Network Access Network (захист доступу до мережі) - це спосіб, яким користується Microsoft для здійснення контролю доступу до мережевих ресурсів на підставі стану системи подключающегося пристрою. Наприклад, у вас лептоп і ви багато місяців перебували в роз'їздах і не підключали свій ноутбук до корпоративної мережі. Немає ніякої гарантії, що за цей час він не був заражений вірусом або шкідливою програмою. Крім того, ви могли і не отримати повідомлення про це.
В такому випадку, коли ви повернетеся в офіс і підключіть свій пристрій до мережі, NAP, відповідно до заданих на одному з ваших серверів налаштувань, автоматично ідентифікує стан його системи. Якщо ваш лептоп не пройде цю перевірку, то буде поміщений в окрему так звану зону відновлення. Там спеціальні сервери оновлень визначать і виправлять виникли проблеми. Ось приблизні варіанти:
· Якщо ваш мережевий екран неактивний і це суперечить заданим налаштувань, то сервери налаштувань приведуть його в дію.
· У тому випадку, якщо ваша політика працездатності передбачає оновлення Windows до останньої версії, а ви цього не зробили, то WSUS-сервер в зоні відновлення сам оновить систему.
Ваш комп'ютер буде повернений в корпоративну мережу лише за умови, що NAP-сервери порахують систему працездатною. Існує чотири способи встановити NAP, кожен з яких має свої плюси:
· VPN. Використання VPN актуально для компаній з віддаленими співробітниками, які працюють вдома на своїх комп'ютерах. Неможливо дізнатися, хто і яку шкідливу програму встановив на ПК, якщо над ним не здійснюється контроль. Якщо ви вирішите скористатися цим методом, то стан системи вашого клієнта буде піддаватися перевірці при кожному запускеVPN-з'єднання.
· DHCP. Якщо ви вирішили вдатися до використання DHCP, то клієнт не отримає діючі адреси мережі до тих пір, поки NAP не оцінить систему як працездатну.
· IPsec - це метод кодування мережевого трафіку з використанням протоколів. Цей метод, хоч і нечасто, але також може бути застосований для установки NAP.
· 802.1х є метод аутентифікації клієнтів на рівні транзисторних ключів. У наш час його досить часто використовують для активації NAP.
Підключення віддаленого доступу
З якоїсь причини Microsoft як і раніше хоче, щоб ви знали про примітивне підключенні віддаленого доступу. Таке підключення використовує аналогову телефонну мережу, також відому як POTS (Plain Old Telephone Line - звичайна аналогова телефонна лінія), для передачі даних з одного комп'ютера на інший. Для цього потрібен модем (акронім, складений зі слів: модулятор і демодулятор). Модем підключається до вашого комп'ютера, використовуючи RJ11 кабель (в більшості випадків), і модулює потоки цифрової інформації з вашого комп'ютера в аналоговий сигнал, який може бути переданий по телефонних лініях. Коли сигнал досягає точки свого призначення, він демоделіруется іншим модемом і перетворюється в цифровий сигнал, зрозумілий для комп'ютера. Для того щоб створити підключення віддаленого доступу, клацніть правою кнопкою миші по іконці стану мережі і виберіть «Центр управління мережами і загальним доступом».
Тепер натисніть «Створення нового підключення або мережі».
Тисніть по «Підключення віддаленого доступу> Далі».
На даному етапі вам потрібно заповнити графи з інформацією.
Віртуальні приватні мережі
VPN- це приватні тунелі, які ви можете створити в рамках публічної мережі, в тому числі інтернет, щоб безпечно підключитися до іншої мережі. Наприклад, ви можете встановити VPN-з'єднання між домашніми пристроями на своєму ПК і корпоративною мережею. Таким чином, буде виникати враження, що комп'ютер з вашої домашньої мережі насправді є частиною корпоративної мережі. Ви навіть можете підключитися до загальних мережних ресурсів так, немов ваш комп'ютер насправді через Ethernet-кабель підключили до робочої сітці. Єдина помітна різниця - це швидкість: замість гигабита Ethernet-швидкості ви отримуєте швидкість свого високошвидкісного підключення.
У вас, ймовірно, виникне питання: наскільки такі «приватні тунелі» в мережі безпечні? Чи означає це, що кожен може бачити вашу інформацію? Ні, не кожен, так як ми кодируем свої дані, що відправляються черезVPN-з'єднання. Звідси і назва - віртуальна «приватна» мережу. Вибір протоколу для шифрування даних залишається за вами; ось що може запропонувати Windows 7:
· Point- to- Point Tunneling Protocol (PPTP) - протокол тунелювання точка-точка. PPTP дозволяє «упаковувати» мережевий трафік в IP-заголовок і відправляти його по IP-мережі, в тому числі інтернету.
- Інкапсуляція: PPP-кадри формуються вIP-датаграмму шляхом використання модифікованої версії протоколу GRE.
- Кодування: PPP-кадри кодуються через Microsoft Point-to-Point Encryption (MPPE). Ключі шифрування генеруються під час механізму аутентифікації, коли використовується друга версія MS-CHAP або EAP-TLS.
· Layer 2 Tunneling Protocol (L2 TP) - це протокол захищеного тунелювання, який призначений для передачі PPP-кадрів і використовує протокол Internet, а також частково ґрунтується на PPTP. На відміну від PPTP, Microsoft-варіант L2TP не використовує PPP-кадри для шифровки MPPE. L2TP для кодування сервісів в свою чергу застосовує IPsec вTransport Mode. Комбінація L2TP і IPsec також відома як L2TP / IPsec.
- Інкапсуляція: спочатку PPP-кадри «загортаються» в L2TP заголовок, а потім - в UDP. У підсумку результат инкапсулируется з використанням IPSec.
- Кодування: L2TP-повідомлення шифруються в AES або 3DES з використанням ключів, отриманих в результаті процесу узгодження IKE.
· Secure Socket Tunneling Protocol (SSTP) - це протокол тунелювання, який використовує HTTPS. У ситу того, що TCP Port 443 відкритий для більшості корпоративних систем мережевого захисту, він відмінно підійде для країн, в яких заборонені традиційні VPN-з'єднання. Крім того, SSTP дуже безпечний, тому що для шифровки використовує SSL-протоколи.
- Інкапсуляція: PPP-кадри формуються вIP-датаграми.
- Кодування: SSTP-повідомлення кодуються з використанням SSL.
· Internet Key Exchange (IKEv2) - це протокол тунелювання, який використовує IPsec Tunnel Mode протокол в межах UDP port500.
- Інкапсуляція: IKEv2 инкапсулирует датаграми в IPsec ESP або AHзаголовкі.
- Кодування: повідомлення кодуються AES або 3DES cіспользованіем ключів, отриманих в результаті процесу узгодження IKEv2.
вимоги сервера
На замітку: у вас можуть бути і інші операційні системи, але ми говоримо про умови запуску VPN-сервера в рамках Windows.
Для того щоб інші користувачі могли створити VPN-з'єднання в вашій мережі, вам потрібен Windows-сервер. Крім того, буде потрібно установка наступних ролей:
· Routing and Remote Access (RRAS) - маршрутизація іудаленний доступ
· Network Policy Server (NPS) - сервер політики мережі
Вам також доведеться встановити DHCP або статичний пул IP-адрес.
Створення VPN-з'єднання
Для того щоб підключитися до VPN-сервера, клікніть правою кнопкою миші по іконці стану мережі і виберіть «Центр управління мережами і загальним доступом».
Тепер натисніть «Створення нового підключення або мережі».
Виберіть «Підключитися до робочого простору» і клікайте «Далі».
Тепер потрібно вибрати «Використовувати чинне високошвидкісне підключення».
На даному етапі вам потрібно ввести IP або DNS VPN-сервера мережі, до якої планується отримати доступ, і натиснути «Далі».
Введіть ваше ім'я користувача та пароль, потім натисніть «Підключитися».
Після того, як з'єднання буде встановлено, його стан буде відображено у вкладці «Статус мережі».
Спонсором новини виступає креативна веб-майстерня "Ранок" яка займається розробкою і створенням сайтів в Одесі . Ефективно, швидко і якісно - фахівці делаеют проекти, які приносять прибуток.
У вас, ймовірно, виникне питання: наскільки такі «приватні тунелі» в мережі безпечні?Чи означає це, що кожен може бачити вашу інформацію?