- •Сети vpn и их характеристики Удаленный доступ и vpn
- •Удаленный доступ
- •Что такое удаленный доступ
- •Соединение наборного доступа
- •Безопасность
- •Конфигурирование компьютера для приема удаленных вызовов
- •Настройка сервера
- •Соединения перемещаемого компьютера
- •Применение мастера нового подключения (New Connection Wizard) на удаленном клиенте
- •Расширенные настройки
- •Что такое виртуальные частные сети
- •Протокол pptp
- •Протокол l2tp (Layer Two Tunneling Protocol)
- •Безопасность
- •Создание vpn-соединения
- •Прием vpn-соединения
- •Конфигурирование vpn-сервера
- •Конфигурация vpn-соединения
- •Решение проблем, связанных с vpn-соединениями
- •Несколько слов о сервере
- •Проблемы клиента
- •Другие места, которые можно проверить
Безопасность
Вы проделали большую работу для создания надежной политики безопасности своей сети. Настройка и выдача разрешений пользователям, наряду с политикой применения паролей, "одевают" на вашу сеть прочный "бронежилет". Соединения удаленного доступа создают, однако, новую лазейку для злоумышленников. Точки входа dial-in часто называют черным ходом в сеть, и они представляют собой постоянную проблему для персонала по безопасности. В системе Windows XP Professional для dial-in-соединений и каналов VPN можно настроить усиленную аутентификацию.
Интерактивно. Процедура интерактивного входа в систему гарантирует идентичность пользователя и для учетной записи домена, и для локального компьютера. В зависимости от того места, с которого пользователь осуществляет вход в систему, будут присутствовать различные уровни доступа.
Домен. Когда пользователь входит в сеть, используя удостоверения личности, которые хранятся в Active Directory, то это называется учетной записью домена. Регистрация с доменной учетной записью позволяет пользователю иметь доступ (в рамках разрешений пользователя) к ресурсам всего данного домена, а также домена, с которым установлены доверительные отношения.
Локальная учетная запись. Когда пользователь регистрируется на локальном компьютере, то он имеет доступ (опять же, в рамках своих пользовательских разрешений) только к ресурсам данного компьютера. Вход в систему с локальной учетной записью не позволяет пользователю получать доступ к LAN и другим доверенным сетям.
Контроль сетевого доступа. Контроль сетевого доступа применяется для подтверждения идентичности пользователя, когда он пытается получить доступ к сетевому сервису или ресурсу. Этот вид контроля работает преимущественно тогда, когда доступ осуществляется с вышеупомянутыми локальными учетными записями. При любой попытке установить связь с сетевым ресурсом пользователь будет получать напоминание о необходимом удостоверении личности.
Данными типами разрешений и учетных записей можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС. Более подробную информацию по этому вопросу можно найти на уроке 9.
Конфигурирование компьютера для приема удаленных вызовов
Задолго до появления интернета, но уже немного позже освоения пользования огнем, изобретения колеса и туалета в доме, люди устанавливали связь с электронными досками объявлений с помощью своих модемов, как и в наши дни, дозваниваясь до ISP-провайдеров. Операторы электронных досок объявлений конфигурировали свои компьютеры для ответа на телефонные звонки и соединения пользователей посредством телефонной линии с содержимым электронной доски объявления.
Сейчас такая практика используется все реже. Если вы хотите что-то разместить в сети, то просто создаете веб-страницу и отправляете ее на сервер своего ISP. Однако, все еще можно (а, по ряду причин, даже необходимо) настроить конфигурацию своего компьютера таким образом, чтобы он мог общаться с другими компьютерами через модем. Например, компания находит более удобным связываться с работниками, находящимися в разъездах, с помощью dial-up-соединения, а не через интернет. Возможно, вы работаете в маленькой компании, которой не нужна служба удаленного доступа через интернет, а подходит простое dial-in-соединение.
Dial-in-соединение позволяет пользоваться ресурсами компьютера, до которого вы дозваниваетесь. Например, находясь в командировке, вы используете свой переносной компьютер для связи со своим стационарным компьютером и получения доступа к своему жесткому диску, принтеру и локальной сети (если ваш компьютер с ней соединен).
Аналогично настройке удаленного рабочего стола, о которой шла речь на уроке 13, удаленный доступ состоит из двух компонентов.
Удаленный сервер. Когда вы дозваниваетесь до компьютера, то этот компьютер считается сервером удаленного доступа. Им может быть компьютер любого типа, но чаще всего - это стационарный компьютер, соединенный с телефонной линией (или линиями). Ресурсами этого компьютера и хотят воспользоваться dial-in-пользователи - будь то файлы, принтеры или сетевое соединение.
Удаленный клиент. Это компьютер, который устанавливает связь с удаленным сервером с помощью dial-in-соединения (чаще всего это переносной компьютер). Например, если вы забыли что-то в своем компьютере в офисе и имеете возможность удаленного доступа, то можете связаться с ним из дома со своего домашнего компьютера и получить нужные файлы. Терминология становится более рафинированной, когда удаленный клиент дозванивается до компьютера, соединенного с локальной сетью. В такой конфигурации удаленный клиент называется удаленным узлом (remote node). Конфигурация позволяет удаленному клиенту действовать, как если бы он находился в том же здании, что и остальные компьютеры локальной сети. Это означает, что вы не только получаете доступ в локальную сеть, но и все содержимое вашего удаленного клиента становится видимым в сети.
Примечание. Несмотря на то что в качестве удаленного узла вы технически являетесь частью локальной сети, не забывайте, что вы соединяетесь посредством телефонной линии и скорость этого соединения далека от скоростей Ethernet- или WiFi-соединений.
Разумеется, для образования dial-up-соединений компьютерам нужны модемы и телефонные линии.