Использование сервера удаленного доступа для обслуживания VPN-подключений
Сервер удаленного доступа под управлением Windows Server 2003 может обслуживать VPN-подключения, выступая в качестве VPN-сервера. Необходимо понимать, что фактически речь идет о все том же удаленном доступе к ресурсам корпоративной сети. Однако, в отличие от обычного удаленного доступа, взаимодействие клиента и сервера осуществляется по защищенному каналу, который реализуется за счет использования специальных протоколов туннелирования. Использование механизма виртуальных частных сетей (VPN) оправдано в ситуации, когда нельзя исключать риск перехвата конфиденциальных данных (например, если взаимодействие с удаленным клиентом реализуется через открытые общественные сети).
Если администратор планирует использовать сервер удаленного доступа для обслуживания VPN-подключений, он должен определить, какой из протоколов туннелирования будет использоваться для создания защищенного канала. Администратор должен выбрать между протоколом РРТР и протоколом L2TP. Протокол РРТР поддерживается всеми клиентами Microsoft (в том числе старыми версиями Windows). Минусом этого протокола является отсутствие механизмов, гарантирующих целостность передаваемых данных и подлинность участников соединения.
Протокол L2TP свободен от этих недостатков. В целом он является более предпочтительным вариантом, нежели протокол РРТР. Протокол L2TP базируется на использовании протокола IPSec, поддержка которого реализована в операционных системах Windows 2000/XP и Windows Server 2003. Для использования протокола L2TP на других Windows-платформах (Windows 98/ME и Windows NT 4.0) требуется специальный клиент – Microsoft L2TP/IPSec Client, свободно доступный по адресу http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/12tpclient.asp.
Если администратором в качестве средства создания защищенного канала был выбран протокол туннелирования L2TP, он должен определить, как именно будет осуществляться взаимная аутентификация участников VPN-соединения. Протокол IPSec, поверх которого функционирует протокол туннелирования L2TP, поддерживает два способа аутентификации участников соединения: цифровые сертификаты (речь идет о цифровых сертификатах, назначаемых компьютерам) и разделяемый ключ (pre-shared key). С точки зрения безопасности более надежным способом является использование цифровых сертификатов.
Для получения цифровых сертификатов в корпоративной сети должна быть развернута служба сертификации (PKI). Если взаимодействие с удаленными пользователями строится через открытую общественную сеть (такую, как Интернет), необходимо позаботиться о том, чтобы настройки корпоративного брандмауэра разрешали прохождение VPN-трафика. В противном случае удаленные пользователи не смогут создать VPN-соединение с сервером удаленного доступа.