Знакомство с виртуальными интерфейсами linux: туннели

Содержание

Что такое GRE туннель?

GRE туннель представляет собой соединение точка — точка, его можно считать одной из разновидностей VPN туннеля, без шифрования. Основное достоинство GRE это возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизации использующие его, IPSec — протокол защиты сетевого трафика на IP-уровне туннели в чистом виде этого не могут. Причин для организации GRE туннеля может быть множество от банальной необходимости пробросить свою сеть через чужое IP пространство до использования протоколов OSPF, RIPv2, EGRP совместно с IPSec. Так же GRE, в отличии от IPIP, может помочь пробросить немаршрутизируюмые протоколы, такие как NetBios, IPX, AppleTalk.

Различия между туннель GRE или IPIP:

  • IPIP — инкапсулирует только unicast IPv4-трафик
  • GRE — IPv4/IPv6 unicast/multicast трафик

Туннелирование увеличивает нагрузку на систему и сеть, потому что добавляются дополнительные IP-заголовки. Таким образом, если обычный размер пакета (MTU) в сети равен 1500 байтам, то при пересылке по туннелю, пакет будет меньше, 1476 байт для GRE и 1480 байт для IPIP. Задать MTU можно вручную или с помощью PMTUD (path MTU discovery). Основная проблема в ручной настройке MTU и/или MSS состоит в том, что по пути между вашими площадками может оказаться линк с MTU, скажем, 1300. Тут на помощь может прийти PMTUD. Протокол целиком и полностью полагается на ICMP протокол диагностики перегрузки сети unreachable messages, которые должны быть разрешены на всем пути между соседями. Cisco рекомендует устанавливать MTU в 1400 байт вне зависимости от того работает GRE поверх IPSec в туннельном или в транспортном режиме.

Туннелирование подразумевает три протокола:

  • пассажир — инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo)
  • протокол инкапсуляции (GRE)
  • транспортный протокол (IP)

Грамматика

Слово «тоннель» (или «туннель») – неодушевлённое имя существительное мужского рода 2-го склонения. Состоит из одного лишь корня. Постановка ударения и разделение переносами тон-не́ль. Падежные формы:


  • Именительный: тонне́ль; тунне́ль (ед. ч.); тонне́ли; тунне́ли (мн. ч.).
  • Родительный: тонне́ля; тунне́ля (ед. ч.); тонне́лей; тунне́лей (мн. ч.).
  • Дательный: тонне́лю; тунне́лю (ед. ч.); тонне́лям; тунне́лям (мн. ч.).
  • Винительный: тонне́ль; тунне́ль (ед. ч.); тонне́ль; тунне́ль (мн. ч.).
  • Творительный: тонне́лем; тунне́лем (ед. ч.); тонне́лями; тунне́лями (мн. ч.).
  • Предложный: тонне́ле; тунне́ле (ед. ч.); тонне́лях; тунне́лях (мн. ч.).

Исходная форма «тоннель» происходит от романского «tonne» – бочка; «tonnel» –незакупоренная бочка, бочонок, кадушка. Романский язык это поздняя площадная (разговорная) латынь, сильно разбавленная «варварскими» словами и грамматическими конструкциями. Именно романский язык послужил основой основных западноевропейских языков, кроме греческого, в то время как высокая (литературная и официальная) латынь дожила до сих пор в специальной терминологии. Столь непохожие друг на друга фламандский (верхнеголладский) и тосканский вышли из одной колыбели – романской.

Форма же «туннель» есть калька (буквальный перенос) с английского «tunnel». Английский – международный язык современности, так что формально обе формы равнозначны (простите за невольный каламбур).

What Is HTTP Tunnel?

When you type in a URL in your web browser and hit Enter on the keyboard, you set in motion a whole cascade of events that culminate in your browser displaying the requested website.

In most cases, the connection is in part facilitated by at least one proxy server, which sits between your computer and the destination server and acts as an intermediary. But proxies aren’t just simple messengers.

They can also create a direct link between two devices that would otherwise not be able to talk to each other by encapsulating data using the HTTP protocol, creating the so-called HTTP tunnel. You can think of an HTTP tunnel as a string telephone used by two neighboring kids to have secret calls late at night. As long as both parties keep the communication channel open and use a reliable encryption mechanism, they can exchange information in privacy.

Proxy servers and HTTP tunnels are the foundation of many ways to bypass internet censorship in 2020, such as TOR (The Onion Router), open source software that routes internet traffic through multiple proxies for anonymity.

Interesting Coupon Code & Promo Codes Deals:

Norton Antivirus Symantec sale deal are still available. Still open for Linux, MacOS and Windows operators. Everyone has the favor of Norton Antivirus coupon codes. With your tightened budget you can have your device or network secured cheaply. Check out at https://www.couponkarma.com/norton-antivirus-symantec/  learn more about Norton Antivirus Symantec best coupons that you probably need.

Many people are now developing a direct interest on Wondershare software Apart from the best Wondershare coupon codes The Wondershare manufacturing agency offers the mind mapping tools. The simplified PDF keep the distractions at their minimum level. Wondershare wants every person to share their best moments in life with just a single click.

Over the years Eset has been the most preferred Cyber security firm in the entire world. Their professionals have mastered all the contents internet security. The experts have gone a step further to develop multiple anti-malware product. With more than 100 million clients Eset has gained confidence from their customers in solving all internet security matters. Find Eset sale deals here https://couponkarma.com/eset/

Avira Antivirus is the major product manufactured by Avira. The multi-national company dealing with computer security software. Avira Antivirus guarantees maximum protection form malwares and viruses. Getting Avira Antivirus is simple and affordable. Learn more about Avira sale deals here. Use Avira software products to feel comfortable and free from losing your data to any third party.

Techsmith is an excellent company offering impressive screen experience. It has over 65 million users all over the world. Techsmith screen sharing abilities offers a new look on phones or computers. Different businesses and companies are competing for the Techsmith promo codes to get Techsmith important aspects used in our modern day business.

Основные компоненты туннеля

Основными компонентами туннеля являются:

  • инициатор туннеля;
  • маршрутизируемая сеть;
  • туннельный коммутатор;
  • один или несколько туннельных терминаторов.

Инициатор туннеля встраивает (инкапсулирует) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Несмотря на то, что все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Internet. Терминатор туннеля выполняет процесс, который является обратным инкапсуляции — он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети. Инкапсуляция сама по себе никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю VPN. Но инкапсуляция даёт возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путём их криптографического закрытия, т. е. зашифровывания, а целостность и подлинность — путём формирования цифровой подписи. Так как существует множество методов криптозащиты данных, необходимо чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Более того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Чтобы туннели VPN создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.

A few great features

secure tunnels

Easy HTTPS

Instantly create a public HTTPS url for a website running locally on your development machine. ngrok offloads TLS so you don’t have to worry about your configuration.

Authenticated Access

Set HTTP auth credentials to protect access to your tunnel and those you share it with. ngrok also supports other authentication methods.  Add OAuth to your endpoints automatically; no code required.

developer friendly

Fast & Reliable

ngrok tunnels run using an optimized version of the technology that powers HTTP/2 so that your tunneled services load fast. ngrok runs in multiple regions and availability zones around the globe, ensuring that your tunnels are always online.

Target Virtual-Host Sites

Rewrite the Host header of tunneled requests to target a specific site in your WAMP/MAMP/Pow development environment.

ngrok http -host-header=mysite.dev 80

No More Port Forwarding


Don’t configure port forwarding on your router or waste time setting up dynamicDNS solutions. ngrok works everywhere with no changes, even when a device changes networks.

Automate with the ngrok API

Dynamically start, stop and query tunnel status all with a simple RESTful API. Reconfigure the behavior of your tunnels on the fly.

be more productive

Request Inspection

Use ngrok’s web inspection interface to understand the HTTP request and response traffic over your tunnel.

http://localhost:4040

Multiple Simultaneous Tunnels

Run multiple tunnels simultaneously with a single ngrok client.

ngrok start demo-site ssh admin-ui

Easily Build Services that Respond to Webhooks

Use ngrok URLs to configure public webhooks to a private service.  Easily develop and debug webhook integrations by simply ‘replaying’ webhook requests to your dev server.

Shared Account Access for Teams

Accounts can share access to reserved domains and addresses allowing multiple developers to collaborate on a project while still having their own credentials.

Минус разнообразие: Hotspot Shield

Hotspot Shield — еще одно приложение из серии VPN на Android. Оно предлагает туннелировать трафик через 10 различных стран и тоже позволяет настроить использование VPN только для определенных приложений. Трафик в приложении не ограничен: оно делает больно по-другому.

Одна из важнейших функций для VPN — выбор страны, через которую будет проходить трафик — доступна только в премиум-версии. То есть, при бесплатном использовании приложение само рандомным образом подбирает вам сервер для туннелирования, и выйдя из России, вы попадаете обратно в Россию (и зачем только ставили VPN?) Кроме того, приложение основательно набито рекламой.

Разгадка такого странного решения кроется в самом названии приложения: «щит» для WiFi-точек. Если вы не собираетесь обходить блокировки, а просто хотите защитить свои данные, подключаясь к WiFi в публичных местах, то это приложение для вас.

Какие дополнительные возможности у вашей системы существуют?

Да, такие возможности есть. Вот их перечень:

  • «Белый список» — список IP адресов, с которых vpnki будет принимать соединения ваших туннелей. Этот список пользователь может сформировать сам. Список можно использовать для повышения защищенности вашей частной сети
  • «Статистика подключений» и «События безопасности» — эта информация на вашей личной странице, которая позволит вам упростить поиск неисправностей
  • «Гостевой доступ» — это создание определенных ограничений для выбранного туннеля. Вы сможете ограничить трафик для «гостя» в своей внутренней сети
  • «Туннель как маршрут по умолчанию» — это способ перенаправить Интернет-трафик всех ваших туннелей через общий, выбранный вами ваш туннель
  • «Оповещения о подключении/отключении по почте» —  способ мониторинга подключения/отключения туннелей. Полезен для поиска неисправностей и в целях безопасности
  • «Инструменты» — это отображение различной информации вашего виртуального маршрутизатора. Среди этих данных — таблица маршрутов, результат команды ping, правила межсетевого экрана, результат запроса определенного порта TCP по протоколу http
  • «Состояние туннелей» — интерактивная страница со статусом подключения ваших туннелей с возможностью принудительного отключения со стороны сервера

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ

Немного более подробно про IP адреса можно прочитать на нашем сайте

Про выход в Интернет через VPN и центральный офис можно почитать здесь

Про удалённый доступ к компьютеру можно почитать на нашем сайте

Про VPN и протоколы можно почитать здесь

Кто может «видеть» мой трафик?

Трафик туннелей различных пользователей разделен и можно сказать, что пользовательские сети «живут» в отдельных сегментах. Такая архитектура описывается термином VRF (Virtual Route Forward) и позволяет пользователям иметь собственные таблицы маршрутов и правила обмена трафиком. Благодаря этой технологии пользовательский трафик не смешивается, а центральная точка обмена трафиком получает возможность успешной маршрутизации пересекающихся пользовательских сетей. Поэтому система маршрутизирует трафик из частных адресных пространств 192.168.x.x для многих пользователей одновременно, не используя при этом трансляции адресов (NAT) и не давая пользователям взаимодействовать друг с другом.

Вы не сможете получить доступ к туннелям «соседнего пользователя», даже если будете знать используемые им адреса, так же и в обратную сторону — никакой «соседний пользователь» системы не сможет получить доступ к вашей частной сети.

Как было сказано выше, мы не мониторим и не храним ваш трафик. Однако, для целей решения технических проблем мы можем это делать с вашим участием и по вашей просьбе.

Можно чуть подробнее о том, как все работает?

После того, как вы зарегистрировались и вошли в систему, вам предоставляется возможность создания «туннелей».

Для каждого туннеля вам автоматически назначено имя, а пароль вы придумаете сами. Имя и пароль туннеля вам необходимо будет прописать на своем устройстве – маршрутизаторе, телефоне и т.д. При создании туннеля для вашего устройства будет зарезервирован IP-адрес и вы можете видеть его в личном кабинете. Этот адрес выглядить приблизительно как 172.16.xxx.xxx Поменять этот адрес, как и назначенное имя вы не можете. Однако вы может просто создать новый туннель, удалив старый.


Следующим шагом, для каждого из туннелей, вам будет необходимо описать адресацию сети, которая расположена ЗА данным устройством. Например, для туннеля «user123» нужно будет указать адресацию домашней сети в виде 192.168.10.0/24. После выполнения указанных шагов система готова к приему соединений от ваших устройств. При успешном установлении соединения и проверки имени и пароля на ваше устройство могут быть переданы доступные маршруты из вашей единой сети по протоколу DHCP (опции 121 и 249). Это произойдет в том случае, если ваше устройство запросит такую информацию, используя запрос DHCP-Inform.

В случае отсутствия возможности у устройства получения IP-адреса по протоколу DHCP (Android, Linux), вам будет необходимо прописать в ручном режиме маршруты в настройках соединения. Применение настроек маршрутизации на сервере vpnki и передача маршрутов пользовательским устройствам осуществляется ТОЛЬКО при следующем подключении, поэтому в целях тестирования всегда осуществляйте переподключение.

И не только эти

В специальной литературе, технических руководствах и описаниях под названиями «тоннель» или «туннель» нередко фигурируют самые различные каналы, проёмы, просветы, проходы. К примеру, замурованные в фундамент или стену дома трубы для прокладки (проводки) инженерных коммуникаций, и даже пробитые в стенах проёмы того же назначения. Воздушным тоннелем или туннелем может быть назван воздуховод, ведущий от воздухозаборника к двигателю. Причём не только в авиации, но и, скажем, в инструкции по уходу за колёсным скутером или лодочным мотором. В судостроении «дейдвуд» или «дейдвудный узел», похоже, остался только в старых книгах – ныне это тоннель гребного вала, валопровод от судовой машины на гребной винт. В подобных ситуациях, выбирая соответствующее общему смыслу написание, нужно сообразовываться в первую очередь с оригиналом, например: «В вашей инструкции сказано, что воздушный туннель нужно чистить, а чем и как, если он с крутым изгибом?» Или же ориентироваться по происхождению источника: если тот англоязычный, то в своём изложении предпочтительнее писать «туннель», а во всех прочих случаях «тоннель».

***

ПишемПравильно.ру

Правописание этих слов надо знать:

Проверить еще слово:

Почему когда я пингую устройство в своей сети через ваши туннели, то пинги проходят не сразу?

Да, так сделано специально для подключений по протоколам PPTP и L2TP. Дело в том, что многие пользователи подключают свое дачное оборудование по низкоскоростным каналам. В этом случае, запрос от клиента на выдачу адресов и маршрутов по протоколу DHCP приходит с очень большой задержкой. Мы ввели таймаут для ожидания подобного запроса от всех клиентов. Сейчас этот таймаут составляет около 8 секунд. Через 8 секунд система считает, что запрос DHCP от клиента уже не придет и подключает его окончательно.

Этот таймаут не используется при подключениях по OpenVPN, так как внутри данного протокола реализован иной механизм передачи адресов и маршрутов. 

Как происходит инкапсуляции заголовка GRE в IP-пакет?

GRE-заголовок накладывается «поверх» стандартного IP-пакета. При этом в самом GRE-заголовке содержится так называемый Tunnel IP Header. Именно в нем содержится информация о tunnel source и tunnel destination.

Данные адреса вкладываются в основной пакет, когда он отправляется в публичную сеть. В поле Control Information оригинального IP-пакета содержатся исходные IP-адреса источника и назначения. Таким образом, локальные серые IP-адреса скрыты в пакете, а в маршрутизации участвуют только те адреса которые мы указали в tunnel source и tunnel destination. При передаче пакета в локальную сеть GRE-заголовок отбрасывается и остается «чистый» IP-пакет.

IPIP и GRE тунели

Рассмотрим два типа туннелей: IPIP и GRE – это туннели ядерного уровня.

IPIP

IPIP-туннель (IP-within-IP Encapsulation Protocol).

В IP-пакет вместо TCP, UDP или любого другого пакета заворачивается еще один IP-пакет, а в поле “протокол” ставится соответствующий номер IPIP — 94. Через IPIP- тоннель нельзя передавать broadcast, multicast и пакеты IPv6. Можно соединить только две сети IPv4, которые в обычной ситуации не могли бы работать друг с другом.

GRE

GRE-туннель (General Routing Encapsulation).

GRE — это протокол туннелирования (инкапсуляции), который был разработан фирмой Cisco. По туннелям этого типа могут передаваться broadcast, multicast пакеты и IPv6. Также GRE-туннели обладают опциональным атрибутом key в виде произвольного 4-байтового числа, который позволяет сконфигурированный несколько GRE-туннелей между одной парой IP-адресов основной сети (в отличии от IPIP-туннелей, в которых это невозможно). Номер протокола GRE – 47.

Данные по обоим типам туннелей передаются в не зашифрованном виде, рекомендуется в связке c IPIP или GRE использовать IPSec.

Режимы работы IPsec(транспортный, туннельный)

Существует два режима работы IPsec: транспортный режим и туннельный режим(когда в транспортном режиме работают только маршрутизаторы).

IPsec может быть использован или для непосредственного шифрования трафика между двумя хостами (транспортный режим); или для построения «виртуальных туннелей» между двумя подсетями, которые могут быть использованы для защиты соединений между двумя корпоративными сетями (туннельный режим). Туннельный режим обычно называют виртуальной частной сетью (Virtual Private Network, Что это такое VPN).

В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE туннели и др.).

Транспортный режим
IP заголовок ESP/AH заголовок L4 payload

В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети. В туннельном режиме инкапсулируется весь исходный IP пакет, и добавляется новый IP заголовок.

Туннельный режим
IP заголовок ESP/AH заголовок исходный IP заголовок L4 payload

Если используется IPsec совместно с GRE туннели, который инкапсулирует исходный пакет и добавляет новый IP заголовок, логично использовать транспортный режим.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

Security Associations (SA). Для возможности проводить инкапсуляцию/декапсуляцию стороны участвующие в процессе обмена должны иметь возможность хранить секретные ключи, алгоритмы и IP адреса. Вся эта информация хранится в Ассоциациях Безопасности (SA), SA в свою очередь хранятся в Базе данных Ассоциаций Безопасности (SAD). , позволяет задать например mode transport | tunnel | ro | in_trigger | beet — режим безопасной ассоциации. Соответственно, может принимать одно из значений, означающих транспортный, тоннельный, beet (Bound End-to-End Tunnel), оптимизации маршрута (route optimization) или in_trigger режимы. (последние два используются в контексте mobile ipv6).

Security Policy (SP) — политика безопасности, хранится в SPD (База данных политик безопасности). SA специфицирует, как IPsec предполагает защищать трафик, SPD в свою очередь хранит дополнительную информацию, необходимую для определения какой именно трафик защищать и когда. SPD может указать для пакета данных одно из трёх действий: отбросить пакет, не обрабатывать пакет с помощью IPSec, обработать пакет с помощью IPSec. В последнем случае SPD также указывает, какой SA необходимо использовать (если, конечно, подходящий SA уже был создан) или указывает, с какими параметрами должен быть создан новый SA. SPD является очень гибким механизмом управления, который допускает очень хорошее управление обработкой каждого пакета. Пакеты классифицируются по большому числу полей, и SPD может проверять некоторые или все поля для того, чтобы определить соответствующее действие. Это может привести к тому, что весь трафик между двумя машинами будет передаваться при помощи одного SA, либо отдельные SA будут использоваться для каждого приложения, или даже для каждого TCP соединения.

Минус приватность: Hola

Пожалуй, самый скандальный пример, как эксплуатируют пользователей, падких на бесплатное. Hola VPN — замечательное приложение для Android, предоставляющее доступ к виртуальной частной сети. С помощью него можете пустить трафик разных популярных приложений для Android через VPN.

В приложении доступно туннелирование трафика через огромное количество стран, отсутствует реклама, сервис очень быстро работает (обычно VPN несколько замедляет соединение), и у вас даже никто не просит купить Premium-подписку. Пожалуй, на первый взгляд, это лучшая бесплатная VPN для Android.

Однако, за все это великолепие вы заключаете с сервисом молчаливый договор о том, что через ваше устройство будет пропускаться трафик других клиентов сервиса — причем тех, которые платят. Вы автоматически становитесь участником P2P-сети. Разработчики скрывали этот факт, пока он со скандалом не был выявлен исследователями. Впрочем, сервис оправдывается тем, что использует ваше устройство только в фоновом режиме и пропускает через вас не более 6 Мбайт в сутки. Но хотите ли вы за бесплатный и быстрый анонимный серфинг туннелировать через себя разных мошенников — решать вам.

Сколько же у вас услуг? Что-то я запутался…

Всего базовых услуг четыре:

— объединение ваших VPN туннелей и организация единой сети, с возможностью маршрутизации ваших частных сетей вида 10.0.0.0, 192.168.0.0

— один VPN туннель от вашего модема (маршрутизатора) и доступ к сети за ним через HTTP и SOCKS5 прокси с авторизацией по логину/паролю

— один VPN туннель от вашего модема (маршрутизатора) и доступ к внутреннему ресурсу, расположенного в частной сети (например 192.168.1.1)  через специализированное доменное имя вида https://your-name.vpnki.ru — Публикация URL

— один VPN туннель от вашего модем (маршрутизатора) и доступ к определенному TCP порту домашнего устройства через специальный внешний порт на адресе msk.vpnki.ru:XXXXX — Проброс TCP порта


Вы можете использовать все четыре услуги одновременно в зависимости от потребностей.

История атак через DNS-туннелирование

У всего есть начало, включая идею захвата DNS-протокола для хакерских целей. Насколько мы можем судить, первое такой атаки проводилось Оскаром Пирсаном (Oskar Pearson) в почтовой рассылке Bugtraq в апреле 1998 года.

К 2004 году, DNS-туннелирование было представлено на Black Hat как хакерский метод в презентации Дэна Каминского (Dan Kaminsky). Таким образом, идея очень быстро переросла в настоящий инструмент атаки.

На сегодня DNS-туннелирование занимает уверенные позиции на карте (и блогеров в сфере информационной безопасности часто просят его объяснить).

Слышали ли вы о ? Это действующая кампания киберпреступных группировок — скорее всего, спонсируемая государством, — направленная на захват легитимных DNS-серверов с целью перенаправления DNS-запросов на собственные сервера. Это означает, что организации будут получать «плохие» IP-адреса, указывающие на поддельные веб-страницы под управлением хакеров, — например, Google или FedEx. При этом злоумышленники смогут заполучить учётные записи и пароли пользователей, которые те неосознанно введут их на таких поддельных сайтах. Это не DNS-туннелирование, но просто ещё одно скверное последствие контроля DNS-серверов хакерами.

Безопасность

Если используется обыкновенное подключение к сети, трафик передается от пользователя напрямую интернет провайдеру. Информация передается в открытом виде, и третьи лица могут получить к ней доступ. Туннелирование позволяет создать защищенный канал, по которому информация передается в зашифрованном виде на сервер, а ключи шифрования есть только у пользователя и сервера. Получить доступ к информации пользователя можно, лишь имея физический доступ к серверу в момент подключения. Большинство крупных провайдеров VPN услуг никогда не сохраняют логи, а физический доступ к их серверам практически исключен. Хотя трафик расшифровывается на сервере, определить конкретного пользователя, который делал этот запрос невозможно – к ВПН подключаются одновременно сотни хостов.

Методы шифрования в туннелях

ВПН туннель – это своеобразный защищенный мост между устройством пользователя и сервером, где данные шифруются при помощи надежных 256-битных алгоритмов. Некоторые сервисы используют 128 битные AES. Даже такие ключи взломать невозможно – используя метод грубого перебора (брутфорса) это заняло бы миллионы лет.

Типы протоколов в VPN туннелях

Самый распространенный среди ВПН сервисов протокол передачи данных в ВПН сетях — OpenVPN. Он использует стандартные TCP и UDP запросы, что позволяет скрыть использование VPN подключения. Пакеты данных шифруются 256-битным шифрованием, а для его работы нужно только соответствующее клиентское приложение. PPTP – самый простой программный протокол. Используется для установления связи типа точка-точка. Для авторизации использует пароль. Шифрование отсутствует, его область применения — настройка соединений программными средствами операционных систем L2TP, IPSec. L2tp это более совершенная версия PPTP, но шифрование у протокола по-прежнему отсутствует. L2TP используется в связке с IPSec – протоколом, шифрующим пакеты данных и обеспечивающим безопасность. Главный недостаток IPsec – сложная настройка клиентских приложений. PPTP или IPSec гораздо менее стабильные протоколы, чем OpenVPN. Хотя для настройки виртуальной сети через PPTP не требуется никаких дополнительных программ, PPTP требует поддержки GRE47, из-за чего может нестабильно работать под сетевым экраном (NAT) и требовать долгих настроек.

Как установить и настроить VPN туннель

Туннелирование VPN может использоваться для объединения двух локальных сетей, к примеру внутренних сетей двух филиалов одной организации для безопасного обмена информацией. Сделать VPN туннель можно как при помощи стороннего ПО, вроде программы OpenVPN, так и при помощи встроенных средств ОС.

Создание ВПН туннеля

Самой простой задачей, для которой может потребоваться VPN туннели – получение доступа к домашнему ПК из любой точки мира. Нередки ситуации, когда человек уезжает в командировку в страну, в которой доступ к соцсетям или любимым ресурсам заблокирован. Чтобы не платить деньги ВПН-провайдерам, достаточно настроить vpn туннель между мобильным устройством и домашним ПК. Собственный VPN туннель будет совершенно бесплатным. Доступ к сайтам восстановится, а скорость работы будет всегда большой, ведь к домашнему ПК подключается только один пользователь.

Порядок настройки

В первую очередь, необходимо обеспечить статический ip-адрес для ПК, к которому планируется подключаться.

  • Ключ, сертификат ca.crt, ca.key
  • Ключ, сертификат сервера server.crt server.key.
  • Ключ, сертификат клиента cl1.crt cl1.key
  • Параметры DiffieHellman dh1024.pem.
  • Ключ TLS для аутентификации пакетов ta.key
  1. После этого создаются файлы конфигурации клиента (.ovpn), где указываются ip адрес с местоположением ключей.
  2. Последним шагом настраиваются брандмауэр и маршрутизация.

При помощи мобильного приложения OpenVPN Connect и файла конфигурации, можно подключиться по защищенному ВПН туннелю к домашнему ПК из любой точки мира.

ExpressVPN

1 место. Лучшее предложение на рынке VPN Сервисов

  • Скидка 49%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

2 место в рейтинге VPNside

  • Скидка 41%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

3 место в рейтинге VPNside

  • Скидка 70%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

Как работает DNS-туннелирование

Так или иначе, по своей сути DNS-протокол занимается передачей запроса на сервер и его ответа обратно клиенту. А что, если злоумышленник добавит срытое сообщение внутрь запроса доменного имени? Например, вместо ввода вполне легитимного URL, он введёт данные, которые хочет передать:

Управляя сервером, хакеры могут подделывать ответы и отправлять данные обратно на целевую систему. Это позволяет им передавать сообщения, спрятанные в различных полях DNS-ответа, во вредоносное ПО на заражённой машине, с указаниями наподобие поиска внутри определённой папки.

«Туннелирующая» часть данной атаки заключается в данных и команд от обнаружения системами мониторинга. Хакеры могут использовать наборы символов base32, base64 и т.д., или даже шифровать данные. Такая кодировка пройдёт незамеченной мимо простых утилит обнаружения угроз, которые осуществляют поиск по открытому тексту.

И это и есть DNS-туннелирование!


С этим читают