22. Основные понятия и виды виртуальных частных сетей. Протоколы виртуальных частных сетей. Протокол radius.

Соединение посредством коммутируемых линий долгое время оставалось единственным решением проблемы связи локальных сетей с удаленными пользователями. Однако данное решение является довольно дорогим и недостаточно безопасным. В последние годы стоимость использования каналов связи Интернета стала уменьшаться и скоро стала ниже, чем цена использования коммутируемых линий. Однако при установлении соединения через Интернет серьезной проблемой является обеспечение безопасности, так как сеть является открытой и злоумышленники могут перехватывать пакеты с конфиденциальной информацией. Решением этой проблемы стала технология виртуальных частных сетей. Виртуальные частные сети (Virtual Private Network) – это защищенное соединение двух узлов через открытые сети. При этом организуется виртуальный канал, обеспечивающий безопасную передачу информации, а узлы, связанные VPN, могут работать так, как будто соединены напрямую. Компьютер, инициирующий VPN-соединение, называется VPN-клиентом. Компьютер, с которым устанавливается соединение, называется VPN-сервером. VPN-магистраль – это последовательность каналов связи открытой сети, через которые проходят пакеты виртуальной частной сети. Существует два типа VPN-соединений:

– соединение с удаленными пользователями (Remote Access VPN Connection);

– соединение маршрутизаторов (Router-to-Router VPN Connection).

Соединение с удаленными пользователями осуществляется, если одиночный клиент подключается к локальной сети организации через VPN. Другие компьютеры, подключенные к VPN-клиенту, не могут получить доступ к ресурсам локальной сети. Соединение маршрутизаторов устанавливается между двумя локальными сетями, если узлы обоих сетей нуждаются в доступе к ресурсам друг друга. При этом один из маршрутизаторов играет роль VPN-сервера, а другой – VPN-клиента. VPN-соединение возможно не только через Интернет, но и в рамках локальной сети. Безопасность передачи IP-пакетов через Интернет в VPN реализуется с помощью туннелирования. Туннелирование – это процесс включения IP-пакетов в пакеты другого формата, позволяющий передавать зашифрованные данные через открытые сети. В Windows Server поддерживаются следующие протоколы туннелирования:

1. PPTP (Point-to-Point Tunneling Protocol) . Поддерживает все возможности, предоставляемые РРР, в частности аутентификацию по протоколам PAP, CHAP, MS-CHAP, MS-CHAP v2, EAP. Шифрование данных обеспечивается методом MPPE (Microsoft Point-to-Point Encryption), который применяет алгоритм RSA/RC4. Сжатие данных происходит по протоколу MPPC (Microsoft Point-to-Point Compression), описанному в RFC 2118. Недостатком протокола является относительно низкая скорость передачи данных.

2. L2TP Layer 2 Tunneling Protocol – протокол туннелирования, основанный на протоколе L2F, разработанном компанией Cisco, и протоколе PPTP. Описан в RFC 2661. Поддерживает те же протоколы аутентификации, что и PPP. Для шифрования данных используется протокол IPsec. Также поддерживает сжатие данных. Имеет более высокую скорость передачи данных, чем PPTP. Протокол PPTP остается единственным протоколом, который поддерживают старые версии Windows (Windows NT 4.0, Windows 98, Windows Me). Однако существует бесплатный VPN-клиент Microsoft L2TP/IPsec, который позволяет старым операционным системам Windows устанавливать соединение VPN по протоколу L2TP. Информация для аутентификации об именах пользователей и их паролях, так же как при удаленном доступе, извлекается либо из каталога Active Directory, либо из базы данных RADIUS-сервера. Протокол RADIUS (служба аутентификации пользователей удаленного доступа) предназначен для аутентификации, авторизации и учета удаленных пользователей и обеспечивает единый интерфейс для систем на разных платформах. Протокол описан в RFC 2865 и 2866. Протокол RADIUS работает по модели «клиент-сервер». RADIUS-сервер хранит данные о пользователях, RADIUS-клиенты обращаются к серверу за информацией. В Windows Server 2003 протокол RADIUS входит в состав двух служб: служба Интернет-аутентификации IAS (Internet Authentication Service) реализует RADIUS-сервер, а при помощи службы маршрутизации и удаленного доступа RRAS можно настроить RADIUS-клиент. В этой схеме RADIUS-сервер установлен на контроллер домена и интегрирован со службой каталога Active Directory.