Виртуальная частная сеть предлагает второе подключение между клиентом и сервером, полностью защищенное и основанное на двух сторонах, которые соединяются, имея некоторое представление друг о друге. Как правило, виртуальная частная сеть поддерживает выделенный протокол типа PPTP (Point-to-Point Tunneling Protocol – протокол передачи данных между узлами). В итоге сеанс связи начинается с того, что вы дозваниваетесь Internet-провайдеру, чтобы получить доступ к Internet с помощью протокола TCP/IP, а затем используете виртуальную частную сеть для создания второго подключения посредством протокола PPTP.

Инсталляция поддержки для виртуальной частной сети и создание VPN-подключения

Мы уже обсудили создание разных аппаратных, программных и сетевых подключений. Процесс создания VPN-подключения похож на прямое кабельное подключение. Нужно изменить только один параметр – см. раздел «Прямое кабельное подключение» главы 18. Когда вы захотите установить VPN-соединение, используйте процедуру, описанную в разделе «Подключение удаленного доступа» главы 18.

Требования безопасности для виртуальных частных сетей

Когда вы создаете VPN-соединение, необходимо не только подключение на обоих концах, но и план обеспечения безопасности сети. Каждый раз, когда вы открываете новый метод соединения для вашей компании, какой-нибудь хакер планирует воспользоваться этой «дырой» в вашей системе безопасности. Виртуальная частная сеть не меньше других привлекает внимание злоумышленников.

В главе 22 описаны все процедуры, необходимые для защиты системы. В любом случае вам нужно знать, что защищать и от кого. Когда вы создаете VPN-соединение с компьютерной системой, убедитесь, что доступ к ней могут получить только те, кто его запрашивает. Вам придется потратить время на то, чтобы приучить пользователей применять соответствующий пароль, и разработать локальную стратегию защиты машины, для которой требуются сложные пароли: чем более сложным для взлома будет пароль, тем больше времени понадобится хакеру на получение доступа.

Учтите, что даже самая лучшая в мире система безопасности не остановит того, кто действительно захочет взломать вашу систему. При желании хакеры найдут щель в вашей броне, поэтому лучше всего поискать в системе признаки несанкционированного входа. Взломщики часто стирают файлы или фальсифицируют регистрационную запись, чтобы замести следы. Необходимо проверять регистрационные записи, которые указывают на ненормальное использование. Например, если Джейн внезапно стала работать дома ночью, следует спросить ее, действительно она работает или просто кто-то применяет ее учетную запись. Многие пользователи не догадываются, что кто-то другой эксплуатирует их учетную запись, и это обнаруживается, только если вы спросите.

Другое средство защиты хранит вашу виртуальную частную сеть отключенной, когда вы с ней не работаете. Если вы управляете небольшой фирмой и планируете сделать перерыв на несколько дней, отключите VPN. Хакерам нравится атаковать системы, когда никого нет дома, так что вы сможете частично помешать их попыткам, убедившись, что доступ к сети закрыт, прежде чем уехать.

Служба управления доступом в Internet

В Windows XP есть свойство, революционное в сфере доступа в Internet для домашних пользователей и сотрудников небольших фирм, где имеются несколько компьютеров. Это свойство называется Служба управления доступом в Internet (Internet Connection Sharing – ICS). В прежние времена при попытке перейти в интерактивный режим мне приходилось сначала связываться с пользователями других компьютеров, работающими в офисе (у нас было только три линии связи), чтобы убедиться, что линия, оставленная для модема, свободна. С появлением службы управления доступом в Internet такие проблемы исчезли. Все могут использовать одну и ту же линию, чтобы подключиться к Internet.

ICS способна повлиять также на другие компьютеры и полностью отключить связь. Даже если вам удастся запустить сервер ICS и соединение между другими компьютерами не нарушится, ICS может дальше работать некорректно. Служба управления доступом в Internet – это приложение, созданное для того, чтобы помочь домашним пользователям или небольшим компаниям с одноранговой сетью сделать систему более продуктивной.

Способ работы Службы управления доступом в Internet заключается в том, что один компьютер функционирует как сервер связи. Каждый раз, когда кто-нибудь посылает внешний запрос, он применяет модем или другие устройства связи, подключенные к этому компьютеру. ICS направляет запрос на подключение к Internet по сети от машины-клиента на сервер, а затем по модему компьютера-сервера в Internet. В итоге вы используете один компьютер в качестве промежуточного узла связи между компьютерами вашей сети и Internet.

Прежде чем вы сможете задействовать ICS, нужно выполнить несколько настроек для вашего компьютера. Во-первых, все компьютеры, которые будут применять ICS-соединение, должны иметь подключение к сети, и на них необходимо установить протокол TCP/IP. Во-вторых, следует инсталлировать какой-нибудь браузер, например Internet Explorer (версии 3.x и выше) или Netscape Communicator (версии 3.x и выше). Также для ICS-сервера потребуется подключение к Internet.

Теперь, вероятно, вы хотите узнать, как данный способ влияет на сервер, сеть и подключение в целом. Вы обнаружите некоторое снижение производительности сервера, поскольку это имеет прямое отношение к его работе в фоновом режиме. Тем не менее даже в сети с тремя компьютерами, осуществляющими одновременные соединения, я не заметил значительного снижения производительности, поскольку для этой задачи обычно используют наименее нагруженный компьютер.