КОМПЬЮТЕРНАЯ АКАДЕМИЯ «ШАГ»
ДОНЕЦКИЙ ФИЛИАЛ
Специализация Сетевое администрирование
ДИПЛОМНЫЙ ПРОЕКТ
на тему: Удалённый доступ к частной сети через Интернет
The removed access to a private network through the Internet
Студент Дубинин Игорь (Dubinin Igor) группа __________________.
Руководитель_____________________
Дипломный проект проверен и допущен к защите
«____»_______________20__г
________________________________
/подпись руководителя/
ДОНЕЦК 2003.
Содержание:
1.1 Вступление …………………………………………………………..... 3
1.2 Задача проекта ………………………………………………………… 3
1.3 Что такое виртуальная частная сеть? ………………………………... 4
1.4 История появления VPN …………………………………………….... 6
1.5 Технология VPN ………………………………………………………. 7
1.6 Практическое применение …………………………………………… 10
1.7 Безопасность ………………………………………………………….. 11
1.8 Защита от внешних и внутренних атак ……………………………... 13
1.9 Производительность …………………………………………………. 13
1.10 Протоколы виртуальных частных сетей ……………………………. 16
1.11 Плюсы VPN …………………………………………………………... 18
1.12 Минусы VPN …………………………………………………………. 19
1.13 Перспективы VPN ……………………………………………………. 19
1.14 Настройка сервера VPN под Windows 2000 Server ….……………… 21
1.15 Настройка клиентской части VPN под Windows 2000 Server ...…… 24
1.16 Выводы ………………………………………………………………... 25
1.17 Список ссылок ………………………………………………………... 26
1.1 Вступление
Очень часто современному человеку, развивая свой бизнес, приходится
много путешествовать. Это могут быть поездки в отдаленные уголки нашей
страны или даже в страны зарубежья.
Нередко людям нужен доступ к своей информации, хранящейся на их домашнем
компьютере, или на компьютере фирмы. Эту проблему можно решить, организовав удалённый доступ к нему с помощью модема и телефонной линии. Использование
телефонной линии имеет свои особенности. Недостатки этого решения в том,
что звонок с другой страны стоит немалых денег.
Есть и другое решение под названием VPN. Описание этой возможности легло в основу данной дипломной работы под названием «Удалённый доступ к частной сети через Интернет».
Преимущества технологии VPN в том, что организация удалённого доступа
делается не через телефонную линию, а через Интернет, что намного дешевле
и лучше. Для организации удалённого доступа к частной сети с помощью
технологии VPN понадобится Интернет и реальный IP адрес. И любой
пользователь с любой точки земного шара сможет зайти в нашу сеть, если он
знает IP адрес, логин и пароль нашей сети. По моему мнению, технология
VPN получит широкое распространение по всему миру.
2. Задача проекта
Задачей проекта является описание технологии “Удалённого доступа к
частной сети через Интернет(VPN)”, её плюсы и минусы, история появления
VPN, описание практического применения VPN, объяснение того, как эта
технология работает, её производительность, описание настройки серверной
части VPN под Windows 2000 Server и настройки клиентской части VPN.
1.3 Что такое виртуальная частная сеть?
По своей сути VPN обладает многими свойствами выделенной линии, однако
развертывается она в пределах общедоступной сети, например Интернета. С
помощью методики туннелирования пакеты данных транслируются через
общедоступную сеть как по обычному двухточечному соединению. Между каждой
парой «отправитель–получатель данных» устанавливается своеобразный туннель
– безопасное логическое соединение, позволяющее инкапсулировать данные
одного протокола в пакеты другого. Очень важным свойством туннелей является
возможность дифференциации различных типов трафика и назначения им
необходимых приоритетов обслуживания.
Основными компонентами туннеля являются:
- инициатор;
- маршрутизируемая сеть;
- туннельный коммутатор;
- один или несколько туннельных терминаторов.
Инициировать и разрывать туннель могут самые различные сетевые устройства и
программное обеспечение. Например, туннель может быть инициирован ноутбуком
мобильного пользователя, оборудованным модемом и соответствующим
программным обеспечением для установления соединений удаленного доступа. В
качестве инициатора может выступить также маршрутизатор экстрасети
(локальной сети), наделенный соответствующими функциональными
возможностями. Туннель обычно завершается коммутатором экстрасети или
шлюзом провайдера услуг.
Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.
Наиболее распространенный метод создания туннелей VPN – инкапсуляция
сетевых протоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая
инкапсуляция образованных пакетов в протокол туннелирования. Обычно в
качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay.
Такой подход называется туннелированием второго уровня, поскольку
«пассажиром» здесь является протокол именно второго уровня.
Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой – для инкапсуляции данных и служебной информации с целью передачи через туннель.
В качестве примера использования туннеля для устранения несоответствий
между протоколами и схемами адресации можно привести технологию Simple
Internet Transition (SIT), которая должна появиться вместе с протоколом
IPv6. Это тщательно разработанная группой инженеров (IETF) методология
туннелирования, призванная облегчить переход от четвертой версии
межсетевого протокола (IPv4) к шестой (IPv6). Эти версии достаточно
отличаются, чтобы говорить о непосредственной совместимости сетей.
Инкапсуляция же пакетов протокола IPv6 в пакеты IPv4 позволяет достичь
необходимого уровня функциональной совместимости.
1.4 История появления VPN
История появления VPN тесно связана с услугой CENTREX в телефонных
сетях. Понятие Centrex появилось на рубеже 60-х годов в США как общее
название способа предоставления услуг деловой связи абонентам нескольких
компаний на основе совместно используемого оборудования одной
учрежденческой станции PBX (Private Branch Exchange). С началом внедрения в
США и Канаде станций с программным управлением термин приобрел иной смысл и
стал означать способ предоставления деловым абонентам дополнительных услуг
телефонной связи, эквивалентных услугам PBX, на базе модифицированных
станций сети общего пользования. Основное преимущество Centrex заключалось
в том, что фирмы и компании при создании выделенных корпоративных сетей
экономили значительные средства, необходимые на покупку, монтаж и
эксплуатацию собственных станций. Хотя для связи между собой абоненты
Centrex используют ресурсы и оборудование сети общего пользования, сами они
образуют так называемые замкнутые группы пользователей CUG (Closed Users
Group) с ограниченным доступом извне, для которых в станциях сети
реализуются виртуальные PBX.
В стремлении преодолеть свойственные Centrex ограничения была выдвинута
идея виртуальной частной сети VPN - как объединение CUG, составляющих одну
корпоративную сеть и находящихся на удалении друг от друга. Ресурсы VPN
(каждая со своим планом нумерации) могут быть распределены по нескольким
станциям местной сети, оснащенным функциями Centrex и имеющим в зоне своего
обслуживания одну или несколько CUG. При этом в станцию могут быть включены
как PBX, непосредственно принадлежащие владельцу VPN, так и линии обычных
индивидуальных абонентов.
1.5 Технология VPN
Технология VPN (Virtual Private Network – виртуальная частная сеть) –
не единственный способ защиты сетей и передаваемых по ним данных. Но я
считаю, что она достаточно эффективна, и ее повсеместное внедрение – это не
только дань моде, весьма благосклонной к VPN в последние пару лет.
[pic]
Рис.2 Схема VPN
Суть VPN состоит в следующем:
. На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного!
. VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).
Поскольку информация, циркулирующая в Интернете, представляет собой
множество пакетов протокола IP, VPN-агенты работают именно с ними.
Перед отправкой IP-пакета VPN-агент действует следующим образом:
. Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP- адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.
. Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку.
. Шифрует пакет (целиком, включая заголовок).
. Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.
При получении IP-пакета выполняются обратные действия:
1. Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
2. Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи.
3. Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.
4. И, наконец, пакет в его исходном виде отправляется настоящему адресату по внутренней сети.
Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю.
VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернет. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.
Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.
Как видно из описания, VPN-агенты создают каналы между защищаемыми
сетями, которые обычно называют “туннелями”. И действительно, они “прорыты”
через Интернет от одной сети к другой; циркулирующая внутри информация
спрятана от чужих глаз.
[pic]
Рис.3 Туннелирование и фильтрация
Кроме того, все пакеты “фильтруются” в соответствии с настройками.
Таким образом, все действия VPN-агентов можно свести к двум механизмам:
созданию туннелей и фильтрации проходящих пакетов.
Совокупность правил создания туннелей, которая называется “политикой безопасности”, записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:
. IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети);
. IP-адрес назначения;
. протокол более высокого уровня, которому принадлежит данный пакет
(например, TCP или UDP);
. номер порта, с которого или на который отправлена информация
(например, 1080).
1.6 Практическое применение
Относительно применения, можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире.
. Вариант «Intrenet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам.
. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство
VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Этим вариантом мы и воспользуемся.
1.7 Безопасность
Естественно, никакая компания не хотела бы открыто передавать в
Интернет финансовую или другую конфиденциальную информацию. Каналы VPN
защищены мощными алгоритмами шифрования, заложенными в стандарты протокола
безопасности IРsec. IPSec (Internet Protocol Security - стандарт, выбранный
международным сообществом, группой IETF - Internet Engineering Task Force)
создает основы безопасности для Интернет-протокола (IP), незащищенность
которого долгое время являлась притчей во языцех. Протокол Ipsec
обеспечивает защиту на сетевом уровне и требует поддержки стандарта Ipsec
только от общающихся между собой устройств по обе стороны соединения. Все
остальные устройства, расположенные между ними, просто обеспечивают трафик
IP-пакетов.
Способ взаимодействия лиц, использующих технологию Ipsec, принято
определять термином "защищенная ассоциация" - Security Association (SA).
Защищенная ассоциация функционирует на основе соглашения, заключенного
сторонами, которые пользуются средствами Ipsec для защиты передаваемой друг
другу информации. Это соглашение регулирует несколько параметров: IP-адреса
отправителя и получателя, криптографический алгоритм, порядок обмена
ключами, размеры ключей, срок службы ключей, алгоритм
аутентификации.
Другие стандарты включают протокол PPTP (Point to Point Tunneling
Protocol), развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый
Cisco, - оба для удаленного доступа. Microsoft и Cisco работают совместно с
IETF, чтобы соединить эти протоколы в единый стандарт L2P2 (Layer 2
Tunneling Protocol) с целью использования IPSec для туннельной
аутентификации, защиты частной собственности и проверки целостности.
Проблема состоит в том, чтобы обеспечить приемлемое быстродействие сети при обмене шифрованной информацией. Алгоритмы кодирования требуют значительных вычислительных ресурсов процессора, иногда в 100 раз больших, чем при обычной IP-маршрутизации. Чтобы добиться необходимой производительности, надо позаботиться об адекватном повышении быстродействия, как серверов, так и клиентских ПК. Кроме того, есть специальные шлюзы с особыми схемами, которые заметно ускоряют шифрование.
IT-менеджер может выбирать конфигурацию виртуальной частной сети в
зависимости от конкретных потребностей. Например, работающему на дому
сотруднику может быть предоставлен ограниченный доступ к сети, а менеджеру
удаленного офиса или руководителю компании - широкие права доступа. Один
проект может ограничиваться лишь минимальным (56-разрядным) шифрованием при
работе через виртуальную сеть, а финансовая и плановая информация компании
требует более мощных средств шифрования - 168-разрядных.
1.8 Защита от внешних и внутренних атак
К сожалению, приходится отметить, что средства построения VPN не
являются полноценными средствами обнаружения и блокирования атак. Они могут
предотвратить ряд несанкционированных действий, но далеко не все
возможности, которые могут использовать хакеры для проникновения в
корпоративную сеть. Они не могут обнаружить вирусы и атаки типа "отказ в
обслуживании" (это делают антивирусные системы и средства обнаружения
атак), они не могут фильтровать данные по различным признакам (это делают
межсетевые экраны) и т.д. На это мне можно возразить, что эти опасности не
страшны, так как VPN не примет незашифрованный трафик и отвергнет его.
Однако на практике это не так. Во-первых, в большинстве случае средство
построения VPN используется для защиты лишь части трафика, например,
направленного в удаленный филиал. Остальной трафик (например, к публичным
Web-серверам) проходит через VPN-устройство без обработки. А во-вторых,
перед лицом статистики склоняют головы даже самые отъявленные скептики. А
статистика утверждает, что до 80% всех инцидентов, связанных с
информационной безопасностью, происходит по вине авторизованных
пользователей, имеющих санкционированный доступ в корпоративную сеть. Из
чего следует вывод, что атака или вирус будут зашифрованы наравне с
безобидным трафиком.
1.9 Производительность
Производительность сети — это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:
. Задержки при установлении защищенного соединения между VPN- устройствами.
. Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.
. Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.
Реализация первого, второго и четвертого вариантов построения VPN
предусматривает установление защищенных соединений не между абонентами
сети, а только между VPN-устройствами. С учетом криптографической стойкости
используемых алгоритмов смена ключа возможна через достаточно длительный
интервал времени. Поэтому при использовании средств построения VPN задержки
первого типа практически не влияют на скорость обмена данными. Разумеется,
это положение касается стойких алгоритмов шифрования, использующих ключи не
менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие
бывший стандарт DES, способны вносить определенные задержки в работу сети.
Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета — передача пакета в сеть» и «прием пакетов из сети — расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.
Основная проблема здесь связана с добавлением дополнительного
заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве
примера рассмотрим систему диспетчерского управления, которая в реальном
масштабе времени осуществляет обмен данными между удаленными станциями и
центральным пунктом. Размер передаваемых данных не велик — не более 25
байтов. Данные сопоставимого размера передаются в банковской сфере
(платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных —
50-100 переменных в секунду. Взаимодействие между узлами осуществляется по
каналам с пропускной способностью в 64 Кбит/с.
Пакет со значением одной переменной процесса имеет длину 25 байтов (имя
переменной — 16 байтов, значение переменной — 8 байт, служебный заголовок —
1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-
пакета). При использовании в качестве среды передачи каналов Frame Relay
LMI добавляется еще 10 байтов FR-заголовка. Всего — 59 байтов (472 бита).
Таким образом, для передачи 750 значений переменных процесса за 10 секунд
(75 пакетов в секунду) необходима полоса пропускания 75Ч472 = 34,5 Кбит/с,
что хорошо вписывается в имеющиеся ограничения пропускной способности в 64
Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства
построения VPN. Первый пример — средства на основе порядком уже подзабытого
протокола SKIP.
К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ
28148-89), что составит 171 байт (1368 бит). 75Ч1368 = 102,6 Кбит/с, что на
60% превышает максимальную пропускную способность имеющегося канала связи.
Для протокола IPSec и вышеуказанных параметров пропускная способность
будет превышена на 6% (67,8 Кбит/с). Это при условии, что дополнительный
заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола,
используемого в российском программно-аппаратном комплексе «Континент-К»,
дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36
байтов (или 26 — в зависимости от режима работы), что не вызывает никакого
снижения пропускной способности (57 и 51 Кбит/с соответственно).
Справедливости ради необходимо отметить, что все эти выкладки верны лишь
при условии, что, кроме указанных переменных, в сети больше ничего не
передается.
1.10 Протоколы виртуальных частных сетей
В настоящее время наиболее распространенным протоколом VPN является
протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol
– PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления
безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP
использует существующие открытые стандарты TCP/IP и во многом полагается на
устаревший протокол двухточечной связи РРР. На практике РРР так и остается
коммуникационным протоколом сеанса соединения РРТР.
РРТР создает туннель через сеть к NT-серверу получателя и передает по нему
РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют
виртуальную частную сеть и не обращают внимания на то, насколько безопасной
или доступной является глобальная сеть между ними. Завершение сеанса
соединения по инициативе сервера (в отличие от специализированных серверов
удаленного доступа) позволяет администраторам локальной сети не пропускать
удаленных пользователей за пределы системы безопасности Windows NT Server.
В результате пользователь использует виртуальную частную сеть, не нанося
при этом ущерба функциональным возможностям общедоступной сети. Все службы
домена NT, включая DHCP, WINS и доступ к Network Neighborhood, безо всяких
оговорок предоставляются удаленному пользователю.
Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.
В ближайшем будущем ожидается рост количества виртуальных частных сетей,
развернутых на базе нового протокола туннелирования второго уровня (Layer 2
Tunneling Protocol – L2TP). Этот протокол позволяет объединить
функционирующие на втором уровне PPTP и L2F (Layer 2 Forwarding – протокол
пересылки второго уровня) и расширить их возможности. Одной из них является
многоточечное Туннелирование, позволяющее пользователям инициировать
создание нескольких сетей VPN, например, для одновременного доступа к
Интернету и корпоративной сети.
Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:
1. Предоставление корпорациям возможности самостоятельно выбирать способ
аутентификации пользователей и проверки их полномочий – на собственной
«территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные
пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую
для идентификации пользователей.
2. Поддержка коммутации туннелей – завершения одного туннеля и
инициирования другого к одному из множества потенциальных терминаторов.
Коммутация туннелей позволяет как бы продлить PPP-соединение до необходимой конечной точки.
3. Предоставление системным администраторам корпоративной сети возможности
реализации стратегий назначения пользователям прав доступа непосредственно
на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля
получают пакеты PPP со сведениями о пользователях, они в состоянии
применять сформулированные администраторами стратегии безопасности к
трафику отдельных пользователей. (Туннелирование третьего уровня не
позволяет различать поступающие от провайдера пакеты, поэтому фильтры
стратегии безопасности приходится применять на конечных рабочих станциях и
сетевых устройствах.) Кроме того, в случае использования туннельного
коммутатора появляется возможность организовать «продолжение» туннеля
второго уровня для непосредственной трансляции трафика отдельных
пользователей к соответствующим внутренним серверам. На такие серверы может
быть возложена задача дополнительной фильтрации пакетов.
1.11 Плюсы VPN
Преимущества технологии VPN настолько убедительны, что многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, даже той, которая является уязвимой. Преимущества VPN уже оценены по достоинству многими предприятиями.
При правильном выборе VPN:
1. мы получаем защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;
2. при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;
3. обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;
4. вы независимы от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;
5. открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.
12. Минусы VPN
К ним можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению западных аналитиков, это не остановит продажу VPN, поскольку лишь пяти процентам пользователей, торгующих, например, на рынке ценных бумаг, требуются такие высокие стандарты. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.
В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением вышедшего из строя оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.
Еще один существенный недостаток - у потребителей нет удобных средств
управления VPN. Хотя в последнее время разрабатывается оборудование,
позволяющее автоматизировать управление VPN. Среди лидеров этого процесса -
компания Indus River Networks Inc., дочерняя компания MCI WorldCom и
Novell. Как говорят аналитики Forester Research, VPN должны
контролироваться пользователями, управляться компаниями-операторами, а
задача разработчиков программного обеспечения - решить эту проблему.
13. Перспективы VPN
По мере своего развития VPN превратятся в системы взаимосвязанных сетей, которые будут соединять мобильных пользователей, торговых партнеров и поставщиков с критически важными корпоративными приложениями, работающими в протоколе IP. VPN станут фундаментом для новых коммерческих операций и услуг, которые будут стимулировать рынок и помогать модернизировать производство.
Вероятно, первым из основных компонентов завтрашних VPN будет сервер каталогов, содержащий профили конечных пользователей и данные о конфигурации сети. Это будет отдельная компьютерная система в корпоративной и частично в общедоступной сети, которой будет управлять провайдер VPN. При наличии сетевых каталогов, а также обеспечения безопасности информации и качества обслуживания конечные пользователи смогут практически мгновенно устанавливать соединения по VPN.
Вполне возможно, что будет использоваться протокол IpV6, работы над которым активно продолжаются. Данный протокол обладает всеми возможностями взаимодействия с VPN, каких только могут пожелать себе сетевые разработчики, включая управление полосой пропускания. Также можно будет определять принадлежность IpV6-пакетов к определенному потоку, например, высший приоритет будут получать пакеты мультимедийных данных для передачи в реальном времени.
Главные игроки сетевого рынка, такие, как Cisco Systems, Cabletron Systems,
3Com, Bay Networks, HCL Comnet, уже активно готовятся к грядущему буму VPN.
Нынешние вендоры программного обеспечения и оборудования предлагают наборы
устройств для того, чтобы создать и эксплуатировать VPN.
Выгоду от развертывания VPN следующего поколения получат не только сетевые
разработчики - не менее заинтересованы в них и операторы. Фирмы AT&T Level
3 Communications, MCI Worldcom и Sprint создают высокоскоростные IP-каналы
в АТМ-сетях для передачи видео, голоса и данных. VPN в настоящее время
оказывают едва ли не решающее влияние на разработку стратегии глобальных
операторов, таких, как Unisource (AT&T, Telia, PTT Suisse и PTT
Netherlands), Concert (BT/MCI) и Global One (Deutsche Telekom, France
Telekom). Чем больше компаний будут предлагать VPN-услуги, тем заметнее
будет расти их качество и падать цены, что, в свою очередь, повлияет на
число клиентов.
Каждая революция в бизнесе начиналась с изобретения, которое резко
увеличивало частную инициативу. Например, разделение перевозчиков и
компаний, эксплуатирующих государственную железную дорогу, привело к
резкому росту коммерческих перевозок. То же самое происходит при создании
VPN поверх национальных и международных телекоммуникационных инфраструктур.
Ближайшее время покажет, к каким изменениям это приведет.
1.14 Настройка сервера VPN под Windows 2000 Server
Проанализировав все варианты мы пришли к выводу что на сегодняшний день самый дешевый вариант настройки VPN сервера является операционная система Windows 2000 Server поэтому мы её выбрали. Для того чтобы начать настройку сервер VPN нужно запустить службу Маршрутизация и удаленный доступ. Для запуска службы Маршрутизация и удаленный доступ нам необходимо открыть оснастку Routing and Remote Access (RRAS) которая показана на рисунке, расположенном ниже:
[pic]
По умолчанию в списке серверов должен появится локальный сервер сети. Если
список изначально пуст, существует возможность добавить сервер для
конфигурирования на нем VPN . Для этого нам надо щелкнуть правой кнопкой
мыши на Server Status -» Add Server. В появившемся окне нужно указать
сервер сети. Мы выбираем This computer (Этот компьютер) и нажать кнопку
OK.
Теперь мы должны выбрать опцию "Configure and Enable Routing and Remote
Access" (настроить и включить маршрутизацию и удаленный доступ).
Выбрав опцию "Configure and Enable Routing and Remote Access" (настроить и
включить маршрутизацию и удаленный доступ), мы тем самым запустите мастер
настройки RRAS.
Мастер предоставит нам наиболее простой путь для настройки нашего сервера
в качестве любой из служб, перечисленных ниже и, в то же время, оставляет
возможность ручной настройки сервера (последняя опция).
Служб:
Internet connection server
Remote access server
Virtual private network (VPN) server
Network router
Manually configured server
Мы выбираем Virtual private network (VPN) server (сервер VPN).
При выборе сервер VPN мастер запросит, какой протокол следует использовать
для работы удаленных клиентов на этом сервере, мы выбираем TCP/IP.
Мастер попросит нас указать устройство, через которое мы подключены к
Интернету. Через это устройство к нашей частной виртуальной сети VPN, будут
подключатся пользователи, следует отметить, что у этого устройства должен
быть постоянный IP адрес.
Указав устройство, через которое мы подключены к Интернету, мастер попросит
нас указать диапазон IP адресов, из этого диапазона IP адресов, которого мы
укажем, будут раздаваться IP адреса входящим VPN соединениям, мы укажем
такие IP адреса начальный 192.168.0.10 и конечный 192.168.0.30.
Теперь, когда мы указали IP адреса можно нажать кнопку Next.
Настройка сервера VPN практически завершена, осталось только создать
учетную запись пользователя, под которой пользователи будут заходить в
сеть, что мы сейчас с вами и сделаем.
Для создания учетной записи пользователя нам нужно щелкнуть правой кнопкой
мыши на значке «мой компьютер», который находится на рабочем столе, и
выбрать Manage(управление). В появившемся окне мы должны выбрать Local
Users and Groups(локальные пользователи и группы).
Чтобы создать нового пользователя, нужно поместить курсор в окно Users и
щелкнуть правой кнопкой мыши; затем в раскрывшемся контекстном меню выбрать
элемент New User (Новый пользователь). В появившемся окне достаточно ввести
имя пользователя и пароль, еще нужно поставить галочку User cannot change
password(запретить смену пароля пользователем), чтобы пользователи не
смогли поменять пароль. У пользователя будет имя VPN, а пароль будет test.
Пользователя нужно включать в группу. Для этого на закладке "Member
Of(Членство в группах)" существует кнопка "Add(Добавить)".
Один и тот же пользователь может быть членом любого количества групп
пользователей. По умолчанию все новые учетные записи являются членами
локальной группы Users. Эту ситуацию можно и исправить, но мы не будем её
исправлять, потому что нас устраивают права группы Users.
На закладке "Dial-in(Входящие звонки)" нужно настроить параметры удаленного
доступа для нашей учетной записи. В пункте "Remote Access Permission(Dial-
in or VPN)(Разрешение на удалённый доступ(VPN или модем))" нужно выбрать
"Allow access(Разрешить доступ)".
На этом настройка сервера VPN завершена, и любой, кто знает наш IP адрес,
логин и пароль сможет зайти в нашу сеть из любого конца мира через
Интернет.
1.15 Настройка клиентской части VPN под Windows 2000 Server
Настройка клиентской части VPN под Windows98, WindowsMe,
Windows 2000 и Windows 2000 Server практически одинаковая, но мы рассмотрим
настройку клиентской части VPN под Windows 2000 Server.
Для того чтобы приступить к настройке нам нужно зайти в систему с
учётной записью Администратора.
На рабочем столе мы найдём иконку Моё сетевое окружение.
Щелкнем по ней правой кнопкой мыши, в контекстном меню выберем Свойства,
откроется окно Сеть и удалённый доступ к сети.
Нам нужно щелкнуть два раза левой кнопкой мыши по иконке Создание нового
подключения. Появится окно мастера в этом окне ми нажмём кнопку Далее.
В появившемся окне выберем пункт Подключение к виртуальной частной сети
через Интернет и нажмём кнопку Далее.
В следующем окне в текстовое поле нужно ввести IP-адрес сери VPN например
157.54.0.1 и нажать кнопку Далее как показано ниже:
[pic]
В следующем окне нужно указать, что это соединение будет доступным для всех пользователей или доступным только для меня, теперь определим, хотим ли мы сделать создаваемое подключение VPN только для себя, или для всех пользователей, которые могут работать с компьютером.
Из соображений безопасности есть смысл создать каждому пользователю своё подключение, а не использовать общее поэтому мы создаём это подключение только для одного пользователя и нажимаем кнопку Далее.
Теперь в следующем окне введём (или оставим без изменений) в
соответствующем поле имя подключения, под которым оно будет храниться в
папке Сеть и удалённый доступ, мы назовём его VPN.
Мы создали VPN соединение и сейчас мы его настроим.
Щелкнем два раза левой кнопкой мыши по значку нашего VPN соединения и в
появившемся окне щелкнем по кнопке свойства.[pic]
Появится окно свойств этого подключения, перейдём на вкладку
Безопасность, и поставим там галочку Дополнительные параметры, потом
щелкнем по кнопке Настройка
В появившемся окне Дополнительные параметры безопасности поставим галочку
на вкладке Протокол проверки пароля (CHAP) .
Перейдём на вкладку Сеть. В списке Отмеченные компоненты используются этим
подключением: снимем все галочки кроме Протокол Интернета (TCP/IP) и нажмем
кнопку OK.
Теперь мы всё сделали и теперь можно подключатся к сети VPN, но до этого
нужно подключится к Интернету.
1.16 Выводы
В данном дипломном проекте мы рассмотрели технологию удалённого доступа
к частной сети под названием VPN. Мы разобрали принцип работы технологии
VPN где эта технология применяется её протоколы и многое другое.
Преимущества технологии VPN в том, что организация удалённого доступа
делается не через телефонную линию, а через Интернет, что намного дешевле
и лучше. Недостаток технологии VPN в том, что средства построения VPN не
являются полноценными средствами обнаружения и блокирования атак. Они могут
предотвратить ряд несанкционированных действий, но далеко не все
возможности, которые могут использоваться для проникновения в корпоративную
сеть. Но несмотря на это технология VPN получит большое развитие.
1.17 Список ссылок
1. www.bugtraq.ru
2. Салливан К. Прогресс технологии VPN. PCWEEK/RE, №2, 26 января 1999.
3. Штайнке С. VPN между локальными сетями. LAN/Журнал сетевых решений.
Октябрь 1998, том 4, №10.
4. Фратто М. Секреты виртуальных частных сетей. Сети и системы связи, №3
(25), 1998.