совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-10

Не получается - и ладно! Для этого сценария можно воспользоваться протоколом туннелирования L2TP, который использует протокол PPP для инкапсуляции данных и протокол IPSec для шифрования. Вот как выглядит пакет до и после применения L2TP/IPSec:

Исходный пакет:

| IP исходный | Данные транспортного уровня |

Пакет после инкапсуляции данных в PPP:

Затем к этому пакету применяется IPSec в транспортном режиме.

От PPP L2TP унаследовал аутентификацию на уровне пользователя и динамическую выдачу ip-адреса, а от IPSec – аутентификацию узла и шифрование.

Не любое, даже очень дорогое и специально созданное для VPN оборудование поддерживает L2TP/IPSec.

Заметим, что политика IPSec требует задания конкретных ip-адресов для удаленных концов туннеля. А если адрес одной из взаимодействующих сторон меняется (то есть выдается динамически и каждый раз разный, например, при доступе из дома в офис через dial-up соединение) стандартными средствами Windows IPSec-туннель не построишь.

ВЫБОР ОБОРУДОВАНИЯ

ПРИ ВЫБОРЕ ОБОРУДОВАНИЯ ДЛЯ IPSEC НЕОБХОДИМО БЫТЬ ОЧЕНЬ ВНИМАТЕЛЬНЫМ. НАПРИМЕР, ПРИХОДИЛОСЬ СТАЛКИВАТЬСЯ С СИТУАЦИЕЙ, КОГДА ОРГАНИЗАЦИЯ, КОТОРОЙ ТРЕБОВАЛСЯ ДОСТУП БОЛЬШОГО ЧИСЛА СОТРУДНИКОВ К ЦЕНТРАЛЬНОМУ СЕРВЕРУ, ПРИОБРЕЛА ПО РЕКОМЕНДАЦИИ ПОСТАВЩИКА ОБОРУДОВАНИЯ ВЕСЬМА НЕ ДЕШЕВУЮ (ЧУТЬ МЕНЕЕ $2000) ЖЕЛЕЗКУ ZYXEL ZYWALL 70W EE, НЕ ПОДДЕРЖИВАЮЩУЮ L2TP/IPSEC

Предоставим удаленный доступ к сети через L2TP-/IPsec-соединение для данного сценария.

Настраиваем службу RRAS на сервере:

1 МЕНЮ START–> PROGRAMS—> ADMINISTRATIVE TOOLS–> ROUTING AND REMOTE ACCESS.

2 НА НАЗВАНИИ КОМПЬЮТЕРА ПРАВЫЙ КЛИК, CONFIGURE AND ENABLE ROUTING AND REMOTE ACCESS.

3 В СЛЕДУЮЩЕМ ОКОШКЕ NEXT.

4 ДАЛЕЕ ВЫБИРАЕШЬ MANUALLY CONFIGURED SERVER, КЛИКАЕШЬ NEXT.

5 КЛИКАЕШЬ FINISH.

6 КЛИКАЕШЬ YES.

7 ОТКРЫВАЕШЬ ДЕРЕВО НА ПРАВОЙ ПАНЕЛИ, НАЖИМАЯ ПЛЮСИК НАПРОТИВ НАЗВАНИЯ СЕРВЕРА.

8 НА PORTS ПРАВЫЙ КЛИК, ДАЛЕЕ PROPERTIES.

9 ВЫБИРАЕШЬ WAN MINIPORT (PPTP), НАЖИМАЕШЬ CONFIGURE.

10 УБИРАЕШЬ ОПЦИИ REMOTE ACCESS CONNECTIONS (INBOUND ONLY) И DEMAND-DIAL ROUTING CONNECTIONS (INBOUND AND OUTBOUND).

11 В ПОЛЕ MAXIMUM PORTS СТАВИШЬ 1, ДАЛЕЕ OK И YES.

12 ВЫБИРАЕШЬ DIRECT PARALLEL, НАЖИМАЕШЬ CONFIGURE.

13 УБИРАЕШЬ ОПЦИЮ DEMAND-DIAL ROUTING CONNECTIONS (INBOUND AND OUTBOUND) И НАЖИМАЕШЬ OK.

14 ВЫБИРАЕШЬ WAN MINIPORT (L2TP), НАЖИМАЕШЬ CONFIGURE.

15 УБИРАЕШЬ ОПЦИЮ DEMAND-DIAL ROUTING CONNECTIONS (INBOUND AND OUTBOUND).

16 В ПОЛЕ MAXIMUM PORTS СТАВИШЬ НЕОБХОДИМОЕ КОЛИЧЕСТВО ПОРТОВ (МИНИМУМ 1), ДАЛЕЕ OK И OK.

17 В КОНСОЛИ УПРАВЛЕНИЯ ПРАВЫЙ КЛИК НА НАЗВАНИИ КОМПЬЮТЕРА, ДАЛЕЕ PROPERTIES.

18 НА ЗАКЛАДКЕ GENERAL ВЫБИРАЕШЬ LOCAL AREA NETWORK (LAN) ROUTING ONLY.

19 НА ЗАКЛАДКЕ IP ВЫБИРАЕШЬ STATIC IP ADDRESS POOL И УКАЗЫВАЕШЬ ДИАПАЗОН АДРЕСОВ, ИЗ КОТОРОГО L2TP-/IPSEC-КЛИЕНТУ БУДУТ ВЫДАВАТЬСЯ АДРЕСА (В ДИАПАЗОН ДОЛЖНЫ ВХОДИТЬ МИНИМУМ 2 АДРЕСА). ЕСТЕСТВЕННО, ЧТОБЫ УДАЛЕННОМУ ПОЛЬЗОВАТЕЛЮ БЫЛИ ДОСТУПНЫ РЕСУРСЫ СЕТИ «А», ВЫДАВАЕМЫЕ IP-АДРЕСА ДОЛЖНЫ БЫТЬ ИЗ ЭТОЙ ЖЕ СЕТИ.

20 НАЖИМАЕШЬ OK И YES, СОГЛАШАЯСЬ С ПЕРЕЗАГРУЗКОЙ СЛУЖБЫ.

Первый из выделенного диапазона адресов будет использоваться самим сервером RRAS.