Описание компонентов, необходимых для создания VPN-сервера

Опубликовано: 25 Марта, 2023


VPN-клиент


Популярное заблуждение о VPN-клиентах состоит в том, что они представляют собой рабочие станции, которые подключаются к корпоративной сети через VPN. Конечно, это тип VPN-клиента, но это не единственный тип VPN-клиента. VPN-клиентом может быть компьютер или маршрутизатор. Тип VPN-клиента, который вы должны использовать для своей сети, действительно зависит от индивидуальных потребностей вашей компании.


Например, если у вас есть филиал, в котором нет прямого подключения к корпоративному офису, то использование маршрутизатора в качестве VPN-клиента, вероятно, будет для вас хорошим вариантом. Таким образом, вы можете связать весь филиал с корпоративным офисом через одно соединение. Нет необходимости для каждого ПК устанавливать соединение индивидуально.


С другой стороны, если у вас есть несколько сотрудников, которые часто путешествуют и нуждаются в доступе к корпоративной сети, находясь в пути, вам, вероятно, будет полезно настроить ноутбуки сотрудников в качестве клиентов VPN.


Технически любая операционная система может работать как VPN-клиент, если она поддерживает протоколы PPTP, L2TP или IPSec. В кругах Microsoft это означает, что вы можете использовать Windows NT 4.0, 9X, ME, 2000 и XP. Хотя технически все эти операционные системы будут работать как клиенты, я рекомендую придерживаться Windows 2000 или Windows XP из-за их способности поддерживать L2TP и IPSec.


VPN-сервер


VPN-сервер действует как точка подключения для VPN-клиента. Технически вы можете использовать Windows NT Server 4.0, Windows 2000 Server или Windows Server 2003 в качестве VPN-сервера. Однако в целях безопасности для целей этой статьи я буду предполагать, что вы используете Windows Server 2003.


Одно из самых больших заблуждений о VPN-серверах заключается в том, что они могут выполнять всю работу сами по себе. Я уже сбился со счета, сколько раз мои друзья говорили мне, что собираются инвестировать в VPN-сервер, не понимая, что VPN-сервер является лишь одним из необходимых компонентов.


Сам VPN-сервер довольно прост. Это не что иное, как защищенный сервер Windows 2003, на котором запущены службы маршрутизации и удаленного доступа (RRAS). После аутентификации входящего VPN-подключения VPN-сервер просто действует как маршрутизатор, предоставляющий VPN-клиенту доступ к частной сети.


ИАС-сервер


Одним из дополнительных требований к VPN-серверу является наличие RADIUS-сервера. Если вы не знакомы с RADIUS, RADIUS — это аббревиатура от Remote Authentication Dial In User Service. RADIUS — это механизм, который поставщики интернет-услуг обычно используют для аутентификации подписчиков, когда они пытаются установить подключение к Интернету.


Причина, по которой вам нужен сервер RADIUS, заключается в том, что вам нужен какой-то механизм для аутентификации клиентов, которые входят в вашу сеть через VPN-соединение. Ваши контроллеры домена на самом деле не подходят для этой задачи, и даже если бы они были, это плохая идея выставлять контроллер домена внешнему миру.


Итак, теперь вопрос в том, где взять сервер RADIUS? Что ж, у Microsoft есть собственная версия RADIUS, которая называется Internet Authentication Service или IAS. Служба IAS входит в состав Windows Server 2003. Это хорошая новость. Плохая новость заключается в том, что на самом деле нецелесообразно (из соображений безопасности) запускать IAS на том же компьютере, что и RRAS (компонент VPN-сервера). Даже если бы это было практично, я, честно говоря, даже не уверен, что это было бы возможно вне конфигурации виртуального сервера.


Брандмауэр


Другой компонент, необходимый для вашей VPN, — это хороший брандмауэр. Да, ваш VPN-сервер принимает подключения из внешнего мира, но это не означает, что внешний мир должен иметь полный доступ к вашему VPN-серверу. Вы должны использовать брандмауэр, чтобы заблокировать любые неиспользуемые порты.


Основным требованием для установления VPN-подключения является то, что IP-адрес VPN-сервера должен быть доступен через Интернет, а VPN-трафик должен иметь возможность проходить через брандмауэр для достижения VPN-сервера. Однако есть еще один дополнительный компонент, который вы можете использовать, чтобы сделать ваш VPN-сервер намного более безопасным.


Если вы серьезно относитесь к безопасности (и у вас есть бюджет), вы можете разместить ISA Server между брандмауэром по периметру и сервером VPN. Идея состоит в том, что вы можете настроить брандмауэр так, чтобы весь трафик, связанный с VPN, направлялся на ISA Server, а не на сервер VPN. Затем ISA Server действует как VPN-прокси. И VPN-клиент, и VPN-сервер взаимодействуют только с ISA-сервером. Они никогда не общаются друг с другом напрямую. Это означает, что ISA-сервер защищает VPN-сервер от прямого доступа клиентов, тем самым предоставляя вашему VPN-серверу дополнительный уровень защиты.


Выбор протокола туннелирования


Когда клиенты VPN получают доступ к серверу VPN, они делают это через виртуальный туннель. Туннель — это не что иное, как безопасный проход через незащищенную среду (обычно Интернет). Однако туннелирование не происходит по волшебству. Это требует использования протокола туннелирования. Ранее я упоминал, что старые клиенты Windows могут подключаться к VPN через PPTP (протокол туннелирования «точка-точка»), но я рекомендовал использовать более новые клиенты, такие как Windows 2000 и Windows XP, поскольку они поддерживают L2TP (протокол туннелирования уровня 2). Дело в том, что любой из этих протоколов будет работать, при условии, что клиенты их поддерживают. Однако у каждого протокола есть свои преимущества и недостатки. Выбор протокола туннелирования, подходящего для вашей организации, является одним из самых важных решений, которое вы примете при планировании VPN.


Самым большим преимуществом L2TP перед PPTP является то, что он использует IPSec. IPSec шифрует данные, но также обеспечивает аутентификацию данных. Это означает, что IPSec доказывает, что данные были отправлены лицом, от которого они якобы принадлежат, и что они не были изменены при передаче. Кроме того, IPSec предназначен для предотвращения атак воспроизведения. Атаки с повторным воспроизведением относятся к хакеру, который перехватывает пакеты аутентификации и повторно передает их позже, чтобы получить доступ к системе.


L2TP также обеспечивает гораздо более надежную аутентификацию, чем PPTP. И пользователь, и компьютер аутентифицируются, а пакеты PPP, которыми обмениваются во время аутентификации на уровне пользователя, всегда шифруются.


Хотя может показаться, что L2TP является предпочтительным протоколом туннелирования, у PPTP есть несколько преимуществ по сравнению с ним. Я уже говорил об одном из этих преимуществ; совместимость. PPTP работает с большим количеством операционных систем Windows, чем L2TP. Если у вас есть много потенциальных VPN-клиентов, работающих под управлением более старых версий Windows, у вас может не быть другого выбора, кроме как использовать PPTP.


Другое преимущество PPTP по сравнению с L2TP заключается в том, что L2TP основан на IPSec. В разделе о преимуществах L2TP я говорил о IPSec так, как будто это было хорошо, и так оно и есть. Однако у использования IPSec есть один существенный недостаток. IPSec требует, чтобы в вашей сети был центр сертификации.


Хорошая новость заключается в том, что Windows Server 2003 поставляется с собственным центром сертификации. Центр сертификации даже относительно легко настроить. Плохая новость заключается в том, что с точки зрения безопасности центр сертификации — это не то, с чем вы хотите играть. Единственный способ сохранить целостность центра сертификации — запустить его на выделенном сервере с максимальной защитой. Это означает, что вам придется выложить деньги за дополнительный сервер, дополнительную лицензию Windows Server, и у вас будет дополнительное административное бремя, связанное с наличием еще одного сервера в вашей сети. Однако, на мой взгляд, дополнительные затраты и административная нагрузка определенно того стоят. L2TP обеспечивает гораздо лучшую безопасность, чем PPTP. Кроме того, вы можете использовать свой центр сертификации и для других целей, таких как шифрование локального трафика через IPSec.


Протокол аутентификации


Пока я говорю о протоколах, я хочу воспользоваться моментом и поговорить о протоколах аутентификации. В процессе настройки VPN вам будет предложено выбрать протокол аутентификации. Большинство людей выбирают вариант MS-CHAP v2. MS-CHAP относительно безопасен и работает с VPN-клиентами, работающими практически со всеми операционными системами Windows, выпущенными за последние десять лет. Лучше всего то, что MS-CHAP легко настроить.


Если вы планируете использовать L2TP и хотите повысить безопасность, вам следует использовать EAP-TLS в качестве протокола аутентификации. EAP-TLS поддерживается, только если клиенты VPN работают под управлением Windows 2003 или Windows XP. Кроме того, VPN-сервер должен быть настроен так, чтобы центр сертификации выдавал пользовательские сертификаты. EAP-TLS может быть немного сложно настроить, и он работает лучше всего, если конечным пользователям выданы смарт-карты, но он обеспечивает наилучшую безопасность. Проще говоря, MS-CHAP основан на пароле, а EAP-TLS — на сертификате.


Вывод


Прежде чем вы сможете создать VPN, необходимо многое спланировать. В этой статье я рассказал о некоторых аспектах планирования, которые необходимо учитывать при разработке VPN, и о некоторых решениях, которые вам придется принять.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023