Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 7
Текст из файла (страница 7)
Перезагрузитекомпьютер, чтобы эти изменения вступили в силу.Настройка IPSec зависит от следующего. Если VPN-сервер является автономным или входит в домен Windows NT 4.0, Выдолжны настроить локальную политику IP-безопасности. Если VPN-сервер входит в домен Windows 2008, локальные политики IР-безопасностизамещаются политиками IP-безопасности данного домена. Чтобы сформироватьполитику IP-безопасности, применяемую только к Вашему VPN-серверу, создайте вслужбе каталогов Active Directory организационную единицу (OU), включите в нееучетную запись компьютера VPN-сервера и используйте групповую политику длясоздания и назначения политик IP-безопасности для OU, в которую входит VPNсервер.
Тогда эти политики будут распространены на Ваш VPN-сервер.Прежде чем создавать политику IP-безопасности, Вы должны решить, будут ли всеподключаемые сайты использовать одинаковый общий ключ или для каждого соединенияпотребуется свой общий ключ. От этого решения зависит характер настройки спискафильтров IPSec и политики.Одинаковый общий ключ приемлем, если обе конечные точки L2TP-туннеляконтролируются одним администратором. Если же L2TP-туннели создаются междусистемами, управляемыми разными администраторами, желательно использоватьотдельный общий ключ на каждое VPN-соединение. Так, единственный VPN-серверWindows 2008 может быть настроен на коммуникационную связь с шестью бизнеспартнерами, каждому из которых для L2ТР-соединений понадобится свой общий ключ.МГТУ им.
БауманаКафедра ИУ-628Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Примечание Если Ваш VPN-сервер Windows 2008 взаимодействует с другимиL2TP-клиентами или серверами, используя IPSec-аутентификацию на основесертификатов (она предлагается но умолчанию), но для одного из L2TP/IPSес-туннелейВам нужна IP Sec-аутентификация на основе общего ключа, тогда Вы должны включить вполитику IP-безопасности и правило для аутентификации на основе общего ключа, иправила для аутентификации на основе сертификатов (предназначенные для остальныхсистем).МГТУ им.
БауманаКафедра ИУ-629Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Виртуальные частные сети и брандмауэрыБрандмауэр (firewall) применяет фильтры пакетов, разрешая или запрещая передачуопределенных видов сетевого трафика. Механизм фильтрации IP-пакетов позволяет точноопределять, какой IP-трафик может проходить через брандмауэр.
Фильтрация IP-пакетовочень важна при подключении частных интрасетей к общедоступным сетям вродеИнтернета.Конфигурации VPN-сервера и брандмауэраСуществует два подхода к использованию брандмауэра в сочетании с VPNсервером: VPN-сервер подключается к Интернету, а брандмауэр размещается между VPNсервером и интрасетью; брандмауэр подключается к Интернету, а VPN-сервер размещается междубрандмауэром и интрасетью.VPN-сервер перед брандмауэромПри размещении VPN-сервера перед брандмауэром, подключенным к Интернету(рисунок 19). Вы должны создать фильтры пакетов на Интернет-интерфейсе VPN-сервера,разрешающие передачу и прием только VPN-трафика.Туннелированные данные входящего трафика расшифровываются VPN-сервером ипересылаются брандмауэру, и тот применяет к ним свои фильтры, пропуская в интрасетьлишь разрешенный трафик.
Поскольку через VPN-сервер проходит только трафик,создаваемый аутентифицированными VPN-клиентами, брандмауэр в данном вариантеиспользуется исключительно для того, чтобы VPN-клиенты не могли обращаться копределенным ресурсам в интрасети. Так как единственный Интернет-трафик,разрешенный в интрасети, сначала проходит через VPN-сервер, в этом вариантеблокируется и возможность доступа посторонних пользователей к FTP- или Web-ресурсаминтрасети. Если Вы выбрали именно этот вариант, то должны сконфигурировать дляИнтернет-интерфейса VPN-сервера следующие входные и выходные фильтры.
С этойцелью используйте оснастку Routing and Remote Access.Рисунок 19Настройка фильтров, в которых действие фильтра определено как Drop all packetsexcept those that meet the criteria below.МГТУ им. БауманаКафедра ИУ-630Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010inФильтрация пакетов для РРТРФильтры пакетов для L2TPповерх iPSec• IP-адрес сети назначения для Интернетинтерфейса VPN-сервера, маска подсети 255.255.255.255 и TCP-порт назначения - 1723(0х06ВВ).• IP-адрес сети назначения дляИнтернет-интерфейса VPN-сервера, маскаподсети - 255.255.255.255 и UDP-портназначения - 500 (0x01F4).Этотфильтрразрешаетпередачууправляющего РРТР-туннелями трафика отРРТР-клиента РРТР-серверу.Этот фильтр разрешает передачутрафика IKE (Internet Key Exchange) наVPN-сервер.• IP-адрес сети назначения для Интернетинтерфейса VPN-сервера, маска подсети —255.255.255.255 и идентификатор IP-протокола— 47 (0x2F).• IP-адрес сети назначения дляИнтернет-интерфейса VPN-сервера, маскаподсети - 255.255.255.255 и UDP-портназначения - 1701 (0х6А5).Этот фильтр разрешает передачу данных,туннелированпых средствами РРТР, от РРТРклиента РРТР-серверу.Этот фильтр разрешает передачуL2TP-трафика от VPN-клиента VPNсерверу.• IP-адрес сети назначения для Интернетинтерфейса VPN-сервера, маска подсети —255.255.255.255 и TCP-порт источника — 1723(0х06ВВ); Вы должны выбрать вариант TCP[established] (TCP (установлено]).out• IP-адрес исходной сети для Интернетинтерфейса VPN-сервера, маска подсети 255.255.255.255 и TCP-порт источника - 1723(0х06ВВ).• IP-адрес исходной сети дляИнтернет-интерфейса VPN-сервера, маскаподсети - 255.255.255.255 и UDP-портисточника - 500 (0x01F4).Этотфильтрразрешаетпередачууправляющего РРТР-туннелями трафика отРРТР-сервера РРТР-клиенту.Этот фильтр разрешает передачутрафика IKE от VPN-сервера.• IP-адрес исходной сети для Интернетинтерфейса VPN-сервера, маска подсети —255.255.255.255 и идентификатор IP-протокола— 47 (0x2F).Этот фильтр разрешает передачу данных,туннелированных средствами РРТР, от РРТРсервера РРТР-клиенту.• IP-адрес исходной сети для Интернетинтерфейса VPN-сервера, маска подсети —255.255.255.255 и TCP-порт назначения — 1723(0х06ВВ); Вы должны выбрать вариант TCP[established].• IP-адрес исходной сети дляИнтернет-интерфейса VPN-сервера, маскаподсети - 255.255.255.255 и UDP-портисточника - 1701 (0х6А5).Этот фильтр разрешает передачуL2ТР-трафика от VPN-сервера VPNклиенту.Для ESP-трафика применительно кIP-протоколу 50 никаких фильтров нетребуется.
После того как из пакетаудаляется ESP-заголовок (модулем IPSec вTCP/IP), применяются фильтры службымаршрутизации и удаленного доступа.Этот фильтр нужен, только если VPN-сервер выступает в роли VPN-клиента(вызывающего маршрутизатора) при VPN-соединении между маршрутизаторами. Когдавыбираете TCP [established], трафик принимается лишь в том случае, если VPN-серверинициирует TCP-соединение,VPN-сервер за брандмауэромВ более распространенной конфигурации (рисунок 20) брандмауэр подключаетсянепосредственно к Интернету, а VPN-сервер является одним из ресурсов интрасети вдемилитаризованной зоне (demilitarized zone, DMZ). DMZ — это сегмент IP-сети, вкотором обычно находятся ресурсы, доступные пользователям Интернета, например Webи FTP-сервсры.
Один из интерфейсов VPN-сервера подключается к DMZ, а другой — кинтрасети.МГТУ им. БауманаКафедра ИУ-631Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010При таком подходе для Интернет-интерфейса брандмауэра нужно создать входные ивыходные фильтры, которые пропускают к VPN-серверу трафик, управляющийтуннелями, и туннелированные данные. Дополнительные фильтры могут разрешатьпропуск трафика к Web- и FTP-серверам, а также другим типам серверов и DMZ.Поскольку у брандмауэра нет шифровальных ключей для VPN-соединений, онможет осуществлять фильтрацию только па основе незашифрованных заголовковтуннелированных данных, а значит, все туннелированные данные свободно проходятчерез брандмауэр.
Однако это не создает проблем с безопасностью, так как VPNсоединения требуют аутентификации, которая блокирует попытки несанкционированногодоступа.Для Интернет-интерфейса брандмауэра нужно создать следующие входные ивыходные фильтры (при этом используется программное обеспечение брандмауэра).Рисунок 20Настройте фильтры, в которых действие фильтра определено как Drop all packetsexcept those that meet the criteria below.inФильтрация пакетов для РРТРФильтры пакетов для L2TPповерх iPSecIP-адрес сети назначения для DMZинтерфейса VPN-сервера и TCP-порт назначения- 1723.
Этот фильтр разрешает передачууправляющего РРТР-туннелем трафика от РРТРклиента РРТР-серверу.IP-адрес сети назначения для DMZнтерфейса VPN-сервера и UDP-портназначения – 500.IP-адрес сети назначения для DMZинтерфейса VPN-сервера и идентификатор IPпротокола — 47. Этот фильтр разрешаетпередачу данных, туннелированных средствамиРРТР, от РРТР-клиента РРТР-серверу.IP-адрессетиназначенияМГТУ им. БауманадляЭтот фильтр разрешает передачутрафика IKE на VPN-сервер.IP-адрес сети назначения для DMZинтерфейса VPN-сервера и идентификаторIP-протокола — 50.Этот фильтр разрешает передачуESP-трафика от РРТР-клиента РРТР –серверу.DMZКафедра ИУ-632Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
2010интерфейса VPN-сервера и TCP-порт источника— 1723; Вы должны выбрать вариант TCP[established] (TCP[установлено]).outIP-адрес исходной сети для DMZинтерфейса VPN-сервера и TCP-порт источника 1723.IP-адрес исходной сети для DMZинтерфейса VPN-сервера и UDP-портисточника - 500.Этотфильтрразрешаетпередачууправляющего РРТР-туннелями трафика отРРТР-сервера РРТР-клиенту.Этот фильтр разрешает передачутрафика IKE от VPN-сервера.IP-адрес исходной сети для DMZинтерфейса VPN-сервера и идентификатор IPпротокола — 47.Этот фильтр разрешает передачу данных,туннелированных средствами РРТР, от РРТРсервера РРТР-клиенту.IP-адрес исходной сети для DMZинтерфейса VPN-сервера и TCP-порт назначения- 1723; Вы должны выбрать вариант TCP[established].МГТУ им. БауманаIP-адрес исходной сети для DMZинтерфейса VPN-сервера и идентификаторIP-протокола-50.Этот фильтр разрешает передачуESP-трафика от VPN-сервера VPNклиенту.Для L2TP-трафика, направляемого вUDP-порт 1701, никаких фильтров нетребуется.
На брандмауэре весь L2ТРтрафик, в том числе управляющийтуннелями и туннелированные данные,зашифровывается как полезная нагрузкаIPSec-протокола ESPКафедра ИУ-633Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Виртуальные частные сети и NATТранслятор сетевых адресов (network address translator. NAT) — это IPмаршрутизатор, способный транслировать IP-адреса и номера TCP/UDP-портов впересылаемых пакетах.По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если информация обIP-адресе и портах содержится только в IP- и TCP/UDP-заголовках, никаких проблемтрансляция не вызывает.
Пример - HTTP-трафик в Web. Однако некоторые приложения ипротоколы хранят информацию об IP-адресах и TCP/UDP-портах в собственныхзаголовках. FTP, например, записывает точечнодесятичное представление IP-адресов вFТР-заголовок для использования командой FTP port. Если NAT неправильно преобразуетIP-адрес в FTP-заголовке. может возникнуть проблема с поддержкой соединений.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
