системе в Internet, брандмауэр или маршрутизатор заново формирует пакеты запросов таким образом, чтобы клиентская система оставалась анонимной. Устройство NAT запоминает адреса источника и приемника запроса. После этого оно заменяет оригинальный адрес клиента собственным адресом (или одним из заранее подготовленных адресов) и пересылает запрос на целевую станцию. Когда целевая станция отвечает, устройство NAT устанавливает, от какого клиента был отправлен запрос, и посылает ему поступивший ответ. Маскируя адреса всех систем во внутренней сети и предотвращая прямые соединения между локальной системой и неизвестной системой в Internet, технология NAT снижает риск несанкционированного проникновения и взлома внутренних систем. Комбинация протокола Layer Two Tunneling Protocol (L2TP) и IP Security (IPSec) предлагает еще более надежную защиту коммуникаций. В отличие от NAT, когда пакеты просто переформатируются с использованием новых адресов источника или приемника, соединения L2TP шифруются и подчиняются политике IPSec, в соответствии с которой требуется взаимная аутентификация конечных точек соединения с помощью общих паролей или сертификатов. До недавнего времени операционные платформы Microsoft не поддерживали использование L2TP-соединений в комбинации с NAT. Для улучшения взаимодействия систем Windows XP и Windows 2000 с системами Windows Server 2003 компания Microsoft не так давно выпустила обновление платформ XP и Windows 2000, благодаря которому клиент способен создавать безопасные IPSec-подключения к серверу Windows 2003 в ситуации, когда сам клиент находится за брандмауэром или маршрутизатором, на которых запущена NAT. Это означает, что клиенты во внутренней сети могут создавать безопасные, шифрованные подключения к системам в Internet и при этом оставаться анонимными для любой системы, находящейся между брандмауэром и целевой станцией.

В документации не сказано, можно ли будет использовать новую функцию при работе с серверами Windows 2000, в которых допускается применение соединений L2TP, но представляется логичным допустить, что данное расширение сможет сосуществовать как с Windows 2003, так и с Windows 2000. Кроме того, можно отметить еще несколько важных аспектов нового обновления.

  • Метод реализации соединений L2TP за брандмауэром обусловлен двумя спецификациями Internet Engineering Task Force (IETF): документом Request for Comments (RFC) 3193 и проектом (финальная версия пока не завершена) IETF NAT-T. Эти два стандарта описывают, как должны взаимодействовать NAT и L2TP.
  • Обновление L2TP/IPSec означает использование более сильного алгоритма шифрования с длиной ключа 2048 разрядов, что позволяет системам XP и Windows 2000 выбирать наиболее безопасные подключения

с серверами Windows 2003. Нужно иметь в виду, что придется выполнить модификацию реестра сервера Windows 2003 для поддержки указанного алгоритма шифрования. Необходимо открыть раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesRasManParameters и добавить параметр NegotiateDH2048 (тип REG_DWORD), установив его значение в 1. После этого, я полагаю, следует перезапустить RRAS.

  • В текущем расширении обновлена утилита IPSecmon, с помощью которой в реальном времени выполняется мониторинг активных подключений IPSec. Новая версия дает возможность строить трассу подключений L2TP/NAT для Windows 2003 и XP, но не для клиентов Windows 2000.
  • Обновленный IPSec-монитор может некорректно отображать параметры политики Windows 2003 IPSec. Как следует из документации, группа DH2048 будет показана как 268435457, а имена динамических фильтров на базе DHCP и WINS вовсе не будут отображаться.
  • Утилита XP IPSeccmd также доработана, регистрация с помощью Internet Key Exchange (IKE) динамически включается и отключается, данные назначенной политики динамически выводятся на экран, а также предоставляется возможность описать постоянно действующую политику IPSec. Если на момент установки расширения L2TP/NAT утилита IPSeccmd уже присутствовала на компьютере пользователя, программа Setup автоматически произведет обновление версии этой утилиты. Работать с оригинальной версией утилиты в обновленной системе невозможно.

Описываемое расширение можно установить в системе XP Service Pack 1 (SP1) и Windows 2000 с сайта Windows Update (http://windowsupdate.microsoft.com). Microsoft официально выложила это расширение как рекомендованное обновление 28 мая 2003 г.; ссылочная информация приведена в статье «L2TP/IPSec NAT-T Update for Windows XP and Windows 2000» (http://support.microsoft.com/?kbid=818043). Чтобы загрузить данное программное обеспечение и протестировать в лабораторных условиях, нужно воспользоваться ссылкой Windows Update Catalog, затем выбрать нужную операционную систему и указать в поисковой строке NAT. После этого необходимо перезагрузить компьютер, чтобы быть уверенным, что все системные файлы заменены. Если впоследствии обновление понадобится удалить, нужно будет открыть в Control Panel приложение Add/Remove, выбрать Windows 2000 Hotfix (SP5) Q818043 и щелкнуть Remove. Если планируется обновить станции клиентов выпущенным расширением, требуется открыть следующие порты NAT для обоих концов подключения L2TP:

  • L2TP-части подключения необходимы порты UDP Port 500 и UDP Port 1701;
  • Nat-T-часть подключения использует UDP Port 4500;
  • ESP-шифрование подключения задействует TCP Port 50.

Если после настройки брандмауэров на обоих концах соединения возникают трудности при создании L2TP-подключения, проблема может быть в существовании промежуточного брандмауэра ISP-провайдера компании. Нужно будет договориться об открытии трафика через названные выше порты.

Поделитесь материалом с коллегами и друзьями