Zamislite scenu iz filma punog akcije u kojoj negativac bježi s mjesta zločina duž autoputa u sportskom automobilu. Progoni ga policijski helikopter. Auto ulazi u tunel koji ima nekoliko izlaza. Pilot helikoptera ne zna sa kojeg izlaza će se automobil pojaviti, a zlikovac pobjegne od potjere.
VPN je tunel koji povezuje mnoge puteve. Niko spolja ne zna gdje će završiti automobili koji ulaze u njega. Niko spolja ne zna šta se dešava u tunelu.
Vjerovatno ste više puta čuli za VPN. Lifehacker takođe govori o ovoj stvari. Najčešće se preporučuje VPN jer pomoću mreže možete pristupiti geoblokiranom sadržaju i općenito povećati sigurnost prilikom korištenja interneta. Istina je da pristup internetu putem VPN-a ne može biti ništa manje opasan od direktnog.
Kako funkcioniše VPN?
Najvjerovatnije kod kuće imate Wi-Fi ruter. Uređaji povezani na njega mogu razmjenjivati podatke čak i bez interneta. Ispostavilo se da imate svoju privatnu mrežu, ali da biste se na nju povezali, morate biti fizički na dohvat signala rutera.
VPN (Virtual Private Network) je virtuelna privatna mreža. Radi na Internetu, tako da se na njega možete povezati s bilo kojeg mjesta.
Na primjer, kompanija za koju radite može koristiti virtualnu privatnu mrežu za udaljene radnike. Koristeći VPN povezuju se na svoju radnu mrežu. Istovremeno, njihovi računari, pametni telefoni ili tableti virtuelno se prenose u kancelariju i povezuju na mrežu iznutra. Da biste se prijavili na virtuelnu privatnu mrežu, morate znati adresu VPN servera, login i lozinku.
Korištenje VPN-a je prilično jednostavno. Tipično, kompanija instalira VPN server negdje na lokalnom računalu, serveru ili podatkovnom centru i povezuje se s njim pomoću VPN klijenta na uređaju korisnika.
Danas su ugrađeni VPN klijenti dostupni u svim trenutnim operativnim sistemima, uključujući Android, iOS, Windows, macOS i Linux.
VPN veza između klijenta i servera je obično šifrirana.
Dakle, VPN je dobar?
Da, ako ste vlasnik preduzeća i želite da zaštitite korporativne podatke i usluge. Puštanje zaposlenih u radno okruženje samo preko VPN-a i računi, uvijek ćete znati ko je šta radio i radi.
Štoviše, vlasnik VPN-a može pratiti i kontrolirati sav promet koji ide između servera i korisnika.
Da li vaši zaposleni provode puno vremena na VKontakteu? Možete blokirati pristup ovoj usluzi. Da li Genadij Andrejevič pola svog radnog dana provodi na sajtovima sa memovima? Sva njegova aktivnost se automatski bilježi u dnevnike i postaće gvozdeni argument za otkaz.
Zašto onda VPN?
VPN vam omogućava da zaobiđete geografska i zakonska ograničenja.
Na primjer, vi ste u Rusiji i želite. Žao nam je što saznajemo da ova usluga nije dostupna u Ruskoj Federaciji. Možete ga koristiti samo pristupanjem Internetu preko VPN servera u zemlji u kojoj Spotify posluje.
U nekim zemljama postoji internet cenzura koja ograničava pristup određenim stranicama. Želite da pristupite nekom resursu, ali on je blokiran u Rusiji. Stranicu možete otvoriti samo pristupanjem Internetu preko VPN servera zemlje u kojoj nije blokirana, odnosno iz gotovo bilo koje zemlje osim Ruske Federacije.
VPN je korisna i neophodna tehnologija koja se dobro nosi s određenim nizom zadataka. Ali sigurnost ličnih podataka i dalje zavisi od integriteta vašeg provajdera VPN usluge zdrav razum, svesnost i internet pismenost.
Internet se sve više koristi kao sredstvo komunikacije između računara jer nudi efikasnu i jeftinu komunikaciju. Međutim, Internet je mreža zajednička upotreba a da bi se kroz njega osigurala sigurna komunikacija, potreban je određeni mehanizam koji zadovoljava najmanje sljedeće zadatke:
povjerljivost informacija;
integritet podataka;
dostupnost informacija;
Ove zahtjeve ispunjava mehanizam koji se zove VPN (Virtualna privatna mreža) - generalizirani naziv za tehnologije koje omogućavaju pružanje jedne ili više mrežnih veza (logička mreža) preko druge mreže (na primjer, Interneta) koristeći kriptografiju (šifriranje, autentifikaciju). , infrastruktura) javni ključevi, sredstva za zaštitu od ponavljanja i promjena u porukama koje se prenose preko logičke mreže).
Kreiranje VPN-a ne zahtijeva dodatna ulaganja i omogućava vam da prestanete koristiti namjenske linije. Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste veza: domaćin-host, host-mreža i mreža-mreža.
Radi jasnoće, zamislimo sljedeći primjer: preduzeće ima nekoliko geografski udaljenih filijala i „mobilne“ zaposlene koji rade kod kuće ili na putu. Neophodno je ujediniti sve zaposlene u preduzeću u jedinstvenu mrežu. Najlakši način je instalirati modeme u svaku granu i organizirati komunikaciju po potrebi. Ovo rješenje, međutim, nije uvijek zgodno i isplativo – ponekad je potrebna stalna komunikacija i velika propusnost. Da biste to učinili, morat ćete ili postaviti posebnu liniju između grana ili ih iznajmiti. Oba su prilično skupa. I ovdje, kao alternativu, pri izgradnji jedne sigurne mreže možete koristiti VPN konekcije svih ogranaka kompanije putem interneta i konfigurirati VPN alate na mrežnim hostovima.
Rice. 6.4. Site-to-site VPN veza
Rice. 6.5. Vrsta VPN veze host mreža
U ovom slučaju se rješavaju mnogi problemi - podružnice se mogu nalaziti bilo gdje u svijetu.
Opasnost je da, prvo, otvorenu mrežu otvoren je za napade napadača iz cijelog svijeta. Drugo, svi podaci se prenose putem Interneta u čistom tekstu, a napadači će, nakon što su hakovali mrežu, sve informacije prenijeti preko mreže. I treće, podaci se ne mogu samo presresti, već i zamijeniti tokom prijenosa kroz mrežu. Napadač bi, na primjer, mogao narušiti integritet baza podataka djelujući u ime klijenata jedne od povjerljivih grana.
Kako bi spriječili da se to dogodi, VPN rješenja koriste značajke kao što su šifriranje podataka kako bi se osigurao integritet i povjerljivost, autentifikacija i autorizacija za provjeru korisničkih prava i omogućavanje pristupa virtuelnoj privatnoj mreži.
VPN veza se uvijek sastoji od kanala od tačke do tačke, poznatog i kao tunel. Tunel se stvara na nezaštićenoj mreži, a to je najčešće internet.
Tuneliranje ili enkapsulacija je metoda prenošenja korisnih informacija kroz posrednu mrežu. Ove informacije mogu biti okviri (ili paketi) drugog protokola. Kod enkapsulacije, okvir se ne prenosi onako kako ga je generirao host koji šalje, već ima dodatno zaglavlje koje sadrži informacije o rutiranju koje omogućava da inkapsulirani paketi prođu kroz posrednu mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i prenose primaocu. Obično tunel kreiraju dva rubna uređaja postavljena na ulaznim tačkama u javnu mrežu. Jedna od jasnih prednosti tuneliranja je ta što ova tehnologija omogućava šifriranje cijelog izvornog paketa, uključujući i zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža, itd. ) .
Iako je VPN tunel uspostavljen između dvije točke, svaki čvor može uspostaviti dodatne tunele s drugim čvorovima. Na primjer, kada tri udaljene stanice trebaju kontaktirati istu kancelariju, tri odvojena VPN tunela će biti kreirana do tog ureda. Za sve tunele, čvor na strani ureda može biti isti. To je moguće jer čvor može šifrirati i dešifrirati podatke u ime cijele mreže, kao što je prikazano na slici:
Rice. 6.6. Kreiranje VPN tunela za više udaljenih lokacija
Korisnik uspostavlja vezu sa VPN gateway-om, nakon čega korisnik ima pristup internoj mreži.
Unutar privatne mreže, sama enkripcija se ne događa. Razlog je što se ovaj dio mreže smatra sigurnim i pod direktnom kontrolom, za razliku od interneta. To vrijedi i za povezivanje ureda pomoću VPN pristupnika. Ovo osigurava da samo informacije koje se prenose nesigurnim kanalom između ureda budu šifrirane.
Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišćeni protokoli su:
PPTP (Point-to-Point Tunneling Protocol) - ovaj protokol je postao prilično popularan zbog svog uključivanja u Microsoftove operativne sisteme.
L2TP (Layer-2 Tunneling Protocol) – kombinuje L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi u kombinaciji sa IPSec.
IPSec (Internet Protocol Security) je zvanični Internet standard koji je razvila zajednica IETF (Internet Engineering Task Force).
Navedene protokole podržavaju D-Link uređaji.
PPTP protokol je prvenstveno namijenjen virtuelnim privatnim mrežama baziranim na dial-up konekcijama. Protokol omogućava daljinski pristup, omogućavajući korisnicima da uspostave dial-up veze sa internet provajderima i kreiraju siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP nije prvobitno bio namijenjen stvaranju tunela između lokalnih mreža. PPTP proširuje mogućnosti PPP-a, protokola podatkovne veze koji je prvobitno dizajniran da enkapsulira podatke i isporučuje ih putem veze od točke do točke.
PPTP protokol vam omogućava da kreirate sigurne kanale za razmjenu podataka preko različitih protokola - IP, IPX, NetBEUI, itd. Podaci iz ovih protokola se pakuju u PPP okvire i enkapsuliraju korištenjem PPTP protokola u pakete IP protokola. Zatim se prenose korištenjem IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijemni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardni način, tj. izdvaja IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP protokol stvara point-to-point vezu u mreži i prenosi podatke preko kreiranog sigurnog kanala. Glavna prednost inkapsuliranja protokola kao što je PPTP je njihova višeprotokolska priroda. One. Zaštita podataka na sloju veze podataka je transparentna za protokole mrežnog i aplikacijskog sloja. Stoga se unutar mreže kao transport može koristiti i IP protokol (kao u slučaju VPN-a zasnovanog na IPSec-u) i bilo koji drugi protokol.
Trenutno, zbog lakoće implementacije, PPTP protokol se široko koristi kako za dobijanje pouzdanog bezbednog pristupa korporativnoj mreži tako i za pristup mrežama internet provajdera, kada klijent treba da uspostavi PPTP vezu sa Internet provajderom da bi dobio pristup. na Internet.
Metoda šifriranja koja se koristi u PPTP-u specificirana je na razini PPP-a. Tipično, PPP klijent je desktop računar koji koristi Microsoft operativni sistem, a protokol za šifrovanje je Microsoft point-to-point encryption (MPPE). Ovaj protokol je baziran na RSA RC4 standardu i podržava 40- ili 128-bitnu enkripciju. Za mnoge aplikacije ovog nivoa enkripcije, upotreba ovog algoritma je sasvim dovoljna, iako se smatra manje sigurnim od nekih drugih algoritama za enkripciju koje nudi IPSec, posebno od 168-bitnog standarda trostrukog šifriranja podataka (3DES) .
Kako se uspostavlja vezaPPTP?
PPTP inkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti kreiraju kontrolnu vezu tunela koja održava kanal u radu. Ovaj proces se izvodi na transportnom sloju OSI modela. Nakon kreiranja tunela, klijentski računar i server počinju da razmjenjuju servisne pakete.
Osim PPTP kontrolne veze, kreira se veza za prosljeđivanje podataka kroz tunel. Enkapsulacija podataka prije slanja u tunel uključuje dva koraka. Prvo se kreira informacijski dio PPP okvira. Podaci teku od vrha do dna, od sloja aplikacije OSI do sloja veze podataka. Primljeni podaci se zatim šalju prema OSI modelu i inkapsuliraju protokolima gornjeg sloja.
Podaci iz sloja veze stižu do transportnog sloja. Međutim, informacije se ne mogu poslati na svoje odredište, jer je za to odgovoran sloj OSI veze podataka. Stoga, PPTP šifrira polje korisnog opterećenja paketa i preuzima funkcije drugog sloja koje obično pripadaju PPP-u, tj. dodavanje PPP zaglavlja i prikolice PPTP paketu. Ovo dovršava kreiranje okvira sloja veze. Zatim, PPTP inkapsulira PPP okvir u paket generičke enkapsulacije rutiranja (GRE), koji pripada mrežnom sloju. GRE inkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi se omogućio njihov prijenos preko IP mreža. Međutim, korištenje samo GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Ovo koristi sposobnost PPTP-a da kreira vezu za kontrolu tunela. Korištenje GRE kao metode enkapsulacije ograničava opseg PPTP-a samo na IP mreže.
Nakon što je PPP okvir inkapsuliran u okvir sa GRE zaglavljem, enkapsulacija se izvodi u okviru sa IP zaglavljem. IP zaglavlje sadrži izvornu i odredišnu adresu paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.
On pirinač. 6.7 Prikazana je struktura podataka za prosljeđivanje preko PPTP tunela:
Rice. 6.7. Struktura podataka za prosljeđivanje preko PPTP tunela
Uspostavljanje VPN-a zasnovanog na PPTP-u ne zahtijeva velike troškove niti složena podešavanja: dovoljno je instalirati PPTP server u centralu (PPTP rješenja postoje i za Windows i za Linux platforme), te izvršiti potrebna podešavanja na klijentskim računarima. Ako trebate kombinirati nekoliko grana, onda je umjesto postavljanja PPTP-a na svim klijentskim stanicama bolje koristiti internet ruter ili firewall s podrškom za PPTP: postavke se vrše samo na rubnom ruteru (firewall) spojenom na Internet, sve je apsolutno transparentno za korisnike. Primjeri takvih uređaja su multifunkcionalni internet ruteri serije DIR/DSR i firewall serije DFL.
GRE-tuneli
Generička enkapsulacija rutiranja (GRE) je protokol enkapsulacije mrežnih paketa koji obezbjeđuje tuneliranje saobraćaja kroz mreže bez enkripcije. Primjeri korištenja GRE:
prijenos prometa (uključujući emitiranje) putem opreme koja ne podržava određeni protokol;
tuneliranje IPv6 saobraćaja preko IPv4 mreže;
prijenos podataka kroz javne mreže za implementaciju sigurne VPN veze.
Rice. 6.8. Primjer kako funkcionira GRE tunel
Između dva rutera A i B ( pirinač. 6.8) postoji nekoliko rutera, GRE tunel vam omogućava da obezbedite vezu između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su ruteri A i B direktno povezani.
L2 TP
Protokol L2TP nastao je kao rezultat kombinacije PPTP i L2F protokola. Glavna prednost L2TP protokola je što vam omogućava da napravite tunel ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao transport i koristi isti format poruke i za kontrolu tunela i za prosljeđivanje podataka.
Kao i kod PPTP-a, L2TP započinje sastavljanje paketa za prijenos u tunel tako što prvo dodaje PPP zaglavlje u PPP informacijsko polje, a zatim L2TP zaglavlje. Rezultirajući paket je enkapsuliran u UDP. Ovisno o odabranom tipu IPSec sigurnosne politike, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte odjeljak "L2TP preko IPSec"). Zatim se inkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljaoca i primaoca. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. On pirinač. 6.9 prikazuje strukturu podataka za prosljeđivanje preko L2TP tunela.
Rice. 6.9. Struktura podataka za prosljeđivanje preko L2TP tunela
Računar koji prima podatke prima podatke, obrađuje PPP zaglavlje i završetak i uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost polja IP informacija, a IPSec ESP zaglavlje pomaže dešifriranju paketa.
Računar zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo podatke o korisnom učitavanju koji se obrađuju ili prosljeđuju određenom primaocu.
IPsec (skraćenica od IP Security) je skup protokola za osiguranje zaštite podataka koji se prenose preko Internet protokola (IP), omogućavajući autentifikaciju i/ili šifriranje IP paketa. IPsec takođe uključuje protokole za sigurnu razmenu ključeva preko Interneta.
IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju vlastita zaglavlja - enkapsulacija. Jer IPSec je Internet standard i za njega postoje RFC-ovi:
RFC 2401 (Sigurnosna arhitektura za Internet Protocol) – sigurnosna arhitektura za IP protokol.
RFC 2402 (IP autentifikacijsko zaglavlje) – IP autentifikacijsko zaglavlje.
RFC 2404 (Upotreba HMAC-SHA-1-96 unutar ESP-a i AH) – upotreba SHA-1 algoritma za heširanje za kreiranje zaglavlja za provjeru autentičnosti.
RFC 2405 (ESP DES-CBC algoritam šifrovanja sa eksplicitnim IV) - upotreba DES algoritma za šifrovanje.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – enkripcija podataka.
RFC 2407 (Internet IP bezbednosna domena interpretacije za ISAKMP) je opseg protokola za upravljanje ključevima.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – upravljanje ključevima i autentifikatorima za sigurne veze.
RFC 2409 (The Internet Key Exchange (IKE)) – razmjena ključeva.
RFC 2410 (NULL algoritam šifriranja i njegova upotreba sa IPsec-om) – nulti algoritam šifriranja i njegova upotreba.
RFC 2411 (IP sigurnosni dokument putokaz) je dalji razvoj standarda.
RFC 2412 (OAKLEY Key Determination Protocol) – provjera autentičnosti ključa.
IPsec je sastavni dio Internet protokola IPv6 i opciono proširenje za verziju Internet protokola IPv4.
IPSec mehanizam rješava sljedeće probleme:
autentifikaciju korisnika ili računara prilikom inicijalizacije sigurnog kanala;
enkripcija i autentikacija podataka koji se prenose između krajnjih točaka sigurnih kanala;
automatsko obezbeđivanje krajnjih tačaka kanala sa tajnim ključevima neophodnim za rad protokola za autentifikaciju i šifrovanje podataka.
IPSec komponente
AH (Authentication Header) protokol – protokol za identifikaciju zaglavlja. Osigurava integritet provjeravanjem da nijedan bit u zaštićenom dijelu paketa nije promijenjen tokom prijenosa. Ali korištenje AH može uzrokovati probleme, na primjer, kada paket prođe kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup Internetu sa privatne lokalne adrese. Jer U tom slučaju, paket će se promijeniti, tada će AH kontrolni zbroj postati netočan (da bi se eliminirao ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji omogućava ESP prijenos putem UDP-a i koristi UDP port 4500 u svom radu) . Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.
ESP (Encapsulation Security Payload) protokol obezbeđuje ne samo integritet i autentifikaciju prenetih podataka, već i enkripciju podataka, kao i zaštitu od lažne reprodukcije paketa.
ESP protokol je inkapsulirajući sigurnosni protokol koji pruža i integritet i povjerljivost. U transportnom načinu, ESP zaglavlje se nalazi između originalnog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom režimu, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifrovanog originalnog IP paketa.
Jer Oba protokola - AH i ESP - dodaju svoja IP zaglavlja, svaki od njih ima svoj broj protokola (ID), koji se može koristiti za određivanje šta slijedi iza IP zaglavlja. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority - organizacija odgovorna za internetski adresni prostor), ima svoj vlastiti broj (ID). Na primjer, za TCP ovaj broj je 6, a za UDP je 17. Stoga, kada radite kroz firewall, vrlo je važno konfigurirati filtere na način da se dozvoli prolazak paketa sa ID-om AH i/ili ESP protokolom. kroz.
Za označavanje da je AH prisutan u IP zaglavlju, ID protokola je postavljen na 51, a za ESP broj je 50.
PAŽNJA: ID protokola nije isti kao broj porta.
IKE (Internet Key Exchange) protokol je standardni IPsec protokol koji se koristi za osiguranje bezbedne komunikacije u virtuelnim privatnim mrežama. Svrha IKE-a je bezbedno pregovaranje i isporuka identifikovanog materijala bezbednosnom udruženju (SA).
SA je IPSec termin za vezu. Uspostavljeni SA (sigurni kanal koji se zove Sigurnosna asocijacija ili SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.
IKE protokol obavlja tri glavna zadatka:
pruža sredstvo autentifikacije između dvije VPN krajnje točke;
uspostavlja nove IPSec veze (kreira SA par);
upravlja postojećim vezama.
IKE koristi UDP port broj 500. Kada se koristi NAT Traversal funkcija, kao što je ranije spomenuto, IKE protokol koristi UDP broj porta 4500.
Razmjena podataka u IKE-u se odvija u 2 faze. U prvoj fazi osniva se IKE SA. U ovom slučaju, krajnje točke kanala se autentifikuju i odabiru se parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.
U drugoj fazi, IKE SA se koristi za pregovaranje o protokolu (obično IPSec).
Kada je konfiguriran VPN tunel, kreira se jedan SA par za svaki korišteni protokol. SA se kreiraju u parovima, jer Svaki SA je jednosmjerna veza, a podaci se moraju prenositi u dva smjera. Rezultirajući SA parovi su pohranjeni na svakom čvoru.
Budući da svaki čvor može uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za identifikaciju kojem čvoru pripada. Ovaj broj se zove SPI (Indeks sigurnosnih parametara).
SA je pohranjen u bazi podataka (DB) TUŽAN.(Baza podataka udruženja za sigurnost).
Svaki IPSec čvor također ima drugi DB − SPD(Baza podataka bezbednosnih politika) – baza podataka bezbednosnih politika. Sadrži konfiguriranu politiku web lokacije. Većina VPN rješenja omogućava kreiranje više politika s kombinacijama odgovarajućih algoritama za svaki host s kojim se mora uspostaviti veza.
Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina za njegovo rješavanje, a metode odabrane za jedan zadatak obično su neovisne o metodama za implementaciju drugih zadataka. Istovremeno, radna grupa IETF-a je definisala osnovni skup podržanih funkcija i algoritama, koji bi trebalo da budu jednoobrazno implementirani u sve proizvode koji podržavaju IPSec. Mehanizmi AH i ESP se mogu koristiti sa raznim šemama autentifikacije i šifriranja, od kojih su neke obavezne. Na primjer, IPSec specificira da se paketi provjeravaju korištenjem jednosmjerne MD5 funkcije ili jednosmjerne SHA-1 funkcije, a šifriranje se izvodi korištenjem DES algoritma. Proizvođači proizvoda koji koriste IPSec mogu dodati druge algoritme za autentifikaciju i šifriranje. Na primjer, neki proizvodi podržavaju algoritme šifriranja kao što su 3DES, Blowfish, Cast, RC5, itd.
Za šifriranje podataka u IPSec-u može se koristiti bilo koji simetrični algoritam šifriranja koji koristi tajne ključeve.
Protokoli zaštite prenesenog toka (AH i ESP) mogu raditi u dva načina: način transporta i u način rada tunela. Kada radi u transportnom režimu, IPsec radi samo sa informacijama transportnog sloja, tj. Šifrirano je samo polje podataka paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa se ne mijenja (nije šifrirano)). Transportni način se obično koristi za uspostavljanje veza između hostova.
U režimu tuneliranja, cijeli IP paket je šifriran, uključujući zaglavlje mrežnog sloja. Da bi se prenosio preko mreže, stavlja se u drugi IP paket. U suštini, to je siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računala na virtuelnu privatnu mrežu (šema veze između hosta i mreže) ili za organiziranje sigurnog prijenosa podataka preko otvorenih komunikacijskih kanala (na primjer, Interneta) između pristupnika za povezivanje različitih dijelova virtualne privatne mreže mreža (šema mrežne veze -net).
IPsec načini se međusobno ne isključuju. Na istom čvoru, neki SA mogu koristiti način transporta dok drugi koriste tunelski način.
Tokom faze autentifikacije, izračunava se ICV (vrijednost provjere integriteta) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što omogućava primaocu da izračuna ICV i uporedi ga sa rezultatom koji je poslao pošiljalac. Ako je ICV poređenje uspješno, smatra se da je pošiljatelj paketa autentificiran.
U modu transportA.H.
cijeli IP paket, osim nekih polja u IP zaglavlju koja mogu biti izmijenjena tokom prijenosa. Ova polja, koja su postavljena na 0 za ICV izračunavanje, mogu biti vrsta usluge (TOS), oznake, pomak fragmenta, vrijeme života (TTL) i zaglavlje kontrolne sume;
sva polja u AH;
Korisno opterećenje IP paketa.
AH u transportnom modu štiti IP zaglavlje (isključujući polja za koja su promjene dozvoljene) i korisni teret u originalnom IP paketu (slika 3.39).
U tunelskom režimu, originalni paket se stavlja u novi IP paket, a prenos podataka se vrši na osnovu zaglavlja novog IP paketa.
Za tunelski način radaA.H. Prilikom izračunavanja, ICV kontrolni zbroj uključuje sljedeće komponente:
sva polja vanjskog IP zaglavlja, osim nekih polja u IP zaglavlju koja se mogu mijenjati tokom prijenosa. Ova polja, čije su vrijednosti 0 za ICV izračunavanje, mogu biti Vrsta usluge (TOS), zastavice, pomak fragmenta, vrijeme života (TTL) i zaglavlje kontrolne sume;
sva polja AH;
originalni IP paket.
Kao što možete vidjeti na sljedećoj ilustraciji, AH način tuneliranja štiti cijeli originalni IP paket korištenjem dodatnog vanjskog zaglavlja, koje AH način transporta ne koristi:
Rice. 6.10. Tunelski i transportni načini rada AN protokola
U modu transportESP ne provjerava autentičnost cijelog paketa, već samo štiti IP korisni teret. ESP zaglavlje u ESP transportnom modu se dodaje u IP paket odmah nakon IP zaglavlja, a ESP prikolica (ESP Trailer) se u skladu s tim dodaje nakon podataka.
ESP način transporta šifrira sljedeće dijelove paketa:
IP nosivost;
Algoritam šifriranja koji koristi Cipher Block Chaining (CBC) način ima nešifrirano polje između ESP zaglavlja i nosivost. Ovo polje se naziva IV (Vektor inicijalizacije) za CBC proračun koji se izvodi na prijemniku. Budući da se ovo polje koristi za početak procesa dešifriranja, ne može se šifrirati. Iako napadač ima mogućnost da vidi IV, ne postoji način da dešifruje šifrovani deo paketa bez ključa za šifrovanje. Kako bi spriječili napadače da promijene vektor inicijalizacije, on je zaštićen ICV kontrolnom sumom. U ovom slučaju, ICV vrši sljedeće proračune:
sva polja u ESP zaglavlju;
nosivost uključujući otvoreni tekst IV;
sva polja u ESP Trailer-u osim polja podataka za autentifikaciju.
ESP tunelski način inkapsulira cijeli originalni IP paket u novo IP zaglavlje, ESP zaglavlje i ESP Trailer. Da bi se naznačilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola je postavljen na 50, ostavljajući originalno IP zaglavlje i teret nepromijenjenim. Kao i kod AH tunelskog načina, vanjsko IP zaglavlje je bazirano na konfiguraciji IPSec tunela. U slučaju ESP tunelskog načina rada, područje za autentifikaciju IP paketa pokazuje gdje je potpisan stavljen da bi se potvrdio njegov integritet i autentičnost, a šifrirani dio pokazuje da su informacije sigurne i povjerljive. Izvorno zaglavlje se postavlja iza ESP zaglavlja. Nakon što je šifrirani dio enkapsuliran u novo zaglavlje tunela, koje nije šifrirano, IP paket se prenosi. Kada se pošalje preko javne mreže, paket se usmjerava na IP adresu mrežnog prolaza primaoca, a gateway dešifruje paket i odbacuje ESP zaglavlje koristeći originalno IP zaglavlje kako bi potom usmjerio paket na računar na internoj mreži. ESP način rada tunela šifrira sljedeće dijelove paketa:
Za ESP tunelski način rada, ICV se izračunava na sljedeći način:
sva polja u ESP zaglavlju;
originalni IP paket uključujući čisti tekst IV;
sva polja ESP zaglavlja osim polja podataka za autentifikaciju.
originalni IP paket;
Rice. 6.11. Tunelski i transportni način ESP protokola
Rice. 6.12. Poređenje ESP i AH protokola
Sažetak načina primjeneIPSec:
Protokol – ESP (AH).
Način rada – tunel (transport).
Metoda razmjene ključeva je IKE (ručno).
IKE mod – glavni (agresivan).
DH ključ – grupa 5 (grupa 2, grupa 1) – broj grupe za odabir dinamički kreiranih ključeva sesije, dužina grupe.
Autentifikacija – SHA1 (SHA, MD5).
Šifriranje – DES (3DES, Blowfish, AES).
Prilikom kreiranja politike obično je moguće kreirati uređenu listu algoritama i Diffie-Hellmanovih grupa. Diffie-Hellman (DH) je protokol za šifriranje koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju će se koristiti prva pozicija koja se podudara na oba čvora. Vrlo je važno da sve u sigurnosnoj politici dozvoljava ovo usklađivanje. Ako se sve ostalo poklapa osim jednog dijela politike, čvorovi i dalje neće moći uspostaviti VPN vezu. Prilikom postavljanja VPN tunela između razni sistemi morate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju moguću politiku.
Osnovne postavke koje sigurnosna politika uključuje:
Simetrični algoritmi za enkripciju/dešifriranje podataka.
Kriptografske kontrolne sume za provjeru integriteta podataka.
Metoda identifikacije čvora. Najčešći metodi su unaprijed dijeljene tajne ili CA certifikati.
Da li koristiti tunelski ili transportni način.
Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bitna); DH grupa 2 (1024-bitna); DH grupa 5 (1536-bitna)).
Da li koristiti AH, ESP ili oboje.
Da li koristiti PFS.
Ograničenje IPSec-a je to što podržava samo komunikacije sloja IP protokola.
Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju po ulozi čvorova koji formiraju sigurni kanal.
U prvoj shemi, sigurni kanal se formira između krajnjih hostova mreže. U ovoj šemi, IPSec protokol štiti čvor na kojem se izvodi:
Rice. 6.13. Kreirajte siguran kanal između dvije krajnje tačke
U drugoj šemi, uspostavljen je siguran kanal između dva sigurnosna prolaza. Ovi gateway-i prihvataju podatke sa krajnjih hostova povezanih na mreže koje se nalaze iza gateway-a. Krajnji hostovi u ovom slučaju ne podržavaju IPSec protokol, saobraćaj koji se šalje u javnu mrežu prolazi kroz sigurnosni prolaz, koji vrši zaštitu u njegovo ime.
Rice. 6.14. Kreiranje sigurnog kanala između dva gatewaya
Za hostove koji podržavaju IPSec, mogu se koristiti i transportni i tunelski načini. Gateway-ima je dozvoljeno da koriste samo tunelski način rada.
Instalacija i podrškaVPN
Kao što je gore spomenuto, instaliranje i održavanje VPN tunela je proces u dva koraka. U prvoj fazi (fazi), dva čvora se slažu o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellman grupi. Takođe se identifikuju. Sve se to može dogoditi kao rezultat razmjene tri nešifrirane poruke (tzv. agresivni mod, Agresivno način rada) ili šest poruka, uz razmjenu šifriranih identifikacijskih informacija (standardni način rada, Main način rada).
U glavnom modu moguće je koordinirati sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom modu nema takve mogućnosti, a neki parametri (Diffie-Hellman grupa, algoritmi enkripcije i autentikacije, PFS) moraju biti identično konfigurisani u unaprijed na svakom uređaju. Međutim, u ovom načinu rada, i broj razmjena i broj poslanih paketa su manji, što rezultira manje vremena potrebnog za uspostavljanje IPSec sesije.
Rice. 6.15. Razmjena poruka u standardnom (a) i agresivnom (b) načinu rada
Pod pretpostavkom da je operacija uspješno završena, kreira se prva faza SA − Faza 1 S.A.(takođe se zove IKES.A.) i proces prelazi u drugu fazu.
U drugoj fazi se generišu ključni podaci i čvorovi se dogovaraju o politici koju će koristiti. Ovaj način rada, koji se naziva i brzi način rada, razlikuje se od prve faze po tome što se može uspostaviti tek nakon prve faze, kada su svi paketi druge faze šifrirani. Ispravan završetak druge faze dovodi do pojave Faza 2 S.A. ili IPSecS.A. i u ovom trenutku instalacija tunela se smatra završenom.
Prvo, paket sa odredišnom adresom u drugoj mreži stiže u čvor, a čvor započinje prvu fazu sa čvorom odgovornim za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka na pakete. Međutim, čvorovi moraju ponovo da identifikuju jedni druge i uporede politike nakon određenog vremenskog perioda. Ovaj period se naziva životni vijek prve faze ili životni vijek IKE SA.
Čvorovi također moraju promijeniti ključ za šifriranje podataka nakon vremenskog perioda koji se zove faza dva ili IPSec SA životni vijek.
Životni vek druge faze je kraći od onog u prvoj fazi, jer... ključ treba češće mijenjati. Morate postaviti iste parametre životnog vijeka za oba čvora. Ako to ne učinite, onda je moguće da će tunel u početku biti uspješno uspostavljen, ali nakon prvog nekonzistentnog životnog vijeka veza će biti prekinuta. Problemi mogu nastati i kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurisani tunel prestane da radi, onda je prva stvar koju treba proveriti je životni vek na oba čvora.
Također treba napomenuti da ako se politika promijeni na jednom od čvorova, promjene će stupiti na snagu tek sljedeći put kada nastupi prva faza. Da bi promjene odmah stupile na snagu, SA za ovaj tunel se mora ukloniti iz baze podataka SAD. Ovo će uzrokovati ponovno pregovaranje o sporazumu između čvorova s novim postavkama sigurnosne politike.
Ponekad pri postavljanju IPSec tunela između opreme različitih proizvođača nastaju poteškoće zbog koordinacije parametara prilikom uspostavljanja prve faze. Treba obratiti pažnju na parametar kao što je Lokalni ID - ovo je jedinstveni identifikator krajnje tačke tunela (pošiljalac i primalac). Ovo je posebno važno kada kreirate više tunela i koristite NAT Traversal protokol.
SmrtPeerDetekcija
Za vrijeme rada VPN-a, u nedostatku prometa između krajnjih tačaka tunela, ili kada se promijene početni podaci udaljenog čvora (na primjer, promjena dinamički dodijeljene IP adrese), može nastati situacija kada tunel u suštini više nije takav, postaje, takoreći, tunel duhova. Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) omogućava praćenje prisutnosti prometa sa udaljenog čvora tunela, a ako ga nema određeno vrijeme, šalje se pozdravna poruka (u firewall-u Poruka "DPD-R-U-THERE" se šalje na D-Link. Ako nema odgovora na ovu poruku unutar određenog vremena, u D-Link zaštitnim zidovima određenim postavkama “DPD Expire Time”, tunel se demontira. D-Link firewall nakon ovoga koristeći postavke "DPD Keep Time" ( pirinač. 6.18), automatski pokušajte vratiti tunel.
ProtokolNATTraversal
IPsec saobraćaj se može usmjeriti prema istim pravilima kao i drugi IP protokoli, ali budući da ruter ne može uvijek izvući informacije specifične za protokole transportnog sloja, IPsec ne može proći kroz NAT gateway. Kao što je ranije spomenuto, da bi riješio ovaj problem, IETF je definirao način enkapsulacije ESP-a u UDP, nazvan NAT-T (NAT Traversal).
Protokol NAT Traversal inkapsulira IPSec saobraćaj i istovremeno kreira UDP pakete koje NAT ispravno prosleđuje. Da bi to uradio, NAT-T postavlja dodatno UDP zaglavlje ispred IPSec paketa tako da se tretira kao običan UDP paket u celoj mreži i da domaćin primaoca ne vrši nikakve provere integriteta. Kada paket stigne na svoje odredište, UDP zaglavlje se uklanja i paket podataka nastavlja svojom putanjom kao enkapsulirani IPSec paket. Dakle, korištenjem NAT-T mehanizma, moguće je uspostaviti komunikaciju između IPSec klijenata na sigurnim mrežama i javnih IPSec hostova preko firewall-a.
Prilikom konfigurisanja D-Link firewall-a na uređaju primatelju, potrebno je napomenuti dvije točke:
U poljima Remote Network i Remote Endpoint navedite mrežu i IP adresu uređaja za udaljeno slanje. Potrebno je omogućiti prevođenje IP adrese inicijatora (pošiljaoca) korišćenjem NAT tehnologije (slika 3.48).
Kada koristite dijeljene ključeve s više tunela povezanih na isti udaljeni zaštitni zid koji su NAT-ovi na istoj adresi, važno je osigurati da je Lokalni ID jedinstven za svaki tunel.
Lokalno ID može biti jedno od:
Auto– IP adresa interfejsa odlaznog saobraćaja se koristi kao lokalni identifikator.
IP– IP adresa WAN porta udaljenog zaštitnog zida
DNS– DNS adresa
Koncept privatnih virtuelnih mreža, skraćeno VPN (od engleskog, pojavio se u računarskoj tehnici relativno nedavno. Stvaranje veze ovog tipa omogućilo je kombinovanje računarskih terminala i mobilnih uređaja u virtuelne mreže bez uobičajenih žica, bez obzira na lokaciju određenog terminala Sada razmotrimo pitanje kako VPN konekcija funkcionira, a ujedno ćemo dati neke preporuke za postavljanje takvih mreža i srodnih klijentskih programa.
Šta je VPN?
Kao što je već jasno, VPN je virtualna privatna mreža s nekoliko uređaja povezanih na nju. Ne biste se trebali zavaravati - povezivanje dva ili tri tuceta računarskih terminala koji istovremeno rade (kao što se može učiniti u lokalnom području) obično ne funkcionira. Ovo ima svoja ograničenja u postavljanju mreže ili čak samo u njoj propusni opseg ruter odgovoran za dodjelu IP adresa i
Međutim, ideja koja je prvobitno inherentna tehnologiji povezivanja nije nova. Dugo su pokušavali da to potkrepe. A mnogi moderni korisnici kompjuterskih mreža ni ne zamišljaju da su o tome znali cijeli život, ali jednostavno nisu pokušali razumjeti suštinu problema.
Kako funkcionira VPN veza: osnovni principi i tehnologije
Radi boljeg razumijevanja, navest ćemo najjednostavniji primjer koji je poznat svakoj modernoj osobi. Uzmimo radio, na primjer. Na kraju krajeva, u suštini, to je uređaj za odašiljanje (prevodilac), posrednička jedinica (repetitor) odgovorna za prijenos i distribuciju signala i uređaj za prijem (prijemnik).
Druga stvar je što se signal emituje apsolutno svim potrošačima, a virtualna mreža radi selektivno, ujedinjujući samo određene uređaje u jednu mrežu. Imajte na umu da ni u prvom ni u drugom slučaju žice nisu potrebne za povezivanje uređaja za prijenos i prijem koji međusobno razmjenjuju podatke.
Ali i ovdje postoje neke suptilnosti. Činjenica je da je u početku radio signal bio nezaštićen, odnosno da ga može primiti bilo koji radio-amater s radnim uređajem na odgovarajućoj frekvenciji. Kako funkcioniše VPN? Da, potpuno isto. Samo unutra u ovom slučaju ulogu repetitora ima ruter (ruter ili ADSL modem), a ulogu prijemnika stacionarni kompjuterski terminal, laptop ili mobilni uređaj, opremljen posebnim modulom za bežičnu vezu (Wi-Fi).
Uz sve to, podaci koji dolaze iz izvora se u početku šifriraju, a tek onda, pomoću posebnog dešifratora, reproduciraju na određenom uređaju. Ovaj princip komunikacije putem VPN-a naziva se tuneliranje. I ovaj princip je najdosljedniji mobilnu vezu, kada dođe do preusmjeravanja na određenog pretplatnika.
Tuneliranje lokalne virtuelne mreže
Hajde da shvatimo kako VPN radi u tunelskom modu. U svojoj osnovi, to uključuje kreiranje određene prave linije, recimo, od tačke “A” do tačke “B”, kada se prilikom prenosa podataka iz centralnog izvora (rutera sa serverskom vezom) određuju svi mrežni uređaji se izvodi automatski prema unaprijed određenoj konfiguraciji.
Drugim riječima, stvara se tunel sa kodiranjem pri slanju podataka i dekodiranjem prilikom prijema. Ispostavilo se da nijedan drugi korisnik koji pokuša presresti ovu vrstu podataka tokom prijenosa neće moći da ih dešifruje.
Sredstva implementacije
Jedan od najmoćnijih alata za ovakvu vrstu povezivanja, a ujedno i osiguranje sigurnosti su Cisco sistemi. Istina, neki neiskusni administratori imaju pitanje zašto VPN-Cisco oprema ne radi.
To je prvenstveno zbog pogrešne konfiguracije i instaliranih drajvera rutera kao što su D-Link ili ZyXEL, koji zahtijevaju fino podešavanje samo zato što su opremljeni ugrađenim zaštitnim zidovima.
Osim toga, treba obratiti pažnju na dijagrame povezivanja. Mogu ih biti dvije: ruta do rute ili udaljeni pristup. U prvom slučaju govorimo o kombiniranju više distribucijskih uređaja, au drugom o upravljanju vezom ili prijenosu podataka putem daljinskog pristupa.
Pristupni protokoli
Što se tiče protokola, alati za konfiguraciju se danas prvenstveno koriste na PCP/IP nivou, iako interni protokoli za VPN mogu varirati.
VPN je prestao raditi? Postoje neke skrivene opcije koje treba pogledati. Na primjer, dodatni protokoli PPP i PPTP, bazirani na TCP tehnologiji, i dalje pripadaju stogovima TCP/IP protokola, ali da biste se povezali, recimo, kada koristite PPTP, morate koristiti dvije IP adrese umjesto potrebne. Međutim, u svakom slučaju, tuneliranje uključuje prijenos podataka zatvorenih u interne protokole kao što su IPX ili NetBEUI, koji su svi opremljeni posebnim zaglavljima baziranim na PPP-u za neprimjetan prijenos podataka do odgovarajućeg mrežnog drajvera.
Hardverski uređaji
Pogledajmo sada situaciju u kojoj se postavlja pitanje zašto VPN ne radi. Jasno je da problem može biti povezan s pogrešnom konfiguracijom opreme. Ali može se pojaviti i druga situacija.
Vrijedno je obratiti pažnju na same rutere koji prate vezu. Kao što je gore spomenuto, trebali biste koristiti samo uređaje koji zadovoljavaju parametre veze.
Na primjer, ruteri poput DI-808HV ili DI-804HV mogu povezati do četrdeset uređaja istovremeno. Što se tiče ZyXEL opreme, u mnogim slučajevima može čak i da radi kroz ugrađeni ZyNOS mrežni operativni sistem, ali samo koristeći način komandne linije preko Telnet protokola. Ovaj pristup vam omogućava da konfigurišete bilo koji uređaj sa prijenosom podataka na tri mreže u zajedničkom Ethernet okruženju s prijenosom IP prometa, a također koristite jedinstvena tehnologija Any-IP, dizajniran da koristi standardnu tabelu rutera sa prosleđenim saobraćajem kao gateway za sisteme koji su prvobitno bili konfigurisani da rade na drugim podmrežama.
Šta učiniti ako VPN ne radi (Windows 10 i stariji)?
Prvi i najvažniji uslov je podudarnost izlaznih i ulaznih ključeva (Pre-shared Keys). Moraju biti isti na oba kraja tunela. Također je vrijedno obratiti pažnju na algoritme kriptografskog šifriranja (IKE ili Manual) sa ili bez funkcije provjere autentičnosti.
Na primjer, isti AH protokol (na engleskom - Authentication Header) može pružiti samo autorizaciju bez mogućnosti korištenja enkripcije.
VPN klijenti i njihova konfiguracija
Što se tiče VPN klijenata, ni ovdje nije sve jednostavno. Većina programa zasnovanih na takvim tehnologijama koristi standardne metode konfiguracije. Međutim, ovdje postoje zamke.
Problem je u tome što bez obzira kako instalirate klijenta, ako je usluga isključena u samom operativnom sistemu, ništa dobro od toga neće biti. Zato je potrebno prvo omogućiti ove postavke u Windows-u, zatim ih omogućiti na ruteru (routeru), pa tek onda pristupiti podešavanju samog klijenta.
Morat ćete kreirati novu vezu u samom sistemu, umjesto da koristite postojeću. Nećemo se zadržavati na ovome, jer je procedura standardna, ali na samom ruteru morat ćete prijeći na dodatna podešavanja (najčešće se nalaze u izborniku WLAN Connection Type) i aktivirati sve što se odnosi na VPN server.
Također je vrijedno napomenuti činjenicu da će se morati instalirati u sistem kao prateći program. Ali onda se može koristiti čak i bez ručne konfiguracije, jednostavnim odabirom najbliže lokacije.
Jedan od najpopularnijih i najjednostavnijih za korištenje je VPN klijent-server pod nazivom SecurityKISS. Program je instaliran, ali tada ne morate ni ulaziti u postavke kako biste osigurali normalnu komunikaciju za sve uređaje povezane s distributerom.
Dešava se da prilično poznati i popularni Kerio VPN Client paket ne radi. Ovdje ćete morati obratiti pažnju ne samo na sam operativni sistem, već i na parametre klijentskog programa. U pravilu, unos ispravnih parametara omogućava vam da se riješite problema. U krajnjem slučaju, morat ćete provjeriti postavke glavne veze i korištene TCP/IP protokole (v4/v6).
šta je rezultat?
Pogledali smo kako VPN funkcionira. U principu, nema ništa komplicirano u povezivanju ili stvaranju mreža ovog tipa. Glavne poteškoće leže u postavljanju specifične opreme i postavljanju njenih parametara, što, nažalost, mnogi korisnici zanemaruju, oslanjajući se na činjenicu da će se cijeli proces svesti na automatizaciju.
S druge strane, sada smo se više fokusirali na probleme koji se odnose na operativne tehnike samih VPN virtuelnih mreža, tako da će postavljanje opreme, instaliranje drajvera uređaja itd. morati da se radi uz posebne upute i preporuke.
Gorivna ćelija je elektrohemijski uređaj sličan galvanskoj ćeliji, ali se od njega razlikuje po tome što mu se tvari za elektrokemijsku reakciju dovode izvana - za razliku od ograničene količine energije pohranjene u galvanskoj ćeliji ili bateriji.
Rice. 1. Neke gorivne ćelije
Gorivne ćelije pretvaraju hemijsku energiju goriva u električnu, zaobilazeći neefikasne procese sagorevanja koji se javljaju kod veliki gubici. Oni pretvaraju vodonik i kisik u električnu energiju kemijskom reakcijom. Kao rezultat ovog procesa nastaje voda i oslobađa se velika količina topline. Gorivna ćelija je vrlo slična bateriji koja se može puniti, a zatim koristiti pohranjenu električnu energiju. Izumiteljem gorivne ćelije smatra se William R. Grove, koji ju je izumio davne 1839. godine. Ova gorivna ćelija koristila je otopinu sumporne kiseline kao elektrolit i vodik kao gorivo, koji je bio spojen s kisikom u oksidacijskom sredstvu. Do nedavno su se gorivne ćelije koristile samo u laboratorijama i na svemirskim letjelicama.
Rice. 2.
Za razliku od drugih generatora energije kao što su motori unutrašnjim sagorevanjem ili turbine koje rade na gas, ugalj, lož ulje, itd., gorivne ćelije ne sagorevaju gorivo. To znači da nema bučnih rotora visokog pritiska, glasna buka izduvnih gasova, vibracije. Gorivne ćelije proizvode električnu energiju kroz tihu elektrohemijsku reakciju. Još jedna karakteristika gorivih ćelija je da pretvaraju hemijsku energiju goriva direktno u električnu energiju, toplotu i vodu.
Gorivne ćelije su visoko efikasne i ne proizvode velika količina gasovi staklene bašte kao što su ugljični dioksid, metan i dušikov oksid. Jedine emisije iz gorivnih ćelija su voda u obliku pare i mala količina ugljičnog dioksida, koji se uopće ne oslobađa ako se kao gorivo koristi čisti vodonik. Gorivne ćelije se sklapaju u sklopove, a zatim u pojedinačne funkcionalne module.
Gorivne ćelije nemaju pokretne dijelove (barem ne unutar same ćelije) i stoga ne poštuju Carnotov zakon. To jest, oni će imati veću od 50% efikasnosti i posebno su efikasni pri malim opterećenjima. Dakle, vozila sa gorivnim ćelijama mogu biti (i već su se dokazala) efikasnija od goriva obični automobili u realnim uslovima vožnje.
Gorivna ćelija proizvodi električnu struju DC napon, koji se može koristiti za pogon elektromotora, rasvjetnih uređaja i dr električni sistemi u autu.
Postoji nekoliko vrsta gorivnih ćelija, koje se razlikuju po hemijskim procesima koji se koriste. Gorivne ćelije se obično klasifikuju prema vrsti elektrolita koji koriste.
Neke vrste gorivnih ćelija su obećavajuće za upotrebu kao elektrane elektrane, dok se druge koriste za prijenosne uređaje ili za vožnju automobila.
1. Alkalne gorivne ćelije (ALFC)
Alkalna gorivna ćelija- Ovo je jedan od prvih razvijenih elemenata. Alkalne gorivne ćelije (AFC) jedna su od najproučavanijih tehnologija koju NASA koristi od sredine 60-ih godina dvadesetog stoljeća u programima Apollo i Space Shuttle. Na brodu ovih svemirski brodovi Gorivne ćelije proizvode električnu energiju i vodu za piće.
Rice. 3.
Alkalne gorivne ćelije su jedna od najefikasnijih ćelija koje se koriste za proizvodnju električne energije, sa efikasnošću proizvodnje energije koja dostiže i do 70%.
Alkalne gorive ćelije koriste elektrolit, tj. vodeni rastvor kalijev hidroksid sadržan u poroznoj stabiliziranoj matrici. Koncentracija kalijum hidroksida može varirati u zavisnosti od radne temperature gorivne ćelije, koja se kreće od 65°C do 220°C. Nosač naboja u SHTE je hidroksilni jon (OH-), koji se kreće od katode do anode, gdje reaguje sa vodonikom, proizvodeći vodu i elektrone. Voda proizvedena na anodi vraća se na katodu, ponovo stvarajući hidroksilne jone tamo. Kao rezultat ove serije reakcija koje se odvijaju u gorivim ćelijama, proizvodi se električna energija i, kao nusproizvod, toplina:
Reakcija na anodi: 2H2 + 4OH- => 4H2O + 4e
Reakcija na katodi: O2 + 2H2O + 4e- => 4OH
Opšta reakcija sistema: 2H2 + O2 => 2H2O
Prednost SHTE je u tome što su ove gorivne ćelije najjeftinije za proizvodnju, budući da katalizator potreban na elektrodama može biti bilo koja od supstanci koje su jeftinije od onih koje se koriste kao katalizatori za druge gorivne ćelije. Osim toga, SHTE rade na relativno niskim temperaturama i među najefikasnijim su.
Jedna od karakterističnih karakteristika SHTE-a je njegova visoka osjetljivost na CO2, koji može biti sadržan u gorivu ili zraku. CO2 reaguje sa elektrolitom, brzo ga truje i uveliko smanjuje efikasnost gorivne ćelije. Stoga je upotreba SHTE ograničena na zatvorene prostore, kao što su svemirska i podvodna vozila koja rade na čistom vodoniku i kisiku.
2. Gorivne ćelije sa rastopljenim karbonatom (MCFC)
Gorivne ćelije sa rastopljenim karbonatnim elektrolitom su gorive ćelije visoke temperature. Visoka radna temperatura omogućava direktnu upotrebu prirodni gas bez procesora goriva i gorivi gas sa niskom kalorijskom vrijednošću goriva proizvodni procesi i iz drugih izvora. Ovaj proces razvijena sredinom 60-ih godina dvadesetog veka. Od tada, tehnologija proizvodnje, performanse i pouzdanost su poboljšani.
Rice. 4.
Rad RCFC-a se razlikuje od ostalih gorivnih ćelija. Ove ćelije koriste elektrolit napravljen od mješavine rastopljenih karbonatnih soli. Trenutno se koriste dvije vrste mješavina: litijum karbonat i kalijum karbonat ili litijum karbonat i natrijum karbonat. Za topljenje karbonatnih soli i postizanje visok stepen Zbog mobilnosti jona u elektrolitu, rad gorivih ćelija sa rastopljenim karbonatnim elektrolitom odvija se na visokim temperaturama (650°C). Efikasnost varira između 60-80%.
Kada se zagreju na temperaturu od 650°C, soli postaju provodnik za karbonatne jone (CO32-). Ovi ioni prelaze s katode na anodu, gdje se spajaju s vodikom i formiraju vodu, ugljični dioksid i slobodne elektrone. Ovi elektroni su usmjereni duž vanjskog električni krug nazad na katodu, koja stvara struja, i toplina kao nusproizvod.
Reakcija na anodi: CO32- + H2 => H2O + CO2 + 2e
Reakcija na katodi: CO2 + 1/2O2 + 2e- => CO32-
Opća reakcija elementa: H2(g) + 1/2O2(g) + CO2(katoda) => H2O(g) + CO2(anoda)
Visoke radne temperature gorivnih ćelija rastopljenog karbonatnog elektrolita imaju određene prednosti. Prednost je mogućnost upotrebe standardnih materijala (limovi od nerđajućeg čelika i nikl katalizator na elektrodama). Otpadna toplota se može koristiti za proizvodnju pare pod visokim pritiskom. Visoke temperature reakcije u elektrolitu također imaju svoje prednosti. Upotreba visokih temperatura zahtijeva dugo vremena za postizanje optimalnih radnih uvjeta, a sistem sporije reagira na promjene u potrošnji energije. Ove karakteristike omogućavaju upotrebu instalacija gorivih ćelija sa rastopljenim karbonatnim elektrolitom u uslovima konstantne snage. Visoke temperature sprečavaju oštećenje gorivne ćelije ugljičnim monoksidom, "trovanje" itd.
Gorivne ćelije sa rastopljenim karbonatnim elektrolitom pogodne su za upotrebu u velikim stacionarnim instalacijama. Termoelektrane sa izlazom električna energija 2,8 MW. Razvijaju se instalacije izlazne snage do 100 MW.
3. Gorivne ćelije fosforne kiseline (PAFC)
Gorivne ćelije na bazi fosforne (ortofosforne) kiseline postale prve gorive ćelije za komercijalnu upotrebu. Ovaj proces je razvijen sredinom 60-ih godina dvadesetog vijeka, a ispitivanja se vrše od 70-ih godina dvadesetog stoljeća. Rezultat je povećana stabilnost i performanse i smanjeni troškovi.
Rice. 5.
Gorivne ćelije sa fosfornom (ortofosfornom) kiselinom koriste elektrolit ortofosforne kiseline (H3PO4) u koncentracijama do 100%. Jonska provodljivost ortofosforne kiseline je niska pri niske temperature Zbog toga se ove gorive ćelije koriste na temperaturama do 150-220 °C.
Nosač punjenja u gorivnim ćelijama ovog tipa je vodonik (H+, proton). Sličan proces se dešava u gorivnim ćelijama membrane za protonsku izmjenu (PEMFC), u kojima se vodonik doveden na anodu dijeli na protone i elektrone. Protoni putuju kroz elektrolit i kombinuju se sa kiseonikom iz vazduha na katodi i formiraju vodu. Elektroni se šalju kroz eksterno električno kolo, čime se stvara električna struja. Ispod su reakcije koje stvaraju električnu struju i toplinu.
Reakcija na anodi: 2H2 => 4H+ + 4e
Reakcija na katodi: O2(g) + 4H+ + 4e- => 2H2O
Opšta reakcija elementa: 2H2 + O2 => 2H2O
Efikasnost gorivih ćelija na bazi fosforne (ortofosforne) kiseline je više od 40% pri generisanju električne energije. Sa kombinovanom proizvodnjom toplotne i električne energije, ukupna efikasnost je oko 85%. Osim toga, s obzirom na radne temperature, otpadna toplina se može koristiti za zagrijavanje vode i stvaranje pare pod atmosferskim pritiskom.
Visoke performanse termoelektrana koje koriste gorivne ćelije na bazi fosforne (ortofosforne) kiseline u kombinovanoj proizvodnji toplotne i električne energije jedna je od prednosti ove vrste gorivih ćelija. Agregati koriste ugljen monoksid sa koncentracijom od oko 1,5%, što značajno proširuje izbor goriva. Jednostavan dizajn, nizak stepen isparljivosti elektrolita i povećana stabilnost su takođe prednosti ovakvih gorivnih ćelija.
Komercijalno se proizvode termoelektrane sa izlaznom električnom snagom do 400 kW. Instalacije snage 11 MW su prošle odgovarajuće testove. Razvijaju se instalacije izlazne snage do 100 MW.
4. Gorivne ćelije membranske protonske izmjene (PEMFC)
Gorivne ćelije sa protonskom izmjenom membrane smatraju se najviše najbolji tip gorive ćelije za proizvodnju energije Vozilo, koji može zamijeniti benzin i dizel motori unutrašnjim sagorevanjem. Ove gorivne ćelije je prvi put koristila NASA za program Gemini. Razvijene su i demonstrirane instalacije na bazi MOPFC snage od 1 W do 2 kW.
Rice. 6.
Elektrolit u ovim gorivnim ćelijama je čvrsta polimerna membrana (tanki film od plastike). Kada je zasićen vodom, ovaj polimer dozvoljava protonima da prođu, ali ne provodi elektrone.
Gorivo je vodonik, a nosilac naboja je vodikov jon (proton). Na anodi, molekul vodonika se dijeli na vodikov jon (proton) i elektrone. Ioni vodika prolaze kroz elektrolit do katode, a elektroni se kreću po vanjskom krugu i proizvode električnu energiju. Kiseonik, koji se uzima iz vazduha, dovodi se do katode i kombinuje se sa elektronima i ionima vodonika i formira vodu. Na elektrodama se javljaju sljedeće reakcije: Reakcija na anodi: 2H2 + 4OH- => 4H2O + 4eReakcija na katodi: O2 + 2H2O + 4e- => 4OH Ukupna reakcija ćelije: 2H2 + O2 => 2H2O U poređenju sa drugim tipovima gorivne ćelije, gorive ćelije sa membranom za izmjenu protona proizvode više energije za datu zapreminu ili težinu gorivne ćelije. Ova karakteristika im omogućava da budu kompaktni i lagani. Osim toga, radna temperatura je manja od 100°C, što vam omogućava brz početak rada. Ove karakteristike, kao i sposobnost brze promjene izlazne energije, samo su neke koje ove gorivne ćelije čine glavnim kandidatom za upotrebu u vozilima.
Još jedna prednost je što je elektrolit čvrsta, a ne tečna. Lakše je zadržati plinove na katodi i anodi pomoću čvrstog elektrolita, pa su takve gorive ćelije jeftinije za proizvodnju. Sa čvrstim elektrolitom, nema problema sa orijentacijom i manje problema sa korozijom, što povećava dugovečnost ćelije i njenih komponenti.
Rice. 7.
5. Čvrste oksidne gorivne ćelije (SOFC)
Čvrste oksidne gorivne ćelije su gorive ćelije s najvišom radnom temperaturom. Radna temperatura može varirati od 600°C do 1000°C, što omogućava upotrebu Razne vrste gorivo bez posebne prethodne obrade. Za rukovanje tako visokim temperaturama, elektrolit koji se koristi je tanak čvrsti metalni oksid na keramičkoj bazi, često legura itrijuma i cirkonija, koji je provodnik iona kisika (O2-). Tehnologija korištenja čvrstih oksidnih gorivnih ćelija razvija se od kasnih 50-ih godina dvadesetog stoljeća i ima dvije konfiguracije: planarnu i cijevnu.
Čvrsti elektrolit osigurava zapečaćeni prijelaz plina s jedne elektrode na drugu, dok se tekući elektroliti nalaze u poroznoj podlozi. Nosač naboja u gorivnim ćelijama ovog tipa je jon kiseonika (O2-). Na katodi se molekuli kisika iz zraka razdvajaju na ion kisika i četiri elektrona. Ioni kiseonika prolaze kroz elektrolit i spajaju se sa vodonikom, stvarajući četiri slobodna elektrona. Elektroni se šalju kroz vanjski električni krug, stvarajući električnu struju i otpadnu toplinu.
Rice. 8.
Reakcija na anodi: 2H2 + 2O2- => 2H2O + 4e
Reakcija na katodi: O2 + 4e- => 2O2-
Opšta reakcija elementa: 2H2 + O2 => 2H2O
Efikasnost proizvodnje električne energije najveća je od svih gorivnih ćelija - oko 60%. Osim toga, visoke radne temperature omogućavaju kombiniranu proizvodnju toplinske i električne energije za stvaranje pare pod visokim pritiskom. Kombinovanje visokotemperaturne gorivne ćelije sa turbinom omogućava stvaranje hibridne gorivne ćelije za povećanje efikasnosti proizvodnje električne energije do 70%.
Čvrste oksidne gorive ćelije rade na vrlo visokim temperaturama (600°C-1000°C), što rezultira značajnim vremenom potrebnim za postizanje optimalnih radnih uslova i sporijim odgovorom sistema na promjene u potrošnji energije. Na tako visokim radnim temperaturama nije potreban pretvarač za rekuperaciju vodonika iz goriva, što omogućava termoelektranu da radi sa relativno nečistim gorivima nastalim gasifikacijom uglja ili otpadnih gasova itd. Ova gorivna ćelija je takođe odlična za upotrebu velike snage, uključujući industrijske i velike centralne elektrane. Komercijalno se proizvode moduli sa izlaznom električnom snagom od 100 kW.
6. Gorivne ćelije sa direktnom oksidacijom metanola (DOMFC)
Gorivne ćelije sa direktnom oksidacijom metanola Uspješno se koriste u oblasti napajanja mobilnih telefona, laptopa, kao i za kreiranje prijenosnih izvora napajanja, čemu je usmjerena buduća upotreba ovakvih elemenata.
Dizajn gorivih ćelija sa direktnom oksidacijom metanola sličan je dizajnu gorivih ćelija sa membranom za izmjenu protona (MEPFC), tj. Polimer se koristi kao elektrolit, a ion vodonika (proton) se koristi kao nosilac naboja. Ali tečni metanol (CH3OH) oksidira u prisustvu vode na anodi, oslobađajući CO2, vodikove ione i elektrone, koji se šalju kroz vanjski električni krug, stvarajući tako električnu struju. Vodikovi joni prolaze kroz elektrolit i reagiraju s kisikom iz zraka i elektronima iz vanjskog kruga i formiraju vodu na anodi.
Reakcija na anodi: CH3OH + H2O => CO2 + 6H+ + 6eReakcija na katodi: 3/2O2 + 6H+ + 6e- => 3H2O Opšta reakcija elementa: CH3OH + 3/2O2 => CO2 + 2H2O Razvoj takvog gorivih ćelija se sprovodi od početka 90-ih godina dvadesetog veka i njihova specifična snaga i efikasnost povećani su na 40%.
Ovi elementi su testirani u temperaturni raspon 50-120°C. Zbog svojih niskih radnih temperatura i odsustva potrebe za pretvaračem, takve gorive ćelije su glavni kandidati za upotrebu u mobilnim telefonima i drugim potrošačkim proizvodima, kao i u motorima automobila. Njihova prednost je i mala veličina.
7. Gorivne ćelije s polimernim elektrolitom (PEFC)
U slučaju gorivnih ćelija od polimernog elektrolita, polimerna membrana se sastoji od polimernih vlakana sa vodenim područjima u kojima se provodljivi ioni vode H2O+ (proton, crvena) vezuju za molekul vode. Molekuli vode predstavljaju problem zbog spore izmjene jona. Zbog toga je potrebna visoka koncentracija vode i u gorivu i na izlaznim elektrodama, što ograničava radnu temperaturu na 100°C.
8. Čvrste kiselinske gorivne ćelije (SFC)
U ćelijama sa čvrstim kiselim gorivom, elektrolit (CsHSO4) ne sadrži vodu. Radna temperatura je dakle 100-300°C. Rotacija SO42 oksianiona omogućava protonima (crvenim) da se kreću kao što je prikazano na slici. Tipično, gorivna ćelija s čvrstom kiselinom je sendvič u kojem je vrlo tanak sloj čvrstog kiselinskog spoja u sendviču između dvije čvrsto stisnute elektrode kako bi se osiguralo dobar kontakt. Kada se zagrije, organska komponenta isparava, izlazeći kroz pore u elektrodama, održavajući mogućnost višestrukih kontakata između goriva (ili kisika na drugom kraju elementa), elektrolita i elektroda.
Rice. 9.
9. Poređenje najvažnijih karakteristika gorivnih ćelija
Tip gorivne ćelije | Radna temperatura | Efikasnost proizvodnje električne energije | Vrsta goriva | Područje primjene |
Srednje i velike instalacije |
||||
Čisti vodonik | instalacije |
|||
Čisti vodonik | Male instalacije |
|||
Većina ugljovodoničnih goriva | Male, srednje i velike instalacije |
|||
Prijenosni instalacije |
||||
Čisti vodonik | Prostor istraživao |
|||
Čisti vodonik | Male instalacije |
Rice. 10.
10. Upotreba gorivnih ćelija u automobilima
Rice. jedanaest.
Rice. 12.
