НИР(I-ая часть магистерской диссертации, М.В.Акимов)
2.2.1.VPN на базе Windows 2000 Для создания VPN-объединений на базе Windows 2000, как правило, используются протоколы РРТР и L2TP в сочетании с протоколом IPSec. Протокол РРТР является более универсальным, позволяя инкапсулировать не только IP-трафик, но и пакеты других протоколов (например, IPX). В среде Windows 2000 можно организовать VPN-соединения как по ЛВС (типа «сервер-сервер», а также «клиент-сервер»), так и поверх коммутируемого I соединения. Встроенное программное обеспечение Dial-Up networking позволяет организовать соединения для удаленного доступа в корпоративную сеть, динамически назначая сетевые адреса системам, подключаемым к шлюзам IPSec.
Создание виртуальных частных сетей осуществляется посредством управляющей консоли ММС (Microsoft Management Console), входящей во все версии операционных систем семейства Windows 2000. Консоль может объединять несколько интегрируемых компонентов, автоматически размещаемых по именованным контейнерам (каждый компонент создает и именует свой контейнер). На рис. 5. в качестве примера показана консоль, содержащая интегрируемые компоненты.
Рис. 5. Консоль ММС.
Сама процедура конфигурирования VPN-средств операционной системы, по большому счету, заключается в назначении правил функционирования протокола IPSec на локальных машинах. После окончания установки операционной системы пользователь оказывается наедине с рядом стандартных правил, однако ни одно из них не является активным по умолчанию. Любое из указанных правил можно применить как ко всему трафику локальной системы, так и к отдельным его «потокам». При этом разделение трафика выполняется по адресу удаленной системы, позволяя шифровать весь трафик локальной станции с сервером А, оставляя незащищенным трафик с сервером Кроме того, можно установить шифрование трафика по запросу удаленного хоста. Это позволяет осуществлять открытый обмен информацией с сервером, подключая шифровку трафика только для особо секретных его фрагментов. После отсылки клиентом запроса на конфиденциальную сессию сервер инициирует защищенную сессию путем посылки запроса на согласование параметров защищенной передачи. Если согласование параметров между клиентом и серверов прошло успешно, то устанавливается закрытое соединение и инициируется передача информации. Недостатком рассмотренных мер безопасности является тот факт, что, несмотря на наличие выбора между ними, в каждый конкретный момент времени активной может быть только одна из них. Кроме того, без хорошо продуманного плана создания VPN конфигурирование политики IPSec на каждой локальной машине представляет значительные трудности. А если речь идет о сети не из 5-20 компьютеров, а из нескольких сотен рабочих станций, то в этом случае необходимость локального задания политик безопасности лишает всю систему требуемой гибкости, возлагая на пользователей зачастую тяжесть переконфигурирования своих рабочих станций под новую модель безопасности.