Введение, постановка задачи
Причиной, побудившей заняться описанием данного решения, стало желание ряда
администраторов сетей доступа в интернет увязать между собой атрибуты доступа,
такие как учетная запись и пароль с IP адресом пользователя.
В дополнение к этому часто стоит задача обеспечить несколько
большую защиту от подмены IP или MAC (Media Access Control)
адреса недобропорядочными пользователями сетей, в которых
используется аутентификация только на базе IP адресов или
на базе статических ARP таблиц, ставящих в соответствие IP
адресу соответствующий MAC адрес сетевого адаптера пользователя.
Принципиально решение, которое мы предлагаем, построено на идее организации
виртуального канала, между потребителем и сервером доступа с использованием
существующей IP инфраструктуры. При этом для организации туннеля со стороны
пользователя требуется знание учетной записи и пароля. С точки зрения
администратора защита заключается в следующем: чтобы организовать
виртуальный канал необходимо знать логин и пароль, виртуальный канал
организуется с помощью адресного пространства, отличного от того,
которое применяется в опорной IP сети. Маршрутизация или маскирование
адресов опорной сети на сервере доступа не осуществляется. Поэтому для
доступа к интернет пользователю необходимо организовать канал с адресами,
которые надлежащим образом обрабатываются на маршрутизаторе, а как
указывалось выше сделать это без знания атрибутов доступа не возможно.
Если в обычном случае администратор вынужден в качестве пароля использовать
IP, MAC или их комбинацию, то в данном варианте их место занимают
классические логин и пароль.
Теперь пара слов о том, что в данном случае применятся на
клиентской части (на компьютере пользователя) если уважаемый читатель
думает, что у клиента должно быть установлено какое-либо дополнительно
программное обеспечение, то он заблуждается. Достаточно иметь ОС Windows
и стандартный установочный диск. В качестве VPN клиента используется Windows
VPN адаптер для сетей Microsoft.
Реализация, серверная часть
Реализация данного решения сводится к настройке ПО на
сервере доступа и клиентской части - VPN адаптера на компьютере клиента
под управлением Windows или Linux.
Для успешной настройки Вам понадобится несколько установочных пакетов:
Настройка сети для ОС Windows95,98
Перед настройкой сети вы должны знать основные параметры конфигурации вашего компьютера: IP адрес, маску сети.
Нажмите на кнопку ПУСК,
выберите "Настройка", затем "Панель управления". В появившемся
окне найдите иконку "Сеть" и нажмите на нее. Далее найдите
компонент "TCP-IP" и войдите в его свойства. В окне IP-адрес
выберите "Указать IP-адрес явным образом" и введите ваш IP-адрес
(например 192.168.0.8) и маску подсети 255.255.255.0. Далее в
закладке "Конфигурация DNS" отметьте "Включить DNS", в графу "Имя
компьютера" введите присвоенное вам название, в графе "Домен"
введите powernet.com.ru. Потом в окошке "порядок просмотра
серверов DNS" введите следующий адрес:
192.168.0.1
После этого нажимайте кнопку OK,
компьютер перезагрузится и заработает c новыми настройками.
В самом конце переключите ваш сетевой адаптер в принудительный режим 10Mbit/sec, Half Duplex. Для этого зайдите в меню: Сетевое окружение/Свойства/Свойства сетевого адаптера/Дополнительно.
Каждый компьютер в сети имеет уникальный IP-адрес, по которому он идентифицируется. Этот адрес присваивается при подключении и фиксируется на сервере..
В сети PowerNet существует несколько степеней защиты абонента от несанкционированного использования его сетевого адреса. Первая из них это 'привязка' сетевого адреса к уникальному идентификатору сетевой карты локальной сети (MAC-адресу). Установка данного уровня защиты не требует от абонента никаких дополнительных действий, кроме извещения оператора обо всех изменениях, связанных с заменой карты локальной сети в компьютере пользователя.
Привязка MAC-адреса к сетевому (IP адресу) является весьма эффективным механизмом разграничения доступа, но, к сожалению, она может обходиться путем синхронной подмены обоих адресов. Сразу предупредим потенциальных желающих воспользоваться этим способом, что данное действие подлежит уголовной ответственности, наша организация имеет все необходимые технические средства, позволяющие выявить нарушителя и представить необходимую документальную базу для предъявления обвинения в судебных инстанциях.
Механизм авторизации является вторым уровнем защиты абонента от несанкционированного использования его сетевого адреса и основан на парольной идентификации каждого сеанса работы абонента. Абонент получает доступ в Интернет только после авторизации на сервере PowerNet - Internet Gateway. Для этого он должен обратиться к серверу авторизации по VPN- соединению и ввести свой уникальный логин и пароль.
Очевидно, что для абонентов, использующих VPN - соединение вероятность 'быть взломанными' гораздо ниже, поскольку данные при данном способе подключения - шифруются. Исходя из вышесказанного, единственный способ выхода в интернет под вашим логином - кража пароля с ВАШЕГО КОМПЬЮТЕРА. Именно по этой причине НИКОМУ и НИКОГДА не рассказывайте свой пароль и держите его в недоступном для случайного просмотра месте. Избегайте также заражения различными вирусами, которые могут заниматься воровством паролей.
Настройка VPN клиента под Win2000/XP
Данный пример отображает установку VPN - клиента для операционных систем Windows 2000/XP. В других операционных системах от корпорации Microsoft, настройки выполняются аналогичным образом.
Зайдите в мастер сетевых подключений. После этого, выполните настройки следующим образом:
На рабочем столе появится ярлык с соответсвующим подключением. Кликните на нем 2 раза и увидите следующее окно:
Кликните по кнопке - Свойства. Перейдите в закладку Сеть и выполните настройки следующим образом:
На этом конфигурирование закончено. Осталось только ввести имя пользователя и пароль доступа к Интернет. Соединение происходит по безопасному шифрованному соединению, что значительно усложняет, возможный перехват ваших данных.
Возможно после первого соединения у вас появится такое окно. Сделайте все так, как показанно на рисунке и спокойно работайте.
В системном трее (там где часы) появится монитор соединения, в котором будет отображаться информация о времени проведенном в интернете и колличестве переданных и принятых байт, за текущий сеанс связи.
Компьютер будет прозрачно "общаться" со всеми ресурсами мировой сети, так что дополнительные настройки каких-либо программ не потребуются. Все старые настройки, касающиеся работы прокси-сервера, следует удалить.
Настройка VPN клиента под Win95/98/Me
Данный пример отображает установку VPN - клиента для операционных систем Windows 95/98/Me. В других операционных системах от корпорации Microsoft, настройки выполняются аналогичным образом.
Зайдите в свойства сетевого окружения. После этого, установите, Адаптер виртуальной частной сети Microsoft и Контроллер удаленного доступа.
После установки зайдите в свойства Контроллера удаленного доступа и переключите Размер пакета IP на Малый.
Зайдите в Пуск/Программы/Стандартные/Связь/Удаленный доступ к сети. Создайте новое соединение:
Внимание!!! Если вы поставите галочку, Сохранить пароль, - это увеличит риск кражи вашего пароля, например с помощью вируса класса "троянский конь". Поэтому лучше держите пароль в самом надежном месте - вашей памяти.
На некоторых компьютерах с Win98 возникает следующая проблема: в поле Домен стоит один пробел, поэтому может не опознаваться пароль. Уберите этот невидимый пробел!
Настройки закончены.