задачи и становитесь реальными специалистом в области инфобеза. Если, конечно, действительно хотите добиться хоть чего-то в этой непростой жизни.

Не можешь понять, куда делись видео по взломам и хакингу? Они переехали в наш уютный паблик в телеге

telegram chanel

Хочешь больше контента? Подписывайся на YouTube-канал!

Курс «Диплом за неделю»

Пособие «Библия вардрайвинга»

Курс Cisco «CCNA: Introduction to Networks»

© 2022. IT-спец. Денис Курец.