WINDOWS 2000 VPN

Windows 2000 осигурява големи възможности за работа със стандартни виртуални локални мрежи (VPN). VPN откриват път към понижаване на цената за работа в мрежа, към повишаване на производителността на отдалечените потребители, към по-добри възможности за защита и към възможности за бързо развиване на електронна търговия. Чрез добавянето на поддръжка за VPN, реализирана въз основа на комутируема мрежа под формата на клиент от MS Windows 2000, Microsoft е опростила предоставянето на възможностите на една VPN направо на вашия работен плот. За виртуална локална мрежа от вида локална мрежа - локална мрежа сървърът на MS Windows 2000 дава възможност на фирмите да наложат функциите на VPN върху досегашната им IP-мрежа, изградена с помощта на маршрутизатори.

Изграждането на виртуална локална мрежа на базата на публичната Internet изисква наличието на две основни характеристики: многопротоколно тунелиране и защита. За да ги придобие, MS Windows 2000 реализира два важни стандарта на Internet Engineering Task Force (IETF) за VPN: транспортния протокол в слой 2 (L2TP - Layer 2 Transport Protocol) за осъществяване на многопротоколно тунелиране и IPSec (IP Security) за осъществяване на защита. Поддръжката на цифрови сертификати от страна на MS Windows 2000 допълнително повишава сигурността.

Internet е изцяло основана на стандарта Internet Protocol (IP). Локалните мрежи обаче най-често не използват само IP. Типичните многопротоколни мрежи изискват освен IP да се поддържат и протоколите IPX на Novell Netware или SNA на IBM. Многопротоколното тунелиране дава възможност в един IP пакет, пренасян в глобалната мрежа Internet, използваща само IP, да бъдат опаковани (капсулирани) най-различни протоколи, които при пристигането си в локалната мрежа, за които са предназначени, да бъдат отново разопаковани (декапсулирани). Фирмите могат да тунелират и трафика в своето частно IP-адресно пространство било поради това, че техните вътрешни адреси не принадлежат на публичния Internet-регистър, било за да защитят своето частно Internet-адресно пространство от нашественици.

L2TP дава възможност между две дадени точки на комуникация - подател и получател - да бъдат изградени няколко тунела. По този начин мрежовият трафик може да бъде категоризиран и в зависимост от нуждите на изпълняваното приложение на даден тунел може да бъде присвоена по-висока стойност на качеството на услугата (QoS - Quality of Service) в сравнение с друг тунел. За да бъде осигурена по-добра мащабируемост на производителността, L2TP ма Microsoft поддържа стандарта Multilink Point-to-Point Protocol (MPPP) на IETF. Тази характеристика на MS Windows 2000 сървъра му позволява да разпределя товара между повече връзки на ISP, а на целевия сървър MS Windows 2000 да възстановява и да преподрежда получените данни по правилен начин.



Защита на VPN

Една многопротоколна VPN се изгражда, като пакетите от локалната мрежа се опаковат в тунела и тяхната сигурност се контролира до предаването им в крайната локална незащитена мрежа. При защитата на един тунел се интересуваме от следните основни неща: аутентификация (установяване на самоличността) и оторизация (упълномощаване). Необходимо е да знаем дали дадено място (Site) от системата ЛМ-ЛМ или потребител (телекомутер) са упълномощени (имат правото) да участват в дадена виртуална локална мрежа. За да бъде отговорено на този въпрос, трябва да се представи някакво доказателство - например определена парола или притежаване на цифров сертификат и свързания с него частен ключ. IPSec дава възможност на определено лице или програма да удостовери своята самоличност с помощта на посочените механизми.



Неприкосновеност на личната информация (Privacy)

Предаваната по VPN информация трябва да остава неприкосновена. За гарантиране на тази неприкосновеност IPSec осигурява възможности за шифроване на информацията.



Цялостност (Integrity)

Пренасяните чрез VPN данни трябва да бъдат защитени от повреда. IPSec осигурява възможност за гарантиране на целостта на данните.

IPSec представлява допълнителен протоколен слой, добавен към стандартните пакети на IP version 4 - версията на IP, която в момента се използва в Internet. Протоколът IPSec е вграден в следващото поколение IP (IP version 6) с помощта на механизма на разширяемата заглавна част (extensible header). При MS Windows 2000 IPSec може да се използва за осъществяване на L2TP тунели.

IPSec може да се определи чрез своите основни характеристики:

Аутентифицираща заглавна част (AH - Authentication Header), която дава възможност на двама участници във VPN да удостоверяват самоличността си един пред друг. АН не гарантира неприкосновеност на личната информация;

Encapsulating Security Payload (ESP), позволяваща на двама участници във VPN да обменят информацията по между си конфиденциално и без тази информация да бъде разрушена. ESP поддържа и аутентификация;

Internet Key Exchange (IKE), разширяваща IPSec с цел да може да извършва аутентификация във VPN с помощта на цифрови сертификати;

Security Associations (SA) даващи възможност на различни устройства от VPN да установяват собствени взаимоотношения на AH и ESP. Фирмите могат да предпочетат да използват шифроване между своите защитни стени и следователно само удостоверяване на самоличността, след като вече е премината защитната стена. Това позволява на фирмата да следи незашифрования трафик за подозрително поведение точно както това се извършва в днешно време, когато не се използват VPN. Администраторите на MS Windows 2000 могат да изработят собствени IPSec защитни стратегии с помощта на IP Security Policies Microsoft Management Console snap-in.



Цифровите сертификати и PKI

Наборът от функции на MS Windows 2000, предназначени за изграждане на VPN, поддържа шифроване с помощта на публични ключове, с което се дава възможност за използване на цифрови сертификати. Цифровите сертификати се управляват в рамките на единна инфраструктура, наречена Public Key Infrastructure (PKI). PKI на MS Windows 2000 съдържа вграден клиент, сървър, сертифициращ орган и сървър на директориите (Active Directory).

Шифроването с помощта на публични ключове представлява по-силна форма на защита от тази чрез потребителски имена и пароли. Шифроването с помощта на публични ключове разчита на участник (потребител или корпоративен сайт), разполагащ с два много дълги ключа, единият от който се съхранява на сигурно място (частният ключ), а другият е публично достъпен (публичният ключ). Най-важното свойство на тези ключове е, че ако публичния ключ на даден участник бъде приложен към данните, единствения начин тези данни да бъдат възстановени и прочетени отново, е да се разполага с частния ключ.

Фирмите може да предпочетат да реализират Certificate Authority (CA) сървъра на Microsoft и сами да осъществят сертифицирането на потребителите и сайтовете, а може и да сключат договор с т.нар. "доверена трета страна" (TTP - Trusted Third Party) разполагаща със защитено СА оборудване и осъществяваща процеса на удостоверяване на самоличността. СА могат да бъдат реализирани като йерархична структура (вериги от доверени страни). Така, че например определени отдели на дадена фирма може да използват собствени СА, а общофирменият СА или TTP може да се използва за сертифициране във всеки отделен или някой от тези СА.

В идеалния случай инсталираме услугите Windows 2000 Certificate Services по време на инсталирането на самата операционна система или по-късно. Certificate Services са много добре интегрирани в цялостната система за управление на потребителите на MS Windows 2000. Когато създаваме нов потребител в MS Windows 2000 сървъра поставя в директорията, в която потребителят се озовава при влизане, Web страници за регистриране на сертификат. Това дава възможност на корпоративния администратор просто да посочи на потребителя тези регистрационни станции, за да може съответния потребител да задейства процеса на своето сертифициране.

При първоначалното инсталиране на Certificate Services администраторът може да зададе определено ниво на СА услугите в рамките на организацията. Съществуват четири възможности в зависимост от това дали използваме Active Directory и дали инсталираният от нас СА се намира на върха на йерархията на СА или представлява подчинен СА.

Важно предимство на използването на Microsoft Certificate Services е евентуалното тясно обвързване с Microsoft Active Directory. Сертификатите могат да се съхраняват в Active Directory, а потребителите могат да удостоверяват своята самоличност пред Active Directory с помощта на своите сертификати вместо с по-несигурното потребителско име и парола от системата Kerberos.



Заключение

MS Windows 2000 поддържа важните отворени стандарти за VPN, което наред с добре интегрираната PKI предоставят ценна платформа за изграждане на локални мрежи върху Internet и дава възможност за масово осъществяване на транзакции от електронната търговия.

Коментари: