Технології віртуальних приватних мереж

 

Для створення віртуальних приватних мереж в системах сімейства Windows використовуються два різні протоколи — PPTP розробки корпорації Microsoft (Point-to-Point Tunneling Protocol) і L2TP, що об'єднав кращі риси протоколів PPTP і L2F компанії Cisco (Level 2 Tunneling Protocol). Основний принцип роботи обох протоколів полягає в тому, що вони створюють захищений "тунель" між користувачем і корпоративною мережею або між двома підмережами. Тунелювання полягає в тому, що пакети, передавані в захищеній мережі, забезпечуються спеціальними заголовками (у обох протоколів свої заголовки), вміст даних в цих пакетах шифрується (у PPTP — алгоритмом MPPE компанії Microsoft, в L2TP — технологією IPSec), а потім пакет, призначений для захищеної корпоративної мережі і заголовоки з IP-адресами внутрішньої корпоративної мережі, інкапсулюється в пакет, передаваний по мережі Інтернет і відповідний заголовок, що має, і IP- адреси відправника і одержувача.

Відмінності між двома протоколами наступні:

  • алгоритми шифрування (MPPE для PPTP, IPSec для L2TP);
  • транспортне середовище (PPTP працює тільки поверх протоколу TCP/IP, L2TP може працювати також поверх протоколів X.25, Frame Relay, АТМ, хоча реалізація L2TP в системі Windows працює тільки поверх TCP/IP);
  • L2TP здійснює взаємну аутентифікацію обох сторін, що беруть участь в створенні захищеної мережі, для це використовуються сертифікати X.509 або загальний секрет (preshared key). Загальний секрет (попередній ключ) реалізований починаючи з версії Windows 2003, встановлюється у Властивостях служби RRAS на закладці "Безпека" (рис. 29).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\6.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-31.gif

Рисунок - 29.

 

Політики віддаленого доступу

Як вже згадувалося вище, в основному режимі домена Windows 2000/2003 дозволами на підключення до служби віддаленого доступу можна управляти з допомогою політик віддаленого доступу. Нагадаємо, що політики віддаленого доступу застосовуються до облікового запису користувача при його спробі підключитися до служби віддаленого доступу тільки в тому випадку, якщо у Властивостях цього облікового запису вказано "Управління на основі політики віддаленого доступу". Якщо в явному вигляді вказаний дозвіл або заборона підключення, то політики не перевіряються.

Кожна політика складається з трьох компонент:

  • Умови (Conditions) — визначаються умови підключення користувача (у мережах на базі MS Windows Server найцікавіші умови — день тижня і час, а також членство в певній групі);
  • Профіль (Profile) — визначає параметри підключення (наприклад, тип аутентифікації або вид комунікацій);
  • Дозволи (Permissions) — вирішити або заборонити підключення.

На початку перевірки політики завжди перевіряються умови — якщо жодне з умов не співпадає з параметрами облікового запису користувача, то відбувається перехід до наступної політики. Якщо умови співпали, то перевіряються параметри профілю підключення, якщо параметри політики і користувача не співпадають, то також відбувається перехід до наступної політики. Якщо ж параметри профілю співпали і дана політика дозволяє підключення, то користувачеві видається дозвіл на підключення до сервера віддаленого доступу. Якщо ж політика забороняє підключення, то користувачеві видається відмова на підключення до сервера.