Что такое VPN (виртуальная частная сеть)? Значение, определение и примеры

Что такое VPN (виртуальная частная сеть)?

VPN (виртуальная частная сеть)Технология, создающая зашифрованный и аутентифицированный туннель поверх публичной сети, чтобы трафик казался идущим по частной сети.

VPN устанавливает между двумя оконечными точками криптографически защищённый туннель, благодаря которому трафик, проходящий по недоверенным сетям, сохраняет конфиденциальность, целостность и подлинность. Реализации различаются: IPsec (RFC 4301) работает на уровне 3 с обменом ключами IKEv2; VPN на основе SSL/TLS туннелируют поверх HTTPS для бесклиентского доступа через браузер; OpenVPN использует собственный протокол на основе TLS; а WireGuard, входящий в основное ядро Linux начиная с версии 5.6, применяет фиксированный набор современных примитивов — Curve25519, ChaCha20-Poly1305, BLAKE2s — ради компактной и быстрой кодовой базы.

VPN-концентраторы являются особо ценными целями, поскольку находятся на периметре и посредничают в доступе к внутренней сети. CVE-2019-11510 — чтение произвольных файлов без аутентификации в Pulse Connect Secure (CVSS 10.0) — позволяла злоумышленникам собирать учётные данные в открытом виде и применялась для развёртывания шифровальщика REvil/Sodinokibi против больниц и государственных органов. CVE-2018-13379 — обход пути в Fortinet FortiOS SSL-VPN — приводила к утечке файлов сессий с учётными данными в открытом виде; в ноябре 2020 года публично было выложено около 50 000 наборов учётных данных устройств. Обе уязвимости продолжали эксплуатироваться ещё долго после выхода патчей.

Меры защиты: оперативно устанавливать патчи на концентраторы, требовать на туннеле устойчивую к фишингу MFA, ограничивать раздельное туннелирование (split-tunnel) там, где политика требует полной инспекции, и отслеживать журналы сессий на предмет «невозможных перемещений» и повторного использования учётных данных. Всё чаще организации заменяют широкий доступ к сети через VPN на шлюзы приложений с нулевым доверием, которые предоставляют доступ к отдельным приложениям, а не ко всей сети.

flowchart LR
  C["Клиент / оконечная точка"] -->|"1. Аутентификация + обмен ключами IKE/TLS"| G["Шлюз VPN"]
  C -->|"2. Зашифрованный туннель ESP/TLS через интернет"| G
  G -->|"3. Расшифровать и переслать"| R["Внутренние ресурсы"]
  A["Перехватчик"] -. "видит только шифртекст" .-> C

● Примеры

Удалённый сотрудник подключается через корпоративный VPN-клиент к внутренним файловым ресурсам.

Два офиса соединены IPsec-туннелем, переносящим межофисный трафик через интернет в зашифрованном виде.

● Частые вопросы

Что такое VPN (виртуальная частная сеть)?

Технология, создающая зашифрованный и аутентифицированный туннель поверх публичной сети, чтобы трафик казался идущим по частной сети. Относится к категории Сетевая безопасность в кибербезопасности.

Что означает VPN (виртуальная частная сеть)?

Технология, создающая зашифрованный и аутентифицированный туннель поверх публичной сети, чтобы трафик казался идущим по частной сети.

Как защититься от VPN (виртуальная частная сеть)?

Защита от VPN (виртуальная частная сеть) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия VPN (виртуальная частная сеть)?

Распространённые альтернативные названия: Виртуальная частная сеть.

VPN (виртуальная частная сеть)