div.main {margin-left: 20pt; margin-right: 20pt} Использование VPN для защиты беспроводных
сетей
Джон Рулей, Журнал
"Windows NT/2000"
В начале 2001 г. компания Microsoft организовала сеть 802.11b для
проведения первой ежегодной конференции Windows Embedded Developers
Conference, в которой приняли участие более 1000 человек. Тестовая сеть
обеспечила для пересылки электронной почты и доступа к слайд-презентациям
на локальном сервере скорость связи 10 Мбит/с. Через proxy-сервер можно
было обратиться в Web. Правда, многие участники обнаружили, что
просматривать информацию на Web-серверах с помощью карманных Pocket PC
почти невозможно (даже через скоростное соединение Ethernet) из-за слишком
малых размеров дисплея. Я потратил больше времени на прокрутку страниц,
чем собственно на чтение. Однако другие участники, использовавшие ноутбуки
с платами PC Card 802.11b для связи с Web-серверами и работы с почтой в
реальном времени, были в восторге.
Мы наблюдаем взрыв технологий беспроводных локальных сетей. В
спецификации 802.11b (также известной как Wi-Fi) и похожем, но менее
скоростном стандарте HomeRF определен протокол беспроводных сетей для
передачи данных и голосовой информации при работе как дома, так и в офисе.
Оба стандарта, как правило, реализуются в виде сетевых интерфейсных плат
для обмена данными не через кабель, а по радио. Выпускаются платы PC Card
для настольных ПК и серверов, а также платы для ноутбуков и мобильных
устройств. В некоторых случаях сетевой интерфейс выполнен в виде внешнего
устройства, подключаемого через USB-кабель непосредственно к
маршрутизатору.
Огромное преимущество беспроводных локальных сетей — свобода.
Пользователи могут беспрепятственно добавлять, удалять и перемещать
устройства — достаточно вставить плату и установить программное
обеспечение. Для работы в сетях некоторых типов может понадобиться
статический IP-адрес, но в DHCP-совместимых сетях это необязательно.
Сетевые технологии 802.11b и HomeRF, обеспечивающие высокую скорость
передачи данных (до 10 Мбит/с), идеально подходят для мобильных
устройств.
К сожалению, в силу природы радиосигналов, спецификации 802.11b и
HomeRF защищены слабо. Этот недостаток можно устранить с помощью
виртуальной частной сети VPN.
27 апреля 2001 г. в газете Wall Street Journal была опубликована статья
«Cекреты Кремниевой долины», посвященная проблеме потенциальной уязвимости
беспроводных локальных сетей. В статье описывается, как два молодых
взломщика путешествовали по Кремниевой долине с ноутбуком и платой
802.11b, подключаясь к сетям таких компаний, как Sun Microsystems, 3Com и
Nortel Networks.
Больше всего меня удивило то, насколько примитивно действовали
взломщики — они просто устанавливали плату 802.11b и получали доступ к
другим ПК в беспроводной локальной сети. Не нужно напрягать воображение,
чтобы представить, с какой легкостью взломщик может проникнуть в мою
собственную сеть HomeRF, в которой я изначально не предусмотрел мер защиты
и разрешил гостевой доступ. Любой человек с ноутбуком, Windows и платой
HomeRF сможет получить доступ к моим данным. Судя по публикации в Wall
Street Journal, сети 802.11b защищены столь же ненадежно.
Технология VPN позволяет задействовать Internet для частной связи безо
всякого риска. Вместо того чтобы устанавливать связь напрямую через
Internet, клиент VPN формирует защищенное соединение с узлом VPN. Он
шифрует пакеты данных, а затем пересылает их по каналам Internet на узел
VPN, где пакеты расшифровываются. Взломщик, перехвативший шифрованные
пакеты в Internet, сможет извлечь из них полезную информацию, только
расшифровав их. Подобная задача рядовому хакеру не по силам.
Для защиты беспроводной локальной сети можно воспользоваться
технологией VPN, встроенной в Windows 2000. В день публикации в Wall
Street Journal я организовал VPN в своей сети HomeRF. Это делается
так.
Установите беспроводную сеть в соответствии с инструкциями
изготовителя.
На каждой клиентской машине Windows 2000 Professional, подключаемой к
беспроводной локальной сети, нужно щелкнуть на кнопке Start, а затем
выбрать пункты Settings, Network and Dial-up Connections. Щелкнув правой
кнопкой мыши на значке беспроводного адаптера, следует выбрать пункт
Properties, а затем убрать флажки Client for Microsoft Networks и File
and Printer Sharing for Microsoft Networks. Необходимо убедиться, что
по-прежнему выбран протокол Internet (TCP/IP), как показано на Экране 1.
На машине Windows 2000 Server нужно выбрать из меню Start пункты
Settings, Network and Dial-up Connections и Make New Connection, чтобы
запустить мастер Network Connection Wizard. Нажав Next, следует
установить флажок Accept incoming connections. На следующем экране
необходимо убедиться, что флажок All connection devices не установлен.
Затем на странице Incoming Virtual Private Connection (входное
соединение VPN) нужно щелкнуть сначала на кнопке Allow Virtual Private
Connection, а затем на Next. Теперь требуется выбрать пользователей,
которым будет разрешен доступ к виртуальному соединению (нельзя
разрешать доступ пользователю Guest). Затем следует убедиться, что
выбраны все сетевые компоненты. На последней странице, где приведено имя
полученного соединения, следует нажать Finish.
На каждом клиенте нужно выбрать Start, Settings, Network and Dial-up
Connections и Make New Connection, чтобы запустить мастер Network
Connection Wizard. Щелкнув на кнопке Next, следует выбрать пункт Connect
to a private network through the Internet. На следующем экране
необходимо ввести имя или IP-адрес сервера DNS, а затем щелкнуть Next.
Можно создать соединения для всех пользователей или только для тех, кто
зарегистрирован. В завершение можно изменить имя соединения и щелкнуть
на кнопке Finish.
На клиентском компьютере появляется окно Connect Virtual Private
Connection. Чтобы завершить организацию соединения, пользователь должен
ввести свое имя и пароль. После этого между клиентом и сервером
устанавливается связь, подобная прямому соединению между машинами в
локальной сети.
Экран 1. Настройка параметров беспроводного адаптера.
В результате данной процедуры просмотр документов, как и работа с
общими файлами и принтерами, происходит через VPN. Взломщик, находящийся
вне здания и располагающий беспроводной платой, может обнаружить сеть, но
не в состоянии прочитать данные, хранящиеся на машинах. Конечно, взломщик
может догадаться о существовании VPN и попытаться получить доступ к ней.
Но для этого необходимо отгадать имя пользователя и пароль. Очевидно, что,
организуя VPN, нельзя разрешать гостевой доступ и назначать пустой пароль.
Кроме того, если, как это часто бывает, в Windows 2000 заданы слишком
очевидные пароли для учетной записи Administrator, настало время изменить
их.
Единственный обнаруженный мною недостаток VPN — невозможность выделять
в общее пользование соединения Internet (ICS): все запросы к Web-серверам
и другие действия, направленные исключительно в Internet, проходят не
через беспроводную сеть, а по каналу VPN. Чтобы исправить этот недостаток,
следует открыть на клиенте страницу Properties созданного соединения VPN,
на закладке Networking выбрать Internet Protocol (TCP/IP) и щелкнуть на
кнопке Properties. Затем необходимо щелкнуть на кнопке Advanced и снять
флажок Use default gateway on remote network (использовать шлюз по
умолчанию в удаленной сети) на закладке General. Щелчком на кнопке OK
закрывается диалоговое окно Advanced TCP/IP Settings. После этого следует
вновь нажать OK, чтобы закрыть диалоговое окно Internet Protocol (TCP/IP)
Properties, и щелкнуть OK в третий раз, закрывая диалоговое окно
Properties соединения VPN. Если соединение активно, на экране появляется
предупреждение «Since this connection is currently active, some settings
will not take effect until the next time youy dial it» («Поскольку данное
соединение активно, некоторые параметры вступят в силу только при запуске
следующего сеанса»). Чтобы изменения были приняты, необходимо дважды
щелкнуть на пиктограмме соединения на панели задач, нажать Disconnect
(разорвать соединение) в появившемся окне Status, а затем вновь установить
связь из программы Network and Dial-up Connections.
Очевидно, что беспроводные локальные сети — естественная область
применения мобильных устройств. Но как защитить Pocket PC или иное
устройство PDA с помощью беспроводной платы Ethernet? В операционной
системе Windows CE 3.0, которая используется как в моделях Pocket PC, так
и в более крупных компьютерах Handheld PC 2000, имеются встроенные функции
VPN, но VPN-клиента производства Microsoft для этих устройств нет.
В белой книге Microsoft «Why Pocket PC?» (http://www.microsoft.com/mobile/
enterprise/papers/why.asp) перечисляются продукты VPN от
независимых поставщиков Certicom и V-One. К сожалению, с помощью решений
Certicom и V-One нельзя подключить устройства Windows CE к VPN на базе
Windows 2000. Для SmartGate VPN компании V-One необходимы фирменные
серверный и клиентский компоненты. Клиент movianVPN компании Certicom
работает с продуктами VPN для корпораций таких крупных поставщиков, как
Alcatel, Axent, Check Point Software Technologies, Cisco Systems, Intel,
Nortel Networks и RADGUARD. Клиент movianVPN совместим не только с
моделями Windows CE, но и с устройствами Palm OS (компания V-One
проектирует версии программы для Palm V и Palm III).
С помощью встроенных функций VPN Windows 2000 можно защитить
беспроводную локальную сеть на базе ноутбуков и настольных компьютеров,
работающих под Windows. Но чтобы обеспечить безопасный доступ к
беспроводной сети с мобильных устройств других типов, необходимы
клиентские и серверные программы независимых поставщиков. Почему же до сих
пор нет «родных» клиентских программ, столь необходимых для подключения
устройств Windows CE к VPN на базе Windows 2000? Этот вопрос к Microsoft
пока остается без ответа.
Джон Рулей
|