1.13 Перспективы VPN
По мере своего развития VPN превратятся в системы взаимосвязанных сетей, которые будут соединять мобильных пользователей, торговых партнеров и поставщиков с критически важными корпоративными приложениями, работающими в протоколе IP. VPN станут фундаментом для новых коммерческих операций и услуг, которые будут стимулировать рынок и помогать модернизировать производство.
Вероятно, первым из основных компонентов завтрашних VPN будет сервер каталогов, содержащий профили конечных пользователей и данные о конфигурации сети. Это будет отдельная компьютерная система в корпоративной и частично в общедоступной сети, которой будет управлять провайдер VPN. При наличии сетевых каталогов, а также обеспечения безопасности информации и качества обслуживания конечные пользователи смогут практически мгновенно устанавливать соединения по VPN.
Вполне возможно, что будет использоваться протокол IpV6, работы над которым активно продолжаются. Данный протокол обладает всеми возможностями взаимодействия с VPN, каких только могут пожелать себе сетевые разработчики, включая управление полосой пропускания. Также можно будет определять принадлежность IpV6-пакетов к определенному потоку, например, высший приоритет будут получать пакеты мультимедийных данных для передачи в реальном времени.
Главные игроки сетевого рынка, такие, как Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet, уже активно готовятся к грядущему буму VPN. Нынешние вендоры программного обеспечения и оборудования предлагают наборы устройств для того, чтобы создать и эксплуатировать VPN.
Выгоду от развертывания VPN следующего поколения получат не только сетевые разработчики - не менее заинтересованы в них и операторы. Фирмы AT&T Level 3 Communications, MCI Worldcom и Sprint создают высокоскоростные IP-каналы в АТМ-сетях для передачи видео, голоса и данных. VPN в настоящее время оказывают едва ли не решающее влияние на разработку стратегии глобальных операторов, таких, как Unisource (AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BT/MCI) и Global One (Deutsche Telekom, France Telekom). Чем больше компаний будут предлагать VPN-услуги, тем заметнее будет расти их качество и падать цены, что, в свою очередь, повлияет на число клиентов.
Каждая революция в бизнесе начиналась с изобретения, которое резко увеличивало частную инициативу. Например, разделение перевозчиков и компаний, эксплуатирующих государственную железную дорогу, привело к резкому росту коммерческих перевозок. То же самое происходит при создании VPN поверх национальных и международных телекоммуникационных инфраструктур. Ближайшее время покажет, к каким изменениям это приведет.
1.14 Настройка сервера VPN под Windows 2000 Server
Проанализировав все варианты мы пришли к выводу что на сегодняшний день самый дешевый вариант настройки VPN сервера является операционная система Windows 2000 Server поэтому мы её выбрали. Для того чтобы начать настройку сервер VPN нужно запустить службу Маршрутизация и удаленный доступ. Для запуска службы Маршрутизация и удаленный доступ нам необходимо открыть оснастку Routing and Remote Access (RRAS) которая показана на рисунке, расположенном ниже:
По умолчанию в списке серверов должен появится локальный сервер сети. Если список изначально пуст, существует возможность добавить сервер для конфигурирования на нем VPN . Для этого нам надо щелкнуть правой кнопкой мыши на Server Status -» Add Server. В появившемся окне нужно указать сервер сети. Мы выбираем This computer (Этот компьютер) и нажать кнопку OK.
Теперь мы должны выбрать опцию "Configure and Enable Routing and Remote Access" (настроить и включить маршрутизацию и удаленный доступ).
Выбрав опцию "Configure and Enable Routing and Remote Access" (настроить и включить маршрутизацию и удаленный доступ), мы тем самым запустите мастер настройки RRAS.
Мастер предоставит нам наиболее простой путь для настройки нашего сервера в качестве любой из служб, перечисленных ниже и, в то же время, оставляет возможность ручной настройки сервера (последняя опция).
Служб:
Internet connection server
Remote access server
Virtual private network (VPN) server
Network router
Manually configured server
Мы выбираем Virtual private network (VPN) server (сервер VPN).
При выборе сервер VPN мастер запросит, какой протокол следует использовать для работы удаленных клиентов на этом сервере, мы выбираем TCP/IP.
Мастер попросит нас указать устройство, через которое мы подключены к Интернету. Через это устройство к нашей частной виртуальной сети VPN, будут подключатся пользователи, следует отметить, что у этого устройства должен быть постоянный IP адрес.
Указав устройство, через которое мы подключены к Интернету, мастер попросит нас указать диапазон IP адресов, из этого диапазона IP адресов, которого мы укажем, будут раздаваться IP адреса входящим VPN соединениям, мы укажем такие IP адреса начальный 192.168.0.10 и конечный 192.168.0.30.
Теперь, когда мы указали IP адреса можно нажать кнопку Next.
Настройка сервера VPN практически завершена, осталось только создать учетную запись пользователя, под которой пользователи будут заходить в сеть, что мы сейчас с вами и сделаем.
Для создания учетной записи пользователя нам нужно щелкнуть правой кнопкой мыши на значке «мой компьютер», который находится на рабочем столе, и выбрать Manage(управление). В появившемся окне мы должны выбрать Local Users and Groups(локальные пользователи и группы).
Чтобы создать нового пользователя, нужно поместить курсор в окно Users и щелкнуть правой кнопкой мыши; затем в раскрывшемся контекстном меню выбрать элемент New User (Новый пользователь). В появившемся окне достаточно ввести имя пользователя и пароль, еще нужно поставить галочку User cannot change password(запретить смену пароля пользователем), чтобы пользователи не смогли поменять пароль. У пользователя будет имя VPN, а пароль будет test.
Пользователя нужно включать в группу. Для этого на закладке "Member Of(Членство в группах)" существует кнопка "Add(Добавить)".
Один и тот же пользователь может быть членом любого количества групп пользователей. По умолчанию все новые учетные записи являются членами локальной группы Users. Эту ситуацию можно и исправить, но мы не будем её исправлять, потому что нас устраивают права группы Users.
На закладке "Dial-in(Входящие звонки)" нужно настроить параметры удаленного доступа для нашей учетной записи. В пункте "Remote Access Permission(Dial-in or VPN)(Разрешение на удалённый доступ(VPN или модем))" нужно выбрать "Allow access(Разрешить доступ)".
На этом настройка сервера VPN завершена, и любой, кто знает наш IP адрес, логин и пароль сможет зайти в нашу сеть из любого конца мира через Интернет.
1.15 Настройка клиентской части VPN под Windows 2000 Server
Настройка клиентской части VPN под Windows98, WindowsMe,
Windows 2000 и Windows 2000 Server практически одинаковая, но мы рассмотрим настройку клиентской части VPN под Windows 2000 Server.
Для того чтобы приступить к настройке нам нужно зайти в систему с учётной записью Администратора.
На рабочем столе мы найдём иконку Моё сетевое окружение.
Щелкнем по ней правой кнопкой мыши, в контекстном меню выберем Свойства, откроется окно Сеть и удалённый доступ к сети.
Нам нужно щелкнуть два раза левой кнопкой мыши по иконке Создание нового подключения. Появится окно мастера в этом окне ми нажмём кнопку Далее.
В появившемся окне выберем пункт Подключение к виртуальной частной сети через Интернет и нажмём кнопку Далее.
В следующем окне в текстовое поле нужно ввести IP-адрес сери VPN например 157.54.0.1 и нажать кнопку Далее как показано ниже:
В следующем окне нужно указать, что это соединение будет доступным для всех пользователей или доступным только для меня, теперь определим, хотим ли мы сделать создаваемое подключение VPN только для себя, или для всех пользователей, которые могут работать с компьютером.
Из соображений безопасности есть смысл создать каждому пользователю своё подключение, а не использовать общее поэтому мы создаём это подключение только для одного пользователя и нажимаем кнопку Далее.
Теперь в следующем окне введём (или оставим без изменений) в соответствующем поле имя подключения, под которым оно будет храниться в папке Сеть и удалённый доступ, мы назовём его VPN.
Мы создали VPN соединение и сейчас мы его настроим.
Щелкнем два раза левой кнопкой мыши по значку нашего VPN соединения и в появившемся окне щелкнем по кнопке свойства.
Появится окно свойств этого подключения, перейдём на вкладку Безопасность, и поставим там галочку Дополнительные параметры, потом щелкнем по кнопке Настройка
В появившемся окне Дополнительные параметры безопасности поставим галочку на вкладке Протокол проверки пароля (CHAP) .
Перейдём на вкладку Сеть. В списке Отмеченные компоненты используются этим подключением: снимем все галочки кроме Протокол Интернета (TCP/IP) и нажмем кнопку OK.
Теперь мы всё сделали и теперь можно подключатся к сети VPN, но до этого нужно подключится к Интернету.
1.16 Выводы
В данном дипломном проекте мы рассмотрели технологию удалённого доступа к частной сети под названием VPN. Мы разобрали принцип работы технологии VPN где эта технология применяется её протоколы и многое другое. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но несмотря на это технология VPN получит большое развитие.
1.17 Список ссылок
1. www.bugtraq.ru
2. Салливан К. Прогресс технологии VPN. PCWEEK/RE, №2, 26 января 1999.
3. Штайнке С. VPN между локальными сетями. LAN/Журнал сетевых решений. Октябрь 1998, том 4, №10.
4. Фратто М. Секреты виртуальных частных сетей. Сети и системы связи, №3 (25), 1998.