Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Виртуальные частные сети в среде Windows 2000

Майк Фратто

Хотите обеспечить защиту передаваемых вами через Интернет данных? Тогда служба VPN ОС Windows 2000 подойдет вам как нельзя лучше, хотя она и не лишена отдельных недостатков.

Пытаясь сделать Windows 2000 операционной системой, отвечающей запросам самых искушенных пользователей, компания Microsoft постаралась сделать ее максимально функциональной. Среди особенностей этой ОС есть и такая, не воспользоваться которой, на мой взгляд, было бы просто грех. Я имею в виду организацию в среде этой ОС виртуальных частных сетей (Virtual Private Network — VPN). Эти сети обеспечивают безопасную передачу данных между рабочими станциями Windows 2000 независимо от их территориального размещения.

Для создания сетей VPN в среде Windows 2000 обычно используются два протокола — PPTP (Point-to-Point Tunneling Protocol) компании Microsoft и L2TP (Layer 2 Tunneling Protocol) в сочетании с протоколом IPsec. Несмотря на поддержку Windows 2000 множества протоколов — от архаичного Ascend Tunnel Management Protocol до скудного по своим возможностям GRE (Generic Routing Encapsulation), — предпочтение, вероятнее всего, будет отдано либо протоколу PPTP, либо протоколу IPsec (как в сочетании с L2TP, так и без него). Если вы собираетесь инкапсулировать только трафик IP, то вам лучше всего подойдет протокол PPTP или IPsec. Если же вы захотите инкапсулировать пакеты других протоколов, например таких, как IPX, тогда вам придется использовать протокол PPTP или IPsec с L2TP.

В среде Windows 2000 VPN-соединения можно организовать как между сетевыми хостами, например соединения типа “сервер—сервер” или “клиент—сервер”, так и поверх коммутируемых соединений (Dial-Up Networking — DUN). С помощью ПО DUN устанавливаются соединения для удаленного доступа в корпоративную сеть, динамически назначаются сетевые адреса системам, подключенным к шлюзам IPsec, а также (если задействован протокол L2TP) инкапсулируется трафик не только протокола IP, но и других протоколов. Можно обойтись и без шлюза IPsec, но в этом случае необходимо обеспечить маршрутизацию IP-пакетов между конечными узлами.

Организация сети VPN

Для построения виртуальных частных сетей ОС Windows 2000 предоставляет надежные инструментальные средства. Пользователям удобно, что управляющая консоль MMC (Microsoft Management Console) входит и в пакет Windows 2000 Professional и во все версии Windows 2000 Server. Вершиной процедуры конфигурирования VPN-средств Windows 2000 является назначение правил функционирования протокола IPsec, определяемых непосредственно на локальных машинах. После инсталляции Windows 2000 в вашем распоряжении оказываются несколько предустановленных наборов правил, но ни один из них не является активным. Их можно применить либо ко всему трафику вашей системы одновременно, либо к отдельным его составляющим. Так, вы можете зашифровать весь трафик, проходящий между настольным компьютером и каким-либо конкретным Web-сервером, а остальную информацию передавать открыто. Точно так же можно зашифровать трафик по запросу, поступившему от другого хоста. И хотя несколько вариантов политики безопасности определяются сразу, в каждый определенный момент времени активным может быть только один из них.

Конфигурирование протокола IPsec для каждого конечного узла представляет определенные трудности в том случае, если у вас нет четко выработанного плана или большого практического опыта работы с виртуальными частными сетями. Я сконфигурировал наборы правил для ПК конечного пользователя и двух серверов так, как это показано на рис. 1.

Совершенно очевидно, что вы не сможете конфигурировать правила и “диктовать” политику безопасности для Web-серверов сетей общего пользования, таких, как Интернет. Проще настроить компьютер конечного пользователя на работу по протоколу IPsec, если этого требует противоположная сторона. Когда компьютер конечного пользователя инициирует соединение с сервером, отправляющим ему конфиденциальные данные, последний в ответ посылает запрос на согласование параметров защищенной передачи. При успешном согласовании этих параметров устанавливается защищенное соединение и происходит полноценный обмен данными.

Я сконфигурировал Web-сервер нашей кадровой службы для постоянной защиты сеанса передачи данных, а наш внутренний Web-сервер — для защиты по требованию. Когда сервер сконфигурирован на запрос безопасной передачи данных, но в то же время не поддерживает протокол IPsec, наблюдается замедление его работы в течение времени безуспешной попытки рабочей станции согласовать с ним параметры этого протокола. Однако при работе сервера в обычном режиме сколько-нибудь заметного снижения его производительности не наблюдается.

Хотя правила VPN можно конфигурировать на каждой машине в отдельности, такая политика безопасности плохо масштабируется, поскольку конечным пользователям приходится делать все изменения в них вручную. Зачастую для этого от пользователей требуется гораздо больше усилий, чем нужно. Однако политика безопасности, включая и конфигурирование протокола IPsec, формируется и с помощью службы справочника Active Directory (AD). В этом случае она дезавуирует локальные правила.IPsec — это достаточно гибкий и надежный протокол. Об этом свидетельствует возможность предоставлять одноранговым узлам при согласовании параметров VPN-сеанса сразу несколько вариантов их значений. Если, например, выбранная мною политика диктует сначала попытаться установить самый высокий из всех возможных уровень защиты передаваемых данных, а затем, в случае неудачи, снизить его, то я должен предложить одноранговой системе на противоположном конце устанавливаемого IPsec-соединения сначала попытаться использовать алгоритмы шифрования 3DES и аутентификации HMAC-SHA-1, а затем — комбинацию алгоритмов DES и HMAC-SHA-1. Если оппонент поддерживает алгоритм 3DES, то в процессе согласования параметров протокола IPsec будет выбрана пара алгоритмов 3DES и HMAC-SHA-1. Как уже упоминалось выше, ОС Windows 2000 поддерживает альтернативные заявки на установление уровня защиты передаваемых данных. Их можно сконфигурировать и для использования по умолчанию и в процессе организации сетей VPN.

Здесь нужно сделать следующее предостережение: возможен случай, когда в силу особенностей проектного решения Microsoft выбранная обеими сторонами политика безопасности не возымеет действия. Если в качестве алгоритма шифрования вы выбрали 3DES, не исключено, что вместо него будет использован алгоритм DES. Это происходит тогда, когда в наборах правил обоих взаимодействующих компьютеров фигурирует только алгоритм 3DES и ни на одном из них не установлен пакет High Encryption Pack. В этом случае компьютеры с ОС Windows 2000 переходят к согласованию алгоритма DES, а сам факт согласования фиксируется в журнале регистрации событий. Если же пакет High Encryption Pack на одном компьютере установлен, а на другом нет, и требуется использовать алгоритм 3DES, то согласовать параметры VPN-соединения не удается и этот результат тоже регистрируется в журнале.

Как уверяют представители компании Microsoft, причина, по которой компьютеры ни с того ни с сего начинают согласовывать алгоритм DES, кроется в стремлении поддержать обмен данными между ними. Если компьютер с установленным пакетом High Encryption Pack не сумеет согласовать алгоритм 3DES, он оставляет сообщение об ошибке в журнале регистрации событий, тем самым уведомляя администратора о неудачном завершении процедуры согласования. По нашему же мнению, если алгоритм 3DES недоступен, его лучше совсем исключить из списка возможных альтернатив.

Аутентификация

Реализация политики безопасности непосредственно на индивидуальных настольных системах существенно повышает уровень защиты данных. До сих пор разного рода неблагонадежные лица могли запросто подключиться к линии связи и с помощью пассивных инструментальных средств, таких, как сетевые анализаторы, нелегально собрать нужные им сведения. Совершенно очевидно, что шифрование данных существенно ограничивает возможность перехвата конфиденциальной информации. Если ваша сетевая среда основана исключительно на платформе Windows 2000 или вы собираетесь перейти на эту ОС, то организация сетей VPN станет для вас самым обычным делом, благо их можно создавать и между самими рабочими станциями Windows 2000 Pro, и между рабочими станциями Windows 2000 Pro и серверами Windows 2000 Server, и между системами Windows 2000 Server.

При организации сетей VPN для аутентификации пользователей можно использовать службу Kerberos 5, сертификаты безопасности и предварительно сформированные разделяемые ключи (preshared secrets). Для использования таких хорошо масштабируемых средств аутентификации, как Kerberos и сертификаты безопасности, необходимо наличие справочника AD. Для обеспечения аутентификации пользователей на основе сертификатов требуется также доступ к центру сертификации (Certificate Authority — CA). Если два взаимодействующих компьютера находятся в одном и том же домене или относятся к доверенным доменам, то используется служба аутентификации Kerberos. Этот метод, пожалуй, наиболее простой в реализации и не требует никаких дополнительных накладных расходов, поскольку основан на уже существующих полномочиях доступа (мандатах) пользователей.

При организации сетей VPN на базе протокола IPsec очень важно понимать сущность работы механизма использования сертификатов. Традиционно сертификаты ассоциируются с конечными пользователями. Если вы, например, хотите поддерживать стандарт электронной почты S/MIME (Secure MIME), то идентифицирующий вас сертификат можно получить в компании VeriSign. Как правило, сертификаты выдаются пользователям и локально хранятся на их рабочих станциях. Это, однако, означает, что пользователь имеет доступ к своему сертификату только с одной рабочей станции (если только он не хранит его на смарт-карте). В среде Windows 2000 сертификат IPsec выдается не конечному пользователю, а компьютеру, и используется для аутентификации при организации виртуальной частной сети между ним и другими компьютерами домена.

Если у вас есть свой собственный полномочный сервер CA (не являющийся компонентом более крупной иерархии), и вы хотите установить VPN-соединение между своим и внешним, не принадлежащим вашему домену, компьютерами, то, формируя политику безопасности, вам следует выбрать такой центр сертификации, который вам обоим выдаст одноранговые сертификаты (peer certificates).

Если в вашей сети не задействован справочник AD, и вы хотите устанавливать соединения между VPN-устройствами третьих фирм, вам, возможно, придется использовать предварительно сформированные разделяемые ключи. Все компьютеры, которые вы собираетесь объединить для обмена данными, должны иметь один и тот же заранее сформированный разделяемый ключ. Этот метод отличается плохой масштабируемостью, поскольку требует обеспечения дополнительной безопасности при администрировании и дистрибуции разделяемых ключей. Тем не менее использование разделяемых ключей является самым универсальным методом аутентификации базового протокола IPsec при организации сетей VPN. По сути дела, только этот метод позволяет вам создавать сети VPN на основе протокола IPsec между компьютерами, которые не относятся к доверенным доменам и не имеют сертификатов, подписанных одним и тем же удостоверяющим центром.

Коммутируемые соединения

Сеть VPN, организуемая поверх коммутируемого соединения, отличается от простой сети VPN IPsec тем, что протокол L2TP инкапсулирует трафик PPP и может транспортировать пакеты нескольких протоколов, а также назначать сетевые адреса удаленным компьютерам. Чтобы использовать ПО DUN, необходимо задействовать службу RRAS (Routing and Remote Access Service) на сервере Windows 2000 Server. Следует также инсталлировать службу аутентификации IAS (Internet Authentication Service), представляющую собой сервер RADIUS (Remote Authentication Dial-In User Service) фирмы Microsoft. Службу IAS применяют для аутентификации пользователя и хранения параметров, необходимых для согласования опций протокола PPP. Чтобы гарантировать безопасную передачу данных, удаленные пользователи должны пройти процедуру проверки сертификатов до создания сети VPN.

После успешного завершения аутентификации и последующего согласования параметров протокола L2TP пользователю предоставляется соединение для удаленного доступа к ЛВС компании. Такой порядок аутентификации и согласования параметров очень важен, ибо только в этом случае протокол IPsec обеспечивает шифрование всех данных, впоследствии передаваемых по организованной сети VPN. По умолчанию коммутируемое IPsec-соединение требует предъявления сертификата от удаленной клиентской рабочей станции. В своих исследованиях я использовал сертификат, подписанный моим удостоверяющим центром. Коммутируемые IPsec-соединения могут работать и с разделяемыми ключами. Правда, для этого мне пришлось отредактировать системный реестр, изменив значение его параметра HKEY_Local_Machine\System\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec с 0 на 1.

Соединение с сервером RRAS устанавливается на основании информации, содержащейся в базе данных консоли управления MMC. Одновременно могут сосуществовать несколько профилей RRAS, содержащих различные параметры. Решение, позволяющее разным пользователям работать в сети VPN RRAS, основано на организации групп удаленных пользователей. Приписав такую группу определенному профилю RRAS, вы сможете легко устанавливать VPN-соединения с ее членами, не прибегая при этом к утомительному индивидуальному конфигурированию каждого клиентского ПК.

Маршрутизация

Конечно, программа удаленной связи DUN ОС Windows 2000 не лишена отдельных недостатков, присущих ее предыдущим версиям. Установив соединение с сервером VPN, вы теряете возможность соединиться с любым другим хостом Интернет (и локальной сети тоже), не принадлежащим той подсети, с которой установлена связь. Это объясняется тем, что после установления коммутируемого соединения используемый по умолчанию маршрут к Интернет-провайдеру включается в таблицу, но при этом уже существующему маршруту по умолчанию присваивается более высокая метрика (рис. 2). А поскольку существующий маршрут имеет более высокую метрику, чем маршрут, установленный программой DUN, то он никогда не будет задействован. По заявлению компании Microsoft, это вполне допустимо, поскольку большинству пользователей нужен доступ либо к Интернет, либо к интрасети, и редко к обеим сетям одновременно. Эти рассуждения слишком примитивны. Однако компания предоставляет альтернативную возможность, с которой пользователи Windows 95 уже знакомы.

На рис. 2 представлена таблица маршрутизации, использованная мною для тестирования активной ЛВС и коммутируемого соединения. Сделанные черным записи соответствуют исходной таблице маршрутов ЛВС, а сделанные красным — внесены программой DUN. Видно, что первая маршрутная запись имеет метрику, равную 2, и, следовательно, никогда не будет использована. Весь не принадлежащий локальной сети (а в нашем случае это сеть 10.10.10.0) трафик направляется через сеть VPN по интерфейсу, имеющему сетевой адрес 192.168.9.4. Маршрутизацию трафика в сеть Интернет может выполнить только VPN-шлюз. Однако, с одной стороны, вы можете локально изменить маршрутизацию трафика, сбросив флажок “Use default gateway on remote network” в разделе настройки стека TCP/IP ПО DUN, и этим обеспечить доступ к Интернет и удаленной локальной сети (в нашем случае к сети 192.168.9.0). С другой же стороны, воспользовавшись командой route delete 0.0.0.0 mask 0.0.0.0 192.168.9.4, можно с помощью утилиты route.exe удалить маршрут, установленный программой DUN по умолчанию.

Но в любом случае нельзя получить доступ к сети 192.168.10.0, поскольку клиентская система не располагает информацией о маршруте к ней. Поэтому, используя команду route add 192.168.10.0 mask 255.255.255.0 192.168.9.4, я должен добавить еще один маршрут, по которому весь трафик, предназначенный для сети 192. 168.10.0, будет направляться через интерфейс 192.168.9.4. Чтобы подобные команды не вводить постоянно, можно включить их в командный файл. Когда коммутируемый сеанс связи завершается, то вся маршрутная информация, использующая DUN-адрес 192.168.9.4, удаляется.





  
12 '2000
СОДЕРЖАНИЕ

колонка редактора

• Прощай, DES

локальные сети

• Некоторые аспекты полевого тестирования волоконно-оптических систем, поддерживающих Gigabit Ethernet

• Кабельные системы категории 6 — миф или реальность?

• Современные ленточные накопители

• Магия беспроводных ЛВС

услуги сетей связи

• Анатомия пакетной передачи речи. Часть II. Качество

• MPLS: новый регулировщик движения на магистралях вашей сети

• Беспроводные мосты: быстрее, лучше дешевле

• Расширяем сеть Frame Relay

• Центр России в коммуникационном пространстве

• Нужно ли выбрасывать К-60П?

корпоративные сети

• Как задействовать все возможности DHCP

• Как выбрать средство удаленного управления

• Служба имен операционной системы Windows2000: проблемы и решения

защита данных

• Виртуальные частные сети в середе Windows 2000

• Управление отзывом сертификатов

электронная коммерция

• Инструменты управления содержимым Web-узлов. Руководство для покупателя.

• Готов ли ваш электронный магазин к обслуживанию покупателей?

бизнес

• Многоликий сервер

новые продукты

• Network Alchemy - философия интеграции


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх