Основные компоненты, необходимые для создания VPN сервера

Published on Февраль 18, 2009 by   ·   Один комментарий

За последние несколько лет VPN прошел путь от относительной неизвестности к огромной популярности. Но только поэтому не стоит бросать VPN на произвол судьбы. Все-таки VPN – это прямой портал в вашу частную сеть, и поэтому крайне необходимо, чтобы он был безопасным. Если ваш VPN небезопасен, тогда ничто в  вашей сети не будет безопасным. В этой статье я помогу вам спланировать ваш корпоративный VPN. Для этого я рассмотрю настройки различных компонентов, и решения, которые необходимо принять для этих компонентов.

VPN клиент

Популярное заблуждение насчет клиента VPN заключается в том, что VPN клиент – это рабочая станция, которая подключена к корпоративной сети посредством VPN. Конечно, это один из типов VPN клиента, но это не единственный тип VPN клиента. Клиентом VPN может быть компьютер или маршрутизатор. Тип VPN клиента, который необходимо использовать в вашей сети, в действительности, зависит от конкретных потребностей вашей компании.

К примеру, если у вас есть филиал, которому необходимо прямое соединение с корпоративным офисом, тогда использование маршрутизатора в качестве клиента VPN является для вас неплохим вариантом. Сделав так, вы сможете связать весь филиал с корпоративным офисом с помощью одного соединения. Нет нужды в установлении индивидуального соединения с каждым компьютером.

Но с другой стороны, если некоторые из ваших сотрудников часто путешествуют и им необходим доступ к корпоративной сети во время отъезда, то, вероятно, вам будет необходимо определить каждый портативный компьютер этих сотрудников в качестве клиента VPN.

Технически, любая операционная система может действовать как клиент VPN до тех пор, пока она поддерживает протоколы PPTP, L2TP, или IPSec. В семействе Microsoft circles, это значит, что вы можете использовать Windows NT 4.0, 9X, ME, 2000, и XP. Хотя, технически все эти операционные системы будут работать как клиенты, я рекомендую использовать Windows 2000 или Windows XP благодаря тому, что они поддерживают L2TP и IPSec.

VPN Сервер

VPN сервер работает как точка соединения с клиентом VPN. Технически, вы можете использовать Windows NT Server 4.0, Windows 2000 Server, или Windows Server 2003 в качестве VPN сервера. Однако, в интересах безопасности я беру на себя ответственность порекомендовать вам использовать Windows Server 2003.

Одно и величайших заблуждений о серверах VPN заключается в том, что они могут выполнять всю работу самостоятельно. Я потерял счет случаям, когда друзья говорили мне, что они  собираются вложить деньги в сервер VPN, не понимая, что сервер VPN – это единственный необходимый компонент.

Сам по себе сервер VPN очень прост. Это ничто иное как усиленный Windows 2003 Server, на котором запущены службы маршрутизации и удаленного доступа (Routing and Remote Access Services (RRAS)). После того, как произошла аутентификация входящего VPN соединения, сервер VPN просто работает как маршрутизатор, который предоставляет клиенту VPN доступ в частную сеть.

IAS сервер

Одно из дополнительных требований к серверу VPN заключается в том, чтобы сервер RADIUS у вас был на месте. Если вы не знакомы с RADIUS, RADIUS – это сокращение от Remote Authentication Dial In User Service (удаленная аутентификация пользовательской службы). RADIUS – это механизм, который поставщики услуг Internet обычно используют для аутентификации пользователей, когда они пытаются установить соединение с Internet.

Причина, по которой необходим сервер RADIUS, заключается в том, что вам необходим некоторый механизм для аутентификации клиентов, которые попадают в вашу сеть посредством VPN соединения. Ваши контроллеры домена не готовы для выполнения такой задачи, и даже если бы они были готовы, не лучшая идея открывать контроллеры домена для внешнего мира.

Итак, вопрос теперь, где получить сервер RADIUS?  Хорошо, у Microsoft есть своя собственная версия RADIUS, которая называется Internet Authentication Service (службы интернет аутентификации) или IAS. Служба IAS включена в Windows Server 2003. Это хорошая новость. Плохая новость состоит в том, что в действительности непрактично (по причине безопасности) запускать IAS на той же машине, что и RRAS (компонент сервера VPN). Даже если бы это было практично, я не уверен, что это можно было бы сделать извне конфигурации виртуального сервера.

Брандмауэр

Следующий компонент, необходимый для вашего VPN  — это хороший брандмауэрl. Да, ваш сервер VPN принимает соединения из внешнего мира, но это не значит, что внешний мир должен иметь полный доступ к вашему серверу VPN. Вы должны использовать брандмауэр для того, чтобы блокировать неиспользуемые порты.

Основное требование для установления VPN соединения заключается в том, что IP адрес VPN сервера должен быть доступен из интернет, и что VPN трафик должен иметь возможность проходить через брандмауэр и достигать сервер VPN. Существует, однако, еще один необязательный компонент, который можно использовать, чтобы сделать ваш сервер VPN намного более безопасным.

Если вы серьезно относитесь к безопасности (и имеет для этого достаточно средств), то вы можете разместить ISA Server между периметром вашего брандмауэра и сервером VPN. Идея заключается в том, чтобы вы имели возможность настроить брандмауэр, чтобы направить весь относящийся к VPN трафик не на VPN сервер, а на ISA Server. При этом ISA будет работать как прокси VPN. И VPN клиент и VPN сервер будут общаться посредством ISA Server. Они никогда не будут напрямую общаться друг с другом. Это значит, что ISA Server защищает сервер VPN от прямого доступа, что дает вашему серверу VPN дополнительный уровень защиты.

Выбор туннельного протокола

Когда VPN клиенты получают доступ к VPN серверу, они проходят через виртуальный туннель. Туннель – это ничто иное, как безопасный проход через небезопасную среду (обычно Internet). Однако, туннелирование не случается по мановению волшебной палочки. Оно требует использование туннельного протокола. Ранее я упоминал, что более старшие клиенты Windows могут соединяться к VPN посредством PPTP (Point to Point Tunneling Protocol), но я рекомендовал использовать новейших клиентов, таких как Windows 2000 и Windows XP, потому что они поддерживают L2TP (Layer 2 Tunneling Protocol). Факт, что один из этих протоколов работает, подразумевает, что клиенты поддерживают их. Однако существуют определенные преимущества и недостатки для каждого протокола. Выбор туннельного протокола – это по право одно из самых сложных решений, которое вы должны принять для своей организации при планировании вашей VPN.

Преимущество L2TP над PPTP в том, что он полагается на IPSec. IPSec шифрует данные, а также производит аутентификацию данных. Это значит, что IPSec подтверждает, что данные были посланы человеком, который имеет на это право, и что они не были изменены во время передачи. Более того, IPSec спроектирован для предотвращения воспроизводимых атак. Воспроизводимые атаки – это когда хакер перехватывает пакет, который уже прошел аутентификацию, а затем позже передает его в надежде получить доступ к системе.

L2TP также обеспечивает более сильную аутентификацию, чем PPTP. И пользователь и компьютер аутентифицированы, и пакеты PPP, которыми обмениваются для аутентификации пользователя, всегда шифруются.

Хотя кажется, что L2TP неплохой выбор для туннельного протокола, у него есть пара недостатков по сравнению с PPTP. Я уже говорил об одном из этих преимуществ – совместимость. PPTP работает с большим числом операционных систем Windows, чем L2TP.  Если у вас много потенциальных клиентов VPN, которые используют предыдущие версии Windows, то у вас нет выбора, кроме как использовать PPTP.

Другое преимущество PPTP над L2TP в том, что L2TP основан на IPSec. В разделе о преимуществах L2TP, я говорил о IPSec, что это хорошая вещь, и это действительно так. Однако, существует один главный недостаток использования IPSec. IPSec требует сертифицированную авторизацию для вашей сети.

Хорошая новость заключается в том, что compatibility Windows Server 2003 имеет свою собственную сертифицированную авторизацию. Сертифицированную авторизацию даже еще проще настроить. Плохая новость состоит в том, что по причинам безопасности сертифицированная авторизация не та вещь, с которой стоит играть. Единственный способ сохранить целостность сертифицированной авторизации заключается в ее запуске на отдельном сервере, что по максимуму усложняет ее. Это значит, что вам необходимо будет заплатить за дополнительный сервер, дополнительную лицензию на Windows Server, и необходимо будет дополнительно администрировать еще один сервер в вашей сети. Хотя мое мнение, чтобы все эти дополнительные затраты действительно стоят этого. L2TP предоставляет вам намного лучшую безопасность, чем PPTP. Кроме того, вы можете использовать сертифицированную безопасность также для других вещей, таких как шифрование локального трафика через IPSec.

Протокол для аутентификации

Пока я говорю о протоколах, я хочу улучить момент и поговорить о протоколах для аутентификации. В курсе, посвященном настройке VPN, вас попросят выбрать протокол для аутентификации. Большинство людей выбирают MS-CHAP v2. MS-CHAP  — это относительно безопасный,  и он работает с любыми клиентами VPN, виртуально запущенными на любой операционной системе Windows, которые были сделаны за последние десять лет. К тому же, MS-CHAP прост в установке.

Если вы планируете использовать L2TP, и вам нужна лучшая безопасность, то вам необходимо использовать EAP-TLS в качестве протокола для аутентификации. EAP-TLS поддерживается только когда клиенты работают на Windows 2003 или Windows XP. К тому же, сервер VPN должен быть установлен так, чтобы сертифицированная авторизация формировала сертификаты пользователей. EAP-TLS немного сложен в установке, и лучше работает, когда конечные пользователи использую смарт карты. Если проще, то MS-CHAP использует пароли, EAP-TLS использует сертификаты.

Заключение

Перед тем, как вы сможете создать VPN, необходимо много спланировать. В этой статье, я рассказал о некоторых идеях для проектирования VPN о некоторых решениях, которые необходимо для этого принять.

www.windowsnetworking.com


Смотрите также:

Tags: , , , , , ,

Readers Comments (Один комментарий)

  1. Admin:

    Мало информативная, требую продолжения… Автор дороботай статью




Да человек я, человек! =)



Лоты пользователя Холстпринт ХолстПринт.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]