Вы здесь

12. Виртуальные частные сети (VPNJ)

 

Виртуальные частные сети (VPN)

Протоколы РРТР или L2TP, по умолчанию установленные на компьютере, обеспечивают надежный доступ к ресурсам в сети, соединяясь с сервером удаленного доступа Windows 2000 через Интернет или другую сеть. Если для создания сетевого подключение к частной (private) сети используется обще доступная (public) сеть, то совокупность таких подключений называется виртуальной частной сетью (Virtual Private Network, VPN). Достоинства таких сетей перечислены в табл. 16.3, а их особенности и способы использования подробно рассматриваются в следующих разделах главы.

Таблица 16.3. Достоинства Использования сетей VPN

Преимущество

Пример

Меньшая стоимость

Для подключения используется Интернет (вместо установления телефонного подключения с использованием дорогой междугородной связи). Поскольку Интернет-провайдер сам поддерживает оборудование связи (модемы, адаптеры ISDN и т. п.), при развертывании сети нужно закупать и сопровождать меньшее количество оборудования

Аутсорсинг (Передача третьим лицам, outsourcing) забот по поддержке телефонных подключений

Пользователь может по городскому номеру подключиться к телефонной компании или ISP, который затем подключит его к серверу удаленного доступа Windows 2000 и к корпоративной сети. Телефонная компания или ISP управляет модемами и телефонными линиями, выделенными для коммутируемого доступа. ISP поддерживает сложную инфраструктуру коммуникационного оборудования, а сетевой администратор корпорации занимается централизованным управлением учетными записями пользователей на сервере удаленного доступа

Расширенная безопасность

Подключение через Интернет (если используются протоколы PPTP/L2TP) является шифрованным и безопасным, поскольку сервер удаленного доступа поддерживает современные протоколы аутентификации и шифрования. Конфиденциальные данные надежно защищены от пользователей Интернета, но доступны для пользователей виртуальной частной сети.

Поскольку данные, передаваемые по VPN-подключению зашифрованы, используемые адреса защищены от просмотра извне; в сети Интернет "видны" только внешние IP-адреса (концов соединения). Это особо важно для корпораций с внутренними IP-адресами, поскольку исключаются административные затраты на изменение IP-адресов для удаленного доступа через Интернет

Поддержка сетевых протоколов

Поскольку поддерживаются широко распространенные сетевые протоколы (включая TCP/IP, IPX и NetBEUI), с использованием VPN можно дистанционно выполнять любое приложение, зависящее от конкретного сетевого протокола

Как показано в следующих примерах, есть два способа создать VPN-подключение: устанавливая соединение с ISP, или соединяясь с Интернетом напрямую.

Пример 1. VPN-подключение сначала производит запрос к Интернет-провайдеру. После того как это подключение произведено, VPN-подключение делает другой запрос к серверу удаленного доступа, который устанавливает туннель L2TP или РРТР. После аутентификации можно получать доступ к корпоративной сети, как это показано на рис. 16.8.



Рис. 16.8. VPN-подключение на основе подключения к Интернет-провайдеру


Пример 2. Пользователь, имеющий выход в Интернет, соединяется с сервером удаленного доступа при помощи VPN-подключения (рис. 16.9). Таким

пользователем может быть тот, чей компьютер подключен к локальной сети, пользователь кабельного модема или абонент службы типа ASDL, где протокол IP доступен сразу после включения компьютера. Драйвер РРТР или L2TP создает туннель через Интернет и производит подключение к серверу удаленного доступа, использующему РРТР или L2TP. После аутентификации пользователь может получить доступ к корпоративной сети, как и в предыдущем примере.



Рис. 16.9. VPN-подключение, использующее существующее подключение к Интернету


Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники (telecommuters) могут получить доступ к корпоративной локальной сети через Интернет за меньшую плату, чем при традиционных решениях по поддержке удаленного доступа. гораздо эффективнее использовать мощную коммуникационную инфраструктуру телефонной компании, чем прокладывать собственную сеть, устанавливать телефонные линии и закупать коммутаторы.

Подключение к виртуальной частной сети через сетевой адаптер подобно набору номера при помощи модема для подключения к обычному ceрверу удаленного доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат на покупку модемных пулов и специально предназначенных для этого аналоговых телефонных линий. Модемы и сопутствующая инфраструктура находятся в ведении поставщика услуг Интернета, при этом не страдают ни безопасность, ни возможности управления удаленным доступом. В то же время, очевидны преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной аутентификацией, шифрованием и сжатием данных пользователя.

Аутсорсинг телефонных подключений. Коммуникационное оборудование, необходимое для телефонных подключений, достаточно сложно. На большом предприятии создание сервера удаленного доступа для поддержки телефонных подключений на базе Windows 2000 требует установки модемов; контроллеров, а также прокладки множества коммуникационных кабелей. Кроме того, большинство решений не обеспечивает эффективную поддержку технологий ISDN, V.34 и V.90.

Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого доступа к своим базовым корпоративным сетям при помощи рентабельного, не зависящего от протокола, безопасного способа, который не требует никаких изменений в существующем адресном пространстве. Поддержка виртуальных глобальных сетей на основе VPN-подключений — один из путей, при помощи которого Интернет-провайдер может обеспечивать потребности корпораций. Таким образом, обслуживающая компания поддерживает и управляет модемами удаленного доступа и каналами связи, оставляя системному администратору корпорации управление пользователями и их аутентификацию. В этом решении воплощены все преимущества аутентификации РРР, шифрования и технологий сжатия (рис. 16.10).



Рис. 16.10. Пример сети, использующей аутсорсинг


В подключении не участвует драйвер РРТР; клиент просто устанавливает РРР-подключение к серверу удаленного доступа или модемному пулу. В свою очередь, сервер или пул модемов должен осуществить подключение с помощью РРТР для связи с сервером удаленного доступа.

Улучшенная безопасность. VPN-подключения, использующие РРТР и L2TP, аутентифицируются по методам аутентификации протокола РРР на уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно, ЕАР.

Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) и средств безопасности IP (IPSec), виртуальная частная сеть предоставляет улучшенную безопасность для удаленных пользователей. Пользуясь преимуществом аутентификации РРР и параметрами шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и ограничивая сервер удаленного доступа работой только с аутентифицированными РРТР-клиентами, которые используют шифрованные данные, системный администратор может укрепить безопасность данных и управлять удаленными пользователями намного эффективнее.

В некоторых средах данные являются строго конфиденциальными и может потребоваться, чтобы они были физически отделены и скрыты от большинства корпоративных пользователей. Финансовые или личные данные — это данные, требующие максимальной защищенности. Пользователи в корпоративной интрасети, которым предоставлены соответствующие разрешения, могут устанавливать удаленное VPN-соединение с VPN-сервером и получать доступ к защищенным ресурсам частной сети отдельных подразделений корпорации. Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность данных. Пользователи, не имеющие соответствующих разрешений по установлению VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.

Поддержка сетевых протоколов. Поскольку технология организации VPN поддерживает наиболее распространенные сетевые протоколы, клиентам сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты на использование VPN. Любой сетевой протокол, поддерживаемый службой удаленного доступа, поддерживается и в технологии VPN. Это означает, что можно удаленно выполнять приложения, зависящие от определенных сетевых протоколов. В свою очередь, это снижает затраты по созданию и поддержке VPN-подключений.

Безопасность IP-адресов. Если в корпоративной сети используется незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять трафик через Интернет, указывая только один реальный внешний IP-адрес. Внутри VPN-пакета содержится как этот реальный адрес, так и частный адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной частной сети защищены от просмотра. В Интернете видны только внешние IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными внутренними IP-адресами, поскольку им не требуются административные затраты на изменение IP-адресов для организации удаленного доступа.

Администрирование VPN. При помощи Active Directory (на Windows 2000 Server) администратор системы может настраивать VPN для пользователя, значительно усиливая безопасность сети, например, задавать уровни шифрования данных и паролей, а также аутентификацию. Эти требования могут применяться к индивидуальным пользователям или к группе однотипных пользователей (при помощи групповой политики). Например, администратор системы может настроить удаленный доступ, задав такую групповую политику, чтобы для всех пользователей группы, которой она назначена, требовалась аутентификация с использованием протокола ЕАР и сильное шифрование данных (128-битное). При наличии групповой политики критерии безопасности автоматически устанавливаются по отношению к любому пользователю, которому назначена эта групповая политика, когда он соединяется с сервером удаленного доступа.

Создание VPN-подключения. Чтобы создать подключение для виртуальной частной сети:

1. В папке Сеть и удаленный доступ к сети сделайте двойной щелчок на значке Создание нового подключения (Make New Connection) и нажмите

кнопку Далее (Next).

2. Установите переключатель Подключение к виртуальной частной сети через

Интернет (Gormect to a private network through the Internet, рис. 16.11), нажмите фюпку Далее и выполните одно из следующих действий:

  • Если :перед установкой "туннельного" доступа к нужному компьютеру или сети требуется произвести подключение к провайдеру услуг Интернет или другой сетью, выберите положение переключателя Набрать номер для следующего предварительного подключения (Automatically dial this initial connection) и, выбрав нужное подключение в списке нажмите кнопку Next (рис. 16.12).
  • Если не требуется автоматически производить начальное подключение то выберите положение переключателя Не набирать номер для предварительного подключения (Do not dial the initial connection) и нажмите кнопку Далее.
3. Введите имя хоста или IP-адрес компьютера или сети, с которой происходит соединение, и нажмите кнопку Далее (рис. 16.13).
4. Выполните одно из следующих действий:
  • Если необходимо, чтобы подключение было сделано общим для всех пользователей, выберите положение переключателя для всех пользователей (For all users) и нажмите кнопку Далее (рис. 16.14).
  • Если данное подключение предназначено только для текущего пользователя, выберите положение только для меня (Only for myself) переключателя и нажмите кнопку Далее.
5. Если нужно разрешить совместный доступ к ресурсам с других компьютеров через это телефонное подключение, установите флажок Разрешить общий доступ для этого подключения (Enable shared access for this connection), а также укажите, нужно ли производить автоматическое установление данного подключения, если другой компьютер в вашей локальной сета попытается получить доступ к внешним ресурсам установив, по необходимости, флажок Разрешить вызов по требованию (Enable on-demand dialing) и нажмите кнопку Далее, затем введите название этого подключения и нажмите кнопку Завершить (Finish).

Примечание

    • Чтобы сделать подключение доступным для всех пользователей, нужно войти в систему с административными полномочиями.
    • Можно создавать множественные виртуальные подключения к сети копируя их в папке Сеть и удаленный доступ к сети. Можно переименовывать подключения и настраивать их параметры, легко создавая различные подключения, для разных соединений с разными параметрами безопасности и т. д.



Рис. 16.11. Выбор типа подключения




Рис. 16.12. Выбор способа подключения




Рис. 16.13. Ввод имени/адреса удаленного компьютера




Рис. 16.14. Разрешение использования подключения другим пользователям

 


Top.Mail.Ru