Организация защищенного удаленного доступа

Удаленный доступ к компьютерным ресурсам стал в настоя­щее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешне­го окружения через открытые сети. Поэтому средства построе­ния защищенной корпоративной сети должны обеспечить безо­пасность сетевого взаимодействия при подключении к сети уда­ленных компьютеров.

Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи ин­формации, образованную цепочкой из телефонной и глобальной компьютерной сетей. Доступ через глобальную сеть Internet является достаточно эффективным способом, причем для подклю­чения удаленного пользователя к Internet может использоваться канал телефонной связи. Основные достоинства удаленного дос­тупа к корпоративной сети через Internet:

• обеспечение масштабируемой поддержки удаленного дос­тупа, позволяющей мобильным пользователям связываться с Internet-провайдером и затем через Internet входить в свою корпоративную сеть;

• сокращение расходов на информационный обмен через от­крытую внешнюю среду (удаленные пользователи, подклю­чившись к Internet, связываются с сетью своей организа­ции с минимальными затратами);

• управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Internet.

В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа, который служит:

• для установки соединения с удаленным компьютером;

• аутентификации удаленного пользователя;

• управления удаленным соединением;

• посредничества при обмене данными между удаленным компьютером и корпоративной сетью.

Среди протоколов удаленного доступа к локальной сети наи­большее распространение получил протокол «точка—точка» РРР (Point-to-Point Protocol), который является открытым стандартом Internet. Протокол РРР предназначен для установления удален­ного соединения и обмена информацией по установленному ка­налу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной свя­зи нескольких протоколов сетевого уровня.

Протокол РРР поддерживает следующие важные функции:

• аутентификации удаленного пользователя и сервера уда­ленного доступа;

• компрессии и шифрования передаваемых данных;

• обнаружения и коррекции ошибок;

• конфигурирования и проверки качества канала связи;

• динамического присвоения адресов IP и управления этими адресами.

На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функ­ционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При не­обходимости передачи через Internet защищенные РРР-кадры инкапсулируются в IP-пакеты сети Internet. Криптозащита тра­фика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.