ставим vpn

ЕВГЕНИЙ AKA SATURN

Спецвыпуск: Хакер, номер #064, стр. 064-116-1

(SATURN@LINKIN-PARK.RU)

УСТАНОВКА VPN-СЕРВЕРА НА WINDOWS 2003 SERVER

НАКОНЕЦ-ТО НАСТАЛ ТОТ ДОЛГОЖЕЛАННЫЙ МОМЕНТ, КОГДА СЕТЬ НАСТРОЕНА, ДОВОЛЬНЫЕ ПОЛЬЗОВАТЕЛИ ЛОМЯТСЯ НА СЕРВЕР НАПРЯМУЮ И ПОЛУЧАЮТ ТО, ЧТО ДУШЕ УГОДНО. ОДНАКО ВСЕ ЧАЩЕ В ИНТЕРНЕТЕ ПОЯВЛЯЮТСЯ ВНУТРЕННИЕ ДОКУМЕНТЫ КОМПАНИИ, А НАЧАЛЬНИК НЕ МОЖЕТ ПОНЯТЬ, ПОЧЕМУ ОТЧЕТ НА ПРОДАЖУ, СДЕЛАННЫЙ ТОЛЬКО ЧТО, ПОЯВИЛСЯ В ОТКРЫТОМ ДОСТУПЕ СОВЕРШЕННО БЕСПЛАТНО. ЗА ЭТО ОН БОЛЬНО БЬЕТ ПО ЧЬЕЙ-ТО ГОЛОВЕ И КОШЕЛЬКУ

средство от головной боли

Удары судьбы стали нестерпимы? Корпоративная сеть все больше напоминает информационное решето, доступное всем? Пора задуматься о защите информации. Существует масса способов предотвратить утечки данных и несанкционированный доступ. Можно, например, зашифровать все файлы и открывать их только по требованию конкретного человека. Или использовать ставшую модной электронно-цифровую подпись (ЭЦП). Казалось бы, проще простого: подписываем файл средствами ЭЦП и пересылаем адресату. Он в свою очередь проверяет подлинность и расшифровывает документ. Но как объяснить это дяде Васе, которому компьютер нужен, чтобы «докУменты печатать»? И как заставить себя выполнять сотни операций «зашифровка-расшифровка» в день, когда друзья принесли ящик отличного пива?

К счастью, на помощь способно прийти средство под названием VPN (Virtual Private Network), оно реализовано в нашем любимом Windows 2003 server.

виртуальная? частная? а что это такое?

Строго говоря, VPN — это частный случай оверлейных сетей (Overlay Network) — логических сетей, создаваемых поверх другой сети (например интернет). Узлы оверлейной сети (и VPN в частности) могут быть связаны не только физическим соединением, но и логическим. Так что существует возможность создавать множество логических сетей одна поверх другой, добиваясь практически любого уровня защиты данных. За счет шифрования средствами VPN создается канал обмена информацией, закрытый от посторонних.

Практический смысл виртуальной сети состоит в следующем. Перед отправкой IP-пакета VPN-агент (всего лишь средство, реализующее алгоритмы шифрования и транспорта, а не сотрудник ГРУ) шифрует его целиком, включая заголовок, формирует новый заголовок (проводит инкапсуляцию), где указывает не физический адрес получателя, а координаты его VPN-агента. Этот механизм, во-первых, позволяет скрыть от злоумышленника реальные IP-адреса пользователей. Во-вторых, так достигается высокий уровень абстракции от аппаратных средств, используемых в сети.

При получении пакета проверяются сведения о VPN-агенте отправителя. В случае если такая информация отсутствует, пакет игнорируется. Если заголовок поврежден, его постигнет та же участь.

Как видишь, VPN — достаточно простое и в то же время надежное средство защиты информации, передаваемой по сетям общего пользования. Вот почему эта технология завоевывает все большую популярность и производители программного обеспечения постоянно упрощают ее настройку. Более того, сейчас многие крупнейшие вендоры (Cisco, Intel) встраивают поддержку VPN в маршрутизаторы и другие сетевые устройства.