Хостинг > Статьи > Пример задачи

Пример задачи

 Предположим, что согласно ТЗ. полученному от IT-директора компании Testco, нам необходимо обеспечить безопасный удаленный доступ в локальную сеть компании 3 группам сотрудников (см. таблицу).

Может быть, данное деление не слишком удачное, ведь оно введено только для демонстрации возможности использования разграничения доступа для пользователей VPN.

Выбор ПО и «железа»

В качестве платформы для сервера мы будем использовать последнюю стабильную версию FreeBSD 6.2. Можно использовать и платформу Windows, но тогда нам понадобится Windows 2003 Enterprise Edition Server, на котором придется поднимать центр сертификации, а поднимать и администрировать ЦС только ради VPN это, на мой взгляд, стрельба из пушки по воробьям. К тому же использование ПО с открытым исходным кодом значительно уменьшает стоимость всего решения.

Почему именно FreeBSD, а не другая UNIX-система? Главным звеном решения является пакет MPD (Multi-link РРР daemon), основа которого - это модули ядра FreeBSD. Использование же MPD в свою очередь обусловлено использованием функционала NAS ACL, о котором будет сказано далее. К сожалению, похожий проект Poptop не имеет данного функционала.

MPD NAS ACL можно использовать только в связке с сервером RADIUS. Из возможных вариантов серверов RADIUS был выбран FreeRADIUS, так как это наиболее популярный и зрелый открытый RADIUS-сервер. Кстати, его использование плюс ко всему дает нам возможность вести учет работы клиентов VPN.

Хранить информацию о пользова телях и группах, а также данные учета их работы будем в БД MySQL.

При желании использовать веб-интерфейс можно прикрутить Dialup-admin, который входит в состав пакета FreeRADIUS, однако этот вопрос выходит за рамки статьи.

В качестве клиентской ОС, конечно же, Windows, иначе зачем использовать РРТР?

Настройки, описанные далее, подойдут как Windows 2000 SP4, так и Windows ХР SP2, так как процесс конфигурирования VPN-соединений для этих ОС практически идентичен.

Для обеспечения двухфакторной аутентификации можно использовать как Aladdin e-token, так и Rainbow iKey. Для достижения более высокого уровня безопасности я советую использовать e-token PR064, так как он умеет работать с ключами длиной в 2048 бит. И поддержка e-token как продукта гораздо лучше, чем поддержка iKey. В этой статье рассматривается именно вариант с e-token PR064.

«Железо» для сервера может быть практически любое, совместимое с FreeBSD. Минимальные требования по «железу» к описанной в этой статье системе - это процессор Celeron со 128 Мб оперативной памяти, далее все зависит от количества клиентов, хотя я все же рекомендую поставить хотя бы 512 Мб оперативной памяти.

 

Хостинг
Home


www.ost-host.ru