Rambler's Top100 Service

РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

9 Dec (00:01)
Microsoft's Matrix
Транскрипт

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1516
Экспертов: 643

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

15 Dec (00:04)
Система Online-control.net - три года успешной работы!
Пресс-релиз

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"

29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

27 Mar (00:10)
Опечатка в публикации ITUnion

Архив...
СТАТЬИ И ОБЗОРЫ
 

Погода в Интернете
или статья о метеорологических сайтах погоде

Секреты установки системы Windows XP

Печать на принтере HP из DOS

Режим install-from-media контроллера домена Windows Server 2003

Как работает и что дает теневое копирование

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: KEYWORDER – программа, которая анализирует страницы вашего сайта, и для каждой из страниц подбирает все необходимое для успешной индексации в поисковых системах

NEWS.ITUNION.RU НазадНаверхВниз

Клиент Microsoft L2TP/IPSec VPN Client


Обычно, все, что имеет хоть какое-то значение в мире Microsoft, сопровождается широкой рекламной компанией. Однако о клиенте виртуальных частных сетей по протоколам L2TP/IPSec (Microsoft L2TP/IPSec VPN Client) практически нет никаких публикаций, хотя это программное обеспечение вполне достойно критерия "необходимо иметь обязательно" (по крайней мере, сетевым администраторам нужно знать о его существовании и иметь дистрибутив этого клиента).

Начнем с того, что клиент Microsoft L2TP/IPSec устраняет в виртуальных частных сетях VPN (virtual private network) проблемы, известные со времени Windows 2000. Не секрет, что реализация сетей VPN предполагает наличие клиентского ПО на рабочих станциях пользователей. Такое клиентское ПО входит в состав Windows 2000 Pro и Windows XP, но отсутствует на компьютерах Windows 9x или Windows NT 4.0 Workstation, которые тоже должны участвовать в работе корпоративной сети VPN.

Проблема поддержки в унаследованных системах разрешена за счет выпуска новой версии клиента Microsoft L2TP/IPSec, способной работать в среде Win98, Win98SE, WinME и Windows NT 4.0 Workstation при полноценной поддержке L2TP/IPSec для подключения к серверам Windows 2000 или иным серверам сети VPN. Единственным исключением из общего правила станет отсутствие поддержки Windows 95, но об этих системах забыла уже и сама Microsoft, поэтому нужно забыть и пользователям (дело в том, что, по сути дела, техническая поддержка Windows 95 уже прекращена).

Требования клиента Microsoft L2TP/IPSec к программному обеспечению вполне разумны:

* Win98/SE, IE 5.01 и DUN 1.4

* WinME, установленный компонент VPN и IE 5.5

* Windows NT 4.0, установленный компонент PPTP, пакет обновления SP6 и IE 5.01

Заметим, что пользователям Windows 98 потребуется обновление до версии DUN 1.4, хотя многие системные администраторы ограничиваются обновлением до версии DUN 1.3.

Создать виртуальную частную сеть можно не только по протоколу L2TP/IPSec поверх PPTP, но и просто на основе протокола PPTP. Вполне возможно, что в сети уже действует сервер VPN, клиенты которого пользуются протоколом PPTP. Вроде бы все работает успешно, если не считать преимущества L2TP/IPSec над PPTP в области безопасности и стабильности. Кроме того, можно отметить следующие достоинства L2TP/IPSec:

* Использование общего источника аутентификации (так называемый центр CA - авторизатор сертификации).

* Обеспечение целостности данных

* Два уровня аутентификации: по сертификационным ключам и аутентификация PPP

* Обеспечение конфиденциальности

В тандеме протоколов 2TP/IPSec протокол IPSec служит транспортом для формирования туннеля в общедоступной (открытой) сети и обеспечивает взаимодействие между клиентом и сервером L2TP/IPSec в начале аутентификации. Это не позволит атакующему "вклиниться" в середине защищенного сеанса подключения и обеспечивает целостность пересылаемых данных (т.е. не позволяет подменить пакеты во время пересылки). Любой измененный при пересылке по туннелю пакет просто отбрасывается сервером VPN, использующим протокол L2TP/IPSec. Конфиденциальность обеспечивается за счет применения алгоритмов шифрования DES или DES3, что позволяет скрыть перемещаемые по туннелю данные. Хотя клиенты VPN из состава Windows 2000 или Windows XP способны согласовать режим шифрования по алгоритму DES3, клиент Microsoft L2TP/IPSec может использовать только DES.

Еще одним важным отличием соединений PPTP и L2TP/IPSec является то, что протокол PPTP предписывает только аутентификацию пользователей, в то время как L2TP/IPSec требует аутентификации как компьютера, так и пользователя. По сути, в PPTP используется устаревший протокол аутентификации, подобный MS-CHAP, MS-CHAPv2 или EAP/TLS в PPP. Главный недостаток в том, что механизм хеширования защищает реквизиты безопасности только во время проведения аутентификации по PPP, но созданный впоследствии туннель PPTP уже не защищается хешированием. Остается потенциальная возможность "воспроизведения" последовательности команд для создания скомпрометированного подключения к серверу.

В L2TP/IPSec сначала устанавливается шифрованный туннель для согласования реквизитов безопасности IPSec. При этом клиентский компьютер VPN уже должен иметь открытый согласованный ключ или сертификат для предоставления серверу VPN во время создания защищенного туннеля. Только после формирования такого туннеля начинается процесс аутентификации пользователя (по протоколу PPP). Туннель уже защищен перед аутентификацией, поэтому пользователь обязан использовать любой из разрешенных методов аутентификации PPP (включая пересылку пароля открытым текстом) и реквизиты безопасности, защищенные по протоколу IPSec.

В любой сети VPN возникает проблема трансляции сетевых адресов (точнее пересылки пакетов IPSec через устройства NAT). Для этого организацией IETF предложена схема NAT-T, которая и реализована в Microsoft L2TP/IPSec. Поэтому клиент может обращаться сквозь устройства NAT для подключения к серверам L2TP/IPSec, находящимся в Интернете. Это позволяет формировать туннели из корпоративной сети через Интернет и сквозь устройства NAT или брандмауэры. Заметим, что кроме стандартного метода NAT-T существуют лицензированные решения от сторонних компаний (например, Cisco или Nortel). Однако они, скорее всего, не будут работать совместно с клиентом Microsoft L2TP/IPSec. Кроме того, схема NAT-T не поддерживается некоторыми службами Windows, например Windows 2000 RRAS (хотя такая поддержка обещана в новом сервере Win2003 RRAS). Еще одно ограничение связано с компьютером Windows NT 4.0 RRAS, используемым в качестве шлюза L2TP/IPSec. Для создания соединения между двумя шлюзами Windows RRAS или сторонними серверами VPN, клиенту Microsoft L2TP/IPSec потребуется ОС Windows 2000 или Windows 2003.

Мы уже отметили, что клиенту Microsoft L2TP/IPSec необходимо иметь согласованный открытый ключ или сертификат для создания подключения IPSec к серверу VPN. Естественно, лучше использовать сертификат, который трудно взломать методом подбора (и уже совсем невозможно взломать службу CA). Однако для использования сертификатов придется подготовить сервер сертификации и организовать инфраструктуру открытых ключей, поэтому иногда проще использовать согласованный открытый ключ, но не следует забывать о его недостатках:

* Один ключ используется всеми клиентами VPN и данным сервером VPN

* Ключ может быть взломан подбором или атакой по словарю

* Не существует методов отзыва открытого ключа, даже если он был скомпрометирован

* Не существует никаких централизованных служб для управления согласованными открытыми ключами

С сертификатами тоже не все гладко. Клиент Microsoft L2TP/IPSec использует "сертификат пользователя" для аутентификации компьютера, но клиент Windows 2000/XP VPN использует для аутентификации компьютера "сертификат компьютера". Именно поэтому в клиенте Microsoft L2TP/IPSec необходим пользовательский сертификат. Серверы тоже должны быть сертифицированы. Можно автоматизировать процедуру выдачи сертификатов (autoenrollment) за счет использования серверов сертификации на основе Windows 2000 или Win2003, но можно выдать сертификаты вручную через консоль MMC или соответствующую Web-службу.

Однако перейдем к самому клиенту Microsoft L2TP/IPSec. Адрес загрузки:

www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp .

Получив дистрибутив, следует запустить пакет установки, а затем выполнить следующие операции:

1) Щелкните Start (Пуск), Programs (Программы), затем Microsoft IPSec VPN. Выберите Microsoft IPSec VPN Configuration.

2) В диалоговом окне Microsoft IPSec VPN Configuration Utility настройте конфигурационные параметры L2TP/IPSec.

3) Щелкните OK.

(снимки экранов можно посмотреть по адресу www.tacteam.net/isaserverorg/ipsecconfig.htm )

Согласованные открытые ключи вводятся в текстовом виде и поддерживают операции Копировать/Вставить. В Win2003 (судя по бета-версиям) можно использовать Windows 2000 Connection Manager Administration Kit (CMAK), хотя планируется выпустить Win2003 CMAK. Заметим, что Windows 2000 CMAK не поддерживает создание подключений VPN к клиентам Microsoft L2TP/IPSec.

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:




  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100