Основи VPN.
В основі концепції віртуальної приватної мережі лежить ідея, яка називається «тунелювання». Тунель в інтернеті є потік звичайних, нічим не примітних пакетів - на перший погляд. Насправді ж вони служать лише «обгорткою» для зашифрованих пакетів. Коли пакет залишає небезпечну зону інтернету, проходить через брандмауер і потрапляє в локальну мережу компанії - «обгортка» видаляється і внутрішній пакет розшифровується. Далі він іде по локальній мережі до адресата, ніби він був відправлений не з віддаленого комп'ютера, а з «місцевого». Так працює VPN. Здається, досить просто. Однак на ефективність і безпеку роботи віртуальної мережі впливає безліч факторів. Використовувані алгоритми шифрування трафіку, методи авторизації, засоби перевірки цілісності і незмінності прийшли пакетів - ось лише основні з них. Саме ці параметри характеризують якість конкретної реалізації VPN.
Програма OpenVPN
Найбільш доступним і відомим засобом створення віртуальної мережі є програма OpenVPN. Вона безкоштовна для всіх видів використання, в тому числі і комерційного. Існують версії під всі мислимі операційні системи, включаючи, зрозуміло, і для Windows XР. Відразу зауважимо, що програма повністю консольна, але для користувачів Windows, існує зручна графічна оболонка, за допомогою якої виконуються основні операції. Програма досить проста в налаштуванні і використанні. Сервер і клієнт об'єднані в одному. EXE-файлі. Для запуску сервера потрібно ввести лише дві-три команди в консоль, або зробити декілька кліків мьшью (при використанні графічної середовища). Як засіб шифрування і аутентифікації OpenVPN використовує бібліотеку OpenSSL - найвідомішу і дуже добре себе зарекомендувала.
Рисунок 9.1 - Програма OpenVPN допоможе з мінімальними зусиллями організувати віртуальну приватну мережу
Альтернативний софт: Hamachi
Багатьом не до душі зайва функціональність OpenVPN, яка, втім, уміло прихована від новачків. Вам теж так здалося після першого знайомства з програмою? Тоді варто звернути увагу на програму Hamachi. Вона ще більш дружелюбна по відношенню до користувача і також абсолютно безкоштовна.
Апаратний VPN-шлюз
Часто топові моделі інтернет-центрів (наприклад - Zyxel P-662H EE) Мають апаратною підтримкою VPN. Такий спосіб організації віртуальної мережі складніший в настройці, але набагато стабільніший і надійніший. Програми, як завгодно якісні, мають тенденцію зависати, комп'ютери - перезавантажуватися. З апаратним шлюзом VPN таких проблем не виникне.
Допомога від провайдера
Багато інтернет-провайдерів надають послугу організації VPN. Замість проблем з налаштуванням і організацією віртуальної мережі компанія отримує разом з доступом в інтернет вже повністю підготовлений VPN-шлюз. Його обслуговуванням займаються фахівці провайдера. Найчастіше витрати на обслуговування власного сервера перевищують оплату «зовнішнього» VPN, особливо для невеликих компаній.
Налаштування сервера VPN стандартними засобами Windows XP
У папці «Мережні підключення» з бічної панелі вибираємо пункт «Створення нового підключення». У майстрі нас цікавить пункт «Встановити пряме підключення до іншого комп'ютера». Далі - «Приймати вхідні підключення». У наступному розділі вибираємо пункт «Приймати віртуальні приватні підключення». Наступний пункт - дозвіл підключення конкретним користувачам. За допомогою кнопки «Новий» створюємо користувача, вводимо ім'я облікового запису та пароль. Ставимо прапорець поруч із ним. У подальшому вікні «Програми для роботи з мережею» залишаємо значення за замовчуванням. Важливо, щоб був встановлений прапорець поруч із пунктом «Протокол інтернету TCP / IP». У його властивості встановлюємо пункт «Дозволити дозвоном доступ до локальної мережі». На цьому установка сервера завершена.
Налаштування клієнта VPN
Перші кроки аналогічні процесу настройки сервера. На одній зі сторінок майстра замість пункту «Встановити пряме підключення» слід вибрати опцію «Підключити до мережі на робочому місці», далі «Підключення до віртуальної приватної мережі». Майстер вимагає ввести IP-адреса шлюзу - комп'ютера, де налаштований сервер VPN. Після цього настройка клієнта завершена. Відкривається стандартний діалог «дзвінка» на віддалений комп'ютер, де вводиться ім'я користувача мережі та пароль, задані при налаштуванні сервера. Після натискання кнопки «Підключити» відбувається з'єднання з сервером і вхід у локальну мережу.
Вибираємо пристрій для організації віддаленого доступу до робочого ПК
Типові параметри інтернет-центру з VPN
Вибираючи інтернет-центр з функцією апаратного шлюзу VPN, слід, перш за все, думати про безпеку створюваних «тунелів». Відповідно, перше, на що слід звернути увагу - це список підтримуваних протоколів передачі і методів шифрування трафіку. Найбільш поширений протокол - IPSec, який став фактично стандартом. «Професійне» мережеве обладнання (виробництва, наприклад, Cisco) підтримує інші, пропрієтарні, протоколи. Шифрування зазвичай здійснюється одним із трьох алгоритмів: DES, 3DES (Triple DES), AES. Останній найбільш ефективний і кріптостоек. Багато старі пристрої підтримують тільки перші два алгоритми. Сучасні моделі дозволяють вибрати відразу з трьох варіантів. Також слід звернути увагу на можливість створення декількох тунелів одночасно. Вона сильно стане в нагоді, якщо буде потрібно підключитися відразу до декількох локальних мереж, наприклад, розташованих у різних офісах. Більшість маршрутизаторів дозволяє створювати до двох тунелів.
Інтернет-центр з апаратним шлюзом VPN є найважливішим інструментом віддаленого працівника
Інтернет-центр з апаратним шлюзом VPN є найважливішим інструментом віддаленого працівника
Міжмережевий екран
Вбудований брандмауер буде дуже до речі. Його наявність серйозно покращить безпеку в будь-якому випадку, а при використанні VPN є майже необхідністю. Практично всі брандмауери для VPN вміють робити «попередній перегляд» вмісту вхідних пакетів. Висновок про те, пропускати або блокувати даний пакет, робиться на основі його внутрішнього вмісту. У випадку наявності цієї функції мережа буде надійно захищена від підміни інформації в пактах.
Віртуальний сервер
Функція маршрутизатора, звана VSM, дозволяє призначити безлічі серверів в локальній мережі один глобальний IP-адресу. Але підключитися до них можна тільки через тунель. В результаті підвищується зручність використання сервісів локальної мережі - для віддаленого користувача вони начебто працюють на одному сервері з однією адресою. У той же час, зберігається безпеку роботи через шифроване з'єднання.
DMZ
Абревіатура розшифровується як демілітаризованої зони, але ніякого відношення до військових конфліктів вона не має. Ця функція маршрутизатора створює віртуальну проміжну мережу між інтернетом і локальною мережею - DMZ. Комп'ютери з локальної мережі мають доступ до DMZ, комп'ютери, що входять в DMZ - до інтернету, інтернет-клієнти - до DMZ. Однак при цьому комп'ютери DMZ «не бачать» локальної мережі. Виходить така собі мембрана, що пропускає в одну сторону, але назад - ні. DMZ дозволяє відкрити повний доступ інтернет-користувачам до сервісів локальної мережі, в той же час захистити її від прямого доступу.
Режим наскрізний
Уявіть ситуацію - є дві локальні мережі, з'єднані через VPN. Необхідно підключитися до мережі А, але доступ є лише до мережі Б. VPN-сервер мережі B не повинен вважати, що пакети від клієнта йдуть до нього - реально вони призначаються VPN-серверу мережі A. Функція маршрутизатора наскрізного якраз і дозволяє пропускати чужі інформаційні пакети і перенаправляти їх адресату.
Що нам варто побудувати VPN
Найбільш очевидним умовою організації віддаленого доступу до робочого ПК є наявність виходу в інтернет (бажано, широкосмугового). Нагадаємо, що щомісячні витрати на оплату широкосмугового доступу в інтернет можуть становити від 300 до 1500 руб. - Залежно від обраного тарифного плану. Що стосується апаратного забезпечення, то в ньому в більшості випадків немає потреби; вимогливим користувачам можна порадити застосування інтернет-центру з вбудованим VPN-шлюзом (ціни на такі пристрої починаються з суми в 3000 рублів).
Дата добавления: 2015-08-21; просмотров: 908;