Виртуальные частные сети (VPN)
Протоколы РРТР или L2TP, по умолчанию установленные на компьютере,
обеспечивают надежный доступ к ресурсам в сети, соединяясь с сервером
удаленного доступа Windows 2000 через Интернет или другую сеть. Если
для создания сетевого подключение к частной (private) сети используется
обще доступная (public) сеть, то совокупность таких подключений называется
виртуальной частной сетью (Virtual Private Network, VPN). Достоинства
таких сетей перечислены в табл. 16.3, а их особенности и способы использования
подробно рассматриваются в следующих разделах главы.
Таблица 16.3. Достоинства Использования сетей VPN
Преимущество |
Пример |
Меньшая
стоимость |
Для
подключения используется Интернет (вместо установления телефонного
подключения с использованием дорогой междугородной связи). Поскольку
Интернет-провайдер сам поддерживает оборудование связи (модемы,
адаптеры ISDN и т. п.), при развертывании сети нужно закупать
и сопровождать меньшее количество оборудования |
Аутсорсинг
(Передача третьим лицам, outsourcing) забот по поддержке телефонных
подключений |
Пользователь
может по городскому номеру подключиться к телефонной компании
или ISP, который затем подключит его к серверу удаленного доступа
Windows 2000 и к корпоративной сети. Телефонная компания или ISP
управляет модемами и телефонными линиями, выделенными для коммутируемого
доступа. ISP поддерживает сложную инфраструктуру коммуникационного
оборудования, а сетевой администратор корпорации занимается централизованным
управлением учетными записями пользователей на сервере удаленного
доступа |
Расширенная
безопасность |
Подключение
через Интернет (если используются протоколы PPTP/L2TP) является
шифрованным и безопасным, поскольку сервер удаленного доступа
поддерживает современные протоколы аутентификации и шифрования.
Конфиденциальные данные надежно защищены от пользователей Интернета,
но доступны для пользователей виртуальной частной сети.
Поскольку данные, передаваемые по
VPN-подключению зашифрованы, используемые адреса защищены от просмотра
извне; в сети Интернет "видны" только внешние IP-адреса (концов
соединения). Это особо важно для корпораций с внутренними IP-адресами,
поскольку исключаются административные затраты на изменение IP-адресов
для удаленного доступа через Интернет |
Поддержка
сетевых протоколов |
Поскольку
поддерживаются широко распространенные сетевые протоколы (включая
TCP/IP, IPX и NetBEUI), с использованием VPN можно дистанционно
выполнять любое приложение, зависящее от конкретного сетевого
протокола |
Как показано в следующих примерах, есть два способа создать VPN-подключение:
устанавливая соединение с ISP, или соединяясь с Интернетом напрямую.
Пример 1. VPN-подключение сначала производит запрос к Интернет-провайдеру.
После того как это подключение произведено, VPN-подключение делает другой
запрос к серверу удаленного доступа, который устанавливает туннель L2TP
или РРТР. После аутентификации можно получать доступ к корпоративной
сети, как это показано на рис. 16.8.
|
Рис. 16.8. VPN-подключение
на основе подключения к Интернет-провайдеру |
Пример 2. Пользователь, имеющий выход в Интернет, соединяется
с сервером удаленного доступа при помощи VPN-подключения (рис. 16.9).
Таким
пользователем может быть тот, чей компьютер подключен к локальной сети,
пользователь кабельного модема или абонент службы типа ASDL, где протокол
IP доступен сразу после включения компьютера. Драйвер РРТР или L2TP
создает туннель через Интернет и производит подключение к серверу удаленного
доступа, использующему РРТР или L2TP. После аутентификации пользователь
может получить доступ к корпоративной сети, как и в предыдущем примере.
|
Рис. 16.9. VPN-подключение,
использующее существующее подключение к Интернету |
Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники
(telecommuters) могут получить доступ к корпоративной локальной сети
через Интернет за меньшую плату, чем при традиционных решениях по поддержке
удаленного доступа. гораздо эффективнее использовать мощную коммуникационную
инфраструктуру телефонной компании, чем прокладывать собственную сеть,
устанавливать телефонные линии и закупать коммутаторы.
Подключение к виртуальной частной сети через сетевой адаптер подобно
набору номера при помощи модема для подключения к обычному ceрверу удаленного
доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат
на покупку модемных пулов и специально предназначенных для этого аналоговых
телефонных линий. Модемы и сопутствующая инфраструктура находятся в
ведении поставщика услуг Интернета, при этом не страдают ни безопасность,
ни возможности управления удаленным доступом. В то же время, очевидны
преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной
аутентификацией, шифрованием и сжатием данных пользователя.
Аутсорсинг телефонных подключений. Коммуникационное оборудование,
необходимое для телефонных подключений, достаточно сложно. На большом
предприятии создание сервера удаленного доступа для поддержки телефонных
подключений на базе Windows 2000 требует установки модемов; контроллеров,
а также прокладки множества коммуникационных кабелей. Кроме того, большинство
решений не обеспечивает эффективную поддержку технологий ISDN, V.34
и V.90.
Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого
доступа к своим базовым корпоративным сетям при помощи рентабельного,
не зависящего от протокола, безопасного способа, который не требует
никаких изменений в существующем адресном пространстве. Поддержка виртуальных
глобальных сетей на основе VPN-подключений — один из путей, при помощи
которого Интернет-провайдер может обеспечивать потребности корпораций.
Таким образом, обслуживающая компания поддерживает и управляет модемами
удаленного доступа и каналами связи, оставляя системному администратору
корпорации управление пользователями и их аутентификацию. В этом решении
воплощены все преимущества аутентификации РРР, шифрования и технологий
сжатия (рис. 16.10).
|
Рис. 16.10. Пример сети,
использующей аутсорсинг |
В подключении не участвует драйвер РРТР; клиент просто устанавливает
РРР-подключение к серверу удаленного доступа или модемному пулу. В свою
очередь, сервер или пул модемов должен осуществить подключение с помощью
РРТР для связи с сервером удаленного доступа.
Улучшенная безопасность. VPN-подключения, использующие РРТР
и L2TP, аутентифицируются по методам аутентификации протокола РРР на
уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно,
ЕАР.
Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol,
расширяемый протокол идентификации) и средств безопасности IP (IPSec),
виртуальная частная сеть предоставляет улучшенную безопасность для удаленных
пользователей. Пользуясь преимуществом аутентификации РРР и параметрами
шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и
ограничивая сервер удаленного доступа работой только с аутентифицированными
РРТР-клиентами, которые используют шифрованные данные, системный администратор
может укрепить безопасность данных и управлять удаленными пользователями
намного эффективнее.
В некоторых средах данные являются строго конфиденциальными и может
потребоваться, чтобы они были физически отделены и скрыты от большинства
корпоративных пользователей. Финансовые или личные данные — это данные,
требующие максимальной защищенности. Пользователи в корпоративной интрасети,
которым предоставлены соответствующие разрешения,
могут устанавливать удаленное VPN-соединение с VPN-сервером и получать
доступ к защищенным ресурсам частной сети отдельных подразделений корпорации.
Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность
данных. Пользователи, не имеющие соответствующих разрешений по установлению
VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.
Поддержка сетевых протоколов. Поскольку технология организации
VPN поддерживает наиболее распространенные сетевые протоколы, клиентам
сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты
на использование VPN. Любой сетевой протокол, поддерживаемый службой
удаленного доступа, поддерживается и в технологии VPN. Это означает,
что можно удаленно выполнять приложения, зависящие от определенных сетевых
протоколов. В свою очередь, это снижает затраты по созданию и поддержке
VPN-подключений.
Безопасность IP-адресов. Если в корпоративной сети используется
незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC
для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять
трафик через Интернет, указывая только один реальный внешний IP-адрес.
Внутри VPN-пакета содержится как этот реальный адрес, так и частный
адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной
частной сети защищены от просмотра. В Интернете видны только внешние
IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными
внутренними IP-адресами, поскольку им не требуются административные
затраты на изменение IP-адресов для организации удаленного доступа.
Администрирование VPN. При помощи Active Directory (на Windows
2000 Server) администратор системы может настраивать VPN для пользователя,
значительно усиливая безопасность сети, например, задавать уровни шифрования
данных и паролей, а также аутентификацию. Эти требования могут применяться
к индивидуальным пользователям или к группе однотипных пользователей
(при помощи групповой политики). Например, администратор системы может
настроить удаленный доступ, задав такую групповую политику, чтобы для
всех пользователей группы, которой она назначена, требовалась аутентификация
с использованием протокола ЕАР и сильное шифрование данных (128-битное).
При наличии групповой политики критерии безопасности автоматически устанавливаются
по отношению к любому пользователю, которому назначена эта групповая
политика, когда он соединяется с сервером удаленного доступа.
Создание VPN-подключения. Чтобы создать подключение для виртуальной
частной сети: