IPsec: защищённые VPN-туннели для корпоративной сети
IPsec (Internet Protocol Security) — это набор стандартов, который позволяет передавать данные по обычному интернету так, как будто это выделенный защищённый канал. На IPsec построено большинство корпоративных VPN: между офисами, для удалённых сотрудников, для подключения подрядчиков.
Зачем это нужно бизнесу
У компании есть офис в Москве, склад в Подмосковье и пять удалённых сотрудников. Без VPN они работают разрозненно — каждый в своём интернете, общие файлы выкладывают в облако, доступ к 1С — через какие-то опубликованные снаружи порты, что страшно с точки зрения безопасности. Любая попытка пробросить порты наружу — приглашение для атакующего.
С IPsec всё иначе. Между офисом и складом строится зашифрованный туннель — для пользователей это выглядит как обычная локальная сеть. Удалённые сотрудники подключаются клиентом, получают IP-адрес из внутренней сети и работают так, будто сидят за столом в офисе. Весь трафик идёт через зашифрованный канал, перехват в публичном Wi-Fi уже не опасен. Никакие порты наружу пробрасывать не нужно — атакующий не видит ваши сервисы вообще.
Бизнес-выгода: безопасный доступ к корпоративным ресурсам из любой точки, соответствие требованиям регулятора по защите данных при передаче, экономия — вместо аренды выделенных каналов между офисами используется обычный интернет.
Как это работает
IPsec работает на сетевом уровне (L3) и состоит из двух фаз: установление защищённого соединения и собственно передача данных.
Фаза 1 (IKE — Internet Key Exchange). Стороны договариваются о параметрах шифрования: какой алгоритм использовать (AES-256, ChaCha20), какой алгоритм аутентификации, какие ключи. Аутентификация может быть по pre-shared key (предварительно согласованный пароль) или по сертификатам. В результате формируется защищённый канал управления (IKE SA), по которому пойдёт следующая фаза.
Фаза 2 (IPsec SA). Внутри защищённого канала согласуются параметры передачи пользовательских данных: какие подсети входят в туннель, как часто пересогласовывать ключи (rekey), какие алгоритмы для самих данных.
Передача данных. Каждый IP-пакет, идущий в туннель, упаковывается в новый IP-пакет с заголовком ESP (Encapsulating Security Payload) и зашифрованным содержимым. Между внешними хостами интернет видит только зашифрованные ESP-пакеты — кто внутри, какие порты, какие протоколы остаётся неизвестным.
Режимы работы. Tunnel mode — между шлюзами офисов, упаковывается весь исходный пакет, типично для site-to-site VPN. Transport mode — между конечными хостами без новой IP-инкапсуляции, используется реже.
IKEv2. Современная вторая версия IKE: быстрее устанавливает соединение, поддерживает мобильность (MOBIKE — клиент может менять IP без разрыва туннеля), лучше работает за NAT, легче масштабируется.
Для удалённых пользователей вместо классического IPsec часто используется L2TP/IPsec или IKEv2/IPsec — в Windows и macOS они поддерживаются нативно, без установки сторонних клиентов.
Когда нужно компании
IPsec практически обязателен, если:
- Есть два и более офиса, которым нужно работать как одна сеть
- Есть сотрудники, работающие удалённо, которым нужен доступ к внутренним сервисам
- Есть подрядчики или партнёры, которым нужен ограниченный доступ к части ресурсов
- Передаются персональные или коммерчески чувствительные данные между точками
- Регулятор требует шифрования при передаче (152-ФЗ, отраслевые стандарты)
- Используется IP-телефония или видеосвязь между офисами — IPsec обеспечивает приватность
При большом числе туннелей IPsec часто заменяется или дополняется SD-WAN-решениями, где те же IPsec-туннели управляются централизованно через оркестратор.
Что включает наша услуга
- Проектирование топологии VPN: site-to-site, hub-and-spoke, full-mesh — под задачи заказчика
- Подбор оборудования: Cisco ASA/Firepower, FortiGate, MikroTik, Check Point, российские крипто-шлюзы
- При необходимости — настройка ГОСТ-шифрования (ViPNet, КриптоПро NGate) для требований по защищённым каналам
- Настройка туннелей с защитой от типовых уязвимостей: отключение слабой криптографии, защита от replay-атак
- Настройка клиентов удалённого доступа на компьютерах сотрудников, инструкции для пользователей
- Интеграция с двухфакторной аутентификацией (TOTP, SMS, push)
- Мониторинг состояния туннелей 24/7 — падение IPsec не должно остаться незамеченным
Связанные термины
- SD-WAN — программно-определяемая WAN-сеть — современная надстройка над IPsec с централизованным управлением
- NGFW — межсетевой экран нового поколения — межсетевой экран, на котором часто терминируются IPsec-туннели
- BGP — протокол маршрутизации между автономными системами — динамическая маршрутизация поверх IPsec-туннелей в больших сетях
- Cisco и MikroTik — выбор сетевого оборудования для бизнеса — оборудование для построения IPsec-сетей
- Wi-Fi enterprise — корпоративный Wi-Fi с SSO и сегментами — корпоративный Wi-Fi, через который сотрудники могут заходить в IPsec-сеть
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «VPN и удалённый доступ (IPsec)» и получите ориентир по цене. Финальная смета — после уточнения числа офисов, удалённых пользователей и требований к криптографии.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП