Структура заголовка l2tp

Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа.

1) Инкапсуляция L2TP

Кадр PPP (IP-пакет или IPX-пакет) заключается в оболочку с заголовком L2TP и заголовком UDP.

2) Инкапсуляция IPSec

Затем полученное L2TP-сообщение заключается в еще одну оболочку с заголовком и трейлером (окончанием): заголовком IPSec ESP (Encapsulating Security Payload), который помогает расшифровать сообщение на приемной стороне, и трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности (электронно-цифровая подпись). Далее к пакету добавляется внешний IP-заголовок, содержащий внешний адрес VPN-сервера.

Компьютер-получатель принимает данные и убирает внешний заголовок IP. При помощи трейлера проводится проверка подлинности и целостности IP пакета, а ESP-заголовок IPSec помогает расшифровать пакет. Далее все дополнительные заголовки удаляются, и на компьютер-получатель поступает исходный IP-пакет.

ESP-заголовок IPSec содержит следующие параметры:

- SPI (индекс параметра безопасности) указывает на контекст безопасности.

Контекст безопасности (SA, Security Association) – это набор параметров IPsec соединения (используемый режим, протокол, алгоритмы шифрования, ключи). Для каждого соединения создается свой контекст безопасности, идентифицируемый уникальным номером – SPI. Контексты безопасности хранятся в специальной базе данных SAD (Security Association Database, БД ассоциаций безопасности).

- Последовательный номер пакета позволяет защититься от повторов сообщения

Заключение

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. С помощью шифрования виртуальные частные подключения на основе PPTP обеспечивают конфиденциальность данных — перехваченные пакеты невозможно интерпретировать, не имея ключа шифрования. Однако виртуальные частные подключения на основе PPTP не обеспечивают ни целостность данных (доказательство того, что данные не были изменены при передаче), ни проверку подлинности источника данных (доказательство того, что данные были отправлены авторизованным пользователем). С помощью IPSec VPN-подключения L2TP/IPSec обеспечивают конфиденциальность и целостность данных, а также проверку подлинности их источника.

Политика брандмауэра, применяемая к соединениям VPN-клиентов

Как правило, не следует предоставлять неограниченный доступ к корпоративным ресурсам пользователям, если они соединяются с помощью VPN-соединения удаленного доступа. Такой подход объясняется тем, что эти пользователи могут подключаться с компьютеров, находящихся вне сферы вашего контроля и не удовлетворяющих требованиям корпоративной политики безопасности, либо они устанавливают соединения с компьютеров, находящихся в ненадежных сетях, таких, как сети отелей, и нет способа проверить, не представляют ли они угрозу для вашей сети.

В VPN-политике следует особо оговорить, что только пользователям с широкими полномочиями (highly-trusted), подключающимся с известных высоконадежных машин, размещенных в известных заслуживающих доверия сетях, разрешен свободный доступ к корпоративной сети по VPN-каналу удаленного доступа. К числу таких пользователей с гарантированным полным доступом относятся администраторы сети и брандмауэра и, возможно, некоторые руководители высокого ранга. Всех остальных пользователей, подключающихся по VPN-каналу, следует ограничить, предоставив им доступ только к подмножеству сетевых ресурсов, необходимых для выполнения их работы.