Инфраструктура служб проверки подлинности, авторизации и учета
Ограничение трафика, маршрутизируемого с VPN-клиентов
Как только VPN-клиент успешно установит PPTP- или L2TP-подключение, по умолчанию любой пакет, отправленный через это подключение, будет получен и перенаправлен VPN-сервером. Пакетами, отправляемыми через соединение, могут быть:
- Пакеты, созданные на компьютере-клиенте удаленного доступа.
- Пакеты, отправленные на компьютер-клиент удаленного доступа с других компьютеров.
Когда компьютер-клиент удаленного доступа устанавливает VPN-подключение, по умолчанию он создает маршрут, таким образом весь трафик, маршрут которого совпадает с этим маршрутом, отправляется через VPN-подключение. Если другие компьютеры перенаправляют данные на VPN-клиент удаленного доступа, используя компьютер-клиент удаленного доступа в качестве маршрутизатора, этот трафик также будет отправлен через VPN-подключение. Это представляет собой угрозу безопасности, так как компьютер, пересылающий данные VPN-клиентам удаленного доступа, не проходит проверку подлинности на VPN-сервере. Компьютер, пересылающий данные VPN-клиентам удаленного доступа, имеет такой же доступ к сети, как и компьютер-клиент удаленного доступа, прошедший проверку подлинности.
Чтобы предотвратить отправку через VPN-сервер данных компьютеров не являющихся компьютерами VPN-клиентов удаленного доступа, настройте фильтры пакетов политики удаленного доступа, которая используется для Ваших VPN-подключений.
Для Фильтров выхода (From client filter) укажите действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Deny all traffic except those listed below) и настройте единственный фильтр в соответствии с параметрами, указанными в Таблице 2.
Таблица 2 – Настройки Фильтров выхода.
| Поле фильтра | Значение |
|---|---|
| IP-адрес исходной сети (Source Address) | IP-адрес пользователя |
| Маска исходной сети (Source Network Mask) | Маска сети пользователя |
| IP-адрес сети назначения (Destination Address) | Любой (Any) |
| Маска сети назначения (Destination Network Mask) | Любой (Any) |
| Протокол (Protocol) | Любой (Any) |
Для Фильтров входа (To client filter) укажите действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Deny all traffic except those listed below) и настройте единственный фильтр в соответствии с параметрами, указанными в Таблице 3.
Примечание
Хотя в оснастке Маршрутизация и удаленный доступ отображаются поля Адрес пользователя (User's address) и Маска пользователя (User's mask), текущий фильтр создан для всех IP-адресов, присвоенных клиентам удаленного доступа, и маски подсети 255.255.255.255.
Таблица 3 – Настройки Фильтров входа.
| Поле фильтра | Значение |
|---|---|
| IP-адрес исходной сети (Source Address) | Любой (Any) |
| Маска исходной сети (Source Network Mask) | Любой (Any) |
| IP-адрес сети назначения (Destination Address) | IP-адрес пользователя |
| Маска сети назначения (Destination Network Mask) | Маска сети пользователя |
| Протокол (Protocol) | Любой (Any) |
C таким набором фильтров IP-пакетов VPN-сервер будет отклонять весь трафик, отправляемый через VPN-подключение, кроме пакетов, созданных или отправленных VPN-клиентами удаленного доступа, прошедшими проверку подлинности.