Служба маршрутизации и удаленного доступа

Клиенты VPN


Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети из-за пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.

Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Есть два распространенных решения - Altiga (от Cisco) и RedCreek.

Второй тип решения - это управляемый VPN.В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.

VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует траффик через незащищенный мир Интернет. Это означает, что два корпоративных сайта могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.

Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегуженной. VPN помогает съкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.


Рассматривая VPN как подходящее решение, вы должны учитывать некоторые вещи:

  • Поддержка нескольких протоколов. Любое решение должно быть способным работать с популярными протоколами обественных сетей (например, IP, IPX, и т.п.).


  • Механизм аутентификации. Должен существовать способ проверки пользователей и ограничения их прав. Также желателен аудит.


  • Шифрование данных. Ваше решение должно шифровать данные, передаваемые по защищенному туннелю.


  • Управление адресами клиентов. Решение должно быть способно присваивать внешнему клиенту внутренний адрес, чтобы сеть рассматривала его как локальный узел. Настоящий адрес клиента (присваеваемый ему провайдером), должен держаться в тайне от внешнего мира для предупреждения хакерских атак.


    • В каких же случаях использовать VPN? Это зависит от ваших требований к RAS. Если у вас много путешествующих пользователей, которым нужен доступ в интрасеть независимо от местонахождения, VPN будет правильным выбором. Вы также можете использовать комбинацию RAS и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:





  • Удаленный пользователь дозванивается на RAS


  • RAS аутентифицирует пользователя.


  • Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN.


  • Сервер VPN отправляет запос через межсетевой экран и далее через Интрнет на удаленный кампус.


  • Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В.


  • Посе установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.


    • В следующем разделе сы поговорим о протоколах VPN-соединений: Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP).

    PPTP

    PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же маханизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать траффик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.



    PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.

    L2TP

    PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.

    Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.

    L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.

    Что же в результате выбрать? Если для PPTP необходима межсетвая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP поволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.


    Содержание раздела