Uploaded by esimova.ziyada

Проектирование корпоративной сети VPN

advertisement
CОДЕРЖАНИЕ
Введение ........................................................................................................................... 5
1 Общие вопросы обеспечения информационной безопасности корпоративной сети
........................................................................................................................................... 8
1.1 Постановка задачи ................................................................................................... 8
1.2 Виды защищаемой информации .......................................................................... 10
1.3 Угрозы безопасности информации ...................................................................... 11
1.4 Существующие положения в области обеспечения ИБ .................................... 25
1.5 Выбор средств межсетевой защиты .................................................................... 30
1.5.1 Межсетевые экраны ........................................................................................... 30
1.5.2 Системы обнаружения атак ............................................................................... 30
1.5.3 Виртуальные частные сети ................................................................................ 32
1.6 Выводы по главе .................................................................................................... 33
2 Исследование принципов и особенностей построения VPN сетей....................... 34
2.1 Постановка задачи ................................................................................................. 34
2.2 Исследование принципов работы VPN ............................................................... 34
2.3 Анализ безопасности VPN сетей ......................................................................... 39
2.1 Протоколы группы Chap ....................................................................................... 40
2.4 Виды VPN в Интернете......................................................................................... 42
2.4.1 VPN с удаленным доступом .............................................................................. 43
2.4.2 Интранет VPN ..................................................................................................... 44
2.4.3 Экстранет VPN ................................................................................................... 45
2.5 Технологии VPN .................................................................................................... 46
2.5.1 Сети VPN на основе IPSec ................................................................................. 47
2.5.2 Сети VPN на основе протокола SSL................................................................. 49
2.6 Категории продуктов для создания VPN ............................................................ 51
2.7 Обзор существующих программных решений VPN ......................................... 55
ФРМРМ. 090302 ПЗ
Из. Лист № докум.
Разраб. Бут Е.И.
Пров. Забелин С.Л.
Н.конт
Утв.
Дата
Проектирование
корпоративной VPN сети
Содержание
Лит
у
Лист Листов
2
104
Гр. ИТ-32
2.7.1 ПК «Застава» ....................................................................................................... 55
2.7.2 Шлюзы безопасности ViPNet Coordinator ....................................................... 57
2.7.3 КриптоПро IPsec ................................................................................................. 58
2.7.4 VPN сеть на основе оборудования Cisco Systems ........................................... 59
2.8 Вывод ...................................................................................................................... 60
3 Проектирование корпоративной VPN сети ............................................................. 62
3.1 Постановка задачи ................................................................................................. 62
3.2 Описание технологии OpenVPN .......................................................................... 62
3.3 Состав программного комплекса OpenVPN ....................................................... 66
3.4 Проектирование корпоративной VPN сети ........................................................ 68
3.4.1 Структура корпоративной сети ......................................................................... 68
3.4.2 Установка OpenVPN на Centos 5 ...................................................................... 69
3.5 Вывод ...................................................................................................................... 79
4 Безопасность Жизнедеятельности ............................................................................ 80
4.1 Требования к рабочему месту оператора ПЭВМ ............................................... 80
4.1.1 Общие сведения .................................................................................................. 80
4.1.2 Требования к помещениям ................................................................................ 81
4.1.3 Рабочая поза ........................................................................................................ 82
4.1.4 Антропометрические показатели, учитываемые при организации рабочего
места.............................................................................................................................. 83
4.1.5 Планировка рабочих мест.................................................................................. 84
4.1.6 Излучение ............................................................................................................ 84
4.1.7 Оптимальные и допустимые величины показателей
микроклимата в
производственных помещениях................................................................................. 85
4.2 Расчет освещенности на рабочем месте .............................................................. 86
4.2.1 Общие сведения .................................................................................................. 86
4.2.2 Специфические требования к освещению в помещениях для эксплуатации
средств ВТ .................................................................................................................... 87
4.2.3 Расчёт естественного освещения ...................................................................... 89
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
3
4.2.4 Расчёт искусственного освещения ................................................................... 93
4.3 Вывод ...................................................................................................................... 96
Заключение..................................................................................................................... 98
Список литературы...................................................................................................... 102
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
4
ВВЕДЕНИЕ
В
последнее
время
всё
чаще
передача
корпоративной
информации
осуществляется в электронном виде с помощью сетевых технологий. Однако, если
эта информация
передается через открытую сеть, то она легко может быть
перехвачена злоумышленниками и
быть использованной в корыстных целях. К
корпоративной информации можно отнести коммерческую тайну, персональные
данные граждан и другую информацию ограниченного доступа, содержащуюся в
передаваемом трафике корпоративной сети. Помимо этого могут быть перехвачены
логины и пароли от корпоративной почты или иных сервисов. Поэтому при
организации передачи информации в корпоративной сети на первый план выходит
обеспечение ее безопасности.
Обеспечение информационной безопасности актуально прежде всего для
корпораций
со
сложной,
территориально-распределенной,
многоуровневой
структурой: крупных банков, транснациональных и государственных компаний.
Зачастую корпоративные сети подобных организаций построены с использованием
оборудования различных поколений и от разных производителей, что заметно
усложняет процесс управления ИТ-системой.
Кроме
того,
информационные
структуры
корпораций
отличаются
разнородностью, они состоят из различных баз, наборов распределенных систем и
задач локального характера. Это делает ресурсы корпоративного уровня особенно
уязвимыми. В процессе обмена данными между пользователями организации и
внешним миром сети могут быть поражены вредоносными программами, которые
разрушают базы данных и осуществляют передачу сведений третьим лицам.
Однако сказать, что задача обеспечения информационной безопасности
неактуальна для среднего и малого бизнеса, тоже было бы неверно. Особенно
сегодня, когда бизнес-процессы активно переходят в виртуальное пространство:
оплата товаров и услуг через Интернет, электронная почта, IP-телефония, облачные
хранилища, виртуальные сервера — все это стало типично для современных фирм
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
5
средней руки, как и атаки хакеров, утечка конфиденциальных данных, в том числе
финансовых и т.д.
Наиболее серьезную опасность для ИТ-инфраструктуры сегодня представляют
вирусы (троянское ПО, черви), шпионское и рекламное программное обеспечение,
спам и фишинг-атаки типа «отказ в обслуживании», подмена главной страницы
интернет-ресурса и социальный инжиниринг. Причем источником угроз могут быть
как внешние пользователи, так и сотрудники (часто ненамеренно).
Реализация вредоносных алгоритмов может привести как к парализации
системы и ее сбоям, так и к утере, подмене или утечке информации. Все это чревато
огромными имиджевыми, временными и финансовыми потерями для компании.
Таким образом, главными задачами любой системы информационной
безопасности являются:
 обеспечение доступности данных для авторизированных пользователей —
возможности оперативного получения информационных услуг;
 гарантия целостности информации — ее актуальности и защищенности от
несанкционированного изменения или уничтожения;
 обеспечение конфиденциальности сведений.
Для решения обозначенных целей сегодня применяются такие методы защиты
информации,
как
аутентификация,
регистрация
управление
и
протоколирование,
доступом,
создание
идентификация
межсетевых
экранов
и
и
криптография. Одним из последних способов обеспечения межсетевой защиты
стали виртуальные частные сети - Virtual Private Network (VPN). С их помощью
создаются виртуальные каналы связи поверх сети Интернет. Они дают возможность
соединять локальные сети различных технологий и их сегменты в одну
корпоративную сеть. Но самое главное достоинство, собственно ради чего они и
нужны, это шифрование всего трафика, проходящего по туннелю на канальном
уровне модели OSI. Шифрование обеспечивает защиту от доступа к передаваемой
информации, а инкапсуляция не позволяет злоумышленнику выяснить адресат
передаваемой информации.
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
6
Объектом работы является виртуальная частная сеть (VPN) .
Предметом работы является – корпоративная VPN сеть на базе технологии
OpenVPN.
Цель работы – спроектировать корпоративную VPN сеть на базе технологии
OpenVPN.
Для достижения поставленной цели необходимо решить следующие задачи:
1) Определить общие вопросы безопасности корпоративной сети. Определить
какое место здесь занимает VPN сеть.
2) Рассмотреть принципы организации VPN сети на основе различных
технологий Рассмотреть типы VPN сети и способы их реализации.
Рассмотреть существующие на рынке решения по организации VPN сетей,
преимущества и недостатки конкретных решений.
3) Описать особенности выбранной технологии организации виртуальной
частной сети OpenVPN.
4) Описать особенности и последовательность построения корпоративной
VPN сети на Unix подобной системе.
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
7
1
ОБЩИЕ
ВОПРОСЫ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ
1.1 Постановка задачи
В соответствии с заданием на дипломное проектирование в данном проекте
необходимо спроектировать корпоративную VPN сеть.
Корпоративная сеть (КС) является сложной системой, включающей в себя
разнообразные компоненты: ПЭВМ, системное и прикладное ПО, сетевое
оборудование, линии связи. Корпоративные сети могут иметь сложную топологию и
располагаться в пределах города, области, государства или даже континента. Число
пользователей, хостов и сервером также может измеряться сотнями и тысячами. Для
соединения распределенных локальных сетей или отдельных компьютеров в одну
корпоративную сеть используют различные телекоммуникационные средства: сеть
Интернет,радиоканалы, телефонные каналы, спутниковую связь.
Пример корпоративной сети представлен на рисунке 1.1.
Рисунок 1.1 – Корпоративная сеть
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
8
Основными
задачами
КС
является
взаимодействие
приложений,
расположенных на различных хостах, а также доступ к этим приложениям
удаленных пользователей. Развитая информационная система
корпорации
информации,
позволяет
которые
ей
эффективно
циркулируют
справляться с
между
для любой
обработкой
сотрудниками
и
потоков
принимать
своевременные и рациональные решения, обеспечивающие конкурентоспособность
предприятия.
Основное отличие корпоративной сети от локальной
состоит в том, что
территориально распределенные сети, к которым относится корпоративная сеть,
используют достаточно медленные арендованные линии связи. Поэтому первой
проблемой, которую приходится решать при создании корпоративной сети организация каналов связи. При этом одной из основных статей затрат является
арендная плата за использование каналов, которая быстро растет с увеличением
качества и скорости передачи данных. Это ограничение является принципиальным,
и при проектировании корпоративной сети следует предпринимать все меры для
минимизации объемов передаваемых данных. В остальном же корпоративная сеть
не должна вносить ограничений на то, какие именно приложения и каким образом
обрабатывают переносимую по ней информацию.
Если в пределах одного города можно рассчитывать на аренду выделенных
линий, в том числе высокоскоростных, то при переходе к географически удаленным
узлам стоимость аренды каналов становится просто астрономической, а качество и
надежность их часто оказывается весьма невысокими. Естественным решением этой
проблемы является использование уже существующих глобальных сетей, например,
Интернет. В этом случае достаточно обеспечить каналы от офисов до ближайших
узлов сети. Задачу доставки информации между узлами глобальная сеть при этом
возьмет на себя. Но, кроме низкой скорости и качества передачи, еще одной
проблемой Интернет является ее безопасность. Поэтому второй проблемой при
организации территориально распределенной корпоративной сети является задача
защиты корпоративной информации.
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
9
Для обеспечения безопасности информации в корпоративной сети в к
необходимо среди циркулирующей информации в корпоративной сети выделить ту,
которая относится к информации ограниченного доступа, определить возможные
угрозы, воздействующие на данную информацию а также определить возможные
методы защиты.
1.2 Виды защищаемой информации
Определим информацию, которая подлежит защите в корпоративной сети.
С точки зрения защиты информацию можно разделить на две группу:
- Информация ограниченного доступа;
-Открытая информация.
Согласно статье 9 ФЗ N149-ФЗ [6] к информации ограниченного доступа
относят следующую информацию (таблица 1).
Таблица 1.1 – Сведения, отнесенные к категории ограниченного доступа
Сведения
категории
ограниченного доступа
Государственная тайна
Основания отнесения сведений
к категории ограниченного доступа
Статья 5 Закона РФ
государственной тайне"
от
21.07.1993
N
5485-1
"О
Указ Президента РФ от 30.11.1995 N 1203 "Об утверждении
Перечня сведений, отнесенных к государственной тайне"
Коммерческая тайна
Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой
тайне"
Статья 12 Федерального закона от 28.11.2011 N 335-ФЗ "Об
инвестиционном товариществе"
Персональные
данные Статья 7 Федерального закона от 27.07.2006 N 152-ФЗ "О
(любая
информация, персональных данных"
относящаяся прямо или
косвенно
к
определенному
или
определяемому
физическому
лицу
(субъекту персональных
данных))
Коммерческая
организации,
тайна,
которые
это
имеют
Из. Лист № Докум. Подпись Дата
сведения
любого
потенциальную
характера,
коммерческую
ФРМРМ.090302 ПЗ
касающиеся
ценность
для
Лист
10
организации за исключением сведений, которые не могут быть отнесены к
коммерческой тайне в соответствии с Федеральным законом N 98-ФЗ.
Согласно Федеральному закону №152-ФЗ [5] к персональным данным (ПДн)
могут быть причислены любые сведения, относящиеся
прямо или косвенно
определенному физическому лицу (субъекту персональных данных).
1.3 Угрозы безопасности информации
Информация подлежит защите от каких-либо видов угроз.
Под угрозой (вообще) обычно понимают потенциально возможное событие,
действие (воздействие), процесс или явление, которое может привести к
нанесению ущерба чьим-либо интересам.
Под угрозой безопасности в КС понимают событие или действие, которое
может привести к нарушению защищенности информации в данной системе.
Уязвимость КС – некое свойство, присущее системе, делающее возможным
возникновение и реализации угрозы.
Атака – действие, производимое злоумышленником и направленное на
реализацию угрозы. Действие заключается в поиске какой-либо уязвимости КС и
собственно в исполнении атаки.
Результатами атак являются:
- нарушение конфиденциальности информации;
- нарушение целостности информации;
- нарушение доступности информации.
Существует классификация по характеру действий, используемых в атаке:

"черные ходы" (Backdoors) — атаки, основанные на использовании
недокументированных разработчиками возможностях ПО, которые могут привести
к выполнению пользователем несанкционированных операций на атакуемом
сервере;
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
11

атаки типа "отказ в обслуживании" (Denial of Service, или DoS) — атаки,
основанные на использовании ошибок, позволяющие атакующему сделать какойлибо сервер недоступным для легитимных пользователей;

распределенные атаки типа "отказ в обслуживании" (Distributed Denial of
Service) — несколько пользователей (или программ) посылают большое количество
фиктивных запросов на сервер, приводя последний в нерабочее состояние;

потенциально незащищенная операционная система (OS Sensor);

неавторизованный доступ (Unauthorized Access Attempts).
Другой подход был применен в классификации, использованной в достаточно
известном
программном
безопасности
серверов.
продукте
Здесь
Nessus,
используется
предназначенном
классификация
для
"по
анализа
характеру
уязвимости", используемой для реализации атаки:

"черные ходы" (Backdoors);

ошибки в CGI скриптах (CGI abuses);

атаки типа "отказ в обслуживании" (Denial of Service);

ошибки в программах — FTP-серверах (FTP);

наличие на компьютере сервиса Finger или ошибки в программах,
реализующих этот сервис (Finger abuses);

ошибки в реализации межсетевых экранов (Firewalls);

ошибки, позволяющие пользователю, имеющему терминальный вход на
данный сервер, получить права администратора (Gain a shell remotely);

ошибки,
позволяющие
атакующему
удаленно
получить
права
администратора (Gain root remotely);

прочие ошибки, не вошедшие в другие категории (Misc); ошибки в
программах — NIS-серверах (NIS);

ошибки в программах — RPC-серверах (RPC);

уязвимости, позволяющие атакующему удаленно получить любой файл
с сервера (Remote file access);

ошибки в программах — SMTP-серверах (SMTP problems);
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
12

неиспользуемые сервисы (Useless services).
Приведем ниже отчеты по статистике угроз основных компаний, связанных с
защитой от сетевых угроз. Например, согласно отчету лаборатории Касперского в
2013 году (приведем для сравнения с прошлым, 2015 годом ) в течение года ITинфраструктура 95% российских организаций как минимум один раз подверглись
внешней атаке.
Основную угрозу составляет вредоносное ПО (вирусы, черви, шпионское ПО
и т.п.) — его назвали 71% представителей всех компаний. На втором месте спаматаки, которые отметили 67% компаний, а тройку лидеров в рейтинге основных
угроз замыкают фишинговые атаки с показателем 26%.
Рисунок 1.2 - Рейтинг основных внешних угроз
В 2015 году ситуация меняется. Согласно информационному бюллетеню
лаборатории Касперского по анализу статистики угроз за 2015 год были выделены
следующие тенденции:
 значительно выросла доля рекламного ПО по сравнению с вредоносным.
В рейтинге веб-угроз 2015 года лаборатории Касперского представители
этого класса программ занимают двенадцать позиций в TOP 20. В
течение года
рекламные
программы
и
их
компоненты
были
зафиксированы на 26,1%.
 растет доля относительно несложных программ. Такой подход позволяет
злоумышленникам быстро
обновлять вредоносное
ПО, чем и
достигается эффективность атак.
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
13
 возрастают атаки на платформы Android
и Linux: для этих платформ
созданы и используются практически все виды вредоносных программ.
 в ходе
своей
современные
деятельности
технологии
киберкриминал
анонимизации
–
активно
Tor
использует
для
сокрытия
командных серверов и Биткойны для проведения транзакций.
В 2015 году у вирусописателей выросла популярность эксплойтов для
Adobe Flash Player.
Гистограмма количества зараженных компьютеров для трех основных типов
вредоносных атак (зловредов, нацеленных на финансовый сектор, программвымогателей, программ-шифраторов) приведена на рисунке 1.3.
Доля зараженных компьютеров
400000
350000
300000
250000
200000
150000
100000
50000
0
Банковские
программы
Программышифраторы
Программывымогатели
Рисунок 1.3 - Гистограмма количества зараженных компьютеров для трех основных
типов вредоносных атак
В
течение
2015
года
в рейтинге зловредов, нацеленных на кражу
денег через системы интернет-банкинга,
закачивающий
на
первом
месте
был
Upatre,
на компьютер жертвы троянцы-банкеры семейства, известного
как Dyre/Dyzap/Dyreza. Среди всех банковских угроз доля атакованных Dyreza
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
14
пользователей составила более 40%. Банкер использует эффективную схему
веб-инъекций с целью воровства данных для доступа к системе онлайн-банкинга.
В
2015
году
вымогателей: в то
произошел
время
как
ряд
изменений
популярность
и
в
стане
программ-блокеров
троянцевпостепенно
падает, количество пользователей, атакованных программами-шифровальщиками
за год выросло на 48,3%. Шифрование файлов вместо
компьютера
–
метод,
который
возможности простым способом
Особенно
простой
блокировки
в большинстве случаев не дает жертве
восстановить
доступ
к
информации.
активно злоумышленники используют шифровальщики в атаках на
бизнес-пользователей, которые идут на оплату выкупа куда охотнее, чем
обычные домашние пользователи.
Также в отчете [17] приведен рейтинг уязвимых приложений, который
построен на основе данных о заблокированных эксплойтах, используемых
злоумышленниками и в атаках через интернет, и при компрометации локальных
приложений, в том числе на мобильных устройствах пользователей.
Рисунок 1.4 - Распределение эксплойтов, использованных в атаках
злоумышленников, по типам атакуемых приложений, третий квартал 2015 года
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
15
По сравнению со вторым кварталом 2015 года наблюдаются следующие
изменения:
Рост числа эксплойтов для Adobe Flash Player на 2 п.п.
Снижение количества эксплойтов для Adobe Reader на 5 п.п.
TOP 20 детектируемых объектов в интернете 2015 год согласно отчету [17]
приведен в таблице 1.2.
Таблица 1.2 - TOP 20 детектируемых объектов в интернете 2015 год
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Название*
Malicious URL
AdWare.JS.Agent.bg
AdWare.Script.Generic
Trojan.Script.Generic
Trojan.Script.Iframer
Trojan.Win32.Generic
AdWare.Win32.SoftPulse.heur
AdWare.JS.Agent.bt
AdWare.Win32.OutBrowse.heur
Trojan-Downloader.Win32.Generic
AdWare.NSIS.Vopak.heur
Exploit.Script.Blocker
Trojan-Downloader.JS.Iframe.diq
AdWare.Win32.Amonetize.aqxd
TrojanDownloader.Win32.Genome.tqbx
AdWare.Win32.Eorezo.abyb
Hoax.HTML.ExtInstall.a
Trojan-Clicker.HTML.Iframe.ev
AdWare.Win32.Amonetize.bgnd
Trojan.Win32.Invader
% от всех атак**
53,63
16,71
7,14
6,30
3,15
1,52
1,31
1,09
0,84
0,63
0,46
0,46
0,30
0,30
0,24
0,23
0,19
0,17
0,15
0,14
Таким образом, список угроз и уязвимостей с каждым годом сильно
видоизменяете. Поэтому проблема обеспечения безопасности функционирования
автоматизированных систем является актуальной.
В соответствии базовой моделью угроз, созданной ФСТЭК была проведена
классификация угроз, возникающих при межсетевом взаимодействии (рисунок 1.4).
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
16
Рисунок 1.4 - Классификационная схема угроз с использованием протоколов
межсетевого взаимодействия
Из. Лист № Докум. Подпись Дата
ФРМРМ.090302 ПЗ
Лист
17
С учетом проведенной классификации можно выделить семь наиболее
часто реализуемых сетевых угроз.
У1. Анализ сетевого трафика (рисунок 1.5). Анализ сетевого трафика –
прослушивание сети с помощью специальных программ – снифферов.
Используются
для
извлечения
идентификаторов
доступа
или
иной
информации, передаваемой в открытом виде.
Хост 1
Хост 1
Маршрутизатор 1
Маршрутизатор 2
Прослушивание
канала связи
Хост 2
...
...
Хост 2
Хост нарушителя
Хост M
Хост N
Рисунок 1.5- Схема реализации угрозы «Анализ сетевого трафика»
У2. Сканирование сети. Данная угроза заключается в передаче
запросов сетевым службам хостов с конфиденциальной информацией и
анализе ответов с целью выявления следующей информации: используемых
протоколов, работающих портов сетевых служб, принципов формирования
идентификаторов
соединений,
активных
сетевых
сервисов,
подбор
идентификаторов и паролей пользователей.
У3. Угроза
выявления
пароля.
Данная
угроза
реализовывается
различными методами: простой перебор (брут), перебор по словарю,
использование специальных программ-перехватчиков паролей, подмена
доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing).
У4. Подмена доверенного объекта сети и передача по каналам связи
сообщений от его имени с присвоением его прав доступа. Данная угроза
реализуется
в
системах,
где
используются
нестойкие
алгоритмы
идентификации и аутентификации пользователей, хостов и т.д. Под
Лист
Из. Лист № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
18
доверенным объектом понимают объект сети (компьютер, межсетевой экран,
маршрутизатор и т.п.), легально подключенный к серверу.
У5. Навязывание ложного маршрута сети. Данная угроза реализуется
двумя способами: внутрисегментное или межсегментное навязывание.
Возможность
алгоритмов
реализации
данной
маршрутизации
угрозы
(проблемами
обусловлена
недостатками,
идентификации
сетевых
управляющих устройств). Данная угроза позволяет попасть на хост или в
сеть злоумышленника, где затем можно получить доступ к операционной
среде технического средства. Угроза возможно из-за недостатков протоколов
маршрутизации (RIP, OSPF, LSP) и протоколов управления сетью (ICMP,
SNMP), позволяющих при несанкционированном использовании вносить
изменения в маршрутно-адресные таблицы. Для осуществления угрозы
нарушитель должен послать от имени сетевого управляющего устройства
(например, маршрутизатора) управляющее сообщение.
Рисунок 1.6 - Схема реализации угрозы «Внутрисегментное
навязывание ложного маршрута»
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
19
1. Фаза передачи ложного сообщения ICMP Redirect от имени маршрутизатора на хост 1
Ложное сообщение ICMP Redirect
в наилучшем маршруте к хосту
top.secret.com
Хост 1
Маршрутизатор
Интернет
Хост 2
Хост нарушителя
2. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном
сервере
Интернет
Маршрутизатор 1
Хост 1
Хост 1 передает
пакеты,
предназначенные
top.secret.com, на
хост атакующего
Хост нарушителя
Маршрутизатор 2
Атакующий от имени
хоста 1 передает пакеты
на top.secret.com
Сервер top.secret.com
Рисунок 1.7 - Схема реализации угрозы «Межсегментное навязывание
ложного маршрута»
У6. Внедрение ложного объекта сети. Угроза заключается в перехвате
нарушителем поискового запроса и выдачи ложного ответа вместо
легального пользователя. Реализация угрозы приведет к изменению
маршрутно-адресных данных и остальной поток информации, будет
проходить через ложный объект сети.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
20
Рисунок 1.8 - Схема реализации угрозы «Внедрение ложного ARPсервера»
У7. Отказ в обслуживании. Данный тип угрозы основаны на
недостатках сетевого программного обеспечения, на его уязвимостях,
которые позволяют нарушителю создавать такие условия, в которых
операционная
система
оказывается
не
в
состоянии
обрабатывать
поступающие пакеты.
У8. Удаленный запуск приложений. Данная угроза заключается в
стремлении
запустить
на
атакуемом
хосте
различные
вредоносные
программы, предварительно внедренные: вирусы, программы-закладки,
«сетевые шпионы». Главная цель таких программ – нарушение целостности
конфиденциальности и доступности информации, а также полный контроль
за работой атакуемого хоста, несанкционированный запуск прикладных
программ
пользователей
для
несанкционированного
получения
необходимых нарушителю данных.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
21
Рисунок 1.9 - Схема реализации угрозы «Внедрение ложного DNSсервера» путем перехвата DNS-запроса
Возможные
последствия
реализации
угроз
различных
классов
представлены в таблице 1.3.
Таблица 1.3 - Возможные последствия реализации угроз различных
классов
№
п/п
1
Тип атаки
Анализ сетевого трафика
Из. Лист. № Докум. ПодписьДата
Возможные последствия
Перехват идентификаторов,
другой информации
ФРМРМ.090302 ПЗ
паролей
и
Лист
22
№
п/п
2
Сканирование сети
3
«Парольная» атака
4
Подмена доверенного объекта сети
5
Навязывание ложного маршрута
6
Внедрение ложного объекта сети
7
Частичное
ресурсов
исчерпание
Полное
ресурсов
исчерпание
Нарушение
связности
объектами,
данными
логической
между
атрибутами,
8
Удаленный запуск приложений
Отказ в обслуживании
Тип атаки
Возможные последствия
Определение используемых протоколов,
доступных портов у сетевых служб,
идентификаторов и паролей пользователей,
активных сетевых сервисов
Любое деструктивное действие с правами
легального пользователя
Изменение
маршрута
передаваемых
сообщений, несанкционированный доступ к
ресурсам
сети,
навязывание
ложной
информации
Несанкционированная
модификация
маршрутно-адресных данных, навязывание
ложных сообщений анализ и модификация
передаваемой информации
Навязывание
ложной
информации,
несанкционированный доступ к ресурсам
сети, перехват и просмотр трафика.
Снижение
производительности
сетевых
устройств
и
серверных
приложений,
пропускной способности каналов связи
Невозможность
передачи
сообщений
вследствие отсутствия доступа к среде
передачи данных, отказ в установлении
соединения, в предоставлении сетевых
сервисов (электронной почты, файлового и
т.д.)
Невозможность:
передачи,
сообщений
вследствие
отсутствия
корректных
маршрутно-адресных данных; получения
услуг
из-за
несанкционированной
модификации идентификаторов, паролей и
т.п.
Нарушение работоспособности сети
Использование ошибок в
программах
С помощью рассылки Нарушение
конфиденциальности,
файлов с деструктивным целостности и доступности информации
исполняемым
кодом,
вирусное заражение
С помощью переполнения
буфера
приложения
сервера
С
помощью Возможность скрытого управления системой
использования
возможностей удаленного
управления
системой,
предоставляемых
скрытыми программными
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
23
№
п/п
Тип атаки
Возможные последствия
и
аппаратными
закладками
либо
используемыми
штатными средствами
Кроме сетевых атак для распределенных систем, подключенных к
общим
сетям
характерен
несанкционированного
еще
доступа
ряд
к
угроз,
а
именно
конфиденциальной
-
угрозы
информации,
обрабатываемой на АРМ, связанные с непосредственным доступом к
защищаемым данным (представлены на рисунке 1.4 или средствам обработки
этих данных, а также реализуемые извне (представлены на рисунке 1.3).
Таким
образом,
защищаемая
информация
корпоративной
сети
подвергается ряду угроз и нуждается в защите.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
24
Источники
угроз
Уязвимости
Нарушитель
Уязвимости ПС
• внешний
• внутренний
• уязвимости микропрограммпрошивок
• уязвимости драйверов
аппаратных средств
• уязвимости ОС
• уязвимости прикладного ПО
• уязвимости
специализированных ПС
• уязвимости ПО пользователя
Программноаппаратная
закладка
Вредоносная
программа
Уязвимости, вызванные наичием
программно-аппаратных
закладок
Уязвимости, связанные с
реализацией протоколов
межсетевого взаимодействия
Уязвимости, вызванные
недостатками реализации ТСЗ от
НСД
Уязвимости СЗИ
Сбой или отказ программноаппаратных средств
Наличие технических каналов
утечки информации
Рисунок 1.10 – Угрозы НСД (начало)
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
25
Способ реализации угрозы
Объект воздействия
Использование
существующих
уязвимостей программноаппаратных средств,
позволяющих:
• обходить СЗИ
• Деструктивно
воздействовать на СЗИ
• вскрывать или
перехватывать пароли
• использовать уязвимости
протоколов сетевого
взаимодействия
• использовать остаточную
неучтенную
информацию
• использовать
нетрадиционные
стеганографические
каналы информации
Информация
обрабатываемая на
АРМ
• на отчуждаемых
носителях
• на встроенных
носителях
долговременной
информации
• в средствах
обработки и
хранения
оперативной
информации
Информация в
средствах,
реализующих сетевое
взаимодействие и в
каналах передачи
данных
внедрение новых
уязвимостей на этапе
проектирования,
разработки и
сопровождения
• использование
нештатного ПО
• внесение уязвимостей
с помощью штатных
средств
• в маршрутизаторах
• в коммутаторах
Рисунок 1.10 – Угрозы НСД (продолжение)
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
26
1.4 Существующие положения в области обеспечения ИБ
В Доктрине ИБ РФ обозначены задачи обеспечения безопасности
информационных ресурсов и
информационных систем РФ, которое
реализуется повышением безопасности ИС, включающих, прежде всего,
системы
органов
государственной
власти,
финансово-кредитной
и
банковской сфер, сферы хозяйственной деятельности, а также систем и
средств информатизации вооружения и военной техники, систем управления
войсками и оружием, экологически опасными и экономически важными
производствами, интенсификацией развития отечественного производства
аппаратных и программных средств защиты информации и методов контроля
за их эффективностью, обеспечением защиты сведений, составляющих
государственную тайну, расширением международного сотрудничество РФ в
области развития и безопасного использования информационных ресурсов,
противодействия угрозе развязывания противоборства в информационной
сфере.
Практическая реализация данного направления:
Безопасность информационных ресурсов РФ указанной категории
обеспечивается Уголовным кодексом РФ, в частности.
Глава 28. Преступления в сфере компьютерной информации

Статья
272
-
Неправомерный
доступ
к
компьютерной
информации.

Статья 273 - Создание, использование и распространение
вредоносных программ для ЭВМ.

Статья 274 - Нарушение правил эксплуатации ЭВМ, системы
ЭВМ или их сети.
Защита государственной тайны обеспечивается ФЗ РФ от 21.07.1993 N
5485-1 (ред. От 08.03.2015) "О государственной тайне". Данный закон
устанавливает сведения, касающиеся государственной тайны, порядок
работы с ними, порядок сертификации средств защиты информации. В
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
27
Федеральном законе от 07.07.2003 N 126-ФЗ (ред. От 06.07.2016) "О связи"
существует статья Статья 41. Подтверждение соответствия средств связи и
услуг связи. Приказ ФАПСИ от 13.06.2001 n 152 "Об утверждении
инструкции
об
организации
и
обеспечении
безопасности
хранения,
обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну" содержит
соответствующие названию документа инструкции.
Постановление
Правительства
РФ
от
16.04.2012
N
313
«Об
утверждении Положения о лицензировании деятельности по разработке,
производству,
распространению
шифровальных
(криптографических)
средств, информационных систем и телекоммуникационных систем…»
определяет порядок лицензирования криптографических средств защиты.
В 1992 году Государственная техническая комиссия при Президенте
РФ опубликовала пять “Руководящих документов”, посвященных проблеме
защиты
от
несанкционированного
обрабатываемой
средствами
доступа
вычислительной
(НСД)
к
техники
информации,
(СВТ)
и
автоматизированными системами (АС).
В 1997 году к этим документам добавился еще один: “Руководящий
документ. Средства вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации”.
В общем случае, комплекс программно-технических средств и
организационных (процедурных) решений по защите информации от НСД
для АС реализуется использование четырех подсистем:

управления доступом;

регистрации и учета;

криптографической;

обеспечения целостности.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
28
Кроме того, в РФ выпущен ряд НПА, регламентирующих работу с
защищаемой информацией:
Федеральный закон от 29.06.2004 г. № 98-ФЗ «О коммерческой тайне».
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации».
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных
данных».
Федеральный закон от 6.04.2011 г. № 63-ФЗ «Об электронной
подписи».
Регуляторами в области информационной безопасности в РФ являются:
Федеральная служба по техническому и экспортному контролю, Федеральная
служба безопасности, Федеральная служба охраны, Министерство обороны
РФ, Министерство связи и массовых коммуникаций РФ, Служба внешней
разведки РФ и Банк России.
Регуляторами выдвигаются следующие требования к защите данных в
компьютерных сетях:
1)
использование лицензионных технических средств и ПО;
2)
проведение проверки объектов информации на соответствие
нормативным требованиям по защищенности;
3)
составление списка допустимых к применению программных
средств и запрет на использование средств, не входящих в этот перечень;
4)
использование
и
своевременное
обновление
антивирусных
программ, проведение регулярных проверок компьютеров на предмет
заражения вредоносными ПО;
5)
разработка способов профилактики по недопущению попадания
вирусов в сеть;
6)
разработка методов хранения и восстановления зараженного ПО.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
29
1.5 Выбор средств межсетевой защиты
1.5.1 Межсетевые экраны
Межсетевые экраны обеспечивают безопасность границ компьютерной
сети, обеспечивают целостность ее периметра в точках подключения
внутренней защищенной сети к внешней неконтролируемой сети (как
правило, сети Интернет).
В переводной литературе также встречаются
альтернативные термины для МЭ - firewall или брандмауэр.
МЭ обеспечивает
защиту
автоматизированных систем путем
фильтрации сетевых пакетов проходящих через него. То есть содержимое
сетевого пакета анализируется по ряду критериев на основе заданных правил,
затем
принимается решение о его дальнейшем продвижении. Подобным
способом межсетевой экран
разграничивает доступ между АС. Правила
реализуются применением последовательной фильтрации. Т.е. в межсетевых
экранах присутствует набор фильтров,
разрешающих или запрещающих
передачу данных (пакетов) на следующий фильтр.
Рисунок 1.11 - Контроль периметра сети МЭ (защищаемая сеть слева)
1.5.2 Системы обнаружения атак
Система обнаружения атак (СОА) предназначена для выявления и по
возможности
предупреждения
действий,
угрожающих
безопасности
информационной системы со стороны внешней сети.
Существуют следующие методы обнаружения атак:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
30
1) методы сигнатурного анализа,
2) методы обнаружения аномалий.
3) Комбинация вышеуказанных методов.
При сигнатурном анализе
предполагается, что сценарий атаки
известен. При проведении атаки она обнаруживается анализом сетевого
трафика. Таким образом, поиск атаки сводится к поиску заранее известной
последовательности действий или символьной строки. Для подобного поиска
необходимо правильно описать атаку, что производится с помощью набора
правил (условий). Для обнаружения атак по сигнатуре необходимо иметь
базу сигнатур известных атак. К недостатку данного метода относится
невозможность обнаружения новых атак.
Второй способ обнаружения атак основан на обнаружении аномального
поведения системы. Предполагается, что
при штатной работе система
находится в равновесном состоянии. При атаке на систему, она выходит из
этого состояния и этот факт можно зафиксировать. Поэтому, метод
обнаружения аномального поведения должен учитывать три главных
аспекта:
1)
Поведение системы должно быть описано таким образом,
чтобы изменение в поведении можно было автоматически
определить.
2)
Должен быть разработан алгоритм, который позволит
отслеживать поведение системы и изменение в ее поведении.
3)
Для отслеживания изменения в поведении
необходимо
использование в алгоритмах математических методов и
механизмов принятия решения о попытке атаки
Достоинства
метода
обнаружения
аномалий
–
возможность
обнаружения новых атак.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
31
1.5.3 Виртуальные частные сети
Virtual Private Network
VPN -(виртуальная частная сеть) – это
защищенная компьютерная сеть, где применяется технология защиты
информации, основанная на применении
межсетевого экранирования и
защиты сетевого трафика с помощью криптографических методов. В
источнике
описано такое определение виртуальной частной сети. VPN
объединяет доверенные сети, узлы и пользователей через недоверенные
открытые сети. Основная идея данного определения приведена на схеме
(рисунок 1.7).
Рисунок 1. 12 - Схема VPN
Функции VPN:
−
Обеспечивает
конфиденциальности,
сохранность
доступности
трех
и
свойств
целостности
информации:
с
помощью
криптографических методов;
− Обеспечивает надежную защиту внутренних сегментов защищаемой
сети от доступа извне. То есть обеспечивает туннелированние внутреннего
трафика путем упаковки передаваемых пакетов в другие пакеты и
использованием криптографических средств и межсетевых экранов;
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
32
− Обеспечивает идентификацию и аутентификацию субъектов и
объектов системы. Таким образом реализуется технология использования
доверенных узлов.
Так так VPN используют Интернет вместо выделенных защищенных
каналов, существенно экономятся финансовые ресурсы предприятий с
распределенной сетью.
1.6 Выводы по главе
В
первой
главе
дипломной
работы
была
описана
структура
корпоративной сети и информация, циркулирующая в данной сети и
нуждающаяся в защите от угроз информационной безопасности. Были
обозначены проблемы, возникающие в корпоративной сети при защите
информации, а именно, использование открытых каналов связи, таких как
Интернет и Интранет. Были описаны угрозы межсетевого взаимодействия, к
которым относятся:
1)
Анализ сетевого трафика;
2)
Сканирование сети;
3)
«Парольная» атака;
4)
Подмена доверенного объекта сети;
5)
Навязывание ложного маршрута;
6)
Внедрение ложного объекта сети;
7)
Отказ в обслуживании.
Для защиты от угроз межсетевого взаимодействия используются
программные или программно-аппаратные средства. К ним относятся
межсетевые экраны, системы обнаружения атак и вторжений, виртуальные
частные сети. Защита от угроз регламентируется действующими в РФ
нормативно-правовыми
актами,
а
именно:
федеральными
законами,
руководящими документами ФСТЭК, ГОСТами и прочими документами в
области обеспечения ИБ.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
33
2
ИССЛЕДОВАНИЕ
ПРИНЦИПОВ
И
ОСОБЕННОСТЕЙ
ПОСТРОЕНИЯ VPN СЕТЕЙ
2.1 Постановка задачи
Преимущество виртуальных частных сетей при сегодняшнем уровне
развития информационных технологий неоспоримо. Виртуальные частные
сети позволяют удаленному пользователю воспользоваться корпоративной
сетью наравне с клиентами центральной корпоративной сети. Центральная
сеть любой организации может аутентифицировать пользователей несмотря
на то, что они получают доступ через публичную сеть.
Проектирование удачной и надежной корпоративной VPN невозможно
без знания особенностей технологии VPN. Поэтому в данной главе
необходимо
рассмотреть
общие
принципы
работы
VPN,
провести
классификацию VPN по различным признакам, рассмотреть категории
продуктов и существующие на рынке решения в области построения VPN.
Также необходимо сделать обоснование выбора OpenVPN в качестве
продукта для организации корпоративной VPN.
2.2 Исследование принципов работы VPN
Виртуальные частные
обеспечивают
целостности
прозрачную
и
сети
(VPN
(незаметную
конфиденциальности
-
Virtual
для
сообщений,
Private
Network)
пользователя)
передаваемых
защиту
через
различные сети общего пользования, прежде всего, через Интернет.
Схема VPN представлена на рис. 2.1.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
34
Рисунок 2.1 – Виртуальная частная сеть
VPN - это совокупность сетей, на внешнем периметре которых
установлены VPN-агенты.
VPN-агент - это программа или программно-аппаратный комплекс,
выполняющий следующие действия:
1.
Перед
отправкой
любого
информационного
пакета
(для
определенности здесь и далее будем рассматривать IP-пакеты):
• из заголовка IP-пакета выделяется информация о его адресате.
Согласно данной информации на основе политики безопасности
(подробно о политике безопасности будет рассказано ниже)
данного VPN-агента (настраивается для каждого VPN-агента его
администратором) выбираются алгоритмы защиты (если VPN-
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
35
агент поддерживает несколько алгоритмов) и криптографические
ключи, с помощью которых будет защищен данный пакет. В том
случае,
если
политикой
безопасности
VPN-агента
не
предусмотрена отправка IP-пакета данному адресату или IPпакета
с
данными
характеристиками,
отправка
IP-пакета
блокируется;
• с
помощью
выбранного
алгоритма
защиты
целостности
формируется и добавляется в IP-пакет ЭЦП или имитоприставка;
• выбирается алгоритм шифрования и производится зашифрование
IP-пакета;
• при помощи установленного алгоритма инкапсуляции пакетов
зашифрованный IP-пакет помещается в готовый для передачи IPпакет, заголовок которого вместо исходной информации об
адресате и отправителе содержит соответственно информацию о
VPN-агенте адресата и VPN-агенте отправителя. Это называется
трансляцией
сетевых
адресов
(NAT
-
Network
Address
Translation);
• пакет отправляется VPN-агенту адресата. В случае, если размер
результирующего пакета превышает MTU (Maximum Transfer
Unit - максимально возможный размер пакета для конкретного
участка сети), производятся его дробление и поочередная
отправка результирующих пакетов.
2. При приеме IP-пакета:
• из
заголовка
IP-пакета
выделяется
информация
о
его
отправителе. В том случае, если отправитель не входит в число
разрешенных (согласно политике безопасности) или неизвестен
(например, при приеме пакета с намеренно или случайно
поврежденным
заголовком),
пакет
не
обрабатывается
и
отбрасывается;
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
36
• в соответствии с политикой безопасности выбираются алгоритмы
защиты данного пакета и ключи, с помощью которых будут
произведены расшифрование пакета и проверка его целостности;
• выделяется информационная (инкапсулированная) часть пакета и
производится ее расшифрование;
• производится контроль целостности пакета на основе выбранного
алгоритма.
В
случае
нарушения
целостности
пакет
отбрасывается;
• пакет отправляется адресату (по внутренней сети) согласно
информации, находящейся в его оригинальном заголовке.
VPN-агент может находиться непосредственно на защищаемом
компьютере (например, компьютер «удаленного пользователя» на рис. 2.1). В
этом случае с его помощью защищается информационный обмен только того
компьютера, на котором он установлен, однако описанные выше принципы
действия остаются неизменными.
Защищающий локальную вычислительную сеть (ЛВС) VPN-агент
может быть совмещен с маршрутизатором IP-пакетов, который также должен
находиться на выходе из ЛВС. Такой маршрутизатор обычно называют
криптографическим. В качестве криптографического маршрутизатора может
использоваться
как
обычный
(неспециализированный)
компьютер,
оснащенный специальным программным обеспечением и аппаратурой
(например,
аппаратным
шифратором),
так
и
специализированный
маршрутизатор.
Основное правило построения VPN: связь между защищенной ЛВС и
Интернетом
должна
осуществляться
только
через
VPN-
агенты,
категорически запрещаются какие-либо способы связи, минующие защитный
барьер в виде VPN-агента; иными словами, должен быть определен
защищаемый
периметр,
связь
с
которым
возможна
только
через
соответствующее средство защиты.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
37
Политика безопасности представляет собой набор правил, согласно
которым устанавливаются защищенные каналы связи между абонентами
VPN. Такие каналы обычно называют туннелями, аналогия с которыми
просматривается в следующем:
• вся передаваемая в рамках одного
туннеля информация
защищена как от несанкционированного просмотра, так и от
модификации;
• инкапсуляция
IP-пакетов
позволяет
добиться
сокрытия
топологии внутренней ЛВС: из Интернета обмен информацией
между двумя защищенными ЛВС виден как обмен информацией
только между их VPN-агентами, поскольку все внутренние IPадреса в передаваемых через Интернет IP-пакетах в этом случае
не фигурируют.
Таким образом, описанные выше действия VPN-агентов сводятся, по
своей сути, к обеспечению двух механизмов: туннелирования и фильтрации
информации (рис. 2.2).
Рисунок 2.2 – Туннелирование и фильтрация
Правила создания туннелей формируются в зависимости от различных
характеристик IP-пакетов; например, основной при построении большинства
VPN протокол IPSec (Security Architecture for IP) устанавливает следующий
набор входных данных, по которым выбираются параметры туннелирования
и принимается решение при фильтрации конкретного IP-пакета:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
38
• IP-адрес источника. Это может быть не только одиночный IP-адрес,
но и адрес подсети или диапазон адресов;
•
IP-адрес назначения. Также может быть диапазон адресов,
указываемый явно с помощью маски подсети или шаблона (wildcard);
•
идентификатор пользователя (отправителя или получателя);
•
протокол транспортного уровня (например, TCP/UDP);
•
номер порта, с которого или на который отправлен пакет.
2.3 Анализ безопасности VPN сетей
Виртуальная частная сеть базируется на трех методах реализации:
• Туннелирование;
• Шифрование;
•Аутентификация.
Туннелирование обеспечивает передачу данных между двумя точками окончаниями туннеля - таким образом, что для источника и приемника
данных оказывается скрытой вся сетевая инфраструктура, лежащая между
ними. Построения туннеля достаточно для того, чтобы соединить два
сетевых узла так, что с точки зрения работающего на них программного
обеспечения они выглядят подключенными к одной (локальной) сети.
Однако нельзя забывать, что на самом деле пакеты проходит через
множество промежуточных узлов (маршрутизаторов) открытой публичной
сети. Поэтому передаваемая через туннель информация может быть
перехвачена злоумышленниками. Таким образом, туннель в чистом виде не
может обеспечивать полноценную защиту.
Проблема перехвата решается шифрованием. Чтобы воспрепятствовать
внесению несанкционированных изменений в пакет с данными на пути его
следования по туннелю, используется метод электронной цифровой подписи
(ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет
снабжается дополнительным блоком информации, который вырабатывается в
соответствии с асимметричным криптографическим алгоритмом и уникален
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
39
для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок
информации является ЭЦП пакета и позволяет выполнить аутентификацию
данных получателем, которому известен открытый ключ ЭЦП отправителя.
Защита передаваемых через туннель данных от несанкционированного
просмотра
достигается
путем
использования
сильных
алгоритмов
шифрования (например, AES с 128, 256 битным ключом шифрования).
Для аутентификации пользователей PPTP может задействовать любой
из протоколов, применяемых для PPP
· EAP или Extensible Authentication Protocol;
· MSCHAP или Microsoft Challenge Handshake Authentication Protocol
(версии 1 и 2);
· CHAP или Challenge Handshake Authentication Protocol;
· SPAP или Shiva Password Authentication Protocol;
· PAP или Password Authentication Protocol.
Аутентификация осуществляется либо отрытым тестом (clear text
password),
либо
по
схеме
запрос/ответ
(challenge/response).
При
аутентификации могут использоваться сертификаты, что повышает ее
надежность.
2.1 Протоколы группы Chap
CHAP (Challenge Hand Shake Authentication Protocol). Данный протокол
основан на модели «рукопожатия». Идея протокола – передача клиентом
пароля в хешированном виде с использованием полученного от сервера
случайного числа.
Протокол выглядит следующим образом:
1)
С: генерация случайного числа Х.
2)
С→А: X, Lx.
3)
A: вычисление хеш: D  =H(X,P).
4)
A→C: ID, D  .
5)
C: вычисление хеш D=H(X,P). Сравнение D  и D.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
40
6)
Если значения совпадают - подтверждение аутентификации,
иначе – отказ.
Используемое в данном протоколе число X должно быть уникальным и
непредсказуемым,
иначе
нарушитель
может
использовать
его
для
несанкционированного доступа к серверу в форме «маскарада».
MS-CHAP представляет собой версию протокола CHAP, разработанного
в 1997 компанией Microsoft. MS-CHAP затем был переименован в MSCHAPv1. Данный протокол также, как и CHAP является
механизмом
аутентификации. Но он имеет важное отличие от CHAP. В последнем сервер
должен хранить пароль клиента в обратимо-зашифрованном виде и
расшифровывать его при каждой проверке подлинности клиента, а в
протоколе MS-CHAPv1 сервер при проверке использует только MD4-хеш
пароля.
Алгоритм работы MS-CHAPv1 состоит из следующих этапов:
1.
Клиент серверу отправляет запрос на вход в систему.
2.
Сервер клиенту отправляет в ответ 8-байтовый случайный отклик
(Challenge).
3.
Клиент выполняет процедуру LAN Manager для определения
хэша своего пароля, добавляет к получившемуся 16-байтовому результату
пять нулевых байт. Затем делит получившеюся 21-байтовую строку на три
части по 7 байт для получения трех ключей для DES. Каждый из этих трех
ключей необходим для шифрования отклика Challenge, который присылает
сервер. Затем все три результирующих зашифрованных блока объединяются
в 24-байтовую строку (LMChallengeResponse). Кроме того, клиент создает
второй 24-байтовый NTChallengeResponse, используя Windows NT хэш и ту
же процедуру. В последствии оба значения, LMChallengeResponse и
NTChallengeResponse, а также флаг «Использовать NTChallengeResponse»
размером в 1 байт отправляются серверу.
4.
Для расшифровки полученного ответа Сервер использует
соответствующий флагу хэш клиентского пароля, хранящийся в базе данных.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
41
Если
расшифрованные
блоки
соответствуют
значению
Challenge,
аутентификация завершается, и клиенту отсылается Success-пакет.
Процедура вычисления LAN Manager следующая:
1. Пароль преобразуется к верхнему регистру.
2. Дополняется нулями либо обрезается до 14 байтов.
3. Разделяется на две части по 7 байтов, которые используются
для создания двух ключей DES, по одному для каждой 7байтовой половинки. Затем 7 байтов рассматриваются как
битовый поток и после каждых 7 битов вставляется ноль. Так
создаются 64 бита, необходимые для ключа DES.
4. Каждый из этих ключей используется для DES-шифрования
ASCII-строки «[email protected]#$%», в результате получаются два 8байтовых шифрованных значения.
5. Данные шифрованные значения соединяются в 16-байтовое
значение, являющееся LM-хешем.
Недостатки VPN:
•
они не защищают от атак изнутри защищаемого периметра (из
одной из сетей), тогда как, по оценкам ряда зарубежных источников около
75% финансовых потерь наносят именно атаки изнутри;
•
в большинстве случаев злоумышленнику достаточно каким-либо
образом проникнуть на один из защищаемых компьютеров для доступа в
любую из сетей, защищаемых VPN;
•
VPN не спасают от DoS и DDoS-атак.
Несмотря на очевидные недостатки, VPN являются наиболее сильными
средствами защиты сетей и межсетевого обмена данными.
2.4 Виды VPN в Интернете
Принято выделять три основных вида VPN: VPN с удаленным
доступом, внутрикорпоративные VPN (Intranet VPN) и межкорпоративные
VPN (Extranet VPN).
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
42
2.4.1 VPN с удаленным доступом
VPN удаленного доступа или Dial VPN позволяют индивидуальным
dial-up-пользователям связываться с центральным офисом через сеть
Интернет или другие сети общего пользования безопасным способом. VPN с
удаленным доступом обеспечивают защищенный удаленный доступ к
информационным ресурсам предприятия для мобильных или удаленных
сотрудников корпорации (руководства компании» сотрудников, находящихся
в командировках, сотрудников, работающих на дому и т.п.) (рис. 2.3).
Данный вид сетей позволяет значительно сократить ежемесячные расходы на
использование коммутируемых и выделенных линий.
Рисунок 2.3 – VPN с удаленным доступом
Принцип работы VPN с удаленным доступом основан на установлении
пользователями соединения с местной точкой доступа к глобальной сети,
после чего их вызовы туннелируются через Интернет, что позволяет
избежать платы междугородную и международную связь или выставления
счетов владельцам бесплатных междугородных номерок. Затем все вызовы
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
43
концентрируются на соответствующих узлах и передаются в корпоративные
сети. VPN с удаленным доступом даст ряд преимуществ, в частности:
•
эффективную систему установления подлинности удаленных и
мобильных пользователей, которая обеспечивается надежной процедурой
аутентификации:
•
высокую масштабируемость и простоту развертывания для новых
пользователей, добавляемых к сети;
•
сосредоточение внимания компании на основных корпоративных
бизнес-целях вместо отвлечения на проблемы обеспечения работы сети.
2.4.2 Интранет VPN
Интранет VPN еще называют «точка - точка», или LAN-LAN VPN. Они
распространяют безопасные частные сети на весь Интернет или другие сети
общего пользования.
Интранет технологии используются для организации защищенного
соединения между подразделениями одного или разных предприятий,
объединенных корпоративными сетями связи. При организации удаленного
доступа между центральными офисами и филиалами компании вынуждены
использовать выделенные линии или технологии Frame Relay. Однако это
является большой статьей расходов. Для решения этой проблемы можно
использовать виртуальную частную сеть. Внутрикорпоративные сети VPN
(рис. 2.4) строятся с использованием сети Интернет или разделяемых сетевых
инфраструктур, предоставляемых сервис-провайдерами.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
44
Рисунок 2.4 – Внутрикорпоративная VPN
2.4.3 Экстранет VPN
Межкорпоративные
сети
VPN
используются
для
организации
эффективного взаимодействия и защищенного обмена информацией со
стратегическими партнерами но бизнесу, в том числе зарубежными,
основными поставщиками, крупными заказчиками, клиентами и т.д. (рис.
2.5).
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
45
Рисунок 2.5 –Межкорпоративная VPN
Технология экстранет обеспечивает прямой доступ между сетями
разных компаний. Сети Extranet VPN похожи на внутрикорпоративные VPN,
с той лишь разницей, что проблема защиты информации является для них
более острой. Поэтому в межкорпоративных сетях большое значение должно
придаваться контролю доступа при помощи брандмауэров (Firewalls). Не
менее важна и аутентификация пользователей, чтобы доступ к информации
получали только те, кому он разрешен.
2.5 Технологии VPN
В начале 1990-х годов были ограничены возможности расширения
доступности данных предприятия за пределы локальной корпоративной сети,
главным образом из-за чрезвычайно дорогостоящих выделенных линий и
негибких частных сетей. По мере распространения и роста значимости
Интернета, возникла концепция виртуальных частных сетей, которая
выступила в качестве альтернативы выделенных линий. Это решение нашло
применение в открытых магистральных транспортных протоколах IP –
надежный протокол IPSec обеспечивал более гибкое, экономически выгодное
решение для безопасного доступа. Сети, построенные на принципе IPsec
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
46
VPN, эффективно выполняют требования фиксированных, сайт-сайт, сетевых
подключениях. Однако, для мобильных пользователей они часто слишком
дорогие, их применение невозможно для деловых партнеров или клиентов,
так как требуется установленное и настроенное программное обеспечение на
каждой конечной точке.
Поэтому для предоставления доступа удаленным и мобильным
пользователям была разработана технология SSL VPN. При этом клиенты
получают защищенный доступ только к тем ресурсам, которые считаются
необходимыми для этого пользователя, даже если доступ производится с
общедоступной машины, которая находятся вне контроля предприятия, не
соответствуют корпоративной политике безопасности и рассматривается как
"ненадежная".
2.5.1 Сети VPN на основе IPSec
Стандарт IPSec был разработан для повышения безопасности IP
протокола.
Это
достигается
за
счёт
дополнительных
протоколов,
добавляющих к IP пакету собственные заголовки, которые называются
инкапсуляциями. Т.к. IPSec – набор протоколов:AH, ESP, IKE.
AH (Authentication Header) - протокол заголовка идентификации.
Обеспечивает целостность путём проверки того, что ни один бит в
защищаемой части пакета не был изменён во время передачи. AH
разрабатывался только для обеспечения целостности. Он не гарантирует
конфиденциальности путём шифрования содержимого пакета.
ESP (Encapsulating Security Protocol) - инкапсулирующий протокол
безопасности, который обеспечивает и целостность и конфиденциальность. В
режиме транспорта ESP заголовок находится между оригинальным IP
заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP
размещается между новым IP заголовком и полностью зашифрованным
оригинальным IP пакетом.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
47
Установка и поддержка VPN туннеля происходит в два этапа. На
первом этапе (фазе) два узла договариваются о методе идентификации,
алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. На втором
этапе
генерируются
данные
ключей,
узлы
договариваются
насчёт
используемой политики. Этот режим, также называемый быстрым режимом
(quick mode), отличается от первой фазы тем, что может установиться только
после первого этапа, когда все пакеты второй фазы шифруются.
VPN-соединение
на
основе
IPsec
-
простой
и
экономически
эффективный способ маршрутизации пакетов между точками. Такая
альтернатива аренды частных линий позволяет предприятиям использовать
инфраструктуру Интернета для быстрого расширения сети географически
удаленных мест.
Компании используют такие протоколы передачи данных, как IPsec,
для инкапсуляции данных, которые передаются в IP пакетах в сети Интернет.
Шлюз VPN получает такие инкапсулированные данные, расшифровывает их
и
направляет
получателю.
Трафик,
поступающий
от
шлюза
VPN,
обрабатывается таким образом, как если бы он пришел от пользователя
местной локальной сети. В результате такого VPN соединения пользователь
получает полный, постоянный доступ к сети. Это идеальный вариант для
обслуживания постоянных соединений и совместного использования
ресурсов среди пользователей в географически распределенных офисах в
целях
повышения
производительности
масштабных
предприятий.
В
некоторых случаях этот уровень доступа может оказаться ненужным или
невозможным.
Другой
момент,
рассмотрении
протокола
который
IPsec,
является
должен
быть
управление
учтен
при
ресурсами,
необходимыми для его внедрения и обслуживания. Как уже отмечалось,
удаленные
точки
должны
иметь
предустановленное
и
настроенное
программное обеспечение. Для организаций, предоставляющих удаленный
доступ сотням или тысячам мобильных пользователей, процесс установки,
обновления, настройки и управления всеми клиентами может быть очень
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
48
длительным и дорогостоящим. Также небезопасно использовать принцип
"всегда на связи" мобильным сотрудникам, которые пользуются личными
ноутбуками, КПК (отсутствие настроек соединения для такого типа
устройств) или клиентам компании.
Именно в такой среде технология SSL VPN нашла широкое
применение для решения проблемы удаленного доступа мобильных
пользователей или клиентов.
2.5.2 Сети VPN на основе протокола SSL
Сети, построенные на SSL VPN, используют отличную от IPSec
методологию для передачи частных данных через Интернет. SSL VPN
использует протокол HTTPS, который доступен во всех стандартных веббраузерах в качестве безопасного механизма доставки без необходимости
дополнительного программного обеспечения. За счет SSL VPN связь между
мобильным пользователем и внутренними ресурсами происходит через
сетевое подключение на уровне приложений, в отличие от открытого
"туннельного" подключения IPSec VPN на сетевом уровне.
Технологию удобно использовать для открытия доступа сотрудникам,
имеющим ограниченный доступ в Интернет и специфическую аппаратную
платформу мобильного устройства (КПК, мобильные телефоны), для
организации работы с партнером или заказчиком. Кроме того, это удобный и
безопасный вариант организации удаленного рабочего места для сотрудника.
С точки зрения пользователя, технология SSL VPN прозрачна, что
является очевидным преимуществом: нет необходимости обеспечения
конфиденциальности ключевой информации, хранящейся на жестком диске,
и нет необходимости устанавливать специфический VPN-клиент, достаточно
лишь
наличия
Интернет-браузера,
поддерживающего
необходимые
технологии (как правило, это Java или ActiveX). Таким образом, вся
сложность открытия защищенного соединения сводится к выбору закладки,
сохраненной в браузере.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
49
Данная технология будет подробно рассматриваться в следующей
главе.
Сравнение технологий создания VPN представлено в таблице 2.1.
Таблица 2.1 - Сравнение VPN технологий
Тип VPN
Характеристика
Преимущества
Недостатки
1)
PPTP
Туннельный
протокол типа точкаточка. Используется
для создания VPN
через сети
коммутируемого
доступа. Для защиты
трафика может быть
использован
протокол MPPE. Для
аутентификация
клиентов —
MSCHAPv2 и EAPTLS

клиент PPTP
встроен почти во все
операционные
системы, поэтому не
требует установки
дополнительного
программного
обеспечения;

Прост в
настройке;

Высокая
скорость работы;

Требуем мало
вычислительных
ресурсов;

Поддерживае
т множество
протоколов;
- небезопасный
протокол
аутентификации
(уязвимый протокол
аутентификации MSCHAP v.2 все еще
много где
используется);
- слабая
устойчивость к
атакам.
2)
L2TP-IPsec
Протокол
туннелирования 2
уровня (канального
уровня). Объединяет
протокол L2F, и
PPTP. Позволяет
организовывать VPN
с заданными
приоритетами
доступа, но сам по
себе не обеспечивает
шифрование и
конфиденциальность трафика,
проходящего через
него. Поэтому
используется
совместно с
протоколом IPsec
для обеспечения
безопасности и
конфиденциальности
.
- безопасен, не имеет
уязвимостей при
использовании
шифрования AES;
- легко
настраивается;
- доступен в
современных
операционных
системах;
- cоздание туннелей
в различных сетях.
L2TP может
работать как в сетях
IP, так и в сетях
ATM, Frame Relay и
др.
- низкая скорость
работы по
сравнению с
OpenVPN;
- требуется сложная
дополнительная
настройка роутера;
- недостаточно
эффективные
алгоритмы
аутентификации, что
приводит к разрыву
установленных
соединений.
- не позволяет
работать по
коммутируемым
телефонным линиям.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
50
3)
OpenVPN
(SSL)
OpenVPN технология с
открытым кодом.
Использует
библиотеку OpenSSL
и протоколы
SSLv3/TLSv1.
- гибкость настройки
(может быть
настроен на работу
на любом порту);
- очень безопасен
(поддерживают
множество
криптографических
алгоритмов,
например, AES,
Blowfish, 3DES,
CAST-128, Camelia и
другие);
- может работать
сквозь файрволлы;
- высокая
переносимость
между платформами
- необходимо
программное
обеспечение
стороннего
разработчика;
- не очень неудобен
в настройке
(гибкость может
сделать его
неудобным в
настройке.).
- ограниченная
поддержка
портативными
устройствами.
SSTP (англ. Secure
Socket Tunneling
Protocol – протокол
безопасного
туннелиро-вания
сокетов)
Протокол VPN от
Microsoft,
основанный на SSL
и включённый в
состав их ОС
начиная с Windows
2008 и Windows
Vista SP1.
Соединение
проходит с помощью
HTTPS по 443 порту.
Для шифрования
используется SSL,
для аутентификации
— SSL и PPP.
- очень безопасен
(зависит от
алгоритма
шифрования, обычно
используется очень
стойкий AES);
- полностью
интегрирован в
Windows (начиная с
Windows Vista SP1);
- имеет поддержку
Microsoft;
- может работать
сквозь файрволлы
- SSTP не
поддерживает VPN
подключений от
сайта к сайту;
- SSTP VPN серверы,
включая брандмауэр
TMG, требуют
привязки
сертификатов веб
сайта к веб
приемникам SSTP
Web Listener;
- только Windows
Server 2008 и
Windows Serv23er
2008 R2 могут
работать в качестве
серверов SSTP VPN.
Таким
образом,
наименее
безопасным
протоколом
среди
рассмотренных является PPTP. В качестве преимуществ можно назвать его
простоту настройки и кроссплатформенность. L2TP/IPsec при тех же
преимуществах
обладает
Из. Лист. № Докум. ПодписьДата
более
безопасностью.
Его
ФРМРМ.090302 ПЗ
недостаток
–
Лист
51
использование только UDP. От этого недостатка свободен клиент OpenVPN.
Кроме того, OpenVPN очень гибкий, быстрый и очень безопасный протокол,
даже при имеющейся необходимости стороннего программного обеспечения
во всех операционных системах и, сравнительно, более сложную настройку,
чем остальные решения, он является более предпочтительным.
2.6 Категории продуктов для создания VPN
Средства построения виртуальных защищенных сетей VPN отличаются
большим разнообразием. Для построения VPN могут применяться сетевые
средства зашиты следующих категории:
a)
серверы
удаленного
доступа,
позволяющие
создавать
защищенные туннели на канальном уровне эталонной модели сетевого
взаимодействия OSI;
b)
маршрутизаторы
со
встроенными
функциями
VPN.
поддерживающие протоколы создания VPN на канальном и сетевом уровнях
модели OSI;
c)
межсетевые экраны, возможно, включающие в свои состав
серверы удаленного доступа и позволяющие создавать VPN на канальном,
сетевом и сеансовом уровнях модели OSI;
d)
автономное программное обеспечение, позволяющее создавать
VPN в основном на сетевом и сеансовом уровнях модели OS1:
e)
специализированные аппаратные средства. ориентированные на
формирование защищенных туннелей на канальном и сетевом уровнях
модели OSI.
Рассмотрим более подробно перечисленные средства.
1) VPN на базе маршрутизаторов.
Маршрутизатор пропускает через себя все пакеты, которыми локальная
есть
обменивается
естественной
расшифрования
с
внешним
платформой
для
миром.
Это
шифрования
делает
маршрутизатор
исходящих
пакетов
и
криптозащищенных входящих пакетов. Иными словами,
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
52
маршрутизатор может совмещать основные операции по маршрутизации с
поддержанием функции VPN.
Такое решение имеет свои достоинства и недостатки. Достоинства
заключаются
в
удобстве
совместною
администрирования
функций
маршрутизации и VPM Применение маршрутизаторов для поддержания VPN
особенно полезно в тех случаях, когда предприятие не использует
межсетевой экран и организует защиту корпоративной сета только с
помощью маршрутизатора, совмещающего функции защиты как по доступу в
сеть, так и по шифрованию передаваемого трафика. Недостатки данного
решения связаны с повышенными требованиями к производительности
маршрутизатора,
вынужденного
совмещать
основные
операции
по
маршрутизации с трудоемкими операциями шифрования и аутентификации
трафика.
2) VPN на базе межсетевых экранов.
Через межсетевой экран локальной сети, как и через маршрутизатор,
пропускается весь трафик. Поэтому функции зашифрования исходящего
трафика и расшифрования входящего трафика может успехом выполнять и
МЭ.
Сегодня
ряд
VPN-решенин
опирается
на
расширения
МЭ
дополнительными функциями поддержки VPN, что позволяет установить
через Интернет шифрованное соединение с другим МЭ.
При объединении функций МЭ и VPN-шлюза в одной точке под
контролем единой системы управления и аудита все функции по защите
корпоративной сети оказываются сосредоточенными в одном устройстве, при
этом повышается качество администрирования средств защиты. Однако
такая универсализация средства защиты при существующем уровне
возможностей вычислительных средств имеет и отрицательные стороны.
Вычислительная сложность у операций шифрования и аутентификации
намного выше, чем у традиционных для межсетевого экрана операций
фильтрации пакетов. Поэтому МЭ, рассчитанный на выполнение менее
трудоемких операций, часто не обеспечивает нужную производительность
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
53
при выполнении дополнительных функции VPN. Ряд производителей МЭ
расширяют поддержку функций VPN в своих продуктах. Большинство МЭ
представляют
собой
серверное
программное
обеспечение,
поэтому
актуальная проблема повышения производительности может быть решена за
счет
применения
высокопроизводительной
компьютерной
платформы.
Построение VPN на базе МЭ выглядит вполне рациональным решением, хотя
ему присущи некоторые недостатки. Прежде всего, это значительная
стоимость
данного
решения
в
пересчете
на
одно
рабочее
место
корпоративной сети и достаточно высокие требования к производительности
МЭ.
3) VPN на базе специализированного программного обеспечения
Для построения VPN широко используются специализированные
программные средства. Программные средства построения VPN позволяют
формировать защищенные туннели программным способом и превращают
компьютер, на котором они функционируют, в маршрутизатор TCP/IP - он
получает зашифрованные пакеты, расшифровывает их и передает но
локальной сети дальше, к конечной точке назначения. В последнее время
появилось достаточно много таких продуктов. В виде специализированного
программного обеспечения могут быть выполнены VPN-шлюзы, VPNсерверы и VPN-клиенты.
VPN-продукты, реализованные программным способом, с точки зрения
производительности
уступают
специализированным
аппаратным
устройствам; в то же время программные продукты легко обеспечивают
производительность, достаточную для удаленного доступа. Несомненным
достоинствами программных продуктов являются гибкость и удобство в
применении, а также относительно невысокая стоимость. Многие компаниипроизводители аппаратных шлюзов дополняют линейку своих продуктов
чисто программной реализацией VPN-клиента, который рассчитан на работу
в среде стандартной ОС.
4) VPN на основе специализированных аппаратных средств
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
54
Главным преимуществом VPN-средств на основе специализированных
аппаратных устройств является их высокая производительность. Объем
вычислений, которые необходимо выполнить при обработке VPN-пакета, в
50-100 раз превышает тот, который требуется для обработки обычного
пакета. Более высокое быстродействие VPN-систем на базе аппаратных
средств достигается благодаря тому, что шифрование в них осуществляется
специализированными микросхемами.
Такие VPN-средства чаше всего совместимы с протоколом IPSec и
применяются для формирования криптозащищенных тоннелей между
локальными сетями. Оборудование для формирования VPN от некоторых
производителей одновременно поддерживает и защищенную связь в режиме
«удаленный компьютер-локальная сеть».
Аппаратные VPN-шлюзы реализуются в виде отдельного аппаратного
устройств основной функцией которого является высокопроизводительное
шифрование
трафика.
сертификатами
Эти
VPN-шлюзы
работают
с
цифровыми
Х.509 и инфраструктурой управления открытыми ключами
PKI, поддерживают работу со справочными службами LDAP.
Специализированные аппаратные VPN-средства лидируют практически
по всем возможным показателям, кроме стоимости. Специализированное
аппаратное VPN-оборудование является предпочтительным решением для
ответственных применений.
2.7 Обзор существующих программных решений VPN
2.7.1 ПК «Застава»
Семейство
продуктов
информационной
безопасности
ЗАСТАВА
успешно применяется для защиты информации с 1997 года. «Застава»
применяется для создания защищенной корпоративной сети (объединение
всех территориально распределенных подразделений компании в единую
виртуальную сеть) с целью:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
55

Обеспечения безопасного доступа в Интернет;

Защищенного доступа удалённых и мобильных пользователей к
корпоративной сети.

Защиты каналов связи между центрами обработки данных.

Внутреннего сегментирования КИС для обработки информации
разной степени конфиденциальности.

Защиты беспроводных сетей.

Межведомственного
взаимодействия
(подключение
сетей
организаций-партнеров).
Программный комплекс ЗАСТАВА-Офис (может быть реализован в
виде ПАК ЗАСТАВА) осуществляет все функции по созданию защищенных
туннелей с филиалами и удаленными подразделениями компании (site-to-site
VPN), а также мобильными пользователями (remote access VPN).
Рисунок 2.6 – Архитектура ПК «Застава»
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
56
2.7.2 Шлюзы безопасности ViPNet Coordinator
ViPNet Coordinator — семейство шлюзов безопасности, входящих в
состав продуктовой линейки ViPNet Network Security. В зависимости от
настроек ViPNet Coordinator может выполнять следующие функции в
защищенной сети ViPNet:
Маршрутизатор VPN-пакетов: маршрутизация зашифрованных IPпакетов, передаваемых между сегментами защищенной сети.
VPN-шлюз: туннелирование (шифрование и имитозащита) открытых
IP-пакетов, передаваемых между локальными сегментами сети.
Межсетевой экран: анализ, фильтрация и регистрация IP-трафика на
границе сегмента сети.
Транспортный
сервер:
маршрутизация
передачи
защищенных
служебных данных в сети ViPNet, почтовых сообщений, передаваемых
программой «ViPNet Деловая почта».
Сервер IP-адресов, сервер соединений: обеспечивает регистрацию и
доступ в реальном времени к информации о состоянии объектов защищенной
сети и о текущем значении их сетевых настроек (IP- адресов и т.п.).
Продукты ViPNet Coordinator адаптированы для использования в
различных
отраслях
и
сценариях
применения.
Семейство
шлюзов
безопасности ViPNet Coordinator подразделяется на решения, в зависимости
от особенностей их исполнения, в том числе аппаратной платформы
продукта, набора дополнительных сетевых сервисов, производительности,
сетевых интерфейсов и др.
Типовое
решение
состоит
из
следующих
функциональных
компонентов (см. рис.2.7):
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
57
Рисунок 2.7
2.7.3 КриптоПро IPsec
КриптоПро IPsec — комплексное решение, которое реализует набор
протоколов
IPsec
отечественных
в
соответствии
криптографических
с
особенностями
алгоритмов,
на
использования
основе
библиотек
КриптоПро IKE, ESP, AH, используя в качестве СКЗИ КриптоПро CSP
начиная с версии 3.6 R2 с возможным использование смарт-карт и USBтокенов.
Возможно применение КриптоПро IPsec в трех базовых сценариях:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
58

«точка-сеть»
(«точка-точка»,
«подключение
удаленного
доступа», «client-to-site»), когда клиент подключается к серверу удаленного
доступа, связь между которым и локальной сетью назначения идет через сеть
общего доступа;

«сеть-сеть»
(«маршрутизатор-маршрутизатор»,
«site-to-site»),
когда две (или более) доверенные сети обмениваются внутренними данными
через общедоступную, сеть;

«изоляция группы» компьютеров или всего домена в локальной
сети.
КриптоПро IPsec применяется для:

защиты подключений удалённых пользователей или малых
офисов (VPN);

защиты
соединений
между
шлюзами
корпоративной
вычислительной сети (Site-to-Site VPN);

защиты передачи конфиденциальной информации в ЛВС от
нарушителей не являющихся пользователями автоматизированных систем,
но имеющим физический доступ к ЛВС и нарушителей являющихся
пользователями ЛВС, но не имеющих необходимых полномочий.
2.7.4 VPN сеть на основе оборудования Cisco Systems
Компаниями Cisco Systems и С-Терра СиЭсПи разработана новая
версия VPN-модуля NME-RVPN (MCM), поддерживающий российские
криптоалгоритмы
и
тесно
интегрируемый
в
интеллектуальную
информационную сеть.
Интеграция модуля NME-RVPN в исполнении МСМ в маршрутизаторы
Cisco ISR серий 2800/3800 и 2900/3900 позволяет потребителям получить
единое решение, обеспечивающее защиту передаваемой информации в
соответствии
с
маршрутизацию,
требованиями
поддержку
Из. Лист. № Докум. ПодписьДата
российских
механизмов
стандартов,
качества
ФРМРМ.090302 ПЗ
развитую
обслуживания
Лист
59
приоритетного трафика (QoS), а также сервисы IP-телефонии и передачи
видео. Подобные качества, дополненные управляемостью и надежностью
платформ на базе операционной системы
2.8 Вывод
В данной главе были рассмотрены основные принципы работы и
способы
построения
информации
с
виртуальных
помощью
частных
виртуальной
сетей.
частной
Принцип
сети
защиты
основан
на
«туннелировании» трафика при передаче через открытые каналы Интернет,
использования процедур аутентификации и шифрования. В зависимости от
назначения выделяют три основных вида VPN: VPN с удаленным доступом,
внутрикорпоративные VPN (Intranet VPN) и межкорпоративные VPN
(Extranet VPN). В зависимости от средств построения выделяют VPN,
построенные
на базе маршрутизаторов, межсетевых экранов, на базе
специализированного программного обеспечения, на базе аппаратных
средств. Специализированные аппаратные VPN-средства имеют наилучшие
характеристики по многие показателям, но дороги. Программные средства
построения VPN гибки и удобны в применении, а также имеют невысокая
стоимость, однако уступают по производительности специализированным
аппаратным VPN-средствам.
На рынке представлено множество решений по созданию VPN сетей. К
ним относятся такие продукты, как «Застава», КриптоПро IPsec, ViPNet
Coordinator шлюзы ViPNet Coordinator. Данные продукты сертифицированы
для использования в РФ, имеют лицензии ФСТЭК, но используют сложно
настаиваемую технологию IPSec, являются сложно конфигурируемыми и
платными.
Предлагаемый к использованию продукт OpenVPN использует более
современную технологию VPN SSL, является продуктом с открытым
исходным кодом и легко конфигурируется на машинах с практически любой
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
60
ОС. О преимуществах и особенностях технологии OpenVPN будет
рассказано в следующей главе.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
61
3 ПРОЕКТИРОВАНИЕ КОРПОРАТИВНОЙ VPN СЕТИ
3.1 Постановка задачи
Для реализации виртуальной частной сети в данной работе была
выбрана сеть на основе технологии OpenVPN. В данной главе необходимо
рассмотреть
особенности
технологии
OpenVPN
в
сравнении
с
существующими технологиями, а именно:
1)
Рассмотреть состав программного комплекса OpenVPN;
2)
Рассмотреть основные функции и возможности программного
комплекса OpenVPN;
3)
Описать логику работы OpenVPN- сети;
4)
Описать процесс установки и настройки Open VPN на любую
Unix подобную систему.
3.2 Описание технологии OpenVPN
Созданное в 2002 году решение построения виртуальных сетей Технология OpenVPN, созданная в 2002 году, является инструментом
с открытым исходным кодом и используется для построения VPN сетей siteto-site на основе протокола SSL/TLS или протокола с разделяемыми
ключами. OpenVPN реализует безопасный туннеля при передачи данных
через один TCP/UDP порт в незащищенной открытой сети.
Рисунок 3.1
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
62
Преимущество OpenVPN -
легкость инсталляции и настройки.
OpenVPN может быть установлен практически на любую платформу
включая: Linux, Windows 2000/XP/Vista, OpenBSD, FreeBSD, NetBSD, Mac
OS
X
и
Solaris.
Linux системы должны работать на ядре 2.4 или выше. Принципы установки
и конфигурирования одинаковы для всех платформ. OpenVPN использует
архитектуру клиент/сервер. Устанавливается на все узлы VPN сети, при этом
один узел должен быть сервером, а остальные клиентами.
OpenVPN создает TCP или UDP туннель, в котором
данные,
проходящие через него, шифруются. UDP 1194 является стандартным портом
для OpenVPN, однако позволяется использовать любой другой UDP или
TCP порт. С версии 2.0 на OpenVPN сервере один и тот же порт может быть
использован для нескольких туннелей.
Как уже было отмечено выше, OpenVPN работает в двух режимах. При
использовании
режима
разделяемых
ключей
для
шифрования
и
расшифрования VPN шлюзами используются один и тот же ключ. В этом
случае ключ должен быть секретный, т.е. используется симметричная
криптография. Проблема данного режима – передача ключа на приемную
сторону.
Для того чтобы избежать этой проблемы необходимо использовать
Инфраструктуру Открытых Ключей (PKI). При этом каждый узел владеет
двумя ключами: открытый ключ, известный всем и закрытый ключ
доступный только его владельцу. Такую структуру использует OpenSSL,
интегрированный в OpenVPN, для аутентификации VPN узлов перед тем как
начать передавать зашифрованные данные.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
63
Таблица 3.1 - Преимущества двух режимов
Разделяемые
SSL
ключи
Шифрование:
Симметричное Aсимметричный/Симметричное
Реализация:
Проще
Сложнее
Скорость:
Быстро
Медленно
Загрузка процессора:
Меньше
Больше
Обмен ключами:
Да
Нет
Обновление ключей:
Нет
Да
Аутентификации узлов: Нет
Да
Режим OpenVPN
Использование OpenVPN в режиме SSL (асимметричного шифрования)
более предпочтительно. Сам протокол SSL (Secure Sockets Layers) был
создан компанией Netscape еще в 90-х. Было выпущено две версии
протокола v2 (1994) и v3 (1995). В 2001 IETF купила и обновила патент. В
это же время SSL был переименован в TLS (Transport Layer Security) (RFC
2246).
Слово SSL часто используется для обозначения обоих SSL и TLS
протоколов.
SSL выполняет две основные задачи:
- Проводит аутентификацию сервера и клиента по средством
Инфраструктуры Открытых Ключей (PKI).
- Создает шифрованное соединение между клиентом и сервером для
обмена сообщениями.
SSL расположен между транспортным уровнем и уровнем приложения
и будет шифровать уровень приложения.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
64
Рисунок 3.2 – Расположение протокола SSL в модели OSI
В прошлом SSL использовался специфичными приложениями как
HTTP, однако сейчас, он может использоваться для обеспечения безопасного
соединения через Интернет и создания шифрованных туннелей (VPN).
Доступны два типа VPN:
- Клиент-Сервер (или удаленный доступ) VPN, где клиенту необходимо
иметь web браузер такой как Firefox.
- Site-to-site, необходимо специальное программное обеспечение, такое
как OpenVPN
Работа SSL совершается в 4 этапа.
Таблица 3.2 - Четыре этапа SSL/TLS
SSL Handshake:
SSL Change Cipher
Spec:
SSL Alert:
SSL Record:
Определяется метод шифрования для передачи данных
Создание и передача ключа между клиентом и сервером на эту
сессию
Доставка сообщений SSL об ошибках между клиентом и
сервером
Передача данных
Передача пакетов внутри локальной сети и VPN показана на рисунке
3.3.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
65
Рисунок 3.3
Для шифрования и аутентификации OpenVPN использует OpenSSL,
который является бесплатным и распространяется с открытым исходным
кодом. OpenSSL это инструмент состоящий из:
- SSL библиотеки.
- Библиотеки шифрования.
- Инструментов командной строки.
Библиотеки шифрования реализует большое количество алгоритмов
шифрования:
- Симметричные алгоритмы: Blowfish, DES, 3DES, AES и пр.
- Сертификаты: x509
- Хэш-функции: HMAC, MD5
3.3 Состав программного комплекса OpenVPN
Перечислим основные компоненты сети OpenVPN:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
66
1. Удостоверяющий центр CA. В его функции входит выдача
подписанных сертификатов по запросу узлов сети VPN. Также УЦ
предоставляет узлам собственный сертификат с целью проверки
удостоверяющей стороны. Кроме того, УЦ управляет списком
отзыва сертификатов CRL.
2. Сервер OpenVPN. Программное обеспечение
сервера создает
криптозащищенный туннель внутри незащищенной сети с целью
обеспечения передачи зашифрованный трафик между узлами VPN
сети.
3. Клиент
OpenVPN.
устанавливается
на
Программное
все
узлы,
обеспечение
которые
хотят
клиента
использовать
защищенный канал передачи данных с сервером. Клиенты также
могут
общаться
с
собой
по
защищенному
каналу
при
соответствующей настройка сервера.
4. Сертификаты (публичные ключи) X.509 представляют собой
публичные ключи, которые заверяются УЦ CA. Сертификаты
используются для зашифровывания данных. Факт заверения
сертификата
удостоверяющим
центром
CA
позволяет
идентифицировать сторону, передающую зашифрованные данные.
Файл запроса на сертификат создается на узлах сети, затем он
переносится на узел удостоверяющего центра и там подписывается.
Созданный в результате подписанный сертификат переносится
обратно на запросивший его узел сети OpenVPN.
5. Секретные ключи должны создаваться и храниться на каждом узле
сети
OpenVPN.
Секретные
ключи
предназначены
для
расшифрования данных. Создаются на узлах сети OpenVPN
одновременно с файлом запроса на получение сертификата.
6. Список отзыва сертификатов CRL – это список сертификатов,
утративших доверие. Данный список создается и редактируется в
УЦ CA. Для отключения узла от сети, достаточно занести его
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
67
сертификат в список CRL. После создания и каждого изменения
список CRL переносится на серверы OpenVPN.
7. Файл Диффи-Хелмана. Используется, чтобы в случае похищения
ключей исключить расшифрование трафика, записанного еще до
этого похищения. Создается на сервере OpenVPN.
8. Статический ключ HMAC. Служит для проверки подлинности
передаваемой информации. Обеспечивает защиту от DoS-атак и флуда.
Создается на сервере OpenVPN.
3.4 Проектирование корпоративной VPN сети
3.4.1 Структура корпоративной сети
Допустим, необходимо объединить в единую сеть главный офис и 2
магазина и склад через интернет посредством технологии OpenVPN.
В офисе и на складе в качестве маршрутизаторов выступает сервер под
операционной системой Centos 5. В магазинах стоят обычные hardware
маршрутизаторы. На серверах установлена операционная система MS
Windows 2003 R2.
Представим
структуру
проектируемой
корпоративной
сети
предприятия в виде, как это показано на рисунке 3.4.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
68
Рисунок 3.4 - Проектируемая корпоративная сеть
3.4.2 Установка OpenVPN на Centos 5
Особенность установки OpenVPN на Unix системы в отличии
установки на Windows заключается в содержании конфигурируемых файлов.
Кроме того, при установке на Windows OpenVpn предлагает графический
интерфейс программы-установщика. Установки OpenVPN на Unix подобные
системы мало чем отличается друг от друга.
Сначала объединим в одну корпоративную сеть офис, склад и сервера у
провайдера. Для этого нам нужно построить защищенные каналы – туннели
только между маршрутизаторами, так как нет необходимости подключать
каждый компьютер в отдельности.
Итак: есть 3 маршрутизатора под управлением ОС CentOs. Переброс
пакетов из Интернета в сеть и обратно производится с помощью технологии
NAT и правил iptables. корпоративный сеть мониторинг сервер
Дадим для удобства маршрутизаторам имена:
 В офисе: Office;
 На складе: Sklad;
 Колокация (сервера у провайдера): Colo;
 Магазин №1: mag1
 Магазин №2: mag2
Сетевые настройки маршрутизаторов представлены в таблица 3.3-3.5:
Таблица 3.3 - Office
Сеть
Интернет
Локальная
Интерфейс
eth2
eth1
Ip адрес
213.182.175.230
192.168.53.250
Маска
255.255.255.252
255.255.255.0
Шлюз
213.182.175.229
-
Ip адрес
79.142.87.206
192.168.0.1
Маска
255.255.255.252
255.255.255.0
Шлюз
79.142.87.211
-
Таблица 3.4 - Sklad
Сеть
Интернет
Локальная
Интерфейс
eth2
eth1
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
69
Таблица 3.5 - Colo
Сеть
Интернет
Локальная
Интерфейс
eth2
eth1
Ip адрес
195.2.240.68
172.16.100.8
Маска
255.255.255.252
255.255.255.0
Шлюз
195.2.240.60
-
CentOS (Community ENTerprise Operating System) — дистрибутив
Linux, основанный на Red Hat Enterprise Linux компании Red Hat и
совместимый с ним. CentOS использует программу yum для скачивания и
установки обновлений с репозиториев. Вся работа по настройке и установке
производится удаленно, используя OpenSSH сервер на маршрутизаторах и
клиент putty.
Настроим первым маршрутизатор Colo. Этот маршрутизатор будет
выступать в роли OpenVPN сервера.
Пакет OpenVPN не доступен в стандартном репозитории, поэтому
подключаем дополнительный репозиторий rpmforge:
colo> rpm -Uhv
http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release0.3.6-1.el5.rf.x86_64.rpm
Эта команда скачивает rpm пакет репозитория и устанавливает его.
Теперь нам стал доступен пакет OpenVPN, устанавливаем его:
colo> yum install openvpn
OpenVPN установлен. Далее требуется сгенерировать корневой
сертификат сервера, сертификаты и ключи клиентов, сертификат и ключ
сервера, tls ключ.
Для этого переходим в конфигурационный каталог OpenVPN и создаем
каталог под наши будущие ключи и каталог под конфигурационные файлы
клиентов:
colo> cd /etc/openvpn
colo> mkdir keys
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
70
colo> mkdir ccd
Загружаем переменные для генерации ключей в память и начинаем
генерировать сертификат авторизации:
colo>./vars
colo>./build-ca
Generating a 1024 bit RSA private key
.....................++++++
..++++++
writing new private key to 'ca.key'
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----# Страна
Country Name (2 letter code) [US]:RU
# Провинция
State or Province Name (full name) [CA]:SPB
# Город
Locality Name (eg, city) [SanFrancisco]:SPB
# Название фирмы
Oganization Name (eg, company) [Fort-Funston]:server
# Отделение фирмы
Organizational Unit Name (eg, section) []:server
# Имя сервера OpenVPN
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
71
Common Name (eg, your name or your server's hostname) [Fort-Funston
CA]:server
Name []:server
Email Address [[email protected]]:
Создаем сертификат X.509 для сервера:
colo> ./build-key-server server
# Страна
Country Name (2 letter code) [US]: RU
# Провинция
State or Province Name (full name) [CA]:SPB
# Город
Locality Name (eg, city) [SanFrancisco]: SPB
# Название компании
Organization Name (eg, company) [x]:server
# Отделение компании
Organizational Unit Name (eg, section) []:server
# Имя сервера OpenVPN
Common Name (eg, your name or your server's hostname) []:server
# Почтовый адрес
Email Address [[email protected]]:
Please enter the following 'extra' attributes
to be sent with your certificate request
# Пароль
A challenge password []:123456789
# Название организации
An optional company name []:server
Далее появится вопрос о подписывании сертификата, соглашаемся.
Создаём ключ для office:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
72
colo> ./build-key-server office
Generating a 1024 bit RSA private key
.........++++++
.......++++++
writing new private key to 'client.key'
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [US]: RU
State or Province Name (full name) [CA]: SPB
Locality Name (eg, city) [SanFrancisco]: SPB
Organization Name (eg, company) [server]:company
Organizational Unit Name (eg, section) []:office
Common Name (eg, your name or your server's hostname) []:office
Email Address [[email protected]]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456789
An optional company name []:office
Таким же способом, создаём ключи для склада и двух магазинов.
Создаем
ключ
Диффи
Хельман
для
обмена
ключами
по
незащищенному каналу:
colo> ./build-dh
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
73
Создаем ключ для tls-аутентификации:
colo> openvpn --genkey --secret keys/ta.key
После всех этих манипуляций в каталоге keys/ появляются следующие
файлы:
 ca.crt - Главный CA сертификат, этот файл нужен и клиенту и
серверу;
 dh1024.pem - ключ Диффи Хельман, этот файл нужен только
серверу;
 server.crt - Сертификат сервера, нужен только серверу;
 server.key - Ключ сервера, нужен только серверу (секретный файл);
 office.crt, sklad.crt, mag1.crt, mag2.crt - Сертификаты клиентов, нужны
только соответствующим клиентам;
 office.key, sklad.key, mag1.key, mag2.key - Ключи клиентов, нужны
только соответствующим клиентам (секретные файлы);
 ta.key - TLS-ключ, нужен и клиентам и серверу.
Следовательно, на сервере остаются файлы ca.crt, dh1024.pem,
server.crt, server.key, ta.key, а клиентам отдаются ca.crt, dh1024.pem и их
ключи с сертификатами.
На этом операции с генерацией ключей и сертификатов закончены,
переходим к настройке сервера и клиентов. Создаем конфигурационный
файл server.conf следующего содержимого:
# Порт на котором работает сервер
port 5000
# Протокол udp
proto udp
# Используемый тип устройства и номер
dev tun0
# Указываем файл CA
ca /etc/openvpn/keys/ca.crt
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
74
# Указываем файл с сертификатом сервера
cert /etc/openvpn/keys/server.crt
# Указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/server.key
# Указываем файл Диффи Хельман
dh /usr/local/etc/openvpn/keys/dh1024.pem
# Задаем IP-адрес сервера и маску подсети виртуальной сети
server 10.10.200.0 255.255.255.0
# Задаем маршруты, которые передаём клиентам, и маску подсети для
того, чтобы они видели сеть за OpenVPN сервером
# Colo
push "route 172.16.100.0 255.255.255.0"
# Office
push "route 192.168.53.0 255.255.255.0"
# Sklad
push "route 192.168.0.0 255.255.255.0"
# Указываем, где хранятся файлы с настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршруты сервер-клиент
route 10.10.200.0 255.255.255.0
# Office
route 192.168.53.0 255.255.255.0
# Sklad
route 192.168.0.0 255.255.255.0
# Разрешает видеть клиентам друг друга (по виртуальным IP) по
умолчанию клиенты видят только сервер
client-to-client
# Включаем TLS аутификацию
tls-server
# Указываем tls-ключ
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
75
tls-auth keys/ta.key 0
# Таймаут до реконекта
tls-timeout 120
# Выбираем алгоритм хеширования
auth MD5
# Включаем шифрацию пакетов
cipher BF-CBC
# Проверяем активность подключения каждые 10 секунд, если в
течении 120 сек. нет ответа, подключение закрывается
keepalive 10 120
# Сжатие трафика
comp-lzo
# От какого пользователя и группы будет работать OpenVPN
user nobody
group nobody
# Не перечитывать ключи после получения SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP устройство, после
получения SIGUSR1 или ping-restart
persist-tun
# Логгирование
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
# Уровень информации для отладки
verb 3
Создаем
файлы
с
настройками
для
клиентов.
В
каталоге
/etc/openvpn/ccd на сервере создаем файл office, sklad, mag1, mag2 (имя файла
- имя которому выдан сертификат) следующего содержания:
office
ifconfig-push 10.10.200.2 10.10.200.1
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
76
iroute 192.168.53.0 255.255.255.0
sklad
ifconfig-push 10.10.200.3 10.10.200.1
iroute 192.168.53.0 255.255.255.0
mag1
ifconfig-push 10.10.200.4 10.10.200.1
mag2
ifconfig-push 10.10.200.5 10.10.200.1
Этими
настройками
выдали
клиентам
с
соответствующими
сертификатами виртуальные ip адреса, шлюз 10.10.200.1 и задали маршрут
через туннель к сети за клиентами. Для магазинов маршрут не задаем, так как
в нашу задачу не входит подключение этих сетей.
На этом настройка сервера заканчивается, запускаем OpenVPN:
colo> service openvpn start
Если все правильно, то должно появиться виртуальное tun устройство:
colo> ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-0000-00-00-00
inet addr:10.10.200.1 P-t-P:10.10.200.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:9 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Если
устройство
не
появилось,
значит
есть
ошибки
в
конфигурационных файлах. Смотрим лог и устраняем ошибку, далее опять
стартуем.
Переходим к настройке клиентов. Все конфигурационные файлы
одинаковые, поэтому рассмотрим один из них. На маршрутизаторах office и
sklad устанавливаем OpenVPN, так же как и для сервера.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
77
Создадим конфигурационный файл client.conf:
dev tun
proto udp
remote 195.2.240.68 #(реальный ip сервера)
port 5000
client
resolv-retry infinite
ca keys/ca.crt
cert keys/client.crt
key keys/client.key
tls-client
tls-auth keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
#добавление маршрута к сети за сервером. Эта строчка не нужна
для конфиг. файлов магазинов
up /etc/openvpn_up.sh
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
Создадим скрипт openvpn_up.sh для автоматического добавления
маршрута:
#!/bin/sh
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
78
/sbin/route add -net 172.16.100.0 netmask 255.255.255.0 gw 10.10.200.1
tun0
На этом настройка OpenVPN закончена. Копируем эти файлы на office
и sklad. Далее запускаем OpenVPN. Если не запустился, смотрим логи.
Но на этом еще не все. Теперь нам надо включить трансляцию адресов
(NAT) чтобы пакеты от клиентской машины, попадая на сервер могли уйти в
Интернет и соответственно возвращались назад:
colo> iptables —t nat —A POSTROUTING —s 10.10.200.0/24 —o eth1 —j
MASQUERADE
Теперь 3 сети «видят» друг друга. Настроим подключение с магазинов
к серверам. На компьютерах в магазинах, стоит операционная система
Windows XP. Скачиваем с официального сайта дистрибутив OpenVPN и
устанавливаем. Затем в установленном каталоге в папку config кладем наши
ключи и конфигурационный файл mag1. После этого можно запускать.
3.5 Вывод
Таким образом, создание корпоративной сети на основе
поверх
сети
Интренет
является
достаточно
простой
OpenVPN
задачей.
Для
разворачивания VPN сети необходимо иметь локальные сети с выходом в
Интернет,
скачать
соответствующий
ОС
дистрибутив
OpenVPN,
и
установить его. Следует отметить, что для клиента и сервера используется
один дистрибутив. Настройка OpenVPN заключается в установки и
изменении конфигурационных файлов, ключей шифрования и сертификатов.
Причем эти процедуры производятся как для клиента, так и для сервера.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
79
4 БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ
4.1 Требования к рабочему месту оператора ПЭВМ
4.1.1 Общие сведения
Человек, существуя как компонент системы “человек- машина”,
вполне осознает себя как самостоятельную индивидуальность. Становясь
частью системы, он продолжает жить по законам и нормам человеческого
поведения. Но в то же время, коснувшись кнопок управления, он уже
превращается в другое существо, способное совершенно по-новому
обдумывать ту или иную ситуацию, принимать решения и приводить их в
исполнение.
Наукой, занимающейся проектированием систем, включающих в себя
как технические звенья, так и человека, и стала эргономика (от греческого
ergon- работа и nomos- закон). Эргономика - одна из самых молодых наук, но
это и одна из самых человеколюбивых наук. Все, что делает она, делается для
человека.
Предметом эргономики как науки является изучение взаимодействий
человека с техническими средствами, предметами деятельности и средой в
процессе достижения цели деятельности.
Цель
эргономики
-
повышение
эффективности
и
качества
деятельности человека, при одновременном сохранении здоровья человека и
создании и предпосылок для развития его личности.
К эргономическим требованиям относятся:

требования к помещениям (их размерам);

требования к рабочей позе;

требования к выбору мебели;

требования к планировке рабочих мест;

требования к излучению ПЭВМ;
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
80

требования к показателям, характеризующим микроклимат. Это
такие показатели, как
температура воздуха, относительная влажность
воздуха, скорость движения воздуха, интенсивность теплового излучения.
Выполнение данных требований позволяет создавать максимально
комфортную рабочую обстановку.
4.1.2 Требования к помещениям
Необходимо, чтобы помещения, их размеры (площадь, объем) в первую
очередь соответствовали количеству работающих и размещенному в них
комплексу технических средств. В них предусматривают соответствующие
параметры
температуры,
освещения, чистоты
воздуха,
обеспечивают
изоляцию от производственных шумов и т.д. Для обеспечения нормальных
условий труда санитарные правила и нормы СанПиН 2.2.2/2.4.1340-03
устанавливают на одно рабочее место пользователей ПЭВМ с ВДТ на базе
электроннолучевой трубки (ЭЛТ) площадь не менее 6 м2, в помещениях
культурно-развлекательных
учреждений
и
с ВДТ на базе плоских
дискретных экранов (жидкокристаллические, плазменные) - 4,5 м2. При
использовании ПВЭМ с ВДТ на базе ЭЛТ (без вспомогательных устройств принтер, сканер и др.), отвечающих требованиям международных стандартов
безопасности компьютеров, с продолжительностью работы менее 4-х часов в
день допускается минимальная площадь 4,5 м2 на одно рабочее место
пользователя
(взрослого
и
учащегося
высшего
профессионального
образования).
Организация рабочего места оператора оказывает большое влияние на
эффективность его труда. Рабочим местом считается место постоянного или
периодического пребывания работающих для наблюдения и осуществления
производственных процессов или экспериментов. Необходимо, чтобы оно
соответствовало прогрессивной технологии выполнения работ, обеспечивало
максимальную экономию трудовых затрат, создавало необходимые удобства
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
81
в
работе,
всемерно
облегчало
труд
оператора,
гарантировало
его
безопасность.
Помещения для эксплуатации ПЭВМ должны иметь естественное и
искусственное освещение.
Оно должно
соответствовать требованиям
действующей нормативной документации. Окна в помещениях, где
эксплуатируется вычислительная техника, преимущественно должны быть
ориентированы на север и северо-восток. Оконные проемы должны быть
оборудованы регулируемыми устройствами типа: жалюзи, занавесей,
внешних козырьков и др.
Для внутренней отделки интерьера помещений, где расположены
ПЭВМ,
должны
использоваться
диффузно-отражающие
материалы с
коэффициентом отражения для потолка - 0,7 - 0,8; для стен - 0,5 - 0,6; для
пола - 0,3 -0,5.
Помещения, где размещаются рабочие места с ПЭВМ, должны быть
оборудованы защитным заземлением (занулением) в соответствии с
техническими требованиями по эксплуатации. Не следует размещать рабочие
места с ПЭВМ вблизи силовых кабелей и вводов, высоковольтных
трансформаторов, технологического оборудования, создающего помехи в
работе ПЭВМ.
4.1.3 Рабочая поза
Правильный выбор рабочей позы имеет большое значение для
сохранения работоспособности в течение дня. При работе оператора ЭВМ
задействована небольшая группа мышц, поэтому выполняемая работа
относится к легкой категории физических работ, характеризуется малой
подвижностью, не требует свободного передвижения, то есть работа легкая.
Исходя из этой информации, можно сделать вывод, что наиболее удобной
рабочей позой оператора ЭВМ будет сидячая поза. Оптимальная поза
достигается регулированием высоты рабочей поверхности, сидения и
пространства для ног.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
82
При работе сидя необходимо обеспечить правильную и удобную
посадку. Это достигается за счет: устройства опоры для спины, дающей
разгрузку
спинным
мускулам;
правильной
конструкции
сиденья,
способствующей распределению веса по всей его поверхности; удобного
размещения ног.
Положение тела обычно соответствует направлению взгляда; дисплеи,
расположенные слишком низко или под неправильным углом, являются
основными причинами сутулости. Расстояние от дисплея до глаз лишь
немного превышает привычное расстояние между книгой и глазами.
4.1.4
Антропометрические
показатели,
учитываемые
при
организации рабочего места
При подборе оборудования и при планировке рабочих мест
учитываются
антропометрические
показатели,
которые
могут
быть
статическими и динамическими.
Статические
антропометрические
показатели
-
это
размеры,
соответствующие статическому положению человека, сохраняющего при их
измерении одну и ту же позу.
Динамические антропометрические показатели - это углы вращения в
суставах, данные по зонам досягаемости, приросты в виде максимального
увеличения или уменьшения того или иного размера при перемещении тела в
пространстве.
На основании антропометрических показателей рассчитываются
конструктивные параметры рабочего места. Так как оператор ПЭВМ
работает сидя, то для расчета параметров рабочего места используют группу
показателей, называемых " высоты точек над сиденьем ", а также диаметры,
продольные и габаритные размеры тела человека. При использовании
антропометрических данных человека для проектирования рабочих мест
желательно делать поправки на одежду, особенно осенне-зимнюю и обувь.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
83
4.1.5 Планировка рабочих мест
Рабочее место включает рабочую ( оперативную ) и вспомогательную
зоны. Рабочая зона - это участок трехмерного пространства, ограниченный
пределами досягаемости рук в горизонтальной и вертикальной плоскости. В
этой зоне располагаются предметы, постоянно используемые в работе.
Остальная площадь - вспомогательная зона, в ней располагаются
предметы используемые реже.
Пространство, ограниченное воображаемой дугой, очерчиваемой
кончиками пальцев полностью вытянутой руки при ее вращении в плечевом
суставе, называется зоной максимальной досягаемости (в горизонтальной и
вертикальной плоскостях соответственно). Пространство, ограниченное
воображаемой дугой, очерчиваемой кончиками пальцев (соответственно в
горизонтальной и вертикальной плоскостях) при вращении ее в локтевом
суставе при свободно опущенном плече, считается зоной оптимальной
досягаемости.
Основное и вспомогательное оборудование следует располагать таким
образом, чтобы был обеспечен свободный доступ к зонам, требующим
профилактических осмотров, а также удобное и безопасное передвижение
людей. При правильной планировке рабочего места должна обеспечивается
естественное освещение, ограждение работников от неблагоприятных
воздействий лучистого тепла, выделяемого отопительными приборами,
удобный подход к каждому рабочему месту,
а также хорошие условия
обзора для работающего, исключающие большое зрительное напряжение.
4.1.6 Излучение
Спектр излучения компьютерного монитора включает в себя
рентгеновскую, ультрафиолетовую и инфракрасную области, а также
широкий диапазон электромагнитных волн других частот. Пользователям
стоит самостоятельно предпринимать шаги для ограничения потенциально
опасных излучений видео дисплейных терминалов. Так как источник
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
84
высокого напряжения компьютера - строчный трансформатор - помещен в
задней или боковой стенке, уровень излучения со стороны задней панели
дисплея
выше.
На
экран
монитора
рекомендуется
устанавливать
специальные фильтры, которые частично экранируют его, а также
статические поля. Фильтр всегда заземляется , т.е., снабжен проводом,
который соединяется с экраном. ( все рекомендации приводятся в
инструкции по использованию конкретного типа ЭВМ , поставляемой вместе
с машиной).
4.1.7
Оптимальные
и
допустимые
величины
показателей
микроклимата в производственных помещениях
Показателями, характеризующими микроклимат, являются :
 температура воздуха;
 относительная влажность воздуха;
 скорость движения воздуха;
 интенсивность теплового излучения.
В соответствии с СанПиН 2.2.2/2.4.1340-03 оптимальные показатели
микроклимата распространяются на всю рабочую зону, допустимые
показатели устанавливаются дифференцированно для конкретных рабочих
мест. Оптимальные показатели температуры, относительной влажности и
скорости движения воздуха в рабочей зоне производственных помещений
при легкой категории работ соответствуют значениям, которые выбраны из
справочных данных
показателей
и указаны в таблице 4.1. Допустимые величины
микроклимата
технологическим
устанавливаются
требованиям
и
по
в
случаях,
экономическим
когда
по
причинам
не
обеспечиваются оптимальные нормы.
Таблица 4.1 – Оптимальные параметры микроклимата
Температура,
С°
Относительная
влажность, %
Из. Лист. № Докум. ПодписьДата
Абсолютная
влажность, г/м3
Скорость
движения
воздуха, м/с,
ФРМРМ.090302 ПЗ
Лист
85
не более
22-24
(Холодный
период)
40-60
10
0,1
23-25 (Теплый 40-60
период)
10
0,1
4.2 Расчет освещенности на рабочем месте
4.2.1 Общие сведения
Одной из важнейших задач научной организации труда является
оздоровление и облегчение условий труда, которое оказывает огромное
влияние на повышение работоспособности персонала. Недостаточная
освещенность, повышенный уровень шума, неудовлетворительное состояние
микроклимата в рабочих помещениях - любое из этих отклонений может
помешать творческому труду специалиста, в значительной мере снизить его
работоспособность, что отразиться на качестве и сроках выполнения работ.
Освещенность
рабочей
поверхности
от
люминесцентных
светильников общего назначения в помещении при общем освещении
принимается равной 400 лк. Санитарные правила и нормы [СанПиН
2.2.2/2.4.1340-03] устанавливают освещенность рабочей поверхности не ниже
300 лк.
Хорошее освещение необходимо для выполнения большинства задач,
поставленных
перед
рациональную
систему
оператором.
освещения,
Чтобы
правильно
необходимо
спланировать
учитывать
яркость
источников света, их расположение в помещении, яркостной контраст между
устройствами и фоном, блесткость поверхностей, цвет светильников и
поверхностей.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
86
Оптимальные
условия
освещения
могут
быть
созданы
при
применении светящегося потолка, когда источники света прикрываются
полупрозрачной поверхностью. Мягкий свет, льющийся с такого потолка
почти не создает теней и блесткость. При установке светильников следует
избегать направления света на оператора. С освещением тесно связано
требование оптимального сочетания цветов потолка и пола помещения, а
также установленного в нем оборудования. При выборе цвета нужно
исходить из требования создания условий для хорошего отражения общего
освещения, что улучшает условия зрительного восприятия. Как правило,
наибольшие коэффициенты отражения требуются для потолков, несколько
меньшие для стен и полов.
Рекомендуется выбирать цвета светлых (бледных) оттенков. При этом
следует использовать совместимые группы цветов, чтобы тот или иной цвет
не казался неуместным на фоне общей цветовой гаммы.
4.2.2 Специфические требования к освещению в помещениях для
эксплуатации средств ВТ
Согласно СанПиН 2.2.2/2.4.1340-03 для работников ВЦ освещение в
производственном
помещении
необходимо
сделать
смешанным
производственном
помещении
(естественным и искусственным) .
Естественное
освещение
в
осуществляется в виде бокового освещения. Ориентация светопроемов
северная, а взаимное расположение оконных проемов, компьютера и
оператора следующие: оператор располагается лицом к компьютеру и боком
к оконным проемам. Именно при таком расположении достигается наиболее
равномерное распределение светового потока на поверхности экрана и
клавиатуры.
На основании СанПиН 2.2.2/2.4.1340-03 естественное освещение
должно
осуществляться
через
светопроемы,
ориентированные
преимущественно на север и северо-восток, и обеспечить коэффициент
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
87
естественной освещенности (КЕО) не ниже 1,2% в зонах с устойчивым
снежным покровом и не ниже 1,5% на остальной территории. Указанные
значения КЕО нормируются для зданий, расположенных в третьем световом
климатическом поясе.
Согласно СанПиН 2.2.2/2.4.1340-03
искусственное освещение в
производственном помещении осуществляется в виде комбинированной
системы освещения, а в качестве источников искусственного освещения
используются люминесцентные лампы, которые имеют ряд преимуществ по
сравнению с лампами накаливания. Люминесцентные лампы позволяют
создать
такое
освещение,
при
котором
наблюдается
правильная
цветопередача. Кроме того, они значительно экономичнее ламп накаливания,
у них большой срок службы (около 10 тысяч часов). В качестве источников
общего освещения рекомендуются люминесцентные лампы типа ЛБ и ЛТБ, а
в качестве светильников - установки типа ОД, ОДР, ОДОР.
Уровни
искусственной
освещенности
на
рабочих
местах
в
производственном помещении соответствуют нормативным величинам по
СанПиН 2.2.2/2.4.1340-03 и составляют 300 лк при работе с компьютером.
На основании СанПиН 2.2.2/2.4.1340-03 для предотвращения засветок
экранов дисплеев прямыми световыми потоками применяются светильники
общего освещения, расположенные между рядами рабочих мест или зон с
достаточным
боковым
смещением.
При
этом
линии
светильников
располагаются параллельно светопроемам.
Применяемые осветительные установки обеспечивают равномерную
освещенность
с
помощью
преимущественно
отраженного
светораспределения. Они не создают слепящих бликов на клавиатуре и
других частях пульта, а также на экране видеотерминала в направлении глаз
оператора.
Для исключения бликов отражения на экранах видеотерминалов
источники света располагают параллельно направлению взгляда оператора
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
88
на экран с обеих его сторон. При рядном расположении оборудования не
допускается расположение дисплеев экранами друг к другу.
Местное освещение обеспечивается светильниками, установленными
непосредственно на столешнице стола или на его вертикальной панели, а
также вмонтированными в козырек пульта. Светильник оснащается
устройством
для
регулирования
яркости
и
защитной
решеткой,
предохраняющей от ослепления и отраженного блеска, кроме того он должен
иметь возможность ориентации в разных направлениях.
Для продолжения работы устраивают аварийное освещение в
машинном зале, диспетчерском пункте, т.е. в тех помещениях, в которых не
допустимо прекращение работ в случае отключения рабочего освещения.
4.2.3 Расчёт естественного освещения
Расчёт естественного освещения производится методом Данилюка
согласно заданным параметрам и в соответствии с планом помещения
оператора ЭВМ (рис. 4.1).
Помещение оператора ЭВМ имеет следующие размеры:

глубина помещения — 6 м;

длина помещения — 10 м;

высота помещения — 4 м;

ширина окна — 2,5 м;

высота окна — 2 м;

высота уровня рабочей поверхности — 0,7 м;

расстояние от пола до низа окна — 1,2 м;

расстояние от стены со светопроёмами до расчётной точки

расстояние от боковой стены до расчётной точки — 2,5 м.
— 5 м;
Для расчёта естественного освещения задаются следующие параметры:

характеристика зрительных работ — малой точности;

минимально различимый размер объекта — от 1 до 5 мм;
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
89

разряд зрительных работ — V;

подразряд зрительных работ — в;

средневзвешенный коэффициент отражения потолка, стен и пола
— Рср=0,5;

коэффициент запаса Кз=1,5.
Рисунок 4.1 - План помещения оператора ЭВМ:
а) вид сбоку; б) вид сверху
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
90
Из таблицы 1.1 [29] для приведённых параметров получаем значение
освещённости для искусственного освещения Ен=300лк и коэффициент
естественной освещённости (КЕО) при боковом освещении e=1,5%.
Расчёт естественного освещения в основном сводится к определению
КЕО при боковом освещении по следующей формуле:

e б  (  q    R)  r  0 ,
р
б
зд
1 K
з
(4.1)
где б— геометрический КЕО при боковом освещении;
q — коэффициент, учитывающий неравномерную яркость облачного
неба (определяется по таблице 1.2 [29] в зависимости от угла Q между
горизонтом и линией, соединяющей рабочую точку и середину светового
проема); при угле Q= 30 коэффициент q=0,86;
зд — геометрический КЕО в расчётной точке от противостоящего
здания; так как в данном случае противостоящее здание отсутствует, то зд=0;
R
—
коэффициент,
учитывающий
относительную
яркость
противостоящего здания; R=0;
0 — общий коэффициент светопропускания;
r1 — коэффициент влияния отражённого света от стен и потолка при
боковом освещении;
Кз — коэффициент запаса.
При расчёте учитывается общий коэффициент светопропускания:
0= 1· 2· 3· 4· 5,
где  1, 2, 3, 4,
5
(4.2)
— соответственно коэффициенты, учитывающие
потери света в материале остекления, переплётах светопроёмов, в несущих
конструкциях,
солнцезащитных
устанавливаемой под
фонарями.
устройствах,
Величины
в
защитной
этих
сетке,
коэффициентов
выбираются по таблице 1.5 [29] и в данном случае принимают значения:
 1=0,8 (стекло оконное листовое двойное);
 2=0,7 (переплёты для окон деревянные спаренные);
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
91
 3=0,8 (несущие конструкции покрытий железобетонные);
4=5=1 (так как в помещении оператора ЭВМ не используются
солнцезащитные устройства и фонари).
Подставив в формулу (4.2) все приведённые значения, получим  0:
 0 == 1· 2· 3· 4· 5=0,8·0,7·0,8·1·1=0,448
Геометрический КЕО определяется методом А.М. Данилюка с
помощью графиков I (рис. 1.4 [24]) и II (рис. 1.5 [29]) и рассчитывается по
формуле:
б=0,01·n1·n2,
(4.3)
где n1 — число лучей графика I, проходящих через светопроём на
поперечном разрезе помещения; n1= 5;
n2 — число лучей графика II, проходящих через светопроём на плане
помещения; n2= 55;
Таким образом, можно рассчитать б:
б= 0,01·n1·n2=0,01·5·55 =2,75 %
Коэффициент влияния отражённого света от стен и потолка при
боковом освещении r1 определяется по таблице 1.7 [29] в зависимости от
местоположения рабочей точки М на плане помещения (рис. 4.2).
Для определения r1 рассчитаем несколько исходных величин:
1) отношение глубины помещения к высоте от уровня рабочей
поверхности до верха окна составляет 6/(2+1,2-0,7)=2,4;
2) отношение расстояния от наружной стены до расчётной точки к
глубине помещения составляет 5/6 = 0,83;
3) отношение длины помещения к его глубине составляет 10/6=1,67.
Исходя из рассчитанных величин по таблице 1.7 [29] получим r1=2.
Подставив все найденные и полученные значения в формулу (4.1),
определим расчётный КЕО при боковом освещении:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
92

0,448
e б  (  q    R)  r  0  (2,75  0,86  0  0)  2 
 1,51%
р
б
зд
1 K
1,5
з
В результате проведенных расчетов КЕО получился больше
нормируемого, из чего делаем вывод, что
освещенность
помещения
в
дневное время суток является достаточной.
4.2.4 Расчёт искусственного освещения
Расчёт
искусственного
коэффициента
использования
освещения
светового
производится
потока
согласно
методом
заданным
параметрам и в соответствии с планом помещения оператора ЭВМ (рис. 4.2).
1,5
2
Рисунок.4.2 - Размещение светильников в помещении оператора ЭВМ
Для
расчёта
искусственного
освещения
задаются
следующие
параметры:

длина светильника — 1,5 м;

количество ламп в 1 светильнике — 2 шт.;

расстояние между рядами светильников — 3 м;

коэффициенты
отражения
светового потока: от потолка —
п=70%, от стен — с=50%, от пола — р=30%.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
93
Ряды светильников должны быть расположены параллельно стене с
окнами и симметрично всем стенам. Исходя из этого, и, учитывая заданные
параметры и размеры помещения, получаем 2 ряда по 5 светильника в
каждом.
Световой поток одной лампы рассчитывается по формуле:
E S Z k
F  н п
Л
N   n
(4.5)
где Ен — наименьшая нормируемая освещённость; Ен=300 лк;
Sп — площадь помещения; Sп= 10·6=60 м2;
Z — коэффициент неравномерности освещения; Z=1,15;
k — коэффициент запаса, учитывающий старение ламп, запыление и
загрязнение светильников; к=1,2;
N — число светильников; N=10;
n — количество ламп в светильнике; n=2;

—
коэффициент
использования
светового
потока,
который
характеризует отношение потока, падающего на расчётную поверхность, к
суммарному потоку всех ламп; находится в зависимости от индекса
помещения i и коэффициентов отражения п, c, p по таблице 1.10 [ 28 ].
Индекс помещения находится по формуле:
i
A B
,
H c  ( A  B)
(4.6)
где A — длина помещения; A=10 м;
B — глубина помещения; B=6 м;
Hc — высота подвеса светильника над рабочей поверхностью.
Высота расположения светильника над освещаемой поверхностью
находится по формуле:
Hc=H - hc - hp,
(4.7)
где H — общая высота помещения; Н=4 м;
hc — высота от потолка до нижней части светильника; hc=0,1 м;
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
94
hp — высота от пола до освещаемой поверхности; hp=0,7 м.
Подставив все данные в формулу (4.7), получим Нс:
Нс= H - hc - hp= 4-0,1-0,7=3,2 м,
затем, имея Нс, по формуле (6.6) получим i:
i
A B
10  6

 1,17
H c  ( A  B) 3,2  (10  6)
По таблице 1.10 [28] в соответствии с рассчитанным i определяем
коэффициент использования светового потока =0,52.
Теперь, зная все необходимые значения, по формуле (4.5) рассчитаем
световой поток одной лампы:
E  S  Z  k 300  60  1,15  1,2
F  н п

 2388,4 лм
Л
N   n
10  0,52  2
По полученному световому потоку по таблице 1.11 [28] подберём
ближайшую стандартную лампу, обеспечивающую этот поток. Таковой
оказалась лампа типа ЛТБ40-4, имеющая мощность 40 Вт и световой поток
2450 лм.
Далее из формулы (4.5) необходимо выразить освещённость и
определить её при величине светового потока выбранной серийно
выпускаемой лампы:
F  N   n
2450  10  0,52  2
р
E 

 307,7 лк
р
S Z k
60  1,15  1,2
n
(4.8)
Отклонение от нормируемой освещенности составляет:

307,7  300
 100%  2,5% ,
300
Что соответствует нормативным требованиям
 10%  Е норм  Е р  20% Е норм
Из приведенного расчета системы искусственного освещения можно
сделать следующий вывод:
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
95
Рассчитанное значение освещенности находится в пределах
1)
установленных [28].
Так как нормируемое значение освещенности равно 300 лк,
2)
а рассчитанное значение имеет отклонение 0,6%, то можно сделать
вывод, что данная система искусственного освещения соответствует
норме.
4.3 Вывод
1) В результате рассмотрения темы “Требования к рабочему месту
оператора ПЭВМ” были сделаны следующие заключения:
Рабочее место - место человека в системе, оснащенное средствами
отображения информации (информационное поле), органами управления
(моторное
поле)
и
вспомогательным
оборудованием,
на
котором
осуществляется его трудовая деятельность.
Помещения, в которых находятся ПЭВМ должны иметь искусственное
и естественное освещение. Площадь на одно рабочее место - не менее 6 м2 .
Высота рабочей поверхности стола- 680-880мм, размеры- 800, 1000мм на
глубину 1000мм ; рабочий стол должен иметь пространство для ног.
Рабочий стул должен быть подъемно- поворотным и регулируемым по
углам наклона сиденья и спинки; ширина и глубина поверхности сиденья не
менее 400мм, высота опорной поверхности спинки - 300мм, ширина- не
менее 400мм. Экран монитора должен находится от глаз на расстоянии
600мм .
Оптимальными параметрами микроклимата, при которых возможна
нормальная трудовая деятельность, являются: температура воздуха-220,
относительная
влажность-50%.
Помещения
с
ПЭВМ
должны
предусматривать системы отопления и кондиционирования воздуха.
Уровень шума не должен превышать 50дБА.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
96
2)
произведен расчет естественного и искусственного освещения в
помещении. Разработанная система освещения помещения оператора ЭВМ
позволяют сделать следующие выводы:
­
Доля
соответствии со
естественного
света
в
общем
световом
потоке
[28] для зрительных работ высокой точности
в
должна
составлять не менее 1,5%. Рассчитанное значение КЕО равно 1,51%. Таким
образом, данное помещение полностью удовлетворяет предъявляемым к
нему требованиям.
­
В темное время суток
искусственного
освещения.
необходимо
Разработанная
применять
система
систему
искусственного
освещения обеспечивает значение освещенности равное 307,7лм и отвечает
требованиям [28] для зрительных работ малой точности.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
97
ЗАКЛЮЧЕНИЕ
Целью
данной
дипломной
работы
являлось
проектирование
корпоративной VPN сети на базе технологии OpenVPN.
В
первой
главе
дипломной
работы
была
описана
структура
корпоративной сети и информация, циркулирующая в данной сети и
нуждающаяся в защите от угроз информационной безопасности. Были
обозначены проблемы, возникающие в корпоративной сети при защите
информации, а именно, использование открытых каналов связи, таких как
Интернет и Интранет. Были описаны угрозы межсетевого взаимодействия, к
которым относятся:
1)
Анализ сетевого трафика;
2)
Сканирование сети;
3)
«Парольная» атака;
4)
Подмена доверенного объекта сети;
5)
Навязывание ложного маршрута;
6)
Внедрение ложного объекта сети;
7)
Отказ в обслуживании.
Для защиты от угроз межсетевого взаимодействия используются
программные или программно-аппаратные средства. К ним относятся
межсетевые экраны, системы обнаружения атак и вторжений, виртуальные
частные сети. Защита от угроз регламентируется действующими в РФ
нормативно-правовыми
актами,
а
именно:
федеральными
законами,
руководящими документами ФСТЭК, ГОСТами и прочими документами в
области обеспечения ИБ.
Во второй
способы
главе были рассмотрены основные принципы работы и
построения
информации
с
виртуальных
помощью
частных
виртуальной
сетей.
частной
Принцип
сети
защиты
основан
на
«туннелировании» трафика при передаче через открытые каналы Интернет,
использования процедур аутентификации и шифрования. В зависимости от
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
98
назначения выделяют три основных вида VPN: VPN с удаленным доступом,
внутрикорпоративные VPN (Intranet VPN) и межкорпоративные VPN
(Extranet VPN). В зависимости от средств построения выделяют VPN,
построенные
на базе маршрутизаторов, межсетевых экранов, на базе
специализированного программного обеспечения, на базе аппаратных
средств. Специализированные аппаратные VPN-средства имеют наилучшие
характеристики по многие показателям, но дороги. Программные средства
построения VPN гибки и удобны в применении, а также имеют невысокая
стоимость, однако уступают по производительности специализированным
аппаратным VPN-средствам.
На рынке представлено множество решений по созданию VPN сетей. К
ним относятся такие продукты, как «Застава», КриптоПро IPsec, ViPNet
Coordinator шлюзы ViPNet Coordinator. Данные продукты сертифицированы
для использования в РФ, имеют лицензии ФСТЭК, но используют
«тяжелую» технологию IPSec, являются сложно конфигурируемыми
и
платными.
Предлагаемый к использованию продукт OpenVPN использует более
современную технологию VPN SSL, является продуктом с открытым
исходным кодом и легко конфигурируется на машинах с практически любой
ОС. О преимуществах и особенностях технологии OpenVPN будет
рассказано в следующей главе.
В третьей главе были описаны особенности технологии OpenVPN и
процесс проектирования на ее базе корпоративной сети. Практическая часть
дипломной работы показала, что создание корпоративной сети на основе
OpenVPN поверх сети Интренет является достаточно простой задачей. Для
разворачивания VPN сети необходимо иметь локальные сети с выходом в
Интернет,
скачать
соответствующий
ОС
дистрибутив
OpenVPN,
и
установить его. Следует отметить, что для клиента и сервера используется
один дистрибутив. Настройка OpenVPN заключается в установки и
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
99
изменении конфигурационных файлов, ключей шифрования и сертификатов.
Причем эти процедуры производятся как для клиента, так и для сервера.
В четвертой главе были описаны
требования к рабочему месту
оператора ПЭВМ” были сделаны следующие заключения:
Рабочее место - место человека в системе, оснащенное средствами
отображения информации (информационное поле), органами управления
(моторное
поле)
и
вспомогательным
оборудованием,
на
котором
осуществляется его трудовая деятельность.
Помещения, в которых находятся ПЭВМ должны иметь искусственное
и естественное освещение. Площадь на одно рабочее место - не менее 6 м2 .
Высота рабочей поверхности стола- 680-880мм, размеры- 800, 1000мм на
глубину 1000мм ; рабочий стол должен иметь пространство для ног.
Рабочий стул должен быть подъемно- поворотным и регулируемым по
углам наклона сиденья и спинки; ширина и глубина поверхности сиденья не
менее 400мм, высота опорной поверхности спинки - 300мм, ширина- не
менее 400мм. Экран монитора должен находится от глаз на расстоянии
600мм .
Оптимальными параметрами микроклимата, при которых возможна
нормальная трудовая деятельность, являются: температура воздуха-220,
относительная
влажность-50%.
Помещения
с
ПЭВМ
должны
предусматривать системы отопления и кондиционирования воздуха.
Уровень шума не должен превышать 50дБА.
Кроме того, был произведен расчет естественного и искусственного
освещения в помещении.
В результате проведенной работы построена VPN сеть на базе
технологии Open VPN. OpenVPN свободная реализация технологии
виртуальной частной сети (VPN) с открытым исходным кодом. Характерна
легкостью инсталляции и настройки. OpenVPN может быть установлен
практически на любую платформу. При указанных преимуществах OpenVPN
отвечает всем современным требованиям защиты создает защищенный
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
100
шифрованный TCP или UDP туннель для проектируемой сети торгового
предприятия, обеспечивающей защиту передаваемых данных между главным
офисом, филиалами и складом.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
101
СПИСОК ЛИТЕРАТУРЫ
1.
Постановление Правительства РФ от 03.03.2012 N 171 (с изм. от
15.06.2016).
2.
Постановление Правительства РФ от 03.02.2012 N 79 (с изм. от
15.06.2016).
3.
Постановление Правительства РФ от 15 апреля 1995 г. № 333 «О
лицензировании деятельности предприятий, учреждений и организаций по
проведению работ, связанных с использованием сведений, составляющих
государственную тайну, созданием средств защиты информации, а также
осуществлением
мероприятий
и
(или)
оказанием
услуг
по
защите
государственной тайны».
4.
Постановление Правительства РФ от 16 апреля 2012 г. N 313
"Об утверждении Положения о лицензировании деятельности по разработке,
производству,
распространению
шифровальных
(криптографических)
средств"
5.
Федеральный закон Российской Федерации №152-ФЗ от 27 июля
2006 года "О персональных данных".
6.
Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016)
"Об информации, информационных технологиях и о защите информации".
7.
Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой
тайне".
8.
Постановление Правительства РФ от 01.11.2012 № 1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных" устанавливает требования
к защите персональных данных при их обработке в информационных
системах персональных данных (далее - информационные системы) и уровни
защищенности таких данных.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
102
9.
«Порядок проведения классификации информационных систем
персональных данных», утвержденный совместным Приказом ФСТЭК
России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.
10.
Постановлением Правительства РФ от 15.09.2008 г. № 687.
11.
Рекомендации по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных
данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
12.
Основные
мероприятия
по
организации
и
техническому
обеспечению безопасности персональных данных, обрабатываемых в
информационных системах персональных данных, утв. Зам. директора
ФСТЭК России 15.02.08 г. (.
13.
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных, утв. Зам.
директора ФСТЭК России 15.02.08 г..
14.
Методика
определения
актуальных
угроз безопасности
персональных данных (ПДн) при их обработке в информационных системах
персональных данных (ИСПДн) утв. Зам. директора ФСТЭК России 15.02.08
г.
15.
Платонов В.В. Программно-аппаратные средства обеспечения
информационной безопасности вычислительных сетей: учеб. пособие для
студ. высш. учеб. заведений/ В.В. Платонов. — М. : Издательский центр
«Академия», 2006. — 240 с.
16.
Секреты и ложь. Безопасность данных в цифровом мире / Б.
Шнайер. - СПб.: Питер, 2003. — 368 с.
17.
Отчет Cisco «Уценка уровня инцидентов ИБ за 2015 год»
18.
А.В. Соколов, В.Ф.Шаньгин. Защита информации в
распределенных корпоративных сетях и системах. – М.:ДМК Пресс, 2002. –
656с.
19.
Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы,
технологии, протоколы. – 2001 г. 668 с.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
103
20.
Олифер В.Г. Новые технологии и оборудование IP-сетей /
21.
В.Г. Олифер, Н.А. Олифер. СПб.: БХВ-Петербург, 2001. 512 с.
22.
Фортенбери Т. Проектирование виртуальных частных сетей в
среде Windows 2000 : пер. с англ. / Т. Фортенбери. М.: Издательский дом
“Вильямс”, 2002. 320 с.
23.
Зима В.М. Безопасность глобальных сетевых технологий /
24.
Запечников С.В. Основы построения виртуальных частных сетей:
учеб.пособие для вузов/С.В. Запечников, Н.Г. Милославская, А.Н. Толстой.
М.: Горячая линия-Телеком, 2003. 249 с.
25.
Межсетевое взаимодействие. Ресурсы Microsoft Windows 2000
Server: пер. с англ. М.: Издательско-торговый дом “Русская Редакция”, 2002.
736 с.
26.
Сравнение
технологий
IPsec
и
SSL
VPN
http://www.sovit.net/articles/technologies/ipsec_vs_ssl/
27.
SSL VPN – шаг вперед в технологии VPN сетей https://www.anti-
malware.ru/node/449
28.
Дубовцев В.А. Безопасность жизнедеятельности. / Учеб. пособие
для дипломников. - Киров: изд. КирПИ, 1992.
29.
Зинченко В.П. Основы эргономики. - М.: МГУ, 1999. - 179с.
30.
Безопасность жизнедеятельности. /Под ред. Н.А. Белова - М.:
Знание, 2000 - 364с.
Из. Лист. № Докум. ПодписьДата
ФРМРМ.090302 ПЗ
Лист
104
Download