„Проектиране на корпоративна vpn мрежа
Изтегляне 2.17 Mb.
|
- Навигация на страницата:
- VPN администриране
| 9.3 Remote Access Policy Profile Packet Filtering
Политиките за отдалечен достъп, които дефинират оторизационните ограничения (constraints) и тези върху конекцията, могат да се използват, за да се определи група филтри за IP пакети, които да се приложат за remote access връзки. Когато конекцията е приета, пакетните филтри определят какви типове IP трафик са разрешени от и към VPN клиента. Това филтриране може да се използва за extranet конекции (extranet е част от мрежата на една организация, която е достъпна за потребители извън организацията) и да се създаде политика за отдалечен достъп, която поставя условието, че членовете на т.нар. Partners group могат да достигат Web сървърите на точно определени IP адреси или на точно определени подмрежи. Това свойство може да се използва също и за предотвратяване на изпращане на пакети от отдалечени VPN клиенти, които те не са създали. Когато remote access клиентът прави конекцията, той създава маршрут по подразбиране, така че целият трафик, който пасва на този маршрут, се изпраща през VPN връзката. Ако други машини предават трафик на VPN клиента, използвайки го като router, то този трафик също ще се предаде през VPN конекцията. Това е проблем в сигурността, защото VPN сървърът не е автентицирал компютъра, който предава трафик към клиента, а на практика той има същия достъп до мрежата като този на вече автентицирания VPN клиент. За да се предпази сървъра от получаване на трафик през конекцията от компютри различни от тези, които са минали authentication, трябва да се конфигурират пакетни филтри за отдалечен достъп на remote access политиката, която VPN конекцията използва. Remote access политиката по подразбиране за Windows Server 2003 се нарича Connections to Microsoft Routing and Remote Access server и вече има коректните входни пакетни филтри за тази конфигурация. VPN администриране За избора на VPN технология е важно да се разгледат и някои администраторски въпроси. Големи мрежи трябва да съхраняват информация за всеки потребител и да предоставят directory service-и, така че администраторите и приложенията да могат да добавят, променят и четат тази информация. За да не се правят множество акаунти на различни сървъри, които трябва да се синхронизират помежду си, повечето администратори правят база данни за потребителски акаунти на directory сървър, RADIUS сървър или primary domain контролер. Като използва директорийната услуга Active Directory като база данни за акаунти, VPN-и, базирани на Windows Server 2003 стават т.нар. single sign-on решения, т.е. едни и същи credentials се използват за двете VPN връзки за логване към домейна на организацията. Изтегляне 2.17 Mb. Сподели с приятели:
|