КОМП'ЮТЕРНА АКАДЕМІЯ «КРОК» p>
ДОНЕЦЬКА ФІЛІЯ p>
Спеціалізація Мережеве адміністрування p>
Дипломний проект p>
на тему: Віддалений доступ до приватної мережі через Інтернет p>
The removed access to a private network through the Internet p>
Студент Дубінін Ігор (Dubinin Igor) група __________________. p>
Руководітель_____________________ p>
Дипломний проект перевірений і допущений до захисту p>
«____»_______________ 20__р p>
________________________________ p>
/підпис керівника/ p>
ДОНЕЦЬК 2003. p>
Зміст:
1.1 Вступ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..... 3
1.2 Завдання проекту ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 3
1.3 Що таке віртуальна приватна мережа? ... ... ... ... ... ... ... ... ... ... ... ... ... 4
1.4 Історія появи VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 6
1.5 Технологія VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 7
1.6 Практичне застосування ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 10
1.7 Безпека ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 11
1.8 Захист від зовнішніх і внутрішніх атак ... ... ... ... ... ... ... ... ... ... ... ... 13
1.9 Продуктивність ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 13
1.10 Протоколи віртуальних приватних мереж ... ... ... ... ... ... ... ... ... ... .... 16
1.11 Плюси VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 18
1.12 Мінуси VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 19
1.13 Перспективи VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 19
1.14 Налагодження сервера VPN під Windows 2000 Server .... ... ... ... ... ... ... 21
1.15 Настроювання клієнтської частини VPN під Windows 2000 Server ... ... ... 24
1.16 Висновки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 25
1.17 Список посилань ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 26 p>
1.1 Вступ p>
Дуже часто сучасній людині, розвиваючи свій бізнес, доводитьсябагато подорожувати. Це можуть бути поїздки у віддалені куточки нашоїкраїни або навіть до країн зарубіжжя.
Нерідко людям потрібен доступ до своєї інформації, що зберігається на їх домашньомукомп'ютері, або на комп'ютері фірми. Цю проблему можна вирішити, організувавши віддалений доступ до нього за допомогою модему і телефонної лінії. Використаннятелефонної лінії має свої особливості. Недоліки цього рішення в тому,що дзвінок з іншої країни коштує чималих грошей. p>
Є й інше рішення під назвою VPN. Опис цієї можливостілягло в основу даної дипломної роботи під назвою «Віддалений доступ доприватної мережі через Інтернет ». p>
Переваги технології VPN в тому, що організація віддаленого доступуробиться не через телефонну лінію, а через Інтернет, що набагато дешевшеі краще. Для організації віддаленого доступу до приватної мережі за допомогоютехнології VPN знадобиться Інтернет і реальний IP адреса. І будь-якийкористувач з будь-якої точки земної кулі зможе зайти в нашу мережу, якщо вінзнає IP адреса, логін і пароль нашої мережі. На мою думку, технологія
VPN отримає широке розповсюдження по всьому світу. P>
2. Завдання проекту p>
Завданням проекту є опис технології "Віддаленого доступу доприватної мережі через Інтернет (VPN) ", її плюси і мінуси, історія появи
VPN, опис практичного застосування VPN, пояснення того, як цятехнологія працює, її продуктивність, опис налаштування серверноїчастини VPN під Windows 2000 Server і настроювання клієнтської частини VPN. p>
1.3 Що таке віртуальна приватна мережа? P>
За своєю суттю VPN володіє багатьма властивостями виділеної лінії, протерозгортається вона в межах загальнодоступної мережі, наприклад Інтернету. Здопомогою методики тунелювання пакети даних транслюються череззагальнодоступну мережу як за звичайним двоточковим з'єднанню. Тим кожнійпарою «відправник-одержувач даних» встановлюється своєрідний тунель
- Безпечне логічне з'єднання, що дозволяє інкапсулювати даніодного протоколу у пакети іншого. Дуже важливою властивістю тунелів єможливість диференціації різних типів трафіку і призначення їмнеобхідних пріоритетів обслуговування.
Основними компонентами тунелю є: p>
- ініціатор; p>
- маршрутизуються мережу; p>
- тунельний комутатор; p>
- один або кілька тунельних термінаторів . p>
Ініціювати і розривати тунель можуть самі різні мережеві пристрої іпрограмне забезпечення. Наприклад, тунель може бути ініційований ноутбукоммобільного користувача, обладнаним модемом і відповіднимпрограмним забезпеченням для встановлення з'єднань віддаленого доступу. Уяк ініціатора може виступити також маршрутизатор екстрамережі
(локальної мережі), наділений відповідними функціональнимиможливостями. Тунель звичайно завершується комутатором екстрамережі абошлюзом провайдера послуг. p>
Сам по собі принцип роботи VPN не суперечить основним мережевимтехнологіям і протоколах. Наприклад, при встановленні з'єднання віддаленогодоступу клієнт посилає серверу потік пакетів стандартного протоколу PPP. Увипадку організації віртуальних виділених ліній між локальними мережами їхмаршрутизатори також обмінюються пакетами PPP. Проте, принциповоновим моментом є пересилання пакетів через безпечний тунель,організований в межах загальнодоступної мережі. p>
Тунелювання дозволяє організувати передачу пакетів одногопротоколу в логічній середовищі, що використовує інший протокол. У результатіз'являється можливість вирішити проблеми взаємодії кількохрізнотипних мереж, починаючи з необхідності забезпечення цілісності таконфіденційність переданих даних і закінчуючи подоланнямневідповідностей зовнішніх протоколів або схем адресації. p>
Існуюча мережева інфраструктура корпорації може бути підготовлена довикористання VPN як за допомогою програмного, так і за допомогою апаратногозабезпечення. Організацію віртуальної приватної мережі можна порівняти зпрокладкою кабелю через глобальну мережу. Як правило, безпосереднєз'єднання між віддаленим користувачем і кінцевим пристроєм тунелювстановлюється по протоколу PPP. p>
Найбільш поширений метод створення тунелів VPN - інкапсуляціямережевих протоколів (IP, IPX, AppleTalk і т. д.) в PPP і наступнаінкапсуляція освічених пакетів в протокол тунелювання. Зазвичай вякості останнього виступає IP або (значно рідше) ATM і Frame Relay.
Такий підхід називається тунелювання другого рівня, оскільки
«Пасажиром» тут є протокол саме другого рівня. P>
Альтернативний підхід - інкапсуляція пакетів мережевого протоколубезпосередньо в протокол тунелювання (наприклад, VTP) називаєтьсятунелювання третього рівня. p>
Незалежно від того, які протоколи використовуються або які ціліпереслідуються при організації тунелю, основна методика залишаєтьсяпрактично незмінною. Зазвичай один протокол використовується для встановленняз'єднання з віддаленим вузлом, а інший - для інкапсуляції даних іслужбової інформації з метою передачі через тунель. p>
Як приклад використання тунелю для усунення невідповідностейміж протоколами і схемами адресації можна навести технологію Simple
Internet Transition (SIT), яка має з'явитися разом з протоколом
IPv6. Це ретельно розроблена групою інженерів (IETF) методологіятунелювання, покликана полегшити перехід від четвертої версіїміжмережевого протоколу (IPv4) до шостої (IPv6). Ці версії достатньовідрізняються, щоб говорити про безпосередню сумісності мереж.
Інкапсуляція ж пакетів протоколу IPv6 в пакети IPv4 дозволяє досягтинеобхідного рівня функціональної сумісності.
1.4 Історія появи VPN p>
Історія появи VPN тісно пов'язана з послугою CENTREX в телефоннихмережах. Поняття Centrex з'явилося на рубежі 60-х років у США як загальненазва способу надання послуг ділового зв'язку абонентам декількохкомпаній на основі спільно використовуваного устаткування однієїзасновницької станції PBX (Private Branch Exchange). З початком впровадження в
США і Канаді станцій з програмним управлінням термін набув інший зміст істав означати спосіб надання діловим абонентам додаткових послугтелефонного зв'язку, еквівалентних послуг PBX, на базі модифікованихстанцій мережі загального користування. Основна перевага Centrex полягалов тому, що фірми і компанії при створенні виділених корпоративних мережекономили значні кошти, необхідні на придбання, монтаж іексплуатацію власних станцій. Хоча для зв'язку між собою абоненти
Centrex використовують ресурси і обладнання мережі загального користування, самі вониутворюють так звані замкнуті групи користувачів CUG (Closed Users
Group) з обмеженим доступом ззовні, для яких в станціях мережіреалізуються віртуальні PBX. p>
У прагненні подолати властиві Centrex обмеження була висунутаідея віртуальної приватної мережі VPN - як об'єднання CUG, що складають однукорпоративну мережу і що знаходяться на відстані один від одного. Ресурси VPN
(кожна зі своїм планом нумерації) можуть бути розподілені по декількохстанціям місцевої мережі, оснащеним функціями Centrex і мають в зоні свогообслуговування одну або кілька CUG. При цьому в станцію можуть бути включеніяк PBX, безпосередньо належать власникові VPN, так і лінії звичайнихіндивідуальних абонентів.
1.5 Технологія VPN p>
Технологія VPN (Virtual Private Network - віртуальна приватна мережа) --не єдиний спосіб захисту мереж і переданих по них даних. Але явважаю, що вона є досить ефективною, і її повсюдне впровадження - це нетільки данина моді, вельми прихильною до VPN в останні пару років.
Рис.2 Схема VPN
Суть VPN полягає в наступному: p>
. На всі комп'ютери, що мають вихід в Інтернет, встановлюється засіб, що реалізовує VPN (VPN-агент). Не повинно залишитися жодного незахищеного! P>
. VPN-агенти автоматично шифрують всю вихідну інформацію (і відповідно розшифровують всю вхідну). Вони також стежать за її цілісністю за допомогою ЕЦП або імітопріставок (криптографічний контрольна сума, розрахована з використанням ключа шифрування).
Оскільки інформація, що циркулює в Інтернеті, являє собоюбезліч пакетів протоколу IP, VPN-агенти працюють саме з ними.
Перед відправкою IP-пакету VPN-агент діє таким чином: p>
. З декількох підтримуваних їм алгоритмів шифрування і ЕЦП по IP-адресі одержувача вибирає потрібний для захисту даного пакету, а також ключі. Якщо ж в його настройках такого одержувача немає, то інформація не відправляється. P>
. Визначає і додає в пакет ЕЦП відправника або імітопріставку. P>
. Шифрує пакет (цілком, включаючи заголовок). P>
. Проводить інкапсуляцію, тобто формує новий заголовок, де вказується адреса зовсім не одержувача, а його VPN-агента. Ця корисна додаткова функція дозволяє представити обмін між двома мережами як обмін всього лише між двома комп'ютерами, на яких встановлені VPN-агенти. Будь-яка корисна для темних цілей зловмисника інформація, наприклад внутрішні IP-адреси, йому вже недоступна.
При отриманні IP-пакету виконуються зворотні дії: p>
1. Заголовок містить відомості про VPN-агента відправника. Якщо такий не входить в список дозволених в настройках, то інформація просто відкидається. Те ж саме відбувається при прийомі пакету з навмисно або випадково пошкодженим заголовком. P>
2. Згідно налаштувань вибираються алгоритми шифрування і ЕЦП, а також необхідні криптографічні ключі. P>
3. Пакет розшифровується, потім перевіряється його цілісність. Якщо ЕЦП невірна, то він викидається. P>
4. І, нарешті, пакет в його початковому вигляді відправляється справжньому адресату по внутрішній мережі. P>
Всі операції виконуються автоматично. Складною в технології VPNє тільки настройка VPN-агентів, яка, втім, цілком під силудосвідченому користувачеві. p>
VPN-агент може знаходитися безпосередньо на захищається ПК, що кориснодля мобільних користувачів, що підключаються до Інтернет. У цьому випадку вінзабезпечить обмін даними тільки того комп'ютера, на якому встановлений. p>
Можливе поєднання VPN-агента з маршрутизатором (в цьому випадку йогоназивають криптографічним) IP-пакетів. До речі, провідні світовівиробники останнім часом випускають маршрутизатори з вбудованоюпідтримкою VPN, наприклад Express VPN від Intel, який шифрує всіщо проходять пакети по алгоритму Triple DES. p>
Як видно з опису, VPN-агенти створюють канали між захищенимимережами, які зазвичай називають "тунелями". І дійсно, вони "прориті"через Інтернет від однієї мережі до іншої; що циркулює всередині інформаціязахована від чужих очей.
Рис.3 Тунелювання і фільтрація p>
Крім того, всі пакети "фільтруються" відповідно до настройок.
Таким чином, всі дії VPN-агентів можна звести до двох механізмів:створення тунелів і фільтрації що проходять пакетів. p>
Сукупність правил створення тунелів, яка називається "політикоюбезпеки ", записується в настройках VPN-агентів. IP-пакетипрямують в той або інший тунель або відкидаються після того, як будутьперевірені: p>
. IP-адреса джерела (для вихідного пакету - адреса конкретного комп'ютера мережі, що захищається); p>
. IP-адреса призначення; p>
. протокол більш високого рівня, якому належить даний пакет p>
(наприклад, TCP або UDP); p>
. номер порту, з якого або на який відправлена інформація p>
(наприклад, 1080).
1.6 Практичне застосування p>
Щодо застосування, можна виділити чотири основні варіантипобудови мережі VPN, які використовуються у всьому світі. p>
. Варіант «Intrenet VPN», який дозволяє об'єднати в єдину захищену мережу декілька розподілених філій однієї організації, що взаємодіють по відкритих каналах зв'язку. Саме цей варіант отримав широке поширення в усьому світі, і саме його в першу чергу реалізують компанії-розробники. P>
. Варіант «Client/Server VPN», який забезпечує захист даних, що передаються між двома вузлами (не мережами) корпоративної мережі. Особливість даного варіанта в тому, що VPN будується між вузлами, що знаходяться, як правило, в одному сегменті мережі, наприклад між робочою станцією та сервером. Така необхідність дуже часто виникає в тих випадках, коли необхідно створити в одному фізичному, кілька логічних мереж. Наприклад, коли потрібно розділити трафік між фінансовим департаментом та відділом кадрів, які звертаються до серверів, що знаходяться в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, яка діє на рівні вище канального. P>
. Варіант «Extranet VPN» призначений для тих мереж, куди підключаються так звані користувачі з боку, рівень довіри до яких набагато нижче, ніж до своїх співробітників. P>
. Варіант «Remote Access VPN», що дозволяє реалізувати захищене взаємодія між сегментом корпоративної мережі (центральним офісом або філією) та поодиноких користувачем, який підключається до корпоративних ресурсів з дому (домашній користувач) або через notebook (мобільний користувач). Даний варіант відрізняється тим, що віддалений користувач, як правило, не має «статичного» адреси й підключається до захищаємий ресурсу не через виділене пристрій p>
VPN, а безпосередньо з власного комп'ютера, де і встановлюється програмне забезпечення, що реалізує функції VPN. Цим варіантом ми і скористаємося. P>
1.7 Безпека p>
Природно, жодна компанія не хотіла б відкрито передавати в
Інтернет фінансову або іншу конфіденційну інформацію. Канали VPNзахищені могутніми алгоритмами шифрування, закладеними в стандарти протоколубезпеки IРsec. IPSec (Internet Protocol Security - стандарт, вибранийміжнародною спільнотою, групою IETF - Internet Engineering Task Force)створює основи безпеки для Інтернет-протоколу (IP), незахищеністьякого довгий час була притчею во язицех. Протокол Ipsecзабезпечує захист на мережевому рівні і вимагає підтримки стандарту Ipsecтільки від людей, що спілкуються між собою пристроїв по обидві сторони з'єднання. Всіінші пристрої, розташовані між ними, просто забезпечують трафік
IP-пакетів. P>
Спосіб взаємодії осіб, що використовують технологію Ipsec, прийнятовизначати терміном "захищена асоціація" - Security Association (SA).
Захищена асоціація функціонує на основі угоди, укладеноїсторонами, які користуються засобами Ipsec для захисту переданої другдругу інформації. Ця угода регулює декілька параметрів: IP-адресивідправника та одержувача, криптографічний алгоритм, порядок обмінуключами, розміри ключів, термін служби ключів, алгоритмаутентифікації. p>
Інші стандарти включають протокол PPTP (Point to Point Tunneling
Protocol), розвивається Microsoft, L2F (Layer 2 Forwarding), розвивається
Cisco, - обидва для віддаленого доступу. Microsoft і Cisco працюють спільно з
IETF, щоб поєднати ці протоколи в єдиний стандарт L2P2 (Layer 2
Tunneling Protocol) з метою використання IPSec для тунельноюаутентифікації, захисту приватної власності та перевірки цілісності. p>
Проблема полягає в тому, щоб забезпечити прийнятне швидкодію мережі пришифрованого обміні інформацією. Алгоритми кодування вимагають значнихобчислювальних ресурсів процесора, іноді в 100 разів більших, ніж призвичайної IP-маршрутизації. Щоб домогтися необхідної продуктивності,треба подбати про адекватне підвищення швидкодії, як серверів, такі клієнтських ПК. Крім того, є спеціальні шлюзи з особливими схемами,які помітно прискорюють шифрування. p>
IT-менеджер може вибирати конфігурацію віртуальної приватної мережі взалежно від конкретних потреб. Наприклад, що працює на домуспівробітникові може бути наданий обмежений доступ до мережі, а менеджеравіддаленого офісу або керівнику компанії - широкі права доступу. Одинпроект може обмежуватися лише мінімальним (56-розрядним) шифруванням прироботі через віртуальну мережу, а фінансова і планова інформація компаніївимагає більш потужних засобів шифрування - 168-розрядних.
1.8 Захист від зовнішніх і внутрішніх атак p>
На жаль, доводиться відзначити, що засоби побудови VPN неє повноцінними засобами виявлення і блокування атак. Вони можутьзапобігти ряд несанкціонованих дій, але далеко не всіможливості, які можуть використовувати хакери для проникнення вкорпоративну мережу. Вони не можуть виявити віруси і атаки типу "відмова вобслуговуванні "(це роблять антивірусні системи та засоби виявленняатак), вони не можуть фільтрувати дані за різними ознаками (це роблятьміжмережеві екрани) і т.д. На це мені можна заперечити, що ці небезпеки нестрашні, тому що VPN не прийме незашифрований трафік і відкине його.
Однак на практиці це не так. По-перше, в більшості випадків засібпобудови VPN використовується для захисту лише частини трафіку, наприклад,спрямованого у віддалений філія. Решта трафік (наприклад, до публічних
Web-серверів) проходить через VPN-пристрій без обробки. А по-друге,перед обличчям статистики схиляють голови навіть найзапекліші скептики. Астатистика стверджує, що до 80% всіх інцидентів, пов'язаних зінформаційною безпекою, відбувається з вини авторизованихкористувачів, які мають санкціонований доступ до корпоративної мережі. Зчого випливає висновок, що атака або вірус будуть зашифровані нарівні знешкідливим трафіком.
1.9 Продуктивність p>
Продуктивність мережі - це досить важливий параметр, і на будь-якізасоби, що сприяють його зниження, в будь-якій організації дивляться зпідозрою. Не є винятком і засоби побудови VPN, якістворюють додаткові затримки, пов'язані з обробкою трафіку,що проходить через VPN-пристрій. Усі затримки, що виникають прикриптографічного обробці трафіку, можна розділити на три типи: p>
. Затримки при встановленні захищеного з'єднання між VPN-пристроями. P>
. Затримки, пов'язані з зашіфровиваніем і розшифруванням захищаються даних, а також з перетвореннями, необхідними для контролю їхньої цілісності. P>
. Затримки, пов'язані з додаванням нового заголовка до передаються пакетами.
Реалізація першого, другого і четвертого варіантів побудови VPNпередбачає встановлення захищених з'єднань не між абонентамимережі, а тільки між VPN-пристроями. З урахуванням криптографічного стійкостівикористовуваних алгоритмів зміна ключа можлива через досить тривалийінтервал часу. Тому при використанні коштів побудови VPN затримкипершого типу практично не впливають на швидкість обміну даними. Зрозуміло,це положення стосується стійких алгоритмів шифрування, що використовують ключі неменше 128 біт (Triple DES, ГОСТ 28147-89 і т.д.). Пристрої, що використовуютьколишній стандарт DES, здатні вносити певні затримки в роботу мережі. p>
Затримки другого типу починають позначатися лише при передачі данихпо високошвидкісних каналах (від 10 Мбіт/с). У всіх інших випадкахшвидкодію програмної або апаратної реалізації обраних алгоритмівшифрування і контролю цілісності звичайно досить велика і в ланцюжкуоперацій «зашіфровиваніе пакета - передача пакету в сеть» і «прийом пакетівз мережі - розшифрування пакету »час зашіфровиванія (розшифрування)значно менше часу, необхідного для передачі даного пакету вмережу. p>
Основна проблема тут пов'язана з додаванням додатковогозаголовка до кожного пакету, пропускає через VPN-пристрій. В якостіприкладу розглянемо систему диспетчерського управління, яка в реальномумасштабі часу здійснює обмін даними між віддаленими станціями іцентральним пунктом. Розмір переданих даних не великий - не більше 25байтів. Дані порівнянного розміру передаються в банківській сфері
(платіжні доручення) і в IP-телефонії. Інтенсивність переданих даних -
50-100 змінних в секунду. Взаємодія між вузлами здійснюється заканалами з пропускною здатністю в 64 Кбіт/с.
Пакет із значенням однієї змінної процесу має довжину 25 байтів (ім'язмінної - 16 байтів, значення змінної - 8 байт, службовий заголовок -
1 байт). IP-протокол додає до довжини пакета ще 24 байт (заголовок IP -пакета). При використанні в якості середовища передачі каналів Frame Relay
LMI додається ще 10 байтів FR-заголовка. Всього - 59 байт (472 біт).
Таким чином, для передачі 750 значень змінних процесу за 10 секунд
(75 пакетів в секунду) необхідна смуга пропускання 75Ч472 = 34,5 Кбіт/с,що добре вписується в наявні обмеження пропускної здатності в 64
Кбіт/с. Тепер подивимося, як веде себе мережу при включенні в неї коштипобудови VPN. Перший приклад - кошти на основі добряче вже призабутогопротоколу SKIP.
До 59 байтам даних додається 112 байт додаткового заголовка (для ГОСТ
28148-89), що складе 171 байт (1368 біт). 75Ч1368 = 102,6 Кбіт/с, що на
60% перевищує максимальну пропускну спроможність наявного каналу зв'язку. P>
Для протоколу IPSec і вищевказаних параметрів пропускна здатністьбуде перевищена на 6% (67,8 Кбіт/с). Це за умови, що додатковийзаголовок для алгоритму ГОСТ 28147-89 складе 54 байти. Для протоколу,використовуваного в російському програмно-апаратному комплексі «Континент-К»,заголовок, що додається до кожного пакету, складає всього 36байтів (або 26 - залежно від режиму роботи), що не викликає ніякогозниження пропускної здатності (57 і 51 Кбіт/с відповідно).
Справедливості ради треба зазначити, що всі ці викладки правильні лишеза умови, що, крім зазначених змінних, в мережі більше нічого непередається.
1.10 Протоколи віртуальних приватних мереж p>
В даний час найбільш поширеним протоколом VPN єпротокол двоточковою тунельною зв'язку (Point-to-Point Tunnelling Protocol
- PPTP). Розроблено він компаніями 3Com та Microsoft з метою наданнябезпечного віддаленого доступу до корпоративних мереж через Інтернет. PPTPвикористовує існуючі відкриті стандарти TCP/IP і багато в чому покладається назастарілий протокол двоточковою зв'язку РРР. На практиці РРР так і залишаєтьсякомунікаційним протоколом сеансу з'єднання РРТР. p>
РРТР створює тунель через мережу до NT-сервера одержувача і передає по ньому
РРР-пакети віддаленого користувача. Сервер і робоча станція використовуютьвіртуальну приватну мережу і не звертають уваги на те, наскільки безпечноюабо доступною є глобальна мережа між ними. Завершення сеансуз'єднання з ініціативи сервера (на відміну від спеціалізованих серверіввіддаленого доступу) дозволяє адміністраторам локальної мережі не пропускативіддалених користувачів за межі системи безпеки Windows NT Server.
В результаті користувач використовує віртуальну приватну мережу, не завдаючипри цьому шкоди функціональними можливостями загальнодоступної мережі. Усі службидомену NT, включаючи DHCP, WINS і доступ до Network Neighborhood, без всякихзастережень надаються віддаленому користувачеві. p>
Хоча компетенція протоколу РРТР поширюється лише на пристрої,що працюють під управлінням Windows, він надає компаніям можливістьвзаємодіяти з існуючими мережевими інфраструктурами і не завдаватишкоду власній системі безпеки. Таким чином, віддаленийкористувач може підключитися до Інтернету за допомогою місцевого провайдераз аналогової телефонної лінії або каналу ISDN і встановити з'єднання зсервером NT. При цьому компанії не доводиться витрачати великі суми наорганізацію та обслуговування пулу модемів, що надає послуги віддаленогодоступу. p>
У найближчому майбутньому очікується зростання кількості віртуальних приватних мереж,розгорнутих на базі нового протоколу тунелювання другого рівня (Layer 2
Tunneling Protocol - L2TP). Цей протокол дозволяє об'єднатищо функціонують на другому рівні PPTP і L2F (Layer 2 Forwarding - протоколпересилання другого рівня) і розширити їх можливості. Однією з них єбагатокрапкові Тунелювання, що дозволяє користувачам ініціюватистворення декількох мереж VPN, наприклад, для одночасного доступу до
Інтернет та корпоративної мережі. P>
Протоколи L2TP і PPTP відрізняються від протоколів тунелювання третійрівня рядом особливостей: p>
1. Надання корпораціям можливості самостійно обирати спосібаутентифікації користувачів та перевірки їх повноважень - на власній
«Території» або у провайдера Інтернет-послуг. Обробляючи тунелюватипакети PPP, сервери корпоративної мережі отримують всю інформацію, необхіднудля ідентифікації користувачів. p>
2. Підтримка комутації тунелів - завершення одного тунелю іініціювання іншого до одного з безлічі потенційних термінаторів.
Комутація тунелів дозволяє як би продовжити PPP-з'єднання до необхідної кінцевої точки. P>
3. Надання системним адміністраторам корпоративної мережі можливостіреалізації стратегій призначення користувачам прав доступу безпосередньона брандмауері і внутрішніх серверах. Оскільки термінатори тунелюотримують пакети PPP з відомостями про користувачів, вони в станізастосовувати сформульовані адміністраторами стратегії безпеки дотрафіку окремих користувачів. (Тунелювання третього рівня недозволяє розрізняти що надходять від провайдера пакети, тому фільтристратегії безпеки доводиться застосовувати на кінцевих робочих станціях імережевих пристроях.) Крім того, у випадку використання тунельногокомутатора з'являється можливість організувати «продовження» тунелюдругого рівня для безпосередньої трансляції трафіку окремихкористувачів до відповідних внутрішнім серверів. На такі сервери можебути покладено завдання додаткової фільтрації пакетів.
1.11 Плюси VPN p>
Переваги технології VPN настільки переконливі, що багатокомпанії починають будувати свою стратегію з урахуванням використання Інтернету вяк головного засобу передачі інформації, навіть тієї, яка євразливою. Переваги VPN вже гідно оцінені багатьмапідприємствами. p>
При правильному виборі VPN: p>
1. ми отримуємо захищені канали зв'язку за ціною доступу в Інтернет, що в кілька разів дешевше виділених ліній; p>
2. при установці VPN не потрібно змінювати топологію мереж, переписуватипрограми, навчати користувачів - все це значна економія; p>
3. забезпечується масштабування, оскільки VPN не створює проблем зростанняі зберігає зроблені інвестиції; p>
4. ви незалежні від криптографії і можете використовувати модулі криптографіїбудь-яких виробників у відповідності з національними стандартами тієї чиіншої країни; p>
5. відкриті інтерфейси дозволяють інтегрувати вашу мережу з іншимипрограмними продуктами та бізнес-додатками. p>
12. Мінуси VPN p>
До них можна віднести порівняно низьку надійність. У порівнянні звиділеними лініями та мережами на основі Frame relay віртуальні приватні мережіменш надійні, проте в 5-10, а іноді й у 20 разів дешевше. На думкузахідних аналітиків, це не зупинить продаж VPN, оскільки лише п'ятивідсотків користувачів, що торгують, наприклад, на ринку цінних паперів,потрібні такі високі стандарти. Решта 95% не настільки серйозноставляться до проблем зі зв'язком, а витрати більшої кількості часу наотримання інформації не призводять до колосальних збитків. p>
У силу того, що послуга VPN надається та підтримується зовнішнімоператором, можуть виникати проблеми зі швидкістю внесення змін до базидоступу, в налаштування firewall, а також з відновленням що вийшов з ладуобладнання. В даний час проблема вирішується вказівкою в договорахмаксимального часу на усунення неполадок і внесення змін. Зазвичайцей час становить кілька годин, але зустрічаються провайдери,що гарантують усунення несправностей протягом доби. p>
Ще один істотний недолік - у споживачів немає зручних засобівуправління VPN. Хоча останнім часом розробляється обладнання,що дозволяє автоматизувати управління VPN. Серед лідерів цього процесу --компанія Indus River Networks Inc., дочірня компанія MCI WorldCom і
Novell. Як говорять аналітики Forester Research, VPN повинніконтролюватися користувачами, управлятися компаніями-операторами, азавдання розробників програмного забезпечення - вирішити цю проблему.
13. Перспективи VPN p>
У міру свого розвитку VPN перетворяться на системи взаємопов'язанихмереж, які будуть з'єднувати мобільних користувачів, торгових партнеріві постачальників з критично важливими корпоративними додатками, що працюютьв протоколі IP. VPN стануть фундаментом для нових комерційних операцій іпослуг, які будуть стимулювати ринок і допомагати модернізувативиробництво. p>
Ймовірно, перший з основних компонентів завтрашніх VPN буде серверкаталогів, що містить профілі кінцевих користувачів і дані проконфігурації мережі. Це буде окрема комп'ютерна система в корпоративнійі частково в загальнодоступній мережі, якою буде керувати провайдер VPN. Принаявності мережевих каталогів, а також забезпечення безпеки інформації таякості обслуговування кінцеві користувачі зможуть практично миттєвовстановлювати з'єднання по VPN. p>
Цілком можливо, що буде використовуватися протокол IpV6, роботи над якимактивно тривають. Даний протокол має всі можливостівзаємодії з VPN, яких тільки можуть побажати собі мережевірозробники, включаючи управління смугою пропускання. Також можна будевизначати приналежність IpV6-пакетів до певного потоку, наприклад,вищий пріоритет будуть отримувати пакети мультимедійних даних для передачі вреальному часі. p>
Головні гравці мережевого ринку, такі, як Cisco Systems, Cabletron Systems,
3Com, Bay Networks, HCL Comnet, вже активно готуються до майбутнього буму VPN.
Нинішні вендори програмного забезпечення і устаткування пропонують наборипристроїв для того, щоб створити й експлуатувати VPN. p>
Вигоду від розгортання VPN наступного покоління отримають не тільки мережевірозробники - не менш зацікавлені в них і оператори. Фірми AT & T Level
3 Communications, MCI Worldcom і Sprint створюють високошвидкісні IP-каналив АТМ-мережах для передачі відео, голосу і даних. VPN в даний часнадають чи не вирішальний вплив на розробку стратегії глобальнихоператорів, таких, як Unisource (AT & T, Telia, PTT Suisse і PTT
Netherlands), Concert (BT/MCI) і Global One (Deutsche Telekom, France
Telekom). Чим більше компаній будуть пропонувати VPN-послуги, тим помітнішебуде зростати їх якість і падати ціни, що, у свою чергу, вплине начисло клієнтів. p>
Кожна революція в бізнесі починалася з винаходу, який різкозбільшувало приватну ініціативу. Наприклад, поділ перевізників ікомпаній, що експлуатують державну залізницю, призвело дорізкого зростання комерційних перевезень. Те ж саме відбувається при створенні
VPN поверх національних і міжнародних телекомунікаційних інфраструктур.
Найближче час покаже, до яких змін це приведе. P>
1.14 Налагодження сервера VPN під Windows 2000 Server p>
Проаналізувавши всі варіанти ми прийшли до висновку що насьогоднішній день самий дешевий варіант налаштування VPN сервера єопераційна система Windows 2000 Server тому ми її обрали. Для тогощоб почати налаштування сервер VPN потрібно запустити службу Маршрутизація івіддалений доступ. Для запуску служби Маршрутизація та віддалений доступ намнеобхідно відкрити оснащення Routing and Remote Access (RRAS) якапоказано на малюнку, розташованому нижче: p>
p>
За умовчанням в списку серверів повинен з'явиться локальний сервер мережі. Якщосписок спочатку порожній, існує можливість додати сервер дляконфігурування на ньому VPN. Для цього нам треба натиснути правою кнопкоюмиші на Server Status - »Add Server. У вікні потрібно вказатисервер мережі. Ми вибираємо This computer (Цей комп'ютер) і натиснути кнопку
OK.
Тепер ми повинні вибрати опцію "Configure and Enable Routing and Remote
Access "(налаштувати і включити маршрутизацію та віддалений доступ).
Вибравши опцію "Configure and Enable Routing and Remote Access" (налаштувати івключити маршрутизацію та віддалений доступ), ми тим самим запустіть майстерналаштування RRAS.
Майстер надасть нам найбільш простий шлях для налаштування нашого серверуяк будь-який із служб, перерахованих нижче і, в той же час, залишаєможливість ручної настройки сервера (остання опція).
Служб:
Internet connection server
Remote access server
Virtual private network (VPN) server
Network router
Manually configured server p >
Ми вибираємо Virtual private network (VPN) server (сервер VPN).
При виборі сервер VPN майстер запитає, який протокол слід використовуватидля роботи віддалених клієнтів на цьому сервері, ми вибираємо TCP/IP. p>
Майстер попросить нас вказати пристрій, через яке ми підключені до
Інтернету. Через цей пристрій до нашої віртуальної приватної мережі VPN, будутьпідключаться користувачі, слід зазначити, що в цього пристрою повиненбути постійна IP адреса.
Вказавши пристрій, через яке ми підключені до Інтернету, майстер попроситьнас вказати діапазон IP адрес, з цього діапазону IP адрес, якого мизазначимо, будуть лунати IP адреси входять VPN з'єднанням, ми вкажемотакі IP адреси 192.168.0.10 початковий і кінцевий 192.168.0.30.
Тепер, коли ми вказали IP адреси можна натиснути кнопку Next.
Налаштування сервера VPN практично завершена, залишилося лише створитиобліковий запис користувача, під якою користувачі будуть заходити вмережу, що ми зараз з вами і зробимо.
Для створення рахунку користувача нам потрібно натиснути правою кнопкоюмиші на значку «мій комп'ютер», який знаходиться на робочому столі, івибрати Manage (управління). У вікні, що з'явилося ми повинні вибрати Local
Users and Groups (локальні користувачі і групи).
Щоб створити нового користувача, потрібно помістити курсор у вікно Users іклацнути правою кнопкою миші; потім в розкрився контекстному меню вибратиелемент New User (Новий користувач). У вікні, що з'явилося досить ввестиім'я користувача і пароль, ще потрібно поставити галочку User cannot changepassword (заборонити зміну пароля користувачем), щоб користувачі незмогли змінити свій пароль. У користувача буде ім'я VPN, а пароль буде test.
Користувача потрібно включати до групи. Для цього на закладці "Member
Of (Членство в групах) "існує кнопка" Add (Додати) ".
Один і той же користувач може бути членом будь-якої кількості групкористувачів. За замовчуванням усі нові облікові записи є членамилокальної групи Users. Цю ситуацію можна й виправити, але ми не будемо їївиправляти, тому що нас влаштовують права групи Users.
На закладці "Dial-in (Вхідні дзвінки)" потрібно налаштувати параметри віддаленогодоступу для нашої профілю. У пункті "Remote Access Permission (Dial -in or VPN) (Дозвіл на віддалений доступ (VPN або модем)) "потрібно вибрати
"Allow access (Дозволити доступ)".
На цьому настроювання сервера VPN завершена, і кожен, хто знає наш IP адреса,логін і пароль зможе зайти в нашу мережу з будь-якого кінця світу через
Інтернет.
1.15 Настроювання клієнтської частини VPN під Windows 2000 Server p>
Настроювання клієнтської частини VPN під Windows98, WindowsMe,
Windows 2000 і Windows 2000 Server практично однакова, але ми розглянемонастроювання клієнтської ча