Windows 7: удаленный доступ

Network Access Network(защита доступа к сети) – это способ, которым пользуется Microsoft для осуществления контроля доступа к сетевым ресурсам на основании состояния системы подключающегося устройства. Например, у вас лэптоп и вы много месяцев находились в разъездах и не подключали свой ноутбук к корпоративной сети. Нет никакой гарантии, что за это время он не был заражен вирусом или вредоносной программой. Кроме того, вы могли и не получить уведомления об этом.

В таком случае, когда вы вернетесь в офис и подключите свой устройство к сети, NAP, в соответствии с заданными на одном из ваших серверов настроек, автоматически идентифицирует состояние его системы. Если ваш лэптоп не пройдет эту проверку, то будет помещен в отдельную так называемую зону восстановления. Там специальные серверы обновлений определят и исправят возникшие проблемы. Вот примерные варианты:

·Если ваш сетевой экран неактивен и это противоречит заданным настройкам, то серверы настроек приведут его в действие.

·В том случае, если ваша политика работоспособности предполагает обновление Windows до последней версии, а вы этого не сделали, то WSUS-сервер в зоне восстановления сам обновит систему.

Ваш компьютер будет возвращен в корпоративную сеть лишь при условии, что NAP-серверы посчитают систему работоспособной. Существует четыре способа установить NAP, каждый из которых имеет свои плюсы:

·VPN. Использование VPN актуально для компаний с удаленными сотрудниками, которые работают дома на своих компьютерах. Невозможно узнать, кто и какую вредоносную программу установил на ПК, если над ним не осуществляется контроль. Если вы решите воспользоваться этим методом, то состояние системы вашего клиента будет подвергаться проверке при каждом запускеVPN-соединения.

·DHCP. Если вы решили прибегнуть к использованию DHCP, то клиент не получит действующие адреса сети до тех пор, пока NAP не оценит систему как работоспособную.

·IPsec – это метод кодирования сетевого трафика с использованием протоколов. Этот метод, хоть и нечасто, но также может быть применен для установки NAP.

·802.1х  представляет собой метод аутентификации клиентов на уровне транзисторных ключей. В наше время его довольно часто используют для активации NAP.

Подключение удаленного доступа

По какой-то причине Microsoft по-прежнему хочет, чтобы вы знали о примитивном подключении удаленного доступа. Такое подключение использует аналоговую телефонную сеть, также известную как POTS (Plain Old Telephone Line - обычная аналоговая телефонная линия), для передачи данных с одного компьютера на другой. Для этого нужен модем (акроним, составленный из слов: модулятор и демодулятор). Модем подключается к вашему компьютеру, используя RJ11 кабель (в большинстве случаев), и модулирует потоки цифровой информации из вашего компьютера в аналоговый сигнал, который может быть передан по телефонным линиям. Когда сигнал достигает точки своего назначения, он демоделируется другим модемом и преобразовывается в цифровой сигнал, понятный для компьютера. Для того чтобы создать подключение удаленного доступа, кликните правой кнопкой мыши по иконке состояния сети и выберите «Центр управления сетями и общим доступом».

Теперь нажмите «Создание нового подключения или сети».

  

Жмите по «Подключение удаленного доступа>Далее».

  

На данном этапе вам нужно заполнить графы с информацией.

Виртуальные частные сети

VPN– это частные туннели, которые вы можете создать в рамках публичной сети, в том числе интернет, чтобы безопасно подключиться к другой сети. Например, вы можете установить VPN-соединение между домашней сетью на своем ПК и корпоративной сетью. Таким образом, будет возникать впечатление, что компьютер из вашей домашней сети на самом деле является частью корпоративной сети. Вы даже можете подключиться к общим сетевым ресурсам так, словно ваш компьютер на самом деле через Ethernet-кабель подключили к рабочей сетке. Единственная заметная разница – это скорость: вместо гигабита Ethernet-скорости вы получаете скорость своего высокоскоростного подключения.

У вас, вероятно, возникнет вопрос: насколько такие «частные туннели» в сети безопасны? Значит ли это, что каждый может видеть вашу информацию? Нет, не каждый, так как мы кодируем свои данные, отправляемые черезVPN-соединение. Отсюда и название - виртуальная «частная» сеть. Выбор протокола для шифровки данных остается за вами; вот что может предложить Windows 7:

·Point-to-Point Tunneling Protocol (PPTP) – протокол туннелирования точка-точка. PPTP позволяет «упаковывать» сетевой трафик в IP-заголовок и отправлять его по IP-сети, в том числе интернету.

- Инкапсуляция:PPP-кадры формируются вIP-датаграмму путем использования модифицированной версии протокола GRE.

- Кодировка:PPP-кадры кодируются через Microsoft Point-to-Point Encryption (MPPE). Ключи шифрования генерируются во время механизма аутентификации, когда используется вторая версия MS-CHAP или EAP-TLS.

·Layer 2 Tunneling Protocol (L2TP) – это протокол защищенного туннелирования, который предназначен для передачи PPP-кадров и использует протокол Internet, а также частично основывается на PPTP. В отличие от PPTP, Microsoft-вариант L2TP не использует PPP-кадры для шифровки MPPE . L2TP для кодировки сервисов в свою очередь применяет IPsec вTransport Mode. Комбинация L2TP и IPsec также известна как L2TP/IPsec.

- Инкапсуляция: сначала PPP-кадры «заворачиваются» в L2TP заголовок, а затем – в UDP. В итоге результат инкапсулируется с использованием IPSec.

- Кодировка:L2TP-сообщения шифруются в AES или 3DES с использованием ключей, полученных в результате процесса согласования IKE.

·Secure Socket Tunneling Protocol (SSTP) – это протокол туннелирования, который использует HTTPS. В ситу того, что TCP Port 443 открыт для большинства корпоративных систем сетевой защиты, он отлично подойдет для стран, в которых запрещены традиционные VPN-соединения. Кроме того, SSTP очень безопасен, так как для шифровки использует SSL-протоколы.

- Инкапсуляция:PPP-кадры формируются вIP-датаграммы.

- Кодировка:SSTP-сообщения кодируются с использованием SSL.

·Internet Key Exchange (IKEv2) – это протокол туннелирования, использующий IPsec Tunnel Mode протокол в пределах UDP port500.

- Инкапсуляция:IKEv2 инкапсулирует датаграммы в IPsec ESP или AHзаголовки.

- Кодировка: сообщения кодируются AES либо 3DES cиспользованием ключей, полученных в результате процесса согласования IKEv2.

Требования сервера

На заметку: у вас могут быть и другие операционные системы, но мы говорим про условия запуска VPN-сервера в рамках Windows.

Для того чтобы другие пользователи могли создать VPN-соединение в вашей сети, вам нужен Windows-сервер. Кроме того, потребуется установка следующих ролей:

·Routing and Remote Access (RRAS) – маршрутизация иудаленный доступ

·Network Policy Server (NPS) – сервер политики сети

Вам также придется установить DHCP или статический пул IP-адресов.

Создание VPN-соединения

Для того чтобы подключиться к VPN-серверу, кликните правой кнопкой мыши по иконке состояния сети и выберите «Центр управления сетями и общим доступом».

  

Теперь нажмите «Создание нового подключения или сети».

Выберите «Подключиться к рабочему пространству» и кликайте «Далее».

 

 Теперь нужно выбрать «Использовать действующее высокоскоростное подключение».

 

 На данном этапе вам нужно ввести IP или DNS VPN-сервера сети, к которой вы хотите подключиться, и нажать «Далее».

Введите ваше имя пользователя и пароль, затем нажмите «Подключиться».

 

 После того, как соединение будет установлено, его состояние будет отражено во вкладке «Статус сети».

 

Спонсором новости выступает креативная веб-мастерская "Утро" которая занимается разработкой и созданием сайтов в Одессе. Эффективно, быстро и качественно - специалисты делаеют проекты, которые приносят прибыль.