2018-01-21
247
У багатьох компаній існує необхідність об’єднання декількох територіально розділених локальних мереж своїх підрозділів або підключення віддалених користувачів. При компактному розташуванні можливе використання власних або орендованих каналів зв’язку або телефонних ліній. Але цілком очевидно, що обидва ці рішення будуть достатньо дорогими, якщо відстань, на яку необхідно встановити з’єднання між мережами або між клієнтом і мережею, велика. При використанні телефонної мережі доведеться оплачувати величезні рахунки за міжнародні телефонні розмови, а швидкість телефонного підключення буде досить низькою. А для об’єднання двох офісів на різних континентах за допомогою власного кабелю потрібна величезна сума.
Одним із способів зниження витрат на передачу даних є технології «Віртуальних приватних мереж», або VPN (Virtual Private Network). Технології VPN дозволяють використовувати загальнодоступні мережі як надійний і недорогий транспорт для даних, забезпечуючи при цьому їх захист. У разі використання VPN всі витрати зводяться до оплати доступу до Інтернету, що істотно дешевше за міжміські і міжнародні дзвінки і дешевше організації фізичного каналу. Підключившись до Інтернету, встановлюється з’єднання з віддаленим шлюзом VPN і використовується одержаний канал для обміну даними.
|
|
|
Однією з існуючих проблем в даному випадку є те, що дані передаються по загальних мережах і можуть бути перехоплені зловмисниками, тому особлива увага надається безпеці таких каналів. Природно, при розробці технології VPN було вжито заходів для надійного захисту трафіку як від перегляду, так і від підміни. Для позначення технології віртуальних приватних мереж, направленої на забезпечення безпеки передачі даних по відкритій транспортній мережі, використовується спеціальний термін - захищений канал. Безпека даних означає їх конфіденційність, цілісність і доступність.
При встановленні VPN-з’єднання створюється так званий тунель, або логічний шлях, по якому передаються дані. Тунель створюється двома кінцевими пристроями, які розміщуються в точках входу в загальну мережу. Тунелювання широко використовується для безпечної передачі даних через загальні мережі шляхом упаковки пакетів в зовнішню оболонку. Звичайно ж, дані не передаються по тунелю у відкритому вигляді, бо будь-які дані, що передаються по загальній мережі, можна перехопити. Для того, щоб захистити інформацію від попадання до зловмисника, використовується шифрування – при відправці початкові дані зашифровуються, а потім передаються. Досягши кінцевої точки з’єднання відбувається зворотний процес, і знов з’являється початковий пакет в первинному вигляді. Таким чином, в загальну мережу дані в незашифрованому вигляді не передаються.
|
|
|
При створенні з’єднань через VPN, основний протокол роботи мережі передачі даних використовується лише як транспортна основа, поверх якої створюються з’єднання «точка-точка», тому всі проміжні мережеві пристрої, через які проходить тунель, для кінцевого користувача не помітні. Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP в який-небудь інший протокол IP (ця реалізація називається так само PPTP) або Ethernet (PPPoE). Деякі інші протоколи так само надають можливість формування захищених каналів (SSH або ViPNet).
VPN складається з двох частин: захищена «внутрішня» мережа і «зовнішня» мережа, по якій проходить захищене з’єднання (зазвичай Інтернет). Як правило між зовнішньою мережею і внутрішньої знаходиться Firewall. При підключенні віддаленого користувача (або при установці з’єднання з іншою захищеною мережею) Firewall вимагає авторизації, на підставі якої визначаються повноваження користувача (або віддаленої мережі). Крім захищених VPN також існує багато незахищених, оскільки реалізація і настройка системи шифрування може виявитися досить складною. Захищені VPN-протоколи включають:
- IPSec (IP security) – часто використовується поверх IPv4;
- SSL – використовується для тунелювання всього мережевого стеку;
- PPTP (point-to-point tunneling protocol) – забезпечує тунелювання мережевого IP-трафіку на рівні другої мережевої моделі OSI;
- L2TP (Layer 2 Tunnelling Protocol) – забезпечує тунелювання мережевого IP-трафіку на рівні 2-ї мережевої моделі OSI, використовується з IPsec і SSL для забезпечення аутентифікації і безпеки даних;
- L2TPv3 (Layer 2 Tunnelling Protocol version 3).
IPSec – протокол, система стандартів, направлена на встановлення і підтримку захищеного каналу для передачі даних. IPSec передбачає аутентифікацію при встановленні каналу, шифрування даних і розповсюдження секретних ключів, необхідних для роботи протоколів аутентифікації і шифрування. Засоби IPSec реалізують захист вмісту пакетів IP, а також захист від мережевих атак шляхом фільтрації пакетів і використання тільки надійних з’єднань. Для аутентифікації джерела даних і для забезпечення цілісності пакетів використовується протокол AH (Authentication Header). Також шифрування, аутентифікація і цілісність даних забезпечуються засобами протоколу ESP (Encapsulation Security Payload). Протокол IKE (Internet Key Exchange) використовується для визначення способу ініціалізації захищеного каналу, крім того, IKE визначає процедури обміну і управління секретними ключами з’єднання. Шифрування в IPSec може забезпечуватися будь-яким алгоритмом симетричного шифрування.
З обмежень IPSec можна відзначити, що він працює тільки в тому випадку, якщо передача даних на мережевому рівні забезпечується засобами протоколу IP, тобто у разі використовування іншого протоколу мережевого рівня, наприклад IPX, скористатися засобами IPSec буде неможливо. Звичайно, це вже не актуально у зв’язку з розповсюдженням IP. Крім того, завжди є можливість сумісного використання шифрування IPSec з тунелюванням L2TP. У IPSec можливі два режими роботи: транспортний (для передачі пакету по мережі використовується оригінальний заголовок) і тунельний (початковий пакет поміщається в новий пакет, в тілі якого він і передається по мережі).
PPTP – один з протоколів для створення VPN на основі мереж TCP/IP. Даний протокол дозволяє створювати віртуальні приватні мережі на основі загальнодоступних мереж TCP/IP, наприклад Інтернету. PPTP здійснює тунелювання, інкапсулюючи дані протоколу IP усередині дейтаграм PPP. Таким чином, користувачі можуть запускати програми, що працюють з конкретними мережевими протоколами через встановлене з’єднання. Тунельні сервери виконують все необхідне для забезпечення захисту даних, забезпечуючи безпечну їх передачу. Проте варто відзначити, що PPTP як стандарт так і не був прийнятий. Але був створений протокол L2TP, що об’єднав в собі PPTP і L2F.
|
|
|
Для настройки VPN з’єднання для Windows 98/98SE/ME спершу необхідно добитися IP-досяжності VPN-серверу. В більшості випадків клієнту достатньо мати встановлений на мережевій карті протокол TCP/IP і в настройках протоколу TCP/IP поставити параметри автоматичного призначення мережевих параметрів – при включенні комп’ютера вони будуть призначені DHCP-сервером. У решті випадків параметри TCP/IP будуть повідомлені провайдером клієнту при підключенні.
Цей мережевий протокол вимагає встановленого компоненту Windows під назвою «Віддалений доступ до мережі». Для створення VPN-з’єднання у вікні «Віддалений доступ до мережі» клацнути по іконці Майстра створення нового з’єднання. Натиснути кнопку «Далі». У наступному вікні можна змінити назву VPN-підключення і натиснути кнопку «Далі». Потім необхідно вказати IP-адресу VPN-серверу. У завершальному вікні створення VPN-підключення необхідно натиснути кнопку «Готово». У віконці «Віддалений доступ до мережі» з’явиться нове VPN-з’єднання. Потрібно клацнути по ньому правою кнопкою миші і вибрати пункт «Властивості». У властивостях з’єднання на закладці «Тип серверу» необхідно виставити галочки і натиснути кнопку «ОК». Після запуску VPN-підключення, потрібно ввести логін і пароль. Тепер можна працювати в Інтернеті.
Для настройки VPN під Windows XP необхідно перейти в теку «Мережеві підключення» (Пуск → Панель управління
→ Мережеві підключення) і вибрати пункт «Створення нового підключення». Запуститься «Майстер нових підключень» і натиснути кнопку «Далі». Потім вибрати пункт «Підключити до мережі на робочому місці», знову натиснути кнопку «Далі» і вибрати пункт «Підключення до віртуальної приватної мережі». Після натискання кнопку «Далі» у полі «Організація» вводиться «MSM» (без лапок) і знову «Далі». Потрібно вибрати не «набирати номер для попереднього підключення» і натиснути «Далі». Потім вказується ім’я комп’ютера. На екрані «Завершення роботи майстра нових підключень натискається кнопка «Готово». У вікні «Підключення: MSM (VPN)» треба натиснути «Властивості», перейти на закладку «Безпека» і зняти галочку «Потрібне шифрування даних (інакше відключатися)», перейти на закладку «Мережа» і в меню вибрати «PPTP-VPN». Після натискання на кнопку «Параметри» у вікні «Параметри РРР» треба зняти галочки «Використовувати програмне стиснення даних» і «Погоджувати багатоканальне підключення для одноканальних підключень» і натиснути кнопку «ОК». У вікні «Підключення: MSM (VPN)» необхідно ввести ім’я користувача і пароль.
|
|
|
Технологія VPN широко застосовується провайдерами всього світу для забезпечення безпечного з’єднання і на сьогоднішній момент є одним з найнадійніших способів захисту абонентів від несанкціонованого доступу в мережу. VPN відрізняється рядом економічних переваг в порівнянні з іншими методами віддаленого доступу. По-перше, користувачі можуть звертатися до корпоративної мережі, не встановлюючи з нею комутоване з’єднання, таким чином відпадає потреба у використанні модемів. По-друге, можна обійтися без виділених ліній. VPN рішення дозволяють створити оптимальну корпоративну мережу, як з технологічної, так і з економічної точки зору. VPN логічно відокремлена від загальних мереж, тобто трафік клієнта повністю захищений від несанкціонованого доступу ззовні. Можливості сучасних технології дозволяють мережі VPN бути гнучкою і багатофункціональною.
Завдання
Налаштувати VPN-з’єднання та порівняти швидкість передачі даних через VPN та без нього, якщо платформа для налаштування та розмір файлу визначається згідно заданого варіанту (див. таблиця 4.1).
Таблиця 4.1 – Варіанти роботи
| Варіант | Тип платформи | Розмір файлу, Мб | Варіант | Тип платформи | Розмір файлу, Мб |
| Windows NT | Windows XP | ||||
| Windows 98 | Windows 2000 | ||||
| Windows XP | Windows NT | ||||
| Windows 2000 | Windows 98 | ||||
| Windows NT | Windows XP | ||||
| Windows 98 | Windows 2000 | ||||
| Windows XP | Windows NT | ||||
| Windows 2000 | Windows 98 | ||||
| Windows NT | Windows XP | ||||
| Windows 98 | Windows 2000 |
