كل ما تريد معرفته عن معنى كلمة VPN‎ - YouTube

 

شبكة خاصة افتراضية

الأحرف الأولى من كلمات العبارة: Virtual Private Network باللغة الإنكليزية؛ والتي تعني بالعربية: شبكة خاصة افتراضية.

الشبكة الخاصة الافتراضية (بالإنجليزية: Virtual Private Network اختصاراً VPN)‏ هي مصطلح عامّ يُغطي استعمال شبكات عامّة أو خاصّة لإنشاء مجموعة من المُستخدمين المفصولين عن بقية مُستخدمي الشبكة، وأعضاء هذه المجموعة قادرون على الاتصال فيما بينهم وكأنهم في شبكة خاصّة، ومن الممكن تحسين هذا الفصل باستعمال تقنيات أخرى لتأمين الاتصال مثل التشفير بين الطرفيات

إن الشبكة الخاصة الافتراضية هي اصطلاح عام يُشمل مجموعة من الوظائف والخدمات وليس هناك معيار محدد صارم لوصفها، ومن الممكن تطبيق هذه الشبكات باستعمال تقنيات ومعايير مُختلفة. ومنها على سبيل المثال تقنية تبديل اللوافت متعدد البروتوكولات، وقد تُنجز اعتماداً على بروتوكول توجيه خارجي مثل بروتوكول البوابة الحدودية. وتُستخدم في هذه الشبكات تقنيات تشفير مختلفة أيضاً، مثل التشفير المتناظر والتشفير التدفقي، بالإضافة لتقنيات متنوعة للتحقق من الهوية مثل المفاتيح المتشاركة مسبقاً أو المفاتيح العامة وغير ذلك

تُصنَّف الشبكات الخاصة الافتراضية بحسب الطرف الذي يديرها إلى الشبكات المُدَارة من قبل العملاء وتلك المُدَارة من قبل مزودي الخدمة، ويمكن بعدها تصنيف الشبكات تحت كل من الصنفين السابقين بحسب الطوبولوجيا إلى صنفين هما شبكات الوصول البعادي الخاصة الافتراضية (بالإنجليزية: Remote access VPN)‏، والشبكات الخاصة الافتراضية بين المواقع (بالإنجليزية: Site-to-site VPN)‏

من الأمثلة على الشبكات الخاصة الافتراضية بين المواقع المُدَارة من مزود الخدمة هي تلك المنجزة باستعمال تبديل اللوافت متعدد البروتوكولات MPLS VPN

، وعلى الشبكات الخاصة الافتراضية البعادية المُدَارة من العملاء تلك المُنشأة باستعمال بروتوكول التغليف عام التوجيه GRE ، والمؤمنة باستعمال حزمة أمن بروتوكول الإنترنت IPSec

مبدأ العمل

المفهوم العام للشبكات الخاصة الافتراضية.

الشبكات الخاصّة الافتراضية هي تقنية تسمح لجهازين متصلين مع شبكة عامة، مثل الإنترنت، بتبادل بيانات خاصّة مع بعضهما البعض. تعني كلمة “خاصّة” بأن البيانات المتبادلة بين الجهازين لها خصوصية، ولا يطّلع عليها إلا أطراف الاتصال. أما كلمة “افتراضيّة” فتعني أن الاتصال الخاص يجري عبر قناة اتصال غير مادية تُنشأُ وتُؤمَّنُ عبرَ شبكةٍ عامةٍ خصيصاً لهذا الغرض. قد يتواجد الجهازان في شبكة محلية واحدةٍ أو يتصلان عبر شبكة مُتباعدة

. بعبارةٍ أخرى مختصرةٍ، الشبكةُ الخاصةُ الافتراضيةُ هي اتصالٌ شبكيٌّ خاصٌّ يحصلُ عبر شبكة عامة ، أو نفقٍ خاصٍّ مُشفّرٍ عبر شبكة الإنترنت

تُورِد مجموعة مهندسي شبكة الإنترنت التعريف التالي: “الشبكة الخاصة الافتراضية هي مصطلح عامّ يُغطي استعمال شبكات عامّة أو خاصّة لإنشاء مجموعة من المُستخدمين المُفصولين عن بقية مُستخدمي الشبكة، وأعضاء هذه المجموعة قادرون على الاتصال فيما بينهم وكأنهم في شبكة خاصّة، ومن الممكن تحسين هذا الفصل باستعمال تقنيات أخرى مثل التشفير بين الطرفيات (بالإنجليزية: end-to-end encryption)‏”

تُصنَّف الشبكات الخاصة الافتراضية بحسب الطرف الذي يديرها إلى الشبكات المدارة من قبل العملاء والشبكات المدارة من قبل مزودي الخدمة، ويمكن تصنيف الشبكات الخاصة الافتراضية المدارة من قبل العملاء ومزودي الخدمة بحسب الطوبولوجيا إلى صنفين هما شبكات الوصول البعادي الخاصة الافتراضية، والثاني هو الشبكات الخاصة الافتراضية بين المواقع

تؤمِّن الشبكة الخاصة الافتراضية الخدمات الأمنية مثل السرية وسلامة البيانات والتحقق من الهوية ومنع التكرار

، ولكنها توصيف عام لمجموعة من الوظائف والخدمات وليس هناك معيار محدد صارم لأدائها، ومن الممكن تطبيقها باستعمال تقنيات ومعايير مُختلفة. فمن الممكن مثلاً الاعتماد على تقنية تبديل اللوافت متعدد البروتوكولات أو على بروتوكول توجيه خارجي مثل بروتوكول البوابة الحدودية لإنجاز مسألة التوجيه، وعلى تقنيات تشفير مختلفة مثل التشفير المتناظر والتشفير التدفقي، وتقنيات مختلفة للتحقق من الهوية مثل المفاتيح المتشاركة مسبقاً أو المفاتيح العامة وغير ذلك

تسمح الشبكات الخاصة الافتراضية بالوصول البعادي إلى الموارد، فتوفر بذلك بديلاً رخيص الكلفة للشركات والمؤسسات لتسمح للموظفين بالنفاذ البعادي إلى مواقعها والاستفادة من بنيتها التحيتية. بالإضافة لذلك، تدعم هذه الشبكات مرونة في اختيار الحلول الآمنة ولا تُقيِّد مُشغليها باستعمال تقنية محددة دون البقية. على الجانب الآخر، لا تضمن الشبكات الخاصة الافتراضية جودة الخدمة، وقد يحصل المستخدمون على جودة اتصال سيئة أو يعانون من أزمنة تأخير ملحوظة. بالإضافة لذلك، بسبب استعمال التشفير في هذ الشبكات، فإن عمليات الضغط لا تكون متاحة ويسبب ذلك زيادة في أحجام البيانات المتبادلة

اصطلاحات عامة

مصطلحات الشبكات الافتراضية الخاصة بين المواقع.

 

  • .
  • مزود الخدمة (بالإنجليزية: Service Provider)‏: هو مصطلح عام يُشير إلى شركة تؤمن خدمات الاتصال البعادي للعملاء، بما في ذلك خدمات الإنترنت
  • .
  • العملاء (بالإنجليزية: Customer)‏: أو عملاء مزود الخدمة، هم مالكو المواقع التي تحصل على خدمة الاتصال البعادي
  • .
  • في الشبكات الخاصة الافتراضية بين المواقع تستعمل الاصطلاحات التالية

 

  • :
  • جهاز العميل: (بالإنجليزية: Customer Device اختصاراً C)‏ هي أجهزة موجودة في طرف العميل، مثل مبدلات أو موجهات، لا تتصل مع مزود الخدمة بشكل مباشر، وتكون غير مُدركة لوجود الشبكة الخاصة الافتراضية.
  • جهاز تخم العميل: (بالإنجليزية: Customer Edge Device اختصاراً CE)‏ هو جهاز في شبكة العميل يُقدِّم الوظائف اللازمة للوصول إلى الخدمات يُقدمها مزود الخدمة، وهو يتصل مع مزود الخدمة. تصنف هذه الأجهزة بحسب الوظائف التي تقدمها إلى صنفين هما مُبدِّلات تخم العميل (CE-s)، ومُوجهات تخم العميل (CE-r) (1).
  • جهاز تخم المزود: (بالإنجليزية: Provider Edge Device اختصاراً PE)‏ هو جهاز في شبكة المزود يتصل مع شبكة العميل عبر جهاز تخم العميل. تصنف هذه الأجهزة بحسب الوظائف التي تقدمها إلى ثلاث أصناف هي مُبدِّلات تخم المُزوِّد (PE-s)، ومُوجهات تخم المُزوِّد (PE-r) وموجهات/مبدلات (PE-rs).
  • جهاز المزود: (بالإنجليزية: Provider Device اختصاراً P)‏ هو جهاز موجودة في شبكة مزود الخدمة، مثل مبدلات أو موجهات، لا تتصل مع العميل بشكل مباشر، وتكون غير مُدركة لوجود مواقع العميل.
  • مُخدِّم النفاذ إلى الشبكة (بالإنجليزية: Network Access Server اختصاراً NAS)‏: هو جهاز يُؤَمِّن خدمة النفاذ لشبكة محلية لمستخدمين عبر شبكة عامة مثل شبكة الهاتف

 

  • .
  • النفق (بالإنجليزية: Tunnel)‏: هو اتصال عبر شبكة عامة يُستخدم لنقل البيانات بين جهازي تخم مزود
  • .
  • الموجه الافتراضي (بالإنجليزية: Virtual Router اختصاراً VR)‏:هي مضاهاة برمجية لعمل موجه مادي

 

التصنيف

بحسب إدارة الشبكة

تصنيف الشبكات الخاصة الافتراضية بحسب طريقة إدارة الشبكة، ثُمّ بحسب الطوبولوجيا.

تُصنَّف الشبكات الخاصة الافتراضية بحسب طريقة إدارة الشبكة إلى

  1. الشبكات الخاصة الافتراضية المدارة من مزودات الخدمة (بالإنجليزية: Service provider provisioned VPN)‏:وهي شبكات خاصة افتراضية يتم تهيئتها وإدارتها بواسطة مزود واحد للخدمة أو أكثر.
  2. الشبكات الخاصة الافتراضية المدارة من العملاء (بالإنجليزية: Customer provisioned VPN)‏: وهي شبكات خاصة افتراضية يتم تهيئتها وإدارتها بواسطة عملاء مزود الخدمة.

من الأمثلةِ على الشبكاتِ الخاصةِ الافتراضيةِ المُدارةِ من مزوِّدات الخدمة، الشبكةُ الخاصةُ الافتراضيةُ باستعمالِ تبديلِ اللافتاتِ متعددِ البروتوكولات (بالإنجليزية: MPLS VPN)‏

وشبكة الموجه الافتراضي الخاصة الافتراضية (بالإنجليزية: Virtual Router VPN)‏. من الأمثلة على الشبكات الخاصة الافتراضية المدارة من العملاء: الشبكة الخاصة الافتراضية باستعمال التغليف عام التوجيه (بالإنجليزية: Greneric Routing encapsulation اختصاراً GRE VPN)‏ وأيضاً الشبكة الخاصة الافتراضية باستعمال حزمة أمن بروتوكول الإنترنت (بالإنجليزية: IPSec VPN)‏

بحسب طوبولوجيا الشبكة

تُصنَّف الشبكات الخاصة الافتراضيّة بحسب طوبولوجيا الشبكة إلى

  1. شبكات الوصول البعادي الخاصة الافتراضية.
  2. الشبكات الخاصة الافتراضية بين المواقع.

شبكات الوصول البعادي

شبكة وصول بعادي خاصَّة افتراضيَّة
شبكة خاصة افتراضية بين المواقع.
طوبولوجيا نموذجية لصنفين من أصناف الشبكات الخاصة الافتراضية بحسب الطوبولوجيا.

تسمح شبكة الوصول البعادي الخاصة الافتراضية لمستخدمين متحركين أو منزِليين بالوصول إلى موارد مؤسسة ما بشكل بعادي

. وتُصنَّف هذه الشبكات بحسب طريقة الإنشاء بالشكل التالي

  1. شبكات الوصول البعادي التي تدعم النمط الإلزامي (بالإنجليزية: Compulsory mode)‏: وفيه يقوم المستخدم البعادي بإنشاء اتصال مع مزود الخدمة أو مع مُخدم نفاذ لشبكة المزود NAS، ويقوم المزود بإنشاء الاتصال مع الهدف، ويحتفظ المستخدم البعادي بإمكانية ضبط الخيارات الأمنية، ولكن هذه الاتصال يكون مداراً بواسطة مزود الخدمة.
  2. الشبكات الوصول البعادي التي تدعم النمط الاختياري (بالإنجليزية: Voluntary mode)‏: وفيه يقوم المستخدم البعادي بإنشاء الاتصال مع الهدف البعيد مباشرة عبر الشبكة العامة، وقد يكون الاتصال مداراً بواسطة المزود أو بواسطة العميل.

من أجل إنشاء الاتصال تُستعمل الأنفاق، ولتحقيق ذلك تُستعمل بروتوكولات الأنفاق التي تقوم بإنشائها وإدارتها وإغلاقها. فمثلاً يدعم بروتوكول سيسكو للتوجيه على مستوى الطبقة الثانية

L2F النمط الإلزامي ، أما بروتوكول الأنفاق بين نقطتين ، المعروف اختصاراً بالشكل:PPTP والموصوف بالوثيقة RFC 2637 ، فيدعم النمط الطوعي. في حين يدعم بروتوكول الأنفاق في الطبقة الثانية، والمعروف اختصاراً بالشكل: L2TP، والموصوف في وثيقة طلب التعليقات RFC 2661

كلا النمطين.

الشبكات بين المواقع

المرتكزة على أجهزة العميل
المرتكزة على أجهزة المزود
الشبكات الخاصة الافتراضية بين المواقع بحسب إدراك المعدات فيها لوجود الأنفاق.

تُؤمِّن الشبكات الخاصة الافتراضية بين المواقع الاتصال بين موقعين أو أكثر متباعدين جُغرافياً، قد يتبعان مؤسسة واحدة أو أكثر، وهذا الصنف شائع في الطوبولوجيا التي ترتبط فيها قيادة شركة ما مع مكاتب فرعية عديدة لها. تُصنف الشبكات الافتراضية بين المواقع أيضاً بحسب عدد المؤسسات التي تمتد على شبكاتها إلى: شبكات خاصة افتراضية داخلية (بالإنجليزية: Intranet VPNs)‏ وشبكات خاصة افتراضية خارجية (بالإنجليزية: Extranet VPNs)‏، تصل الأولى بين عدة مواقع تتبع لنفس المؤسسة في حين تصل الثانية بين مواقع تتبع لمؤسسات مختلفة

تُصنَّف شبكات الشبكات الخاصة الافتراضية بين المواقع أيضاً بحسب إدراك المعدات فيها لوجود الأنفاق بحسب مايلي

  1. الشبكات الخاصة الافتراضية المرتكزة على أجهزة العميل (بالإنجليزية: CE-Based VPN)‏: وفيها تقوم أجهزة العميل بإنشاء الشبكة الخاصة الافتراضية فيما بينها عبر شبكة مزود الخدمة، ولكن أجهزة المزود، ورغم مشاركتها في توجيه البيانات، تكون غير مدركة لوجود الشبكة الخاصة الافتراضية. ومن الأمثلة على هذه الشبكات: الشبكة الخاصة الافتراضية باستعمال حزمة أمن بروتوكول الإنترنت IPSec VPN وأيضاً الشبكات الخاصة الافتراضية باستعمال بروتوكول التغليف عام التوجيه GRE VPN.
  2. الشبكات الخاصة الافتراضية المرتكزة على أجهزة المزود (بالإنجليزية: PE-based VPN)‏: وفيها تقوم أجهزة المزود بإنشاء الشبكة الخاصة الافتراضية فيما بينها وتدير عملية التوجيه عبرها، وتكون معدات العميل معزولة عن هذه الشبكة، وتتصل مع أجهزة تخم المزود لأجل تبادل البيانات عبرها. ومن الأمثلة على هذه الشبكات: الشبكة الخاصة الافتراضية باستعمال تبديل اللوافت متعدد البروتوكولات على مستوى الطبقة الثالثة L3 MPLS VPN والشبكة الخاصة الافتراضية باستعمال الموجه الافتراضي.

أمثلة

باستعمال تبديل اللوافت متعدد البروتوكولات

إذا كان هناك مجموعة من المواقع المُتباعدة التي تشكل كل منها شبكة محلية، وكانت هذه المواقع متصلة مع بعضها البعض عبر شبكة أُخرى عمود فقرية (بالإنجليزية: backbone)‏ تُشغِّل تقنية تبديل اللوافت مُتعدد البروتوكولات. تُؤمِّن الشبكة العمود فقرية اتصالاً آمناً وخاصاً بين المواقع عبر قنوات افتراضية، وتصبح هذه المواقع أجزاء من شبكة خاصة افتراضية تضمها جميعاً. إذا كانت هذه المواقع مملوكة لنفس المؤسسة، فمن الممكن النظر إليها على أنها شبكة داخلية أما إذا كانت مملوكة لمؤسسات مختلفة فمن الممكن النظر إليها على أنها شبكة خارجية، يمكن أن تمتد الشبكة االخاصة الافتراضية في شبكة داخلية أو خارجية. يُشار إلى مالكي المواقع بالعملاء وإلى مالكي أو مُشغلي الشبكة العمود فقرية بمزود الخدمة ويحصل العملاء على خدمة الشبكة الخاصة الافتراضية من مزود الخدمة

على مستوى الطبقة الثانية

طوبولوجيا الشبكة الخاصة الافتراضية على مستوى الطبقة الثانية باستعمال تبديل اللوافت متعدد البروتوكولات.

في هذا النوع، تُنشئ الشبكة الخاصة الافتراضية عبر شبكة تبديل لوافت متعدد البروتوكولات يديرها مُزوِّد خدمة. وتسمح شبكة تبديل اللوافت لموجهات تخوم العملاء في مواقع متباعدة بإنشاء علاقات جيران عبرها بغض النظر البينة المادية للشبكة. نتيجة لذلك تكون موجهات تخوم العملاء غير مدركة لبنية شبكة تبديل اللوافت، وتُشغِّل بروتوكولات توجيه لتُنشئ علاقات جيران فيما بينها وكأنها متصلة بشبكة على مستوى طبقة ربط البيانات، لذلك تُسمَّى هذه الشبكات بالشبكات الخاصة الافتراضية باستعمال تبديل اللوافت متعدد البروتوكولات على مستوى الطبقة الثانية (بالإنجليزية: Layer 2 MPLS VPN)‏

على مستوى الطبقة الثالثة

طوبولوجيا الشبكة الخاصة الافتراضية على مستوى الطبقة الثالثة باستعمال تبديل اللوافت متعدد البروتوكولات.

تصل هذه الشبكة بين عدة مواقع متباعدة متصلة عبر شبكة مزود خدمة. في هذا النوع من الشبكات الخاصة الافتراضية، تقوم موجهات تخم المزود، والتي تُسمَّى أيضاً موجه تخم شبكة تبديل اللوافت (بالإنجليزية: Edge Label Switch Router اختصاراً ELSR)‏، بإنشاء علاقات جيران مع موجهات تخوم العملاء، وتزودها بمعلومات التوجيه الخاصة بالمواقع الأخرى. تُدرك موجهات تخوم العملاء وجود شبكة المزود، وتنشئ علاقات جيران مع موجهات تخمها. نتيجة لهذا الاتصال غير المباشر موجعهات تخم العمبل والذي يتم عبر موجهات مزود خدمة تُسمى هذه الشبكات بالشبكات الخاصة الافتراضية باستعمال تبديل اللوافت متعدد البروتوكولات على مستوى الطبقة الثالثة (بالإنجليزية: Layer 3 MPLS VPN)‏

بشكل افتراضي، لا يتضمن هذا النوع من الشبكات الخاصة تشفيراً، ولكن يمكن إضافته بشكل لاحق باستعمال حزمة بروتوكول الإنترنت الأمنية

باستعمال بروتوكول الأنفاق على مستوى الطبقة الثانية

نموذج النفق الإلزامي
نموذج النفق الطوعي
الشبكة الخاصة الافتراضية باستخدام بروتوكول الأنفاق في الطبقة الثانية.

يُعرِّف بروتوكول الربط بين نقطتين PPP آلية تغليف لنقل رزم بروتوكولات مختلفة عبر وصلة تصل بين نقطتين. في شبكة نموذجية، يحصل مستخدم على الاتصال على مستوى الطبقة الثانية باستعمال مُخدم نفاذ للشبكة NAS اعتماداً على تقنيات متنوعة تشمل خط المشترك الرقمي غير المتناظر ADSL والشبكة الرقمية للخدمات المتكاملة ISDN، بعد ذلك يُشغَّل بروتوكول الربط بين نقطتين عبر هذا الاتصال. في شبكة كهذه، تكون نقطة نهاية اتصال الطبقة الثانية ونقطة نهاية جلسة بروتوكول الربط بين نقطتين في نفس الجهاز المادي، وهو مُخدم النفاذ للشبكة في هذه الحالة. وما يفعله بروتوكول الأنفاق في الطبقة الثانية هو أنه يسمح لنقطتي النهاية أن تكونا في جهازين مختلفين تفصل بينهما شبكة تبديل رزم

طُوِّر البروتوكول في عام 1998، وهو الإصدار الثاني من بروتوكول سيسكو للتوجيه على مستوى الطبقة الثانية

L2F ، لذلك غالباً ما يُشار إليه بالشكل L2TPv2، وهناك إصدار آخر من هذا البروتوكول هو الإصدار الثالث L2TPv3 الذي شمل إضافات أمنية وهو موصوف في وثيقة طلب التعليقات RFC 3931

يمكن لبروتوكول الأنفاق على مستوى الطبقة الثانية أن يعمل بأحد نمطين

  1. النمط الطوعي: وفيه يُنشئ النفق عبر شبكة مزود الخدمة بين عميل ومخدم بعيد يدعمان البروتوكول، وتكون العلاقة بحسب نموذج طلب الخدمة، وليس هناك قيود تخص دعم البرتوكول بالنسبة لشبكة مزود الخدمة.
  2. النمط الإلزامي: وفيه يُنشئ يقوم المُستخدم بإنشاء نفق اتصال بين نقطتين مع مخدم نفاذ للشبكة، ثُمَّ يقوم المخدم بإنشاء نفق بروتوكول الأنفاق على مستوى الطبقة الثانية مع بوابة للبروتوكول في موقع بعيد، ولا يدرك المستخدم وجود نفق لبروتوكول الأنفاق على مستوى الطبقة الثانية.

باستعمال بروتوكول طبقة المقابس الآمنة

طوبولوجيا الشبكة الخاصة الافتراضية باستعمال بروتوكول طبقة المقابس الآمنة.

تؤمِّن الشبكات الخاصة الافتراضية باستعمال بروتوكول طبقة المقابس الآمنة (بالإنجليزية: SSL VPN)‏ الوصول البعادي الآمن لمنظمة ما إلى مجموعة من الموارد كالمُخدمات. تتكون هذه الشبكة من بوابة واحدة أو أكثر من بوابات الشبكة الخاصة الافتراضية لبروتوكول طبقة المقابس الآمنة (بالإنجليزية: SSL/TLS VPN gateway)‏ التي يُمكن للمستخدمين الاتصال معها باستعمال متصفحات الويب، ويجري تشفير البيانات المتبادلة بين الطرفين باستعمال بروتوكول طبقة المقابس الآمنة، ويحصل تبادل البيانات عبر نفق الشبكة الخاصة الافتراضية لبروتوكول طبقة المقابس الآمنة (بالإنجليزية: SSL/TLS VPN tunnel)‏ الموصوف بوثيقة طلب التعليقات RFC 8446

. وتظهر أفضلية هذه الشبكات باعتمادها على بروتوكول طبقة المقابس الآمنة المُدمج في كل متصفحات الويب القياسية

يُعرَّف نفق الشبكة الخاصة الافتراضية لبروتوكول طبقة المقابس الآمنة بأنَّه تقنية يتم فيها تغليف البيانات المرسلة من عميل ما إلى عقدة وسطيّة، ويجري تشفير هذه البيانات بحسب ما يحدده بروتوكول طبقة المقابس الآمنة. أمّا بوابة الشبكة الخاصة الافتراضية لبروتوكول طبقة المقابس الآمنة فهي طرفية توجد في تخم أحد المواقع وتستعمل لتأمينه. تكون البوابة مخصص لتطبيق محدد، مثل البروتوكول الآمن لنقل النص الهجين HTTPS. تُستعمل هذه البوابات عندما يكون هناك حاجة لتقييد الوصول البعيد للشبكة وجعله محدوداً بعدد من الخدمات فقط

يُدير العملاء الاتصال في هذا النوع من الشبكات، وتختلف طريقة الإدارة عن بقية شبكات الوصول البعادي الخاصة الافتراضية التي عادةً ما يقوم العملاء فيها بإنشاء اتصال مباشر عبر الأنفاق مع المُخدِّم. أما في الشبكات الخاصة الافتراضية باستعمال بروتوكول طبقة المقابس الآمنة فيقوم العملاء بالاتصال مع البوابة، التي تلعب دور الوكيل بين العميل والخدمة والمطلوبة

باستعمال حزمة أمن بروتوكول الإنترنت

مراحل دورة حياة نفق في شبكة خاصة افتراضية باستعمال حزمة أمن بروتوكول الإنترنت.

تشمل حزمة أمن بروتوكول الإنترنت عدداً من البروتوكولات التي تؤمن خدمات سرية وسلامة البيانات بالإضافة للتحقق من الهوية. من هذه البروتوكولات بروتوكول تبادل مفاتيح الإنترنت

(IKE)، الذي يؤمن التشفير بين طرفين تم التحقق من هويتهما. يعتمد هذا البروتوكول على مفاتيح تشفير قابلة للضبط يجري تغييرها بين الطرفين بشكل دوريّ

هناك طوران لبناء نفق باستعمال بروتوكول تبادل مفاتيح الإنترنت. خلال الطور الأول (بالإنجليزية: IKE Phase 1)‏، تُنشئ جلسة آمنة عبر نفق بين طرفي الاتصال، تشمل التحقق من هويتهمها وتشفير البيانات المنقولة فيما بينهما باستعمال مفتاح تشفير مشترك، ويُسمى هذا النفق بنفق الطور الأول (بالإنجليزية: IKE Phase 1 tunnel)‏

. بعد ذلك، يبدأ الطور الثاني (بالإنجليزية: IKE Phase 2)‏ ضمن نفق الطور الأول، ولكن على عكس الطور الأول، يُشفِّر طرفا الاتصال البيانات كلٌ باستعمال مفتاح تشفير خاص به

لتأمين عملية التحقق من الهوية وسلامة البيانات، يُمكن أن يُستعمل بروتوكول ترويسة التحقق من الهوية بروتوكول ترويسة التحقق من الهوية

وبروتوكول أمن تغليف الحمولة

وكلاهما جزء من حزمة أمن بروتوكول الإنترنت. يكمن الاختلاف الأساسي بين البروتوكولين في دعم التشفير، حيث لا يقدم بروتوكول ترويسة التحقق من الهوية أي تشفير على عكس بروتوكول أمن تغليف الحمولة،الذي يجري تفضيله لذلك.

يتم إنشاء النفق بين طرفي الاتصال كما يلي

  1. يبدأ أحد الطرفين اتصالاً مع الموجه المحلي الذي يربطه مع الشبكة العامة، ويجري توضيح الحاجة لإنشاء نفق باستعمال حزمة أمن بروتوكول الإنترنت نحو وجهة محددة العنوان.
  2. يقوم الموجه المحلي بالاتصال عبر الشبكة العامة مع الموجه البعيد الذي يصل شبكة الوجهة مع الشبكة العامة، ويجري إنشاء نفق الطور الأول.
  3. ضمن نفق الطور الأول، يجري التفاوض بين طرفي الاتصال، ويتم إنشاء نفق الطور الثاني، والذي يُسمّى أيضاً نفق حزمة أمن بروتوكول الإنترنت.
  4. يجري تبادل البيانات بشكل آمن بين الطرفين ضمن نفق الطور الثاني.
  5. يتم إغلاق النفق بعد فترة زمنية من الخمول أو بعد فترة محددة من الإنشاء، ويتم تحديد ذلك عند إنشائه.

باستعمال بروتوكول التغليف عام التوجيه

يستعمل بروتوكول التغليف عام التوجيه GRE لتغليف رزمة بيانات أي بروتوكول تشبيك (2) داخل رزمة بيانات بروتوكول تشبيك آخر. لا يُقدِّم هذا البروتوكول أي حماية أمنية للرزمة التي يغلفها وينقلها، لذلك من الشائع أن ترسل رزم هذا البروتوكول ضمن نفق آمن يُنشئه بروتوكول آخر مثل نفق حزمة بروتوكول الإنترنت الأمنية

من الأمثلة على استعمالات نفق بروتوكول التغليف عام التوجيه هو الحاجة لنقل رزم بيانات بث مجموعاتي عبر نفق حزمة بروتوكول الإنترنت التي لا تنقل إلا رزم بيانات فريدة الوجهة. وفي هذه الحالة تُغلف رزم البث المجموعاتي ضمن رزم بروتوكول التغليف عام التوجيه التي تُغلَّف بدورها ضمن رزم بيانات بروتوكول التشبيك المُستعمل، وهكذا تنقل رزم البث المجموعاتي عبر نفق حزمة بروتوكول الإنترنت داخل رزم فريدة الوجهة

بين نقطتين

نفق بروتوكول التغليف عام التوجيه ضمن نفق حزمة بروتوكول الإنترنت الأمنية.

يُنشَأ هذا النفق عبر شبكة عامة ليصل بين منفذي موجهين(3). يجب تحديد نهايتي النفقين ثم عَنوانتُهما بعنوانين مميزين، ويجري بعد ذلك تزويد كل طرف من طرفي النفق بعنوان الطرف الآخر

. عند إرسال رزمة بيانات عبر أحد منفذي النفق يحصل ما يلي

  1. يجري تغليف رزمة البيانات المُرسلة باستعمال بروتوكول التغليف عام التوجيه وتشكيل رزمة بروتوكول التغليف عام التوجيه.
  2. يجري تغليف رزمة بروتوكول التغليف عام التوجيه ضمن رزمة بروتوكول التشبيك المستعمل في الشبكة، ويتم توليد رزمة بيانات بروتوكول التشبيك، مثلاً: قد يكون بروتوكول التشبيك هو الإصدار الرابع من بروتوكول الإنترنت.
  3. يتم توجيه رزمة بيانات بروتوكول التشبيك عبر الشبكة كأيَّة رزمة بيانات أُخرى وصولاً إلى وجهتها.
  4. في الوجهة، تُستخرج رزمة بروتوكول التغليف عام التوجيه من ضمن رزمة بيانات بروتوكول التشبيك.
  5. بالنسبة لرزمة بيانات بروتوكول التغليف عام التوجيه، فقد كان المسار عبارة عن قفزة واحدة، بين طرفي النفق، بغض النظر عن المسار الفيزيائي الحقيقي الذي سلكته رزمة بيانات بروتوكول التشبيك.

متعدد النقاط

طوبولوجيا المركز والتفرعات
طوبولوجيا بين التفرعات
طوبولوجيا نموذجية لشبكتين خاصتين افتراضيتين آليتين متعددتي النقاط باستعمال بروتوكول التغليف عام التوجيه.

الشبكة الخاصة الافتراضية الحركية مُتعددة النقاط

المعروفة اختصاراً بالمحارف: DMVPN، هي شكل خاص من أشكال الشبكات الخاصة الافتراضية بين المواقع، يمكن فيها إنشاء نفق بروتوكول التغليف عام التوجيه بشكل آلي بين أي موقعين لتبادل البيانات، ثم إغلاق النفق بعد الانتهاء من ذلك بشكل آلي أيضاً، ويتم تأمين هذه الأنفاق باستعمال حزمة بروتوكول الإنترنت الأمنية

لتنجح عملية الإنشاء الآلي للأنفاق بين طرفين، لابد للطرف المُنشئ أن يحصل على العنوان الفيزيائي للطرف الآخر للنفق، فهذه النهاية تتغير بشكل آلي مع كل تغيير للطرف الآخر للنفق، ويترتب على ذلك تغيير العنوان الفيزيائي للطرف الآخر للنفق أيضاً. ولمعرفة هذا العنوان يُستخدم بروتوكول مطابقة عنوان الخطوة التالية

المعروف اختصاراً بالمحارف: NHRP. وهذا البروتوكول هو بروتوكول مطابقة عناوين طُوِّر أساساً في العام 1998م للعمل في شبكات النفاذ المتعدد التي لا تدعم البث العام ، المعروفة اختصاراً بالمحارف NBMA. وصفت وثيقة طلب التعليقات RFC 2735 كيفية استخدامه في الشبكات الخاصة الافتراضية

.

يمكن تنفيذ الشبكة الخاصة الافتراضية الآلية متعددة النقاط باستعمال خاصية تعدد النقاط في بروتوكول التغليف عام التوجيه (بالإنجليزية: multipoint GRE اختصاراً mGRE)‏ والتي تسمح للموجه بدعم أكثر من نفق على منفذ واحد. ولتحقيق ذلك هناك شكلان للطوبولوجيا هما: طوبولوجيا المركز والتفرعات (بالإنجليزية: hub-and-spoke topology)‏ وطوبولوجيا بين التفرعات (بالإنجليزية: spoke-to-spoke topology)‏. في الأولى يتم تهيئة منفذ واحد في الموجه المركزي ليكون منفذاً متعدد النقاط لبروتوكول التغليف عام التوجيه (بالإنجليزية: mGRE interface)‏ ويشكل هذا المنفذ نقطة بداية لكل الأنفاق التي تُنشأ نحو التفرعات. أما في الثانية، فيتم تهيئة منفذ متعدد النقاط في المركز وفي كل تفرع من التفرعات، ويمكن إنشاء نفق بين أي موقعين متصلين مع الشبكة العامة

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

The best VPN service for 2020

A virtual private network lets you send and receive data while remaining anonymous and secure online.

Rae Hodge mugshot
David Gewirtz mugshot

In the ever-expanding market of commercial virtual private networks, choosing a VPN can be difficult. How do you sort through the horde of overhyped providers to find the best VPN service? To help you make the right choice, we’re keeping a close eye on how each VPN provider stands compared with its competitors and updating this directory regularly.

Since we avoid recommending free VPN services, this directory is packed only with paid commercial VPNs. In our current testing and ranking system, we looked at more than 20 factors, including price, bandwidth caps, number of server locations, client software, dedicated and dynamic IP, security, logging, and customer support. To see exactly how we test and rate VPNs, check out our full evaluation walk-through.

Let’s look at each of our vendors below in a little more depth. Keep in mind that this is an evolving list: It was originally published earlier, and is constantly updated. We’re actively working on more testing and research, so expect this list to change throughout the year.

ExpressVPN

  • Number of IP addresses: 30,000
  • Number of servers: 3,000-plus
  • Number of server locations: 160
  • Number of simultaneous connections: 5
  • Country/jurisdiction: British Virgin Islands
  • 94-plus countries
  • 3 months free with 1-year plan

ExpressVPN consistently proves itself one of the fastest VPNs on the market, and actively promotes its commitment to privacy. The company tells us its network is powered by TrustedServer technology, which ExpressVPN built to ensure that there are never any logs of users’ online activities. In the privacy world, ExpressVPN has a strong track record, having experienced a server seizure by authorities which proved their zero-log policy true at the time. We also like the quality of the VPN’s setup guides, and the detailed information in its FAQ.

Like the rest of the top five VPN services we’ve reviewed for 2020, ExpressVPN offers a useful kill switch feature, which prevents network data from leaking outside of its secure VPN tunnel in the event the VPN connection fails. Unlike the others, though, ExpressVPN gained points from us for its support of bitcoin as a payment method — something not all of our favorites offer, but which adds an additional layer of privacy during checkout.

The company has been in business since 2009, and ExpressVPN has a substantial network of fast VPN servers spread across 94 countries. Its best plan is priced at less than $7 a month for an annual package, which includes three months free.

Read more: ExpressVPN review: A VPN speed leader with a secure reputation

See at ExpressVPN

Surfshark

  • Number of servers: 1,000
  • Number of server locations: 60
  • Country/jurisdiction: British Virgin Islands

While Surfshark’s network is smaller than some, the VPN services makes it up on features. Let’s start off with the biggest win it offers: unlimited device support. If you want to run your entire home or office on Surfshark’s VPN, you don’t have to worry about how many devices you have on or connected. It also offers antimalware, ad-blocking and tracker-blocking as part of its software.

Surfshark received generally high marks when its Chrome and Firefox extensions were audited for privacy by German security firm Cure 53 (PDF link of full report) — though that audit was commissioned by Surfshark.

The company has a solid range of app support, running on Mac, Windows, iOS, Android, FireTV and routers. Additional devices such as game consoles can be configured for Surfshark via DNS settings. We particularly like the feature that allows you to whitelist certain apps and websites to automatically bypass the VPN. For some business uses, this can be critically important.

Surfshark also offers three special modes designed for those who want to get around restrictions and more carefully hide their online footsteps. Camouflage Mode masks your VPN activity so your ISP doesn’t know you’re using a VPN. Multihop jumps your connection through multiple countries to hide your trail. Finally, NoBorders Mode “allows [you] to successfully use Surfshark in restrictive regions.” Just be careful. Doing any of these three things could be illegal in your country and could result in severe penalties. During our testing, we saw no DNS or IP address leaks, and had no trouble accessing Netflix.

For a year plan, Surfshark comes in close to many of the other full-featured VPN providers, at $72 for the first year. Be careful, because it looks like that will jump to $143 after your first year is up. Month-by-month plans are $12. Its best offer is $2 a month, for its 24-month plan (you pay $48 up front). Definitely take advantage of its generous 30-day trial to decide if you like this service (and maybe set a reminder in 23 months to see if you can talk it into a continued discount rate).

Read more: Surfshark VPN review: A feature-rich service with blazing speeds and a security focus

See at Surfshark

NordVPN

NordVPN is one of the most recognized brands in the VPN field. It offers a generous simultaneous connection count, with six simultaneous connections through its network, where nearly all other providers offer five or fewer. NordVPN also offers a dedicated IP option, for those looking for a different level of VPN connection. NordVPN offers a kill switch feature, and the ability to VPN into Tor. We detected no privacy leaks during our tests, and found its speeds to be reliably fast.

The company’s one-year subscription plan costs is for $7 a month ($84 billed at once). While that yearly price is lower than most other contenders, the month-to-month price of $12 is at the high end of the spectrum. As of September 2019, the company’s other pricing tiers have crept up a bit: It’s now $3.49 a month for a three-year plan (or $125.64 total), up from $2.99/$107.55. And the two-year plan is now $4.99 a month ($119.76), up from $3.99/$95.75. And yes, it also has a full 30-day refund policy.

While NordVPN has lived on this list for a long time, we moved it to the penalty box in October 2019 to re-evaluate our recommendation after a report emerged that one of its rented servers was accessed without authorization in 2018. Nord’s actions following the discovery included — eventually — multiple security audits, a bug bounty program and heavier investments in server security.

While we’d have preferred that Nord self-disclosed the issue much earlier, the fact that the breach was limited in nature and involved no user-identifying information served to further verify that NordVPN keeps no logs of user activity. As a result, Nord remains on this list as a recommended vendor.

Read more: NordVPN review: Still the best value for security and speed

See at NordVPN

IPVanish

  • Number of IP addresses: 40,000-plus
  • Number of servers: 1,300
  • Number of server locations: 60
  • Number of simultaneous connections: 10
  • Country/jurisdiction: US
  • $3.99 a month and $48 a year

A big win for IPVanish is its fun, configurable interface, which makes it an ideal client for those who are interested in learning how to understand what a VPN does under the hood. Its multiplatform flexibility is also ideal for people focused on finding a Netflix-friendly VPN.

A unique feature of IPVanish, and one we’re intrigued by, is the VPN’s support of Kodi, the open-source media streaming app that was once known as XBMC. Any serious media fan has used or built Kodi or XBMC into a media player, and the integrated IPVanish Kodi plugin provides access to media worldwide.

At $5 a month or $39 a year, IPVanish is obviously trying to move you towards its yearly program. We’re a little disappointed that it only allows a seven-day trial, rather than a full 30 days, but it does offer a full money-back guarantee. That said, the company gets kudos for its recent increase from five to now 10 simultaneous connections. We also liked its connection kill switch feature, a must for anyone serious about remaining anonymous while surfing.

Read more: IPVanish review: Get under the hood with this zippy VPN

See at IPVanish
logo-norton-360-with-lifelock
Norton

Norton Secure VPN

  • Number of countries: 29
  • Number of servers: 1,500 (1,200 virtual)
  • Number of server locations: 200 in 73 cities
  • Country/jurisdiction: US
  • $40 for the first 12 months

LifeLock, long known for excellence in security products, has a relatively limited offering in its VPN product. Norton Secure VPN does not support P2P or BitTorrent, it does not have a kill switch feature, and it does not support Linux, routers or set top boxes. Its Netflix and streaming compatibility is somewhat limited. Even worse, during testing, we experienced privacy-compromising data leaks.

During CNET’s testing, Norton Secure VPN speeds were comparable to other mid-tier VPNs but not particularly competitive. Although its VPN is only available on four platforms — Mac, iOS, Windows and Android — Norton gets big points for its 24/7 live customer phone support and 60-day money back guarantee.

Read more: Norton Secure VPN review: More work is needed for this privacy product to shine


Below you’ll find additional VPNs. We’re in the process of reevaluating them for 2020.


purelogo
PureVPN

PureVPN

PureVPN does not log connection information. The company joined the “no log” movement in 2018, which was recently verified via a third-party audit by Althius IT (albeit one commissioned and paid for by PureVPN).

We like that PureVPN offers a 31-day refund policy and supports Bitcoin payments, to further extend anonymous browsing. We also like that PureVPN has both Kodi and a Chromebook solutions available. In addition, PureVPN was the first VPN service we noted to fully implement the GDPR.


strongvpn-logo-1
StrongVPN

StrongVPN

StrongVPN blasts onto our favorites list with excellent infrastructure and decent price performance. As with our other favorites, StrongVPN has a strong no-logging policy. Since VPN is all about protecting your privacy, that’s a place the savvy VPN providers can pick up points.

Strong also picks up kudos for its large base of IP addresses, which also helps protect your anonymity. It has a solid collection of servers and worldwide locations. For those of you who need a dedicated IP, you can get one from the company, but you’ll need to contact support to get help setting it up.

One of StrongVPN’s strongest strengths is the company’s network. It owns and operate its entire network infrastructure, which means it has no externally dictated limits on bandwidth or the type of internet traffic allowed on the network. This gives you the confidence that you’ll be able to power through your work.

StrongVPN’s regular monthly price of $10 is in the middle of the pack, but its yearly price of $70 is among the lowest of our contenders.


cg-22-1
CyberGhost

CyberGhost VPN

CyberGhost has been around since 2011 and has come out strongly as a supporter of “civil rights, a free society and an uncensored internet culture.” We really liked how the company specifically showcases, on its website, how folks normally prevented from accessing such important services as Facebook and YouTube can bring those services into their lives via a VPN.

The company has solid Linux support, supports VPN via routers, and has a solution for the popular Kodi media player. It checks off all the boxes on protocol support and gets kudos for offering a connection kill switch feature, along with supporting P2P and BitTorrent in most countries. Plus, it allows you to use seven devices at once with its service.

The few extra dollars it costs are worth it. We liked how the company offers custom app protection, IPV5 support and DNS, IP and WebRTC leak prevention. CyberGhost also picked up points for preserving anonymity by not logging connection data.


private-internet-access-ad-300x250
Private Internet Access

Private Internet Access

  • Number of IP addresses: N/A
  • Number of servers: 3,252
  • Number of server locations: 37
  • Country/jurisdiction: US

Speaking of price, if you want a solid VPN provider, Private Internet Access is the place to go.

The key to getting the most savings with this vendor is buying its two-year plan for $83.87. That works out to $3.49 a month. It also offers a one-year plan for $71.88, but as you can see, you can get an entire additional year for less than 10 bucks if you sign up for its two-year plan.

The company does not release information on the number of IP addresses available, but at 3,252, its server count is more than any of our other picks.

These folks have been around since 2010, and don’t log anything. It provides a generous five connections, a connection kill switch feature, and some good online documentation and security guidance. Our one disappointment is that its refund policy is seven days instead of 30, but you can certainly get a feel for its excellent performance in the space of a week.


hotspot
HotSpot Shield

Hotspot Shield

HotSpot Shield is a product that has had some ups and downs in terms of our editorial coverage. Back in 2016, it picked up some positive coverage based on founder David Gorodyansky’s comments about protecting user privacy. Then, in 2017, a privacy group accused the company of spying on user traffic, an accusation the company flatly denies. Finally, just this year, ZDNet uncovered a flaw in the company’s software that exposed users. Fortunately, that was fixed immediately.

So what are we to make of HotSpot Shield? Frankly, the controversy caused us to drop it from our directory for a while. But it approached us, made a strong case for its ongoing dedication to privacy, and we decided to give it another chance.

Here’s the good news. It offers one of the best money-back guarantee we’ve seen for VPN services, a full 45 days. It supports Windows, Mac, iOS and Android, along with plugins for Chrome and Firefox. It also supports routers and media players (but not Linux). And, as a bonus, it has a connection kill switch feature.

The company does not support P2P or BitTorrent — and it also doesn’t support the OpenVPN. Every other vendor does, but HotSpot Shield limits its protocol support to L2TP/IPSec and something it calls Hydra, an enhancement of the transport protocol.

Overall, the company did impress us with its attention to privacy. It has a published privacy canary. It also told us, “We have built in malware, phishing and spam protection. Our commitment to our users is that Hotspot Shield will never store, log or share your true IP address.”


Goose VPN

I had to know why Goose VPN was so named. My first order of business was to reach out to the company’s co-founder and ask. Geese, I was told, make excellent guard animals: There are records of guard geese giving the alarm in ancient Rome when the Gauls attacked; geese have been used to guard a US Air Defense Command base in Germany and a brewery in Scotland.

It’s clear that the goose is an ideal mascot for a service that’s meant to guard your digital communications. And so, we have Goose VPN.

Goose VPN has a couple of standout features. First, you can have an unlimited number of simultaneous connections (or devices) using the VPN at once. Second, if your bandwidth needs are 50GB or less per month, you can sign up for $2.99 a month, the cheapest monthly rate we’ve seen.

If you want unlimited bandwidth, the company definitely is pushing you towards buying a year at a time. Its monthly fee for unlimited bandwidth is a middle-of-the-road $12.99 a month, but if you spend $59.88 for a year’s service, you’ll find it’s the second lowest by-the-year price of the services we’ve reviewed.

Goose provides all the usual clients, including iOS, Android, Mac and Windows, and adds support for routers, Android TV and Linux. It is working on a kill switch feature, which may even be up and running by the time you read this review. The company also offers 24/7 ticket-based support.

Ducks quack, geese honk and swans whoop (we know, because we looked it up). Overall, especially given the unlimited connections and low yearly price, we think Goose VPN is something to honk about.


VyprVPN Services

  • Number of IP addresses: 200,000-plus
  • Number of servers: 700-plus
  • Number of server locations: 70-plus
  • Country/jurisdiction: Switzerland
  • 30-day money back guarantee

VyprVPN has the largest bank of IP addresses of any of the services we’ve examined. The company offers a wide range of VPN protocols, including its own high-performance Chameleon connection protocol.

We like that the company offers a connection kill switch feature and, for those who need it, there’s an option to get a dedicated IP address. VyprVPN is a standout in its effort to provide privacy and thwart censorship. When China began its program of deep packet VPN inspection, Golden Frog’s VyperVPN service added scrambled OpenVPN packets to keep the traffic flowing.

The company offers three plans: two years for $60, one year for $45, or monthly at $12.95. The company’s two-year offering is the sweet spot.



Buffered VPN

  • Number of IP addresses: 11,000
  • Number of servers: 800
  • Number of server locations: 46
  • Country/jurisdiction: Gibraltar

Buffered VPN doesn’t disclose much about the size of its network, but the 30-day money back guarantee means that you can take its service for a test drive and really get a feel for how well it performs for you. The company saddened us because it does keep some connection information. It cheered us up, though, due to its client support, unlimited bandwidth and generous number of simultaneous sessions allowed.

The company is relatively new, founded in 2013. We like how Buffered has made a strong commitment to internet freedom, and an equally strong commitment to providing quality customer support.

At $12.99 a month and $79 for a year of service, it doesn’t offer the least expensive plan, but we do recommend giving it a try.


Hide My Ass

  • Number of IP addresses: 3,106
  • Number of servers: 830
  • Number of server locations: 280
  • Country/jurisdiction: UK
  • $2.99 a month for 3-year plan

We have to give these folks an extra shout-out just for the name of this service. The firm has a strong network with a good selection of VPN protocols supported. While it has an extensive (and clearly written) set of policy documents, the company explicitly allows P2P and torrents.

We like how HMA offers support on a wide range of devices, including game consoles. We gave it kudos for bitcoin support, and its excellent money-back guarantee. It did make us frown a bit because it does log connection data. It also offers five simultaneous connections.

While its monthly pricing of $11.52 is at the high end of the spectrum, its yearly pricing is competitive at $83.88 for a full year.


Webroot WiFi Security

  • Country/jurisdiction: US
  • Starting price: $40

As VPN services go, Webroot WiFi Security is relatively bare-bones — but it’s also cheap. Starting at $40 for a year of VPN service, you can get a bundle with both VPN and Webroot’s antivirus software for $70 for your first year. Unfortunately, both of these prices bump up after the first year. VPN protection jumps to $60 and the bundle jumps to $120.

While we applaud the combination of VPN and antivirus in one package, Webroot has had a troubled few years. In 2017, it mistakenly flagged Windows’ system files as malicious. In 2018, a kernel exploit was found in the company’s Mac antivirus client. In 2019, the company was acquired by backup firm Carbonite.

If you’re only protecting a few devices and want to save money, Webroot’s VPN might be for you. That $40 price is for up to three devices. If you want to protect five devices, you’ll need to pay $60 for a year and $80 after that. Frankly, once you enter that price range, there are products with more capabilities available.

Webroot’s VPN is also light on VPN protocols. While it does connect using IKEv2 by default, it also offers L2TP and the very old and very insecure PPTP protocol (although it does warn that it’s not “as” secure). Another concern for those of you who need deep protection is that the company does log both which VPN server location you connect to and the country you connect from.

So who is Webroot’s VPN for? If all you want to do is protect your Wi-Fi connection while surfing in your local coffee shop or at a hotel, you only need to connect a few devices, and you want to save money, this is a workable option. But if you’re in need of a serious VPN with deep capabilities, you’ll want to look elsewhere in this directory. Also, we didn’t find any reference to a money back guarantee, so check with its presales and support before buying.


VPN FAQ

Since we’re living in a connected world, security and privacy are critical to ensure our personal safety from nefarious hacks. From online banking to communicating with coworkers on a daily basis, we’re now frequently transferring data on our computers and smartphones. It’s extremely important to find ways of securing our digital life and for this reason, VPNs have become increasingly common.

What Is a VPN?

A virtual private network is a technology that allows you to create a secure connection over a less-secure network between your computer and the internet. It protects your privacy by allowing you to anonymously appear to be anywhere you choose.

A VPN is beneficial because it guarantees an appropriate level of security and privacy to the connected systems. This is extremely useful when the existing network infrastructure alone cannot support it.

When your computer is connected to a VPN, the computer acts as if it’s also on the same network as the VPN. All of your online traffic is transferred over a secure connection to the VPN. The computer will then behave as if it’s on that network, allowing you to securely gain access to local network resources. Regardless of your location, you’ll be given permission to use the internet as if you were present at the VPN’s location. This can be extremely beneficial for individuals using a public Wi-Fi network or public Wi-Fi hotspots.

Therefore, when you browse the internet while on a VPN, your computer will contact the website through an encrypted VPN service connection. The VPN will then forward the request for you and forward the response from the website back through a secure connection.

VPNs are really easy to use, and they’re considered to be highly effective tools. They can be used to do a wide range of things. The most popular types of VPNs are remote-access VPNs and site-to-site VPNs.

Watch this: Top 5 reasons to use a VPN
2:42

What is a remote-access VPN?

A remote-access VPN uses public infrastructure like the internet to provide remote users secure access to their network. This is particularly important for organizations and their corporate networks. It’s crucial when employees connect to a public hotspot and use the internet for sending work-related emails. A VPN client, on the user’s computer or mobile device connects to a VPN gateway on the company’s network. This gateway will typically require the device to authenticate its identity. It will then create a network link back to the device that allows it to reach internal network resources such as file servers, printers and intranets, as if it were on the same local network.

It usually relies on either Internet Protocol Security or Secure Sockets Layer to secure the connection. However, SSL VPNs can also be used to supply secure access to a single application, rather than an entire internal network. Some VPNs also provide Layer 2 access to the target network; these will require a tunneling protocol like Point-to-Point Tunneling Protocol or Layer 2 Tunneling Protocol running across the base IPsec connection.

What is a site-to-site VPN?

This is when the VPN uses a gateway device to connect to the entire network in one location to a network in another location. The majority of site-to-site VPNs that connect over the internet use IPsec. Rather than using the public internet, it is also normal to use career multiprotocol label switching clouds as the main transport for site-to-site VPNs.

VPNs are often defined between specific computers, and in most cases, they are servers in separate data centers. However, new hybrid-access situations have now transformed the VPN gateway in the cloud, typically with a secure link from the cloud service provider into the internal network.

What is a mobile VPN?

A traditional VPN can affect the user experience when applied to wireless devices. It’s best to use a mobile VPN to avoid slower speeds and data loss. A mobile VPN offers you a high level of security for the challenges of wireless communication. It can provide mobile devices with secure access to network resources and software applications on their wireless networks. It’s good to use when you’re facing coverage gaps, internetwork roaming, bandwidth issues or limited battery life, memory or processing power.

Mobile VPNs are designed and optimized to ensure a seamless user experience when devices are switching networks or moving out of coverage. It generally has a smaller memory footprint, and because of that, it also requires less processing power than a traditional VPN. Therefore, it enables your applications to run faster while the battery pack is able to last longer.

A Mobile VPN is a worthwhile tool to have since it increases privacy, user satisfaction and productivity, while also reducing unforeseen support issues caused by wireless connectivity problems. The increasing usage of mobile devices and wireless connectivity make it more important to ensure that your data is being transferred through a secure network. It will allow you to access the internet, while staying safe behind a firewall that protects your privileged information.

Who needs a VPN?

People who access the internet from a computer, tablet or smartphone will benefit from using a VPN. A VPN service will always boost your security by encrypting and anonymizing all of your online activity. Communications that happen between the VPN server and your device are encrypted, so a hacker or website spying on you wouldn’t know which web pages you access. They also won’t be able to see private information like passwords, usernames and bank or shopping details and so on. Anyone who wants to protect their privacy and security online should use a VPN.

How to choose a VPN service?

There’s a vast range of VPN services on the internet. Some are free VPN services, but the best ones require a monthly subscription. Before you decide to download a VPN, make sure you consider these factors for understanding a VPN.

Cost: VPNs aren’t too pricey, but they vary from vendor to vendor. If your main concern is price, then go with something inexpensive, or a free VPN service — like Spotflux Premium VPN or AnchorFree HotSpot Shield Elite. Free servers are often slower, and since most are ad-supported, they place adverts on the online pages you access. Others can even limit the speed of your connection, as well as your online time or amount of data transferred.

It’s also important to note that leading VPN providers offer stronger security features to ensure you’re digitally safe. When selecting a paid VPN service, always be sure to check which countries it operates servers in.

Read more: 5 reasons not to use a free VPN

Reliability: Select a VPN that is reliable and read the reviews to make sure that it’s capable of protecting you by providing you with sufficient online privacy.

High security: An effective VPN will have the following security features: 128-bit encryption, anonymous DNS servers and an absence of connection logs.

Are there any bandwidth limits? This can often be linked to price; paying more will generally provide more bandwidth with faster internet access.

Are VPN apps for Android, iOS phones and tablets available? Apps for Android and iOS devices are also vulnerable, so make sure your VPN server can support them.

To ensure privacy, you want to make sure you have a VPN that doesn’t store online logs. Some servers provide virus and spyware protection, and features like that can significantly increase your online safety.

Using a no-logs VPN service will provide you with a higher degree of security. It can protect you from blanket government surveillance and prevent your internet service provider from knowing your online activity.

Using a VPN for Netflix and other forbidden treasures

Online streaming services like Netflix and Hulu have been making it difficult for foreign users to access their content in other countries. Many people can get around region restrictions by using a VPN service to route your traffic through another country.

It can be quite simple to watch Netflix and other restricted goodies. You’ll have to use a VPN service that allows you to get a unique IP address. This can often be available for an additional fee. Look for VPN services that offer a “dedicated IP address,” “dedicated IP” or “static IP.” Additional features like these will always allow you to access content from Netflix through a VPN service.

This is by far the easiest way to access your forbidden apps since there’s no specific way to block VPN traffic.

Many people started using a VPN to evade geo-restrictions. But despite its forbidden benefits to users outside the US, a VPN is a great tool that can protect you and enhance your online experience over the internet by providing you with sufficient security and privacy. When it comes to selecting the best VPN, you have plenty of choices. There are many cost-effective VPN options, and all of them will vary in monthly offerings. Choosing the best VPN is easier once you narrow down the competition. The best indication of a good VPN service provider is that it has the right security and the right support in place for you.

Got a question for our security community? Head over to the CNET Forums and join the conversation.

من فريد ظفور

مصور محترف حائز على العديد من الجوائز العالمية و المحلية في مجال التصوير الفوتوغرافي.