Главная Вики Сеть

IPsec: защищённые VPN-туннели для корпоративной сети

IPsec (Internet Protocol Security) — это набор стандартов, который позволяет передавать данные по обычному интернету так, как будто это выделенный защищённый канал. На IPsec построено большинство корпоративных VPN: между офисами, для удалённых сотрудников, для подключения подрядчиков.

Зачем это нужно бизнесу

У компании есть офис в Москве, склад в Подмосковье и пять удалённых сотрудников. Без VPN они работают разрозненно — каждый в своём интернете, общие файлы выкладывают в облако, доступ к 1С — через какие-то опубликованные снаружи порты, что страшно с точки зрения безопасности. Любая попытка пробросить порты наружу — приглашение для атакующего.

С IPsec всё иначе. Между офисом и складом строится зашифрованный туннель — для пользователей это выглядит как обычная локальная сеть. Удалённые сотрудники подключаются клиентом, получают IP-адрес из внутренней сети и работают так, будто сидят за столом в офисе. Весь трафик идёт через зашифрованный канал, перехват в публичном Wi-Fi уже не опасен. Никакие порты наружу пробрасывать не нужно — атакующий не видит ваши сервисы вообще.

Бизнес-выгода: безопасный доступ к корпоративным ресурсам из любой точки, соответствие требованиям регулятора по защите данных при передаче, экономия — вместо аренды выделенных каналов между офисами используется обычный интернет.

Как это работает

IPsec работает на сетевом уровне (L3) и состоит из двух фаз: установление защищённого соединения и собственно передача данных.

Фаза 1 (IKE — Internet Key Exchange). Стороны договариваются о параметрах шифрования: какой алгоритм использовать (AES-256, ChaCha20), какой алгоритм аутентификации, какие ключи. Аутентификация может быть по pre-shared key (предварительно согласованный пароль) или по сертификатам. В результате формируется защищённый канал управления (IKE SA), по которому пойдёт следующая фаза.

Фаза 2 (IPsec SA). Внутри защищённого канала согласуются параметры передачи пользовательских данных: какие подсети входят в туннель, как часто пересогласовывать ключи (rekey), какие алгоритмы для самих данных.

Передача данных. Каждый IP-пакет, идущий в туннель, упаковывается в новый IP-пакет с заголовком ESP (Encapsulating Security Payload) и зашифрованным содержимым. Между внешними хостами интернет видит только зашифрованные ESP-пакеты — кто внутри, какие порты, какие протоколы остаётся неизвестным.

Режимы работы. Tunnel mode — между шлюзами офисов, упаковывается весь исходный пакет, типично для site-to-site VPN. Transport mode — между конечными хостами без новой IP-инкапсуляции, используется реже.

IKEv2. Современная вторая версия IKE: быстрее устанавливает соединение, поддерживает мобильность (MOBIKE — клиент может менять IP без разрыва туннеля), лучше работает за NAT, легче масштабируется.

Для удалённых пользователей вместо классического IPsec часто используется L2TP/IPsec или IKEv2/IPsec — в Windows и macOS они поддерживаются нативно, без установки сторонних клиентов.

Когда нужно компании

IPsec практически обязателен, если:

При большом числе туннелей IPsec часто заменяется или дополняется SD-WAN-решениями, где те же IPsec-туннели управляются централизованно через оркестратор.

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «VPN и удалённый доступ (IPsec)» и получите ориентир по цене. Финальная смета — после уточнения числа офисов, удалённых пользователей и требований к криптографии.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП