Geum.ru

Установка и настройка программы. 6 Лицензия на число клиентов. 49 Регламентное тестирование системы «Net-pro» 50 приложение задание узлов и сетей. 55

Вид материалаРегламент

Содержание


Установка и настройка программы. Размещение VPN-сервера. Сетевые интерфейсы.
Разрешение имен и использование DNS на VPN-сервере.
Передача UDP датаграмм через VPN-сервер.
Преобразование адресов (port-mapping).
Подобный материал:
1   2   3   4   5   6   7   8   9

Установка и настройка программы.

  1. Размещение VPN-сервера. Сетевые интерфейсы.



Для обеспечения надежной защиты внутренних сетей VPN-сервер рекомендуется устанавливать на специально выделенном для этой цели компьютере, оснащенном двумя (или более) сетевыми интерфейсами: по одному (или более) сетевому интерфейсу осуществляется подключение сервера к защищаемой локальной сети (внутренний интерфейс), а по другому - к внешней сети общего пользования (внешний интерфейс).

Наличие двух и более сетевых интерфейсов позволяет:
  • предотвращать прямой доступ (минуя VPN-сервер) из внешней сети во внутреннюю и наоборот;
  • скрывать IP адреса внутренней сети; это обеспечивает дополнительную защиту от несанкционированного доступа из внешней сети во внутреннюю и позволяет свободно реализовывать во внутренней сети собственную адресную политику (использовать незарегистрированные IP адреса);
  • предотвращать IP «спуфинг».



При использовании VPN-сервера совместно с межсетевыми экранами рекомендуется устанавливать сервер между защищаемой локальной сетью и межсетевым экраном, настроенным следующим образом:
  • входящие TCP соединения (из внешней сети) разрешены только с адресом внешнего интерфейса VPN-сервера и портом VPN-сервера (по умолчанию порт 1080);
  • исходящие TCP соединения (во внешнюю сеть) разрешены только с адреса внешнего интерфейса VPN-сервера;
  • входящие UDP датаграммы разрешены на адрес внешнего интерфейса VPN-сервера;
  • исходящие UDP датаграммы разрешены с адреса внешнего интерфейса VPN-сервера.

    1. Разрешение имен и использование DNS на VPN-сервере.



В целях безопасности ресурсы, расположенные внутри локальной сети, могут использовать незарегистрированные IP адреса и не регистрироваться на общедоступных DNS серверах. Как в этом случае осуществляется доступ к ним из внешней сети?

Протокол SOCKSv5 позволяет пользователю запрашивать у VPN-сервера ресурс по его имени.

При получении запроса от клиента процедура разрешения имени ресурса на VPN-сервере выполняется следующим образом:
  • в списке псевдонимов узлов/сетей (см. п. 3.11.1), сформированном при настройке VPN-сервера, осуществляется поиск имени ресурса и соответствующего ему IP адреса (таким образом клиенты могут использовать для доступа к ресурсам имена, не зарегистрированные ни на одном DNS сервере);
  • если имя ресурса в списке псевдонимов узлов/сетей не найдено и в окне «Коммуникации» (см. рис.27) установлен флажок «Использовать DNS», VPN-сервер обращается для разрешения имени к DNS (при необходимости, можно запретить обращение VPN-сервера к DNS серверам, отключая флажок «Использовать DNS»).

    1. Передача UDP датаграмм через VPN-сервер.



Перед отправкой ресурсу UDP датаграмм клиент организует с VPN-сервером TCP соединение, по которому согласовывает условия передачи этих UDP датаграмм. Это соединение называется UDP ассоциацией. После создания UDP ассоциации клиент передает UDP датаграммы на VPN-сервер для их ретрансляции ресурсу и получает от него ответные датаграммы. После разрыва этого соединения клиентом, сервер прекращает прием и ретрансляцию UDP датаграмм для данной ассоциации.

Протокол SSL позволяет защищать TCP соединения и не предназначен для защиты UDP датаграмм. Поэтому аутентификация клиентов и шифрование данных при создании UDP ассоциации с использованием SSL осуществляется аналогично командам «CONNECT» и «BIND», а передача UDP датаграмм производится в открытом виде.

    1. Преобразование адресов (port-mapping).



В программе «Net-PRO VPN Server» реализована функция преобразования адресов для TCP-соединений (port-mapping).

Общая схема установления соединения с преобразованием адресов выглядит следующим образом:

  • пользователь, желающий установить связь с каким-либо сервером в сети, соединяется вместо этого с определенным портом VPN-сервера, которому соответствуют адрес и порт этого целевого сервера, предварительно заданные в настройке сетевого интерфейсаIDH_INTERFACES_SETUP VPN-сервера (см.п.3.11.2);
  • VPN-сервер соединяется с заданным адресом и портом целевого сервера;
  • пользователь и целевой сервер взаимодействуют друг с другом по цепочке соединений, VPN-сервер просто ретранслирует данные.


Если доступ к целевому серверу возможен только через промежуточный SOCKS-сервер, то VPN-сервер эмулирует клиентский SOCKS-запрос на основе заданного адреса и порта целевого сервера и взаимодействует по SOCKS-протоколу с промежуточным SOCKS-сервером от имени клиента.

В отличие от SOCKS-протокола, аутентификация пользователя при установлении соединения с преобразованием адресов невозможна, а данные между пользователем и VPN-сервером передаются только в открытом виде. Поэтому данный режим можно использовать лишь для соединений пользователей внутренней сети с открытыми ресурсами внешней сети или с защищенными ресурсами другой внутренней сети через промежуточный VPN-сервер (при объединении локальных сетей), а также для соединений пользователей внешней сети с каким-либо открытым ресурсом внутренней сети.

Функция преобразования адресов необходима в случаях, когда установка пакета «Net-PRO VPN Client» или других программ-соксификаторов на клиентской стороне невозможна (например, на компьютерах под управлением DOS или Unix) или нежелательна (например, необходимо предоставить доступ всем пользователям внешней сети к какому-либо открытому ресурсу внутренней сети).

В настройке сетевого интерфейсаIDH_INTERFACES_SETUP VPN-сервера задается список «прослушиваемых» VPN-сервером дополнительных портов, каждому из которых соответствует определенный целевой сервер (см.п.3.11.2).