Джон Росс - Wi-Fi. Беспроводная сеть
В традиционной VPN удаленный пользователь может регистрироваться в удаленной сети и получать те же сетевые службы, которые доступны для локальных клиентов. VPN часто используются для расширения корпоративных сетей в филиалы и подключения пользователей к сети из дома или других мест, на пример офиса клиента или заказчика.
Компьютер клиента, подключенный через VPN-сервер, выглядит для остальной сети (с VPN защитой) так же, как и устройство клиента в этой же комнате или здании. Единственное различие заключается в том, что данные из VPN проходят через VPN-драйвер и коллективную сеть, а не перемещаются в локальную сеть непосредственно из сетевого адаптера. На рис. 15.1 показано типичное VPN-подключение к удаленной сети.
Рис. 15.1
Все преимущества защиты обычной проводной VPN верны и для VPN с малым радиусом действия, которая реализует туннели через беспроводное соединение, и для VPN с дальним радиусом действия, которая начинается с беспроводной сети и переправляет данные на удаленный сервер. Существуют два различных способа использования VPN: локальная VPN может расширяться только через беспроводную часть сети между устройствами клиентов и точкой доступа, а расширенная сеть может переносить зашифрованные с помощью VPN данные за пределы точек доступа к VPN-серверу через коллективную сеть, такую как интернет или коммутируемое телефонное подключение.
Расширенная сеть представляет собой традиционную VPN (проходящую через коллективную сеть, например Интернет), которая исходит от беспроводного сетевого клиента. Эта же VPN может также поддерживать подключения, не содержащие беспроводного сегмента, вместе с логинами от коллективных беспроводных служб в аэропортах или других общественных местах. Это обычный способ использования VPN.
Локальные VPN с малым радиусом действия более интересны для лиц, работающих с беспроводной сетью, так как они добавляют другой уровень защиты для беспроводных соединений. Поскольку данные, перемещающиеся между беспроводными клиентами и сетевыми точками доступа, являются шифрованными (с использованием алгоригма, который более защищен, чем WEP-шифрование), они непонятны для любого постороннего, который может отслеживать сигнал.
К тому же, поскольку VPN-сервер на точке доступа не будет принимать данные от беспроводных клиентов, которые не используют правильные VPN-драйверы и пароли, злоумышленник не может войти в сеть, представившись клиентом для для точки доступа.
Целью беспроводной VPN является защита беспроводного соединения между клиентами и точкой доступа и блокирование неавтори зова иных пользователей. Поэтому изолированные и кодированные данные могут перемещаться только в пределах одной комнаты, а не на сотни или тысячи километров. Разумеется, точка доступа может также отправить зашифрованные с помощью VPN-данные через Интернет к компьютеру в удаленном месте.
На рис. 15.2 показано беспроводное подключение к VPN. VPN-сервер располагается между беспроводной точкой доступа и локальной сетью, поэтому все пакеты, перемещающиеся по беспроводной части сети, будут шифрованными.
Для ясности диаграмма показывает VPN-сервер как отдельный компонент, но на практике наиболее практичным способом добавления VPN-защиты в беспроводную сеть является использование маршрутизатора или шлюза, включающего поддержку VPN. Маршрутизаторы с функцией VPN доступны от нескольких поставщиков, включая Alvarion, Colubris и Nexland.
Рис. 15.2
Методы VPNVPN пересылает данные через одну или более промежуточную сеть к точке назначения в другой сети. Туннельный клиент VPN инкапсулирует имеющиеся пакеты данных или фреймы путем добавления нового заголовка с трассировочной информацией, которая инструктирует их о способе достижения конечной точки VPN. Путь прохождения через промежуточные сети называется туннелем. В конечной точке туннеля VPN-сервер удаляет туннельный заголовок и отправляет данные кточке назначения, определяемой полями заголовков. Точная форма туннеля не оказывает никакого влияния на данные, так как данные воспринимают туннель как соединение точка-точка.
Туннельные заголовки могут принимать несколько форм. Методами, наиболее широко используемыми в VPN, являются протокол туннельного соединения точка-точка — PoinHo-Point Tunneling Protocol (РРТР), протокол туннельного соединения второго уровня — Layer Two Tunneling Protocol (L2TP) и режим IP Security (IPSec). РРТР и L2TP могут перемещать данные через сети IP, IPX и NetBEUI; IPSec ограничен IР-сетями. Как клиент, так и сервер должны использовать один и тот же протокол.
В РРТР и L2TP клиент и сервер должны конфигурировать туннель для каждой передачи перед началом обмена данными. Параметры конфигурирования включают путь через промежуточную сеть и спецификации шифрования и сжатия. После завершения передачи клиент и сервер разрывают подключение и закрывают туннель.
В случае соединения по сети IPSec клиент и сервер до начала обмена данными должны реализовать туннель через промежуточные сети в отдельной транзакции.
Каждый из этих протоколов обладает своими преимуществами и недостатками, но все они достаточно хороши для создания защищенной связи между беспроводным сетевым клиентом и точкой доступа. Отличия между всеми тремя носят скорее технический, чем практический характер. Вы можете найти прекрасное описание работы всех трех протоколов в официальном документе Microsoft, озаглавленном Virtual Private Networking in Windows 2000: An Overview (Виртуальная частная сеть в Windows 2000: Обзор), который доступен в online-режиме на http://www.microsoft.com/windows2000/docs/VPNoverview.doc.
VPN-серверVPN-сервер может быть частью Unix- или Windows-сервера либо встроен в автономный сетевой маршрутизатор или шлюз. Если ваша сеть уже использует отдельный компьютер в качестве выделенного сервера, его же можно принять и за VPN-сервер.
Десятки производителей VPN-оборудования предлагают маршрутизаторы, шлюзы и другие продукты, поддерживающие один или более VP N-протоколов.
Каждый из этих продуктов имеет свой набор функций, поэтому важно протестировать конкретную комбинацию клиента и сервера, которые вы собираетесь использовать в вашей сети, перед тем, как остановить на них выбор. Консорциум виртуальных частных сетей — Virtual Private Network Consortium (VPNC) переходит к набору тестов на взаимодействие и стандартам сертификации (во многом аналогичным Wi-Fi-стандартам для оборудования 802.11b). Web-сайт VPNC, расположенный на http://www.vpnc.org. перечисляет продукты, прошедшие тесты на взаимодействие, а также предоставляет ссылки на источники информации о многих VPN-продуктах.
Конфигурирование Windows Server для буспроводной VPN
Если вы склоняетесь к использованию Windows Server, РРТР станет, возможно, самым простым для применения протоколом, так как он был создан как спецификация Microsoft. Он обеспечивает всестороннюю поддержку РРТР во многих версиях Windows, поэтому относительно просто конфигурирует РРТР-клиентов и серверы без необходимости применения посреднического оборудования. Windows 2000 и Windows ХР также поддерживают L2TP.
Компьютер, используемый как РРТР сервер, должен работать под одной из серверных операционных систем Microsoft: Windows NT Server 4.0, Windows 2000 Server или Windows XP Server. Для сервера также необходимы две сетевые интерфейсные карты: одна подключается к проводной сети или интернет-шлюзу, а другая подключается к беспроводной сети. Интерфейсная карта, подключенная к беспроводному порту, обычно присоединяется непосредственно к Ethernet-порту беспроводной точки доступа.
Точный процесс установки РРТР на Windows Server каждой версии Windows слегка отличается, но общие этапы остаются одинаковыми. Для получения необходимой информации по конфигурированию конкретной операционной системы обратитесь за помощью к оперативным окнам Help (Помощь), Microsoft's Resource Kit (Пакет ресурсов Microsoft) и другой online-документации для вашей операционной системы. В последующих разделах в общих чертах приведены этапы конфигурирования.
Конфигурирование подключения к проводной сети
Соединение с LAN или другой сетью является выделенным подключением через сетевой адаптер. Профиль сетевого подключения для данного соединения должен включать IP-адрес и маску подсети, назначенные этому подключению, а также принятый по умолчанию адрес, присвоенный сетевому шлюзу.
Конфигурирование VPN-подключения
VPN-подключение обычно представляет собой Ethernet-соединение с одной или более точками доступа. Профиль подключения на сервере для VPN-соединения должен включать IP-адрес и маску подсети, назначенные этому порту, а также адреса DNS- и WINS-серверов, используемые данной сетью.
Конфигурирование сервера удаленного доступа в качестве маршрутизатора