Віртуальні приватні мережі здобули заслужену популярність. Це надійне і
безпечний засіб, призначене для організації межсайтовой мережевий
інфраструктури і підключень віддаленого доступу. В останні роки серед
існуючих VPN-протоколів особливе місце займає PPTP. Рішення на його базі
поширені, легко впроваджуються і забезпечують рівень захисту, достатній для
більшості компаній.
Чому саме PPTP?
Тунельний протокол PPTP дозволяє зашифрувати мультипротокольний трафік, а
потім инкапсулировать (упакувати) його в IP-заголовок, який буде відправлений по
локальної або глобальної мережі. PPTP використовує:
- TCP-підключення для управління тунелем;
- модифіковану версію GRE (загальна інкапсуляція маршрутів) для
інкапсулювання PPP-фреймів тунелюватись даних.
Корисне навантаження переданих пакетів може бути зашифрована (за допомогою
протоколу шифрування даних MPPE), стиснута (використовуючи алгоритм MPPC) або
зашифрована і стиснута.
PPTP легкий в розгортанні, не вимагає інфраструктури сертифікатів і
сумісний з переважною більшістю NAT-пристроїв. Всі версії Microsoft Windows,
починаючи з Windows 95 OSR2, включають в свій склад PPTP-клієнт. Також клієнти для
підключення по PPTP є в Linux, xBSD і Mac OS X. Провайдери знають про ці
переваги, і саме тому для організації підключення до інтернету часто
використовують PPTP, навіть незважаючи на те, що спочатку у нього захищеність нижче,
ніж у L2TP, IPSec і SSTP (PPTP чутливий до словниковим атакам, крім того,
VPN-підключення, засноване на протоколі PPTP, забезпечує конфіденційність,
але не цілісність переданих даних, так як відсутні перевірки, що дані
не внесено жодних змін при пересиланні).
Варто зазначити: у великих мережах PPTP краще PPPoE. адже при
використанні останнього пошук сервера проводиться шляхом розсилки
широкомовних пакетів, які можуть загубитися на свічі, та й мережу такі
пакети "наповнюють" вельми пристойно.
Аутентифікація і шифрування
Для шифрування VPN-з'єднання за допомогою MPPE використовуються 40, 56 і
128-бітові RSA RC4 ключі. У перших версіях Windows через обмеження на експорт
військових технологій був доступний тільки 40-бітний ключ і з деякими застереженнями
- 56-бітний. Вони вже давно визнані недостатніми, і, починаючи з Vista,
підтримується виключно 128-бітна довжина ключа. Може виникнути ситуація,
що у клієнта підтримки такої можливості немає, тому для старих версій Windows
треба хильнути все сервіс-паки або оновлення безпеки. Наприклад, WinXP SP2
без проблем підключиться до сервера Win2k8.
Налаштування сервера PPTP в Win2k8
Типова конфігурація для роботи VPN складається з контролера домену. серверів
RRAS (Routing and Remote Access) і NPS (Network Policy Server). В процесі
настройки цих ролей додатково будуть активовані сервіси DHCP і DNS.
Сервер, якому належить виконувати роль VPN, перед установкою ролі RRAS повинен
бути приєднаний до домену. На відміну від L2TP і SSTP, сертифікати при роботі PPTP
не потрібні, тому сервер сертифікатів (Certificate Services) не буде потрібно.
Мережеві пристрої, які будуть брати участь в побудові VPN (в тому числі,
ADSL та подібні модеми), повинні бути приєднані і налаштовані відповідним
чином (Пуск -> Панель управління -> Диспетчер пристроїв). Для деяких схем
VPN (з використанням NAT і при з'єднанні двох мереж) буде потрібно, як мінімум,
два мережевих устрою.
Використовуючи майстер установки ролей (Диспетчер сервера -> Ролі -> Встановити
роль), встановлюємо роль "Служби політики мережі та доступу" (Network Access
Services) і переходимо до вибору служб ролей, де відзначаємо всі компоненти "Служби
маршрутизації і віддаленого доступу "(Routing and Remote Access Services).
Натискаємо "Далі" і в наступному вікні підтверджуємо настройки клацанням по "Встановити".
Служба віддаленого доступу і маршрутизації встановлена, але ще не налаштована і
не запущено. Для налаштування параметрів роботи переходимо в "Диспетчері сервера" у
вкладку "Ролі -> Служби політики мережі та доступу -> Служби маршрутизації і
віддаленого доступу "; як варіант, можна використовувати консоль" Маршрутизація і
віддалений доступ ", викликається з вкладки" Адміністрування "меню" Пуск ".
Відзначаємо наш сервер в списку (консоль може бути підключена до декількох
системам) і в контекстному меню клацаємо "Налаштувати і включити маршрутизацію і
віддалений доступ "(Configure and Enable Routing and Remote Access). Якщо до
цього робилися спроби налаштувати службу, то для повторної установки
деяких параметрів доведеться її зупинити, вибравши пункт "Відключити
маршрутизацію і віддалений доступ ". При цьому всі налаштування будуть скинуті.
З'явився майстер установки запропонує вибрати типову конфігурацію сервера,
яка найбільш точно відповідає передбачуваним завданням. В меню вибору -
п'ять пунктів, чотири з них надають готові установки:
На наступному кроці відзначаємо список служб, які мають бути включені на сервері.
Таких пунктів п'ять, їх назви говорять самі за себе:
Власне, все предустановки, про які говорилося вище, зводяться до
активації цих служб в різній комбінації. У більшості випадків слід вибрати
"Віддалений доступ (VPN або модем)", а потім - "Доступ до віртуальної приватної мережі
(VPN) ". Далі просто потрібно вказати на мережевий інтерфейс, який підключений до
інтернету (зазначивши його мишкою). Якщо майстер виявить лише одне активне
з'єднання, то він закінчить роботу з попередженням, що для даного режиму
потрібно ще одна мережева карта, або запропонує перейти до налаштувань в режимі "Особлива конфігурація".
Прапорець "Безпека з використанням фільтра статичних пакетів"
рекомендується залишити зведеним. Такі фільтри пропускають VPN-трафік тільки з
зазначеного інтерфейсу, а виключення для дозволених VPN-портів доведеться
налаштовувати вручну. При цьому можна налаштовувати статичні фільтри і брандмауер
Windows на одному інтерфейсі, але не рекомендується, так як це знизить
продуктивність.
Налаштування в консолі
У пункті "Клієнти віддаленого доступу" відображається список підключених
клієнтів. Цифра поряд з назвою пункту підкаже їх кількість. За допомогою
контекстного меню можна перевірити стан клієнта і при необхідності його
відключити. Два пункти IPv4 і IPv6 дозволяють налаштувати IP-фільтри, статичні
маршрути, агент DHCP ретрансляції і деякі інші параметри.
Робота зі смаком
Не можна не розповісти про ще одну можливість, яка помітно спростить життя
адміністраторам - пакет адміністрування диспетчера підключень CMAK (Connection
Manager Administration Kit). Майстер CMAK створює профіль, який дозволить
користувачам входити в мережу тільки з тими властивостями підключення, які
визначить для них адмін. Це не новинка Win2k8 - CMAK був доступний ще для Win2k
і підтримує клієнтів аж до Win95. Проте, провайдери досі
постачають користувача хитромудрими інструкціями замість того, щоб надати йому
готові файли з настройками.
CMAK є компонентом Win2k8, але за замовчуванням не інсталюється. сам
процес установки за допомогою "Диспетчера сервера" стандартний. Вибираємо "Компоненти - Додайте зміст" і в який з'явився майстра відзначаємо
"Пакет
адміністрування диспетчера підключень ". Після закінчення установки однойменний
ярлик з'явиться в меню "Адміністрування".
Тепер користувачам досить запустити виконуваний файл і відповісти на
один-єдине питання: зробити це підключення доступним для "Всіх
користувачів "або" Тільки мені ". Після чого значок нового з'єднання буде
доданий в "Мережевих підключеннях", і з'явиться вікно реєстрації, в якому
необхідно ввести свій логін і пароль. Дуже зручно!
Управління RRAS за допомогою Netsh
Деякими настройками RRAS-сервера можна управляти за допомогою утиліти Netsh
(Network shell). Додати тип перевірки автентичності облікового запису можна при
допомоги команди:
> Netsh ras add authtype PAP | MD5CHAP | MSCHAPv2 | EAP
Для ранніх версій Windows ще й MSCHAP | SPAP. Режим перевірки:
> Netsh ras set authmode STANDARD | NODCC | BYPASS
Зареєструвати комп'ютер як RRAS-сервер в AD:
> Netsh ras add registeredserver
Додати розширення PPP:
> Netsh ras add link SWC | LCP
Розширення SWC забезпечує програмне стиснення, а LCP активує однойменне
розширення протоколу PPP. Типи багатоканального зв'язку підтримуваних PPP:
> Netsh ras add multilink MULTI | BACP
Властивості облікового запису задаються наступним чином:
> Netsh ras set user
> Netsh ras dump> "filename"
> Netsh exec "filename"
Крім цього, дуже багато налаштувань містить контекст "ras aaaa".
PPTP був розроблений ще до створення стандартів IPsec і PKI і в даний
час є найпопулярнішим VPN-протоколом.