Технології віртуальних приватних мереж
Для створення віртуальних приватних мереж в системах сімейства Windows використовуються два різні протоколи — PPTP розробки корпорації Microsoft (Point-to-Point Tunneling Protocol) і L2TP, що об'єднав кращі риси протоколів PPTP і L2F компанії Cisco (Level 2 Tunneling Protocol). Основний принцип роботи обох протоколів полягає в тому, що вони створюють захищений "тунель" між користувачем і корпоративною мережею або між двома підмережами. Тунелювання полягає в тому, що пакети, передавані в захищеній мережі, забезпечуються спеціальними заголовками (у обох протоколів свої заголовки), вміст даних в цих пакетах шифрується (у PPTP — алгоритмом MPPE компанії Microsoft, в L2TP — технологією IPSec), а потім пакет, призначений для захищеної корпоративної мережі і заголовоки з IP-адресами внутрішньої корпоративної мережі, інкапсулюється в пакет, передаваний по мережі Інтернет і відповідний заголовок, що має, і IP- адреси відправника і одержувача.
Відмінності між двома протоколами наступні:
- алгоритми шифрування (MPPE для PPTP, IPSec для L2TP);
- транспортне середовище (PPTP працює тільки поверх протоколу TCP/IP, L2TP може працювати також поверх протоколів X.25, Frame Relay, АТМ, хоча реалізація L2TP в системі Windows працює тільки поверх TCP/IP);
- L2TP здійснює взаємну аутентифікацію обох сторін, що беруть участь в створенні захищеної мережі, для це використовуються сертифікати X.509 або загальний секрет (preshared key). Загальний секрет (попередній ключ) реалізований починаючи з версії Windows 2003, встановлюється у Властивостях служби RRAS на закладці "Безпека" (рис. 29).
Рисунок - 29.
Політики віддаленого доступу
Як вже згадувалося вище, в основному режимі домена Windows 2000/2003 дозволами на підключення до служби віддаленого доступу можна управляти з допомогою політик віддаленого доступу. Нагадаємо, що політики віддаленого доступу застосовуються до облікового запису користувача при його спробі підключитися до служби віддаленого доступу тільки в тому випадку, якщо у Властивостях цього облікового запису вказано "Управління на основі політики віддаленого доступу". Якщо в явному вигляді вказаний дозвіл або заборона підключення, то політики не перевіряються.
Кожна політика складається з трьох компонент:
- Умови (Conditions) — визначаються умови підключення користувача (у мережах на базі MS Windows Server найцікавіші умови — день тижня і час, а також членство в певній групі);
- Профіль (Profile) — визначає параметри підключення (наприклад, тип аутентифікації або вид комунікацій);
- Дозволи (Permissions) — вирішити або заборонити підключення.
На початку перевірки політики завжди перевіряються умови — якщо жодне з умов не співпадає з параметрами облікового запису користувача, то відбувається перехід до наступної політики. Якщо умови співпали, то перевіряються параметри профілю підключення, якщо параметри політики і користувача не співпадають, то також відбувається перехід до наступної політики. Якщо ж параметри профілю співпали і дана політика дозволяє підключення, то користувачеві видається дозвіл на підключення до сервера віддаленого доступу. Якщо ж політика забороняє підключення, то користувачеві видається відмова на підключення до сервера.