Защита доступа к SharePoint с помощью виртуальных частных сетей

Распространенным методом защиты доступа к фермам SharePoint из незащищенных сетей является создание виртуальных частных сетей (Virtual Private Network — VPN). Они по сути представляют собой соединение между двумя частными узлами сети, которое защищено и зашифровано для предотвращения неавторизованного просмотра трафика между этими двумя узлами. С точки зрения клиента VPN выглядит в точности как обычное сетевое подключение к SharePoint — отсюда и название “виртуальная частная сеть”.

Данные, пересылаемые по VPN, инкапсулированы, или упакованы, в пакет с заголовком, в котором указано их назначение. Потом информация пакета шифруется для защиты его содержимого, и затем зашифрованные пакеты пересылаются по сети на сервер назначения с помощью туннеля VPN.

Туннели VPN

Соединение, созданное клиентами VPN в незащищенной сети, называется туннелем VPN (VPN tunnel). Это название возникло потому, что такое соединение как бы использует “туннель” под обычным движением в незащищенной сети.

Туннели VPN логически создаются между двумя указанными точками, но их можно создать и для соединения двух частных сетей в общую сетевую инфраструктуру. Например, во многих случаях туннель VPN выступает в качестве виртуальной связи WAN между двумя физическими местоположениями в организации, чтобы посылать через интернет конфиденциальную информацию. Туннели VPN также широко применяются удаленными пользователями, которые подключаются к интернету из различных мест и устанавливают туннели VPN к централизованному серверу VPN в головном офисе организации. Эти причины делают решения VPN для организаций ценным средством, которое можно легко установить с помощью технологий, имеющихся в Windows Server.

НА ЗАМЕТКУ -

Туннели VPN могут быть добровольными или принудительными. Коротко говоря, добровольные туннели VPN создаются тогда, когда клиент (обычно где-то в интернете) запрашивает создание туннеля VPN. Принудительные туннели VPN автоматически создаются для клиентов из отдельных мест незащищенной сети и в реальных ситуациях встречаются не так часто, как добровольные туннели.

Обзор протоколов туннелирования

Протокол туннелирования — это специальная технология, которая определяет способ инкапсуляции данных, их пересылки и распаковки в соединении VPN. Существуют различные реализации протоколов туннелирования, которые соответствуют различным уровням стандартной эталонной модели OSI (Open System Interconnection — взаимодействие открытых систем). Модель OSI состоит из семи уровней, и протоколы туннелирования VPN используют в качестве единиц обмена уровень 2 или уровень 3. Уровень 2, как более базовый сетевой уровень, использует в качестве единицы обмена кадр, а протоколы уровня 3 используют в качестве единицы обмена пакет.

Наиболее распространенными протоколами VPN уровня 2 являются двухточечный протокол туннелирования (Point-to-Point Tunneling Protocol — РРТР) и протокол туннелирования уровня 2 (Layer 2 Tunneling Protocol — L2TP). Оба эти протокола полностью поддерживаются в Windows Server и, кроме того, встроены в продукты Microsoft Forefront TMG hUAG.

Коротко о протоколах РРТР и L2TP

Оба протокола — и РРТР, и L2TP — основаны на четко определенном протоколе РРР (Point-to-Point Protocol — протокол двухточечного соединения) и широко используются в различных реализациях VPN. В Windows Server для VPN рекомендуется использовать протокол L2TP, т.к. он включает в себя все лучшие черты РРТР и технологии под названием “Layer 2 Forwarding” (Эстафетная передача на уровне 2). L2TP позволяет выполнять инкапсуляцию данных с помощью нескольких сетевых протоколов, в том числе IP, и может применяться для туннелирования через интернет. Для экономии пропускной способности сети полезная нагрузка, т.е. пересылаемые данные, каждого кадра L2TP может быть сжата и зашифрована.

И РРТР, и L2TP основаны на наборе полезных функций, имеющихся в протоколе РРР: аутентификация пользователей, сжатие и шифрование данных и поддержка карт с переменным паролем. Все эти возможности перенесены в более новые реализации и обеспечивают богатый набор функций VPN.