ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ДЛЯ ПРОЕКТИРОВАНИЯ
СИСТЕМЫ УДАЛЁННОГО ДОСТУПА
1.1 Виртуальная частная сеть (VPN)
Виртуальная частная сеть (VPN – Virtual Private Network) – это безопасное
частное соединение, проходящее через недоверенные общедоступные сети (такие
как Интернет), создаваемое с применением протоколов туннелирования и
шифрования,
которые
передаваемых
данных.
обеспечивают
Средства
целостность
криптографии
и
(а
конфиденциальность
также
шифрования,
аутентификации и инфраструктуры открытых ключей) дают возможность
организовать защищенный обмен данными с удалённой локальной сетью через
общедоступную сеть. Как мне кажется, данные VPN-туннелей в общем Интернеттрафике
представляют
собой
поток
пакетов
специального
формата
с
зашифрованным содержанием. Передача данных через общедоступные сети
производится путём формирования потока шифрованного трафика между
отправляющей и принимающей стороной, у которых есть публичные(public) IPадреса и используется оборудование, и программное обеспечение, необходимое
для образования шифрованного туннеля, обеспечивающего защиту соединения.
Пакет, отправляемый клиентом, передаётся через маршрутизатор либо шлюз,
который уже добавляет так называемый заголовок проверки подлинности (AH Authentication Header) содержащий в себе информацию о маршрутизации и
подлинности. После этого данные кодируются и совместно с инструкциями по
декодированию и обрабатыванию становятся инкапсулированными защищенными
полезными данными (ESP - Encapsulating Security Payload). Маршрутизатор VPN,
который получает пакет, откидывает информацию заголовка, затем осуществляет
расшифровку данных и отправку пакета по назначению (компьютеру или сети). В
том случае, если работает шифрование между сетями, узел, который должен
принять пакет в локальной сети, получает его уже дешифрованным и начинает
обработку.
Процедура
межсетевого
кодирования/декодирования
в
VPN-
соединении прозрачна для локального узла. В качестве VPN-клиента/сервера
возможно использование как прикладного программного обеспечения, так и
аппаратного (т.е. маршрутизаторы или межсетевые экраны), производящего
шифрование трафика локальной сети при передаче в VPN-туннель и дешифровку
данных при выходе из него. С целью формирования VPN-сетей могут быть
использованы такие протоколы, как PPTP (Point-to-Point Tunneling Protocol), L2TP
(Layer Two Tunneling Protocol) и IPSec (IP Security Protocol). Как мне кажется, VPN
в зависимости от его назначения может обеспечивать соединения трёх видов: узелузел, узел-сеть и сеть-сеть. VPN-соединения на мой взгляд прекрасно подойдут как
с целью подключения удалённых пользователей и предоставления им доступа к
узлу или сети, так и в целях обеспечения связи между двумя маршрутизаторами,
межсетевыми экранами или серверами (шлюз-шлюз).
1.2 Структура VPN
VPN состоит из двух элементов:
1)
«внутренняя» сеть, к которой будет разрешен доступ удалённым
пользователям (подобных сетей может быть несколько);
2)
«внешняя»
сеть,
через
которую
проходит
инкапсулированное
соединение (в большинстве случаев используется Интернет).
Как правило, между внутренней и внешней сетью компании ставится
межсетевой экран. При подключении удалённого пользователя (или при попытке
установки соединения с другой защищённой сетью) межсетевой экран потребует
прохождения таких процедур, как идентификация и аутентификация. И уже после
благополучного прохождения данных процессов, удалённый пользователь (или
удаленная сеть) наделяется полномочиями для работы в сети, то есть совершается
процедура авторизации.
1.3 Классификация VPN
Классифицировать VPN решения возможно согласно нескольким главным
характеристикам.
По типу используемой среды
Доверительные
Данный вид VPN используется при организации VPN без использования
технологий защиты передаваемого трафика. Также данный вид применяется в тех
случаях, когда передающая среда считается доверительной (надёжной) и нужно
разрешить только проблему формирования виртуальной подсети в рамках большой
сети.
В
этом
случае
проблемы
обеспечения
безопасности
становятся
неактуальными.
Примерами доверительных VPN решений на мой взгляд считаются
следующие протоколы: L2TP (Layer 2 Tunnelling Protocol), VPLS (Virtual Private
LAN Service) и MPLS (Multi-protocol label switching), которые перекладывают
проблемы обеспечения безопасности на другие протоколы, к примеру L2TP
зачастую используется в паре с IPSec.
Защищённые
Данный вид VPN наиболее распространён. С помощью него можно
сформировать надежную и защищенную подсеть на основе ненадёжной сети,
скажем, Интернета. Защита передаваемого трафика осуществляется при помощи
различных криптографических методов. Используется один или несколько
способов защиты, а именно:
1)
Аутентификация – конечные устройства проверяют принадлежность
друг друга к данной VPN сети;
2)
Шифрование – маскируются передаваемые данные, только участники
VPN сети способны их прочитать;
3)
Проверка целостности – происходит проверка пакетов на предмет
того, что они были доставлены в неизменённом виде;
4)
Туннелирование – IP адресация исходных пакетов скрывается за
адресами конечных точек туннеля.
Примерами защищённых VPN на мой взгляд считаются следующие
протоколы: PPTP (Point-to-Point Tunneling Protocol), IPSec (IP Security) и OpenVPN.
По способу реализации
Данный вид разделяется на несколько возможных решений:
1.
Программное решение
С
целью
обеспечения
функционирования
VPN
применяется
специализированное программное обеспечение, установленное на персональных
компьютерах.
2.
Программно-аппаратное решение
С целью обеспечения функционирования VPN применяется совокупность
специальных программно-аппаратных средств. За счёт этого поддерживается
высокая производительность и защищённость.
3.
Интегрированное решение
Деятельность
VPN
обеспечивает
программно-аппаратный
комплекс,
который параллельно берёт на себя задачи фильтрации трафика, организации
сетевого экрана и т.д.
По назначению
Здесь тоже идёт разделение на несколько видов, каждый из которых
применяется по своему назначению:
1.
Remote-Access VPN
Применяется с целью формирования защищённого канала между сегментом
корпоративной сети (к примеру, центральный офис либо филиал) и пользователем,
который, работая удалённо, подсоединяется к корпоративным ресурсам с
домашнего компьютера либо, будучи в командировке, подключается к
корпоративным ресурсам при помощи ноутбука или даже планшета.
В программных решениях компании Cisco Systems разделяется на два
подвида:
а)
ПО
(VPN
Client VPN - на устройство сотрудника устанавливается специальное
client),
создающее
виртуальный
сетевой
адаптер,
которому
присваивается внутренний IP;
б)
Clientless – клиент не потребуется, т.к. доступ к ресурсам предприятия
осуществляется посредством браузера.
2.
Extranet VPN
Применяют с целью организации VPN сетей
между различными
организациями, а также для сетей, к которым подсоединяются пользователи извне.
Степень доверия к ним значительно ниже, нежели к сотрудникам компании, по
этой причине существует необходимость формирования определенных правил,
предотвращающих либо ограничивающих допуск «внешних» пользователей к
коммерческой либо конфиденциальной информации.
1.4 Построение VPN
VPN на базе межсетевых экранов
Согласно многим источникам, значительное количество специалистов по
информационной безопасности полагают, что самым сбалансированным и
оптимальным
решением
для
обеспечения
комплексной
безопасности
корпоративной информационной системы от атак из внешних открытых сетей
является как раз построение VPN на базе межсетевых экранов. Через МСЭ, равно
как и через маршрутизатор, пропускается весь трафик, следовательно функции
зашифрования исходящего трафика и расшифрования входящего трафика можно
возложить и на МСЭ. В настоящее время ряд VPN-решений основывается на
расширении МСЭ дополнительными функциями поддержки VPN, что дает
возможность установки шифрованного соединения с другим МСЭ через Интернет.
МСЭ многих производителей поддерживают туннелирование и шифрование
данных. Любые аналогичные продукты базируются на том, то что в случае если уж
трафик идет через МСЭ, то почему бы его попутно не зашифровать.
Большая часть МСЭ представляют собой серверное ПО, поэтому актуальный
вопрос повышения производительности может быть решен за счёт использования
высокопроизводительной
компьютерной
платформы.
При
использовании
межсетевых экранов на основе ПК необходимо помнить, что такое решение
подойдет для маленьких сетей.
Невзирая на то, что построение VPN на основе МСЭ смотрится вполне
грамотным и сбалансированным решением, ему присущи определенные
недостатки. В первую очередь, это высокая стоимость подобного решения в
пересчете на одно рабочее место корпоративной сети и довольно высокие
требования к производительности МСЭ, в том числе и при умеренной ширине
полосы пропускания выходного канала связи. Разумеется, что проблеме
производительности МСЭ следует уделять повышенное внимание при построении
VPN, так как, по сути, вся нагрузка по криптообработке трафика ложится на МСЭ
даже в том случае, если требуется объединить в localnet-VPN двух клиентов
локальной сети.
VPN на базе маршрутизаторов
Первостепенной задачей данных устройств является маршрутизация
трафика, а, следовательно, шифровка исходящих пакетов и расшифровка
криптозащищённых входящих пакетов считается некой второстепенной функцией,
которая требует дополнительные вычислительные ресурсы. Иными словами, в
случае
если
маршрутизатор
обладает
достаточно
большим
запасом
производительности, то он вполне справится с поддержанием работоспособности
VPN.
В России на этом рынке лидирует компания Cisco Systems.
Построение VPN каналов на основе маршрутизаторов компании Cisco
Systems средствами самой ОС стало возможным, начиная, как мне кажется, с 12.х
версии Cisco IOS. В случае если на пограничные маршрутизаторы Cisco других
филиалов компании установлена данная ОС, то существует возможность
организовать корпоративную VPN, состоящую из совокупности виртуальных
защищенных туннелей типа "точка-точка" от одного маршрутизатора к другому.
Помимо шифрования передаваемых данных, маршрутизаторы Cisco Systems
поддерживают и такие функции VPN, как идентификация при установлении
туннельного соединения и обмен ключами. В целях построения VPN
маршрутизаторы Cisco Systems используют туннелирование с шифрованием
любого IP-потока. При этом туннель может быть установлен, опираясь на адреса
источника и приемника, номера порта TCP(UDP) и указанного качества
обслуживания (QoS). Как правило, для шифрования данных в канале "по
умолчанию" применяется американский криптоалгоритм 3DES (Triple Data
Encryption Standard) с длиной ключа 112 либо 168 бит.
Такой продукт компании Cisco Systems, как Cisco VPN Client, дает
возможность создавать защищенные соединения "шлюз-шлюз" между рабочими
станциями (в т.ч. и удаленными) и маршрутизаторами Cisco, что делает возможным
создание internet- и localnet-VPN.
Для организации VPN туннеля маршрутизаторы компании Cisco Systems в
нынешнее время используют протокол сетевого уровня IPSec, разработанного
ассоциацией "Проблемная группа проектирования Internet (IETF - Internet
Engineering Task Force), и протокол L2TP канального уровня эталонной модели
OSI, созданного на основе "фирменных" протоколов Cisco L2F и Microsoft PPTP.
Преимуществом L2TP считается его независимость от транспортного уровня, что
дает возможность применять его в гетерогенных сетях. Немаловажным качеством
L2TP считается его поддержка в ОС компании Microsoft, что по сути своей дает
возможность строить комбинированные VPN на основе продуктов Microsoft и
Cisco. Между тем, "канальная природа" L2TP протокола является предпосылкой
его существенного недостатка: с целью гарантированной передачи защищенного
пакета через составные сети все без исключения переходные маршрутизаторы
должны поддерживать данный протокол, что, несомненно, довольно трудно
гарантировать. Видимо, по этой причине компания Cisco Systems по умолчанию
использует более современный VPN протокол - IPSec.
Реализация VPN на основе маршрутизаторов имеет свои достоинства и
недостатки. Достоинства заключаются в удобстве совместного администрирования
функций маршрутизации и VPN. Использование маршрутизаторов с целью
поддержания VPN наиболее целесообразно в тех случаях, когда компания не
использует межсетевой экран и организует защиту корпоративной сети только с
помощью маршрутизатора, сочетающего функции защиты как по доступу в сеть,
так и по шифрованию передаваемого трафика. Недостатки данного решения
связаны с высокими требованиями к производительности маршрутизатора,
вынужденного совмещать первостепенные операции по маршрутизации с
трудоёмкими операциями шифрования и аутентификации трафика.
Вопрос обеспечения высокой производительности маршрутизатора решается
с помощью аппаратной поддержки функций шифрования.
VPN на базе программного обеспечения
При
реализации
такого
решения
используется
специализированное
программное обеспечение. Программные средства построения VPN дают
возможность сформировывать защищенные туннели полностью программным
способом и превращают компьютер, на котором они работают, в маршрутизатор
TCP/IP - он получает зашифрованные пакеты, расшифровывает их и передает по
локальной сети дальше, к конечному пункту назначения. В последнее время
появилось
немало
подобных
продуктов.
В
виде
специализированного
программного обеспечения могут быть сделаны VPN-шлюзы, VPN-серверы и
VPN-клиенты.
VPN-продукты, реализованные программным методом, с точки зрения
производительности уступают специализированным аппаратным устройствам; с
другой
стороны,
программные
продукты
без
труда
обеспечивают
производительность, достаточную для удалённого доступа.
Достоинствами программных продуктов считаются гибкость и удобство в
применении
и
вдобавок сравнительно низкая цена. Многие компании-
производители аппаратных шлюзов дополняют линейку собственных продуктов
целиком программной реализацией VPN-клиента, который рассчитан на работу в
среде стандартной ОС.
VPN на базе сетевой ОС
Данное решение является вполне удобным и недорогим средством создания
инфраструктуры защищённых виртуальных каналов. В течение многих лет, в т.ч. и
в настоящее время в России наибольшую популярность среди сетевых
операционных систем (ОС), позволяющих создавать VPN штатными средствами
самой ОС, как мне кажется, получила линейка операционных систем Windows NT.
Согласно мнению специалистов, данное решение считается оптимальным как для
построения VPN внутри локальных сетей (localnet-VPN) так и внутри домена
Windows NT, а также для построения intranet- и externet-VPN для маленьких
компаний в целях защиты некритичной для их бизнеса информации. Для создания
виртуальных защищённых туннелей в IP сетях сетевая операционная система
Windows NT использует протокол PPTP или L2TP (зависит от настройки). Не
думаю, что большие предприятия доверят защиту важной информации решению
на основе PPTP, поскольку многочисленные испытания VPN, построенных на базе
Windows NT показали, что используемый в этой ОС протокол PPTP имеет
определённое количество весомых уязвимостей, поэтому с точки зрения
безопасности рекомендуется использовать протокол L2TP.
ГЛАВА
2.
ПРОЕКТИРОВАНИЕ
И
ВНЕДРЕНИЕ
СИСТЕМЫ
УДАЛЁННОГО ДОСТУПА
2.1 Анализ объекта информатизации и выявление проблем. Постановка
задачи по их устранению
В настоящий момент на обследуемом объекте размещения системы
удалённого доступа эксплуатируется следующее оборудование:

2 сервера, один из которых является первичным контроллером домена,
а другой - вторичным;

1 файловый сервер;

1 видеосервер;

1 межсетевой экран Cisco ASA 5510;

1 коммутатор Cisco Catalyst WS-C2960+24TC-S и 3 коммутатора Linksys
SLM224G;

1 точка доступа Linksys E4200;

1 модем-роутер ZTE f660.
Схема сети представлена на Рис 2.1.
Рис. 2.1 Схема локальной сети на обследуемом объекте до внедрения
системы удалённого доступа
Первичный и вторичный контроллер домена отвечает за создание локальной
сети с авторизацией пользователей под своими учетными записями на
компьютерах отделения УиИТ, также они назначают права доступа для
пользователей и политики безопасности в сети. Помимо этого на данных серверах
настроена роль DHCP и DNS.
Файловый
сервер
отвечает
за
отказоустойчивое
хранение
файлов
пользователей.
Видеосервер отвечает за хранение видеофайлов, захватываемых с камер
наружного наблюдения.
Межсетевой экран отвечает за доступ пользователей в интернет и за связь
между отделениями.
Коммутатор Cisco Catalyst WS-C2960+24TC-S отвечает за разделение на
виртуальные локальные сети доступа в Интернет и локальной сети отделения
УиИТ. Первый коммутатор Linksys SLM224G отвечает за объединение в общую
локальную сеть системы видеонаблюдения и локальных сетей всех нижеуказанных
коммутаторах Linksys SLM224G. Второй коммутатор Linksys SLM224G отвечает за
объединение в общую локальную сеть файлового сервера, контроллеров домена,
локальные сети 4 этажа, а также локальных сетей, которые соединяет коммутатор
208 аудитории. Третий коммутатор Linksys SLM224G отвечает за объединение в
общую локальную сеть локальных сетей аудиторий 202 и 203, а также локальных
сетей, которые соединяет коммутатор 304 аудитории.
Точка доступа отвечает за работу Wi-fi сети в 401 кабинете, а также за доступ
к лабораторному стенду 202 аудитории и SIP-телефонии извне.
Модем-роутер отвечает за работу соединения через оптоволоконный кабель
провайдера с локальной сетью колледжа.
В настоящий момент, основной проблемой, которую мне необходимо решить
в этой дипломной работе, является создание определённых условий, при которых
студенты могли бы, воспользовавшись инструкцией по подключению, пройти два
процесса аутентификации и получить удалённый доступ к виртуальным машинам,
запущенным на сервере в ЛСОИБ. Также не исключается возможность того, что у
студентов может появиться возможность подключаться к файловым серверам,
рабочим стендам с сетевым оборудованием, расположенным во внутренней сети и
задействовать при выполнении лабораторных, контрольных, курсовых и
дипломных работ. У сотрудников Колледжа появится возможность удалённого
доступа к своим рабочим местам. А у системных администраторов - возможность
удалённого доступа к оборудованию, находящемуся во внутренней сети отделения.
Для этого в этой дипломной работе ставится следующая задача, которую
необходимо решить для устранения вышеупомянутой проблемы: спроектировать и
внедрить систему удалённого доступа.
2.3 Требования Заказчика к системе удалённого доступа
Управление учебно-моделирующим комплексом лаборатории и другими
элементами локальной сети колледжа (далее - Комплекс) должно осуществляться
в двух режимах:

режим
управления
с
автоматизированных
рабочих
мест,
установленных в локальной (внутренней) сети колледжа (далее - локальный
режим);

режим управления с ПЭВМ не находящихся в локальной сети
колледжа, но имеющих подключение через сеть Интернет (внешнюю) и VPN
доступ к локальной сети колледжа (далее - удаленный режим).
Роли пользователей могут быть следующие:

администратор домена;

администратор гипервизора;

пользователь - преподаватель;

пользователь - сотрудник колледжа;

пользователь - студент колледжа.
Для организации удаленного доступа должна быть создана система
удаленного доступа к ресурсам внутренней сети колледжа (далее - Система
удаленного доступа).
Ресурсами внутренней сети колледжа в зависимости от роли пользователя
могут быть:

сервера;

автоматизированные рабочие места, развернутые во внутренней сети;

виртуальные машины, развернутые на серверах;

информационные системы, развернутые во внутренней сети;

файлы, диски и папки, расположенные во внутренней сети.
Система
удаленного
доступа
должна
обеспечивать
возможность
пользователю в зависимости от его роли, удаленно (с компьютера, где есть
подключение к сети Интернет) получить доступ к Комплексу с такими же
функциональными возможностями, как и с автоматизированных рабочих мест
локальной сети, в которой расположен Комплекс.
Система удаленного доступа предназначена для удаленного пользования и
управления Комплексом. Через удаленный доступ должны быть доступны все
функции, не требующие физического контакта с Комплексом, включая функции
администрирования.
Система удаленного доступа должна состоять из следующих составных
частей:

составная часть, развернутая на серверном сегменте колледжа, включая
шлюз безопасности;

составная часть, развернутая на пользовательском сегменте;

защищенные каналы связи, образованные между серверным сегментом
и пользовательским сегментом (компьютерами пользователей).
Система
удаленного
доступа
должна
обеспечивать
одновременное
подключение не менее 100 пользователей. Защищенные каналы связи должны
обеспечивать надежный, безопасный и прозрачный доступ пользователей к
внутренней сети.
Система удалённого доступа должна быть доступна для удалённых
подключений не менее 12 часов в сутки.
На пользовательском сегменте должны быть установлены простые в
использовании средства VPN обеспечивающие подтверждение подлинности
(аутентификацию), проверку целостности и шифрование IP-пакетов, а также
включать в себя протоколы для защищённого обмена ключами в сети Интернет.
Длина ключа шифрования должна быть не менее 128 бит.
Для документирования Системы удаленного доступа должны быть
разработаны:

требования к составным частям Системы удаленного доступа на
серверном сегменте;

структурная схема Системы удаленного доступа и ее описание;

инструкция по развертыванию составной части Системы удаленного
доступа на серверном сегменте;

инструкция
по
установке и
настройке
VPN на компьютере
пользователя.
2.4 Протоколы туннелирования VPN
L2TP
L2TP (Layer Two Tunneling Protocol — протокол туннелирования второго
уровня) — это туннельный протокол канального уровня, который используется для
создания виртуальных частных сетей. В середине 1999 года данный протокол был
описан в одном из стандартов RFC. Впервые он стал поддерживаться, и был
реализован в серверных и клиентских операционных системах Windows 2000.
Порт, используемый L2TP – UDP 1721.
Во многих источниках говорится, что L2TP совмещает в себе лучшие
особенности L2F и PPTP. Он задействует средства шифрования, предоставляемые
методом IPSec, который, работая поверх IP, обеспечивает безопасность на
пакетном уровне. При этом все информационные и управляющие пакеты L2ТР в
туннеле выглядят для IPsec как обычные пакеты UDP/IP. Разумеется, что протокол
L2TP и метод IPSec должны поддерживаться как на VPN-клиенте, так и на VPNсервере. Клиентская поддержка L2TP встроена в последние версии семейства
клиентских операционных систем Windows NT, а серверная - в последние версии
семейства серверных ОС, соответственно.
В зависимости от параметров, выбранных в мастере настройки сервера
маршрутизации
и
удаленного
доступа,
по
умолчанию
протокол
L2TP
настраивается для 128 портов L2TP.
Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа:
1.
Инкапсуляция L2TP
Кадр PPP (IP-датаграмма) заключается в оболочку с заголовком L2TP и
заголовком UDP.
2.
Инкапсуляция IPSec
Полученное L2TP-сообщение заключается в оболочку с заголовком и
трейлером IPSec ESP (Encapsulating Security Payload), трейлером проверки
подлинности IPSec, который обеспечивает целостность сообщения и проверку
подлинности, и заголовком IP. В заголовке IP-адреса источника и приемника
соответствуют VPN-клиенту и VPN-серверу.
Сообщение L2TP шифруется с применением стандарта DES (Data Encryption
Standard - стандарт шифрования данных) или 3DES при помощи ключей
шифрования, созданных в процессе согласования IKE (Internet Key Exchange обмен ключами в Интернете).
IPSec
IP Security (IPSec) – это основанный на стандартах набор протоколов
сетевого уровня, связанных с шифрованием, аутентификацией и обеспечением
защиты при транспортировке IP-пакетов. К примеру, компания Cisco Systems в
своих продуктах для поддержки VPN используют этот набор протоколов. IPSec
предоставляет механизм защищенной передачи данных в IP-сетях, который
обеспечивает конфиденциальность, целостность и достоверность данных,
передаваемых через незащищенные сети типа Internet.
Если говорить о сетях Cisco, IPSec обеспечивает следующие возможности
VPN:

Конфиденциальность данных. Отправитель данных IPSec имеет
возможность зашифровывать пакеты перед тем, как передавать их по сети;

Целостность данных. Получатель данных IPSec имеет возможность
аутентифицировать сообщающиеся с ним стороны (устройства или программное
обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты
IPSec, отправляемые этими сторонами для уверенности в том, что данные не были
изменены по пути;

Аутентификация источника данных. Получатель данных IPSec
имеет возможность аутентифицировать источник получаемых пакетов IPSec. Этот
сервис зависит от сервиса целостности данных;

Защита от воспроизведения. Получатель данных IPSec может
обнаруживать и отклонять воспроизведенные пакеты, не допуская их подмены и
проведения атак внедрения посредника.
IPSec использует стандартный способ аутентификации и шифрования
соединений между сообщающимися сторонами. Для того чтобы гарантировать
защиту связей, средства IPSec используют стандартные алгоритмы (т.е.
математические формулы) шифрования и аутентификации, которые называются
преобразованиями. В IPSec задействуются открытые стандарты согласования
ключей шифрования и управления соединениями, что даёт возможность
взаимодействия между сторонами. Технология IPSec предлагает методы, которые
дают возможность сторонам IPSec "договориться" о согласованном использовании
сервисов. Для того чтобы указать согласуемые параметры, в IPSec применяются
ассоциации защиты.
Ассоциация защиты (Security Association - SA) представляет собой
согласованную политику либо способ обработки данных, обмен которыми
планируется между двумя устройствами сообщающихся сторон. Одним элементом
такой политики может быть алгоритм, применяемый с целью шифрования данных.
Обе стороны могут применять один и тот же алгоритм как с целью шифрования,
так и с целью дешифрования. Активные параметры SA сохраняются в базе данных
ассоциаций защиты (Security Association Database - SAD) обеих сторон.
Два ПК на каждой стороне SA хранят режим, протокол, алгоритмы и ключи,
применяемые в SA. Каждый SA применяется только лишь в одном направлении. С
целью двунаправленной связи требуется два SA. Каждый SA реализует один режим
и протокол; таким образом, в случае если для одного пакета нужно использовать
два протокола (равно как, к примеру, AH и ESP), то потребуется два SA.
SSL/TLS
Remote-Access VPN позволяет пользователям удалённо подключаться ко
внутренней сети предприятия. Есть два основных метода для развертывания
виртуальных частных сетей: IPsec и SSL. Каждый метод имеет свои преимущества,
основанные на требованиях доступа пользователей и ИТ-процессов организации.
VPN
на
использующейся
основе
в
IPsec
является
большинстве
технологией
современных
удаленного
организаций.
доступа,
Соединения
устанавливаются с помощью клиентского программного обеспечения VPN,
установленного на ПК пользователя.
Cisco SSL VPN обеспечивает удаленный доступ по технологии SSL VPN
практически из любого места, где есть выход в Интернет. Для этого необходим
только веб-браузер, который имеет встроенную поддержку шифрования SSL. Эта
возможность позволяет организациям предоставлять доступ к своей защищенной
сети предприятия для любого авторизованного пользователя, обеспечивая
удаленный доступ к корпоративным ресурсам из любого подключенного к
Интернету места.
Cisco SSL VPN также поддерживает доступ из ПК, которые не входят в
корпоративную собственность и находятся вне организации, включая домашние
компьютеры. Эти места являются довольно сложными для развертывания и
управления VPN, поэтому в этом случае требуется клиентское программное
обеспечение, необходимое для поддержки соединений IPsec VPN.
SSL VPN обеспечивает следующие три режима доступа:

Режим Clientless – обеспечивает безопасный доступ к частным веб-
ресурсам и веб-контенту. Этот тип полезен при использовании веб-браузера, через
который благодаря технологии SSL VPN можно получать доступ в Интернет, к
базам данных и онлайн инструментам, которые используют веб-интерфейс;

Режим Thin Client (Тонкий клиент) – Java-апплет, расширяющий
возможности криптографических функций веб-браузера для того, чтобы включить
удаленный доступ к TCP приложениям на основе, например, Post Office Protocol
версии 3 (POP3), протокола Simple Mail Transfer (SMTP), Internet Message Access
(IMAP), Telnet, и Secure Shell (SSH);

Режим туннелирования - предоставляет расширенную поддержку
приложений через установленный клиент Cisco AnyConnect VPN для SSL VPN.
Клиент туннелирования обеспечивает легкий, настраиваемый централизованно и
простой в поддержке SSL VPN, который обеспечивает доступ практически любого
приложения на сетевом уровне.
Возможности SSL VPN в некоторой степени ограничены по сравнению с
IPsec VPN, но, несмотря на это, SSL на основе VPN обеспечивают доступ к
большому набору приложений, в том числе доступ к веб-странице, к файлам,
электронной почте и приложениям на основе TCP (путем загружаемого тонкого
клиента). Преимущество SSL VPN заключается в доступности практически из
любого подключенного к Интернету места без необходимости устанавливать
дополнительное программное обеспечение.
Для удалённых пользователей вход и аутентификация осуществляется
посредством веб-браузера и VPN-шлюза с использованием запроса HTTP. После
аутентификации удаленный пользователь получает страницу портала, что
позволяет получить доступ к сетям SSL VPN. Страница портала содержит все
имеющиеся ресурсы на внутренних сетях. Например, страница портала может
предоставить ссылку, чтобы позволить удаленному пользователю загрузить и
установить тонкий клиент (для проброса TCP-порта) или клиент туннелирования.
В режиме Clientless удаленные пользователи получают доступ к внутренней
сети с помощью веб-браузера на компьютере клиента.
В туннельном режиме, удаленные пользователи используют SSL туннель для
передачи данных на уровне сети (IP). Таким образом, туннельный режим
поддерживает большинство приложений на основе IP.
Туннельное соединение определяется настройками групповых политик.
Cisco AnyConnect VPN Client загружается и устанавливается на компьютер
пользователя, и затем устанавливается туннельное соединение, когда удаленный
пользователь входит в шлюз SSL VPN.
ЗАКЛЮЧЕНИЕ
Появление системы удалённого доступа в Колледже – это большой шаг в
развитии мобильности обучения студентов. После завершения работы над
дипломным проектом и введения его в эксплуатацию, у пользователей системы
удалённого доступа появилась возможность доступа к внутренним ресурсам
Колледжа. У сотрудников Колледжа теперь есть возможность удалённого
подключения к своим рабочим местам. Системные администраторы имеют
возможность удалённого доступа к оборудованию, находящемуся во внутренней
сети отделения.
В моей дипломной работе ставилась следующая цель - Создание
необходимых условий для удалённого совершенствования практических навыков
по работе с программно-аппаратными средствами обеспечения информационной
безопасности в аудитории при реализации Федерального государственного
образовательного
стандарта
среднего
профессионального
образования
по
специальности «Информационная безопасность автоматизированных систем» в
Колледже предпринимательства №11. Для этой цели перед работой был поставлен
ряд задач, которые необходимо было выполнить для устранения проблемы,
которая преграждала достижение цели. В работе были приведены результаты
обследования объекта. На основе изученных правовых и нормативных документов
были разработаны требования к системе удалённого доступа и спецификации
программно-аппаратных средств, которые были помещены в приложения, как и
схемы сети. Далее были созданы проектные решения, которые уже перешли в
практическую реализацию, затем было произведено формирование тестовых
примеров и создана инструкция для администратора системы удалённого доступа
и её конечных пользователей. По окончанию работы, были проведены
контрольные испытания, и система удалённого доступа была введена в
промышленную эксплуатацию. Таким образом, поставленные задачи были решены
и, следовательно, цель была достигнута.
Стоит
отметить,
что
изначально
система
удалённого
доступа
проектировалась и внедрялась для студентов. Но со временем практическое
применение стало расширяться: у сотрудников Колледжа появилась потребность в
удалённом доступе к своим рабочем местам и им была предоставлена такая
возможность. Со временем стало понятно, что удалённый доступ – это удобное
средство удалённого администрирования оборудования Колледжа и системные
администраторы получили возможность удалённого доступа в этих целях. Также
по определённым причинам потребовался удалённый доступ и к другим
отделениям Колледжа, после чего возможность удалённого доступа стала доступна
и для них. Поэтому хочется сказать, что появление возможности удалённого
доступа – это большой задел на будущее, количество пользователей будет
увеличиваться, а соответственно, актуальность моей дипломной работы –
повышаться.
Не исключено, что в будущем можно будет усилить шифрование, сделав
запрос в Федеральную Службу Безопасности на разрешение использования
шифрования 3DES. Помимо этого, можно будет усилить безопасность авторизации
путём замены общего пароля на сертификаты.
СПИСОК ЛИТЕРАТУРЫ
1. Чекмарев. А.Н. «Windows 2008. Настольная книга администратора». СПб.:
БХВ-Петербург, 2009. – 512с.
2. Харрис Ш. «CISSP All-in-One Exam Guide, 5th Edition». McGraw-Hill, 2009г. 1216с.
1. Обзор
VPN (виртуальная частная сеть) - это технология, обеспечивающая
защищённую (закрытую от внешнего доступа) связь логической сети поверх
частной или публичной при наличии высокоскоростного интернета.
Соединение
использует
виртуальный
туннель
для
реализации
шифрования данных, проверки и пользователя аутентификация, которая
гарантирует, что данные не были фальсифицированы, реплицированы,
проверены.
Что касается выделенной линии, VPN работает в Интернете без
чрезмерных затрат. Можно безопасно и экономично передавать частные данные
через Интернет. VPN-система включает VPN-сервер, VPN-клиенти виртуальный
туннель. На рис.1 показана простая схема VPN.
Рис.1
VPN
позволяет
ip телефону
из общедоступной
безопасный удалённый доступ к частной сети (рис.2)
рис.2
сети иметь
2. OpenVpn.
OpenVPN - свободная реализация технологии виртуальной частной сети
(VPN) с открытым исходным кодом для создания зашифрованных каналов типа
точка-точка или сервер-клиенты между компьютерами
2.1 Установка OpenVPN (OC Windows )
Загрузите и установите OpenVPN (например, OpenVPN 2.3.18) и
выполните следующие шаги:
В
данном
примере,
OpenVPN
устанавливался
Files\OpenVPN.
– Запускаем скачанный файл - нажимаем «Next» - «I Agree»
C:\Program
– выставляем маркеры «OpenVPN RSA Certificate Management Scripts»
(нужен для возможности сгенерировать сертификаты) и OpenSSL Utilities
«Next» и «Install» — начнётся установка.
В процессе мастер установки может выдать запрос на подтверждение
установки виртуального сетевого адаптера — соглашаемся (Install).
После завершения нажимаем «Next» - снимаем галочку «show
Readme» - «Finish»
Установка завершена.
2.2
Создание сертификатов.
2.2.1 Первоначальная конфигурация.
– В папке установки
OpenVPN (по умолчанию,
C:\Program
Files\OpenVPN) и создаём каталог SSL.
– В папке C:\Program Files\OpenVPN\easy-rsa, создаём файл vars.bat,
открываем его на редактирование и приводим к следующему
виду:
set
"PATH=%PATH%;%ProgramFiles%\OpenVPN\bin" set
HOME=%ProgramFiles%\OpenVPN\easy-rsa
set OPENSSL_CONF=C:\Program Files\OpenVPN\easy-rsa\openssl1.0.0.cnf set KEY_CONFIG=openssl-1.0.0.cnf
set KEY_DIR=keys
set
DH_KEY_SIZE=1024
set KEY_SIZE=1024
set KEY_COUNTRY=RU
set
KEY_PROVINCE=Ekaterinburg
set KEY_CITY=Ekaterinburg
set KEY_ORG=Organization
set
KEY_EMAIL=i.ivanov@nag.ru
set KEY_CN=NAG
set KEY_OU=NAG
set
KEY_NAME=server.domain.ru set
PKCS11_MODULE_PATH=NAG
set PKCS11_PIN=12345
* в каталоге easy-rsa уже есть файл vars.bat.sample — можно
переименовать и использовать его.
** значение HOME не меняем, если оставили путь установки
программы по умолчанию;
KEY_DIR — каталог, куда будут генерироваться сертификаты;
KEY_CONFIG может быть разным — его лучше посмотреть в файле
vars.bat.sample или по названию соответствующего файла в папке easy-rsa;
KEY_NAME желательно, чтобы соответствовал полному имени
VPN-сервера; остальные опции можно заполнить произвольно.
2.2.2 Создание
сертификата CA .
– Запускаем командную строку (cmd) от имени администратора:
– Переходим в каталог easy-rsa:
cd C:\\Program Files\OpenVPN\easy-rsa
– Запускаем файл vars.bat
vars.bat
– Чистим каталоги от устаревшей информации:
clean-all.bat
– Снова запускаем vars.bat (после clean переопределяются некоторые
переменные):
vars.bat
– Генерируем сертификат и на все запросы нажимаем Enter.
build-ca.bat
2.2.3 Создание файла dh1024.pem
В
командной строке (cmd) введите
build-dh
2.2.4 Создание
В
сертификата сервера
командной строке необходимо ввести:
build-key-server.bat cert
* где cert — имя сертификата; на все запросы нажимаем Enter. Вконце
подтверждаем два раза корректность информации вводом y.
Содержимое
Files\OpenVPN\easy-rsa\keys
Files\OpenVPN\ssl.
2.2.5 Создание
папки
переносим
в
C:\Program
C:\Program
сертификата клиента.
Генерируем сертификат пользователя, в командной строке (cmd)
вводим:
build-key.bat clients
* на все запросы наживаем Enter, в конце — y.
** Мы можем на каждого клиента сгенерировать свой сертификат,
а можем использовать один на всех. Первый вариант безопаснее, второй —
удобнее. Каким пользоваться — решать исходя из личного опыта, требований
политики безопасности компании и уровня доверия к пользователям.
2.3 Файлы конфигурации .
2.3.1 Конфигурация сервера.
Переносим из папки C:\Program Files\OpenVPN\sample-config в
C:\Program Files\OpenVPN\config файл sample.ovpn. Переименовываем его в
server.ovpn. Файл server.ovpn открываем на редактирование и приводим к
следующему виду:
port
12345 proto
udp dev tun
dev-node "VPN Server"
dh
"C:\\Program
Files\\OpenVPN\\ssl\\dh1024.pem" ca
"C:\\Program
Files\\OpenVPN\\ssl\\ca.crt"
cert
"C:\\Program
Files\\OpenVPN\\ssl\\cert.crt" key
Files\\OpenVPN\\ssl\\cert.key"
"C:\\Program
server
10.10.0.0
255.255.0.0
max-clients 32
keepalive
10 120 client-toclient comp-lzo
persistkey persist-tun
cipher
DES-
CBC
status
Files\\OpenVPN\\log\\status.log"
"C:\\Program
log
"C:\\Program
Files\\OpenVPN\\log\\openvpn.log" verb 4
mute 20
* где port — сетевой порт (12345 позволит избежать проблем при
использовании Интернета в общественных местах, но может быть любым из
свободных, например 1723, занятые порты в Windows можно посмотреть
командой netstat -a);
dev-node — название сетевого интерфейса;
server — подсеть, в которой будут работать как сам сервер, так и
подключённые к нему клиенты.
** так как в некоторых путях есть пробелы, параметр заносится в
кавычках.
##############################################
# Which local IP address should
OpenVPN # listen on? (optional)
;local a.b.c.d
# Which TCP/UDP port should OpenVPN listen
on? # If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need
to # open up this port on your firewall.
# the default port 1194
port 1194
# TCP or UDP server?
#Uncomment the line to enable TCP or UDP
;proto tcp
proto udp
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface # and
bridged it with your ethernet interface. # If you
want to control access policies
# over the VPN, you must create
firewall # rules for the the TUN/TAP
interface.
# On non-Windows systems, you can
give # an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not
function # unless you partially or fully disable
# the firewall for the TUN/TAP interface.
#Typically, dev tap is used if VPN server is #
running on windows
#tap is for Windows and tun is for
Linux dev tap
;dev tun
# Windows needs the TAP-Win32 adapter
name # from the Network Connections panel if you
# have more than one. On XP SP2 or
higher, # you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
;dev-node MyTap
#
SSL/TLS
root
certificate
(ca),
certificate # (cert), and private key (key). Each
client
# and the server must have their own cert and
# key file. The server and all clients will
# use the same ca
file. #
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates #
and private keys. Remember to use
# a unique Common Name for the
server # and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key
file # (see "pkcs12" directive in main page).
#Please be sure the filename
#ROOT CA is generated by build-ca, and it is used to verify
the legality of customer certification.
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
#The certificate file of server
cert "C:\\Program Files\\OpenVPN\\config\\Cdtsmserver.crt"
#The key of certificate file.
key "C:\\Program Files\\OpenVPN\\config\\Cdtsmserver.key"
# This file should be kept secret
#
Diffie
hellman
parameters.# Generate your own
with:
# openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using #
2048 bit keys.
dh dh1024.pem
# Configure server mode and supply a VPN
subnet # for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info. #Launch
VPN server on TAP/TUN interface with Specific IP
address and net mask
;server 192.168.0.0 255.255.255.0
# Maintain a record of client <-> virtual IP address
# associations in this file. If OpenVPN goes down or # is
restarted, reconnecting clients can be assigned # the same
virtual IP address from the pool that was # previously
assigned.
ifconfig-pool-persist ipp.txt
# Configure server mode for ethernet bridging.
# You must first use your OS's bridging
capability # to bridge the TAP interface with the
ethernet
# NIC interface. Then you must manually set
the # IP/netmask on the bridge interface, here we #
assume 10.8.0.4/255.255.255.0. Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients. Leave this line
commented # out unless you are ethernet bridging.
#If users want to launch the VPN server on bridge
server-bridge 10.8.0.2 255.255.255.0 10.8.0.50 10.8.0.100
# Configure server mode for ethernet
bridging # using a DHCP-proxy, where clients talk
# to the OpenVPN server-side DHCP
server # to receive their IP address allocation
# and DNS server addresses. You must first use
# your OS's bridging capability to bridge the TAP #
interface with the ethernet NIC interface.
# Note: this mode only works on clients (such as
# Windows), where the client-side TAP adapter is #
bound to a DHCP client.
;server-bridge
# Push routes to the client to allow it
# to reach other private subnets behind
# the server. Remember that these
# private subnets will also need
# to know to route the OpenVPN client
#
address
(10.8.0.0/255.255.255.0) #
pool
back
to
the
OpenVPN server.
;push "route 192.168.35.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
# EXAMPLE: Suppose the client
#
having
the
certificate
common
name
"Thelonious" # also has a small subnet behind his
connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet
to # access the VPN. This example will only work #
if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.
# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of
10.9.0.1. # First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
#
Then
add
this
line
to
ccd/Thelonious: # ifconfig-push 10.9.0.1
10.9.0.2
# Suppose that you want to enable different
# firewall access policies for different groups # of
clients. There are two methods:
# (1) Run multiple OpenVPN daemons, one for
each # group, and firewall the TUN/TAP interface
# for each group/daemon appropriately.
#
(2)
(Advanced)
Create
a
script
to
dynamically # modify the firewall in response to
access
# from different clients. See man
# page for more info on learn-address script.
;learn-address ./script
# If enabled, this directive will
configure # all clients to redirect their default
# network gateway through the VPN,
causing # all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to
NAT # or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"
#
Certain
Windows-specific
network
settings # can be pushed to clients, such as DNS
# or WINS server addresses. CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
;push "dhcp-option DNS 10.10.22.243"
;push "dhcp-option WINS 202.106.0.20"
# Uncomment this directive to allow
different # clients to be able to "see" each other.
# By default, clients will only see the
server. # To force clients to only see the server,
you # will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client
# Uncomment this directive if multiple clients
# might connect with the same certificate/key # files
or common names. This is recommended # only for
testing purposes. For production use,
# each client should have its own certificate/key
#
pair. #
# IF YOU HAVE NOT GENERATED
INDIVIDUAL # CERTIFICATE/KEY PAIRS FOR
EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON
NAME", # UNCOMMENT THIS LINE OUT.
duplicate-cn
# The keepalive directive causes pinglike # messages to be sent back and forth over #
the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
#( Openvpn can not connect again in mode server
) # The value can be modified by users.
keepalive 10 120
# For extra security beyond that
provided # by SSL/TLS, create an "HMAC
firewall"
# to help block DoS attacks and UDP port
flooding. #
# Generate with:
# openvpn --genkey --secret ta.key
# The server and each client must
have # a copy of this key.
# The second parameter should be
'0' # on the server and '1' on the clients.
;tls-auth ta.key 0 # This file is secret
# Select a cryptographic cipher.
# This config item must be copied
to # the client config file as well.
#We use DES-CBC as an example.
;cipher BF-CBC
;cipher AES-128-CBC
;cipher DES-EDE3-CBC
cipher DES-CBC
# Enable compression on the VPN
link. # If you enable it here, you must also
# enable it in the client config file.
;comp-lzo no
# The maximum number of concurrently connected
# clients we want to allow.
# The value can be modified by
users. max-clients 20
# It's a good idea to reduce the
OpenVPN #
daemon's
privileges
after
initialization #
# You can uncomment this out
on # non-Windows systems.
;user nobody
;group nobody
# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible
because # of the privilege downgrade.
persistkey persisttun
# Output a short status file
showing # current connections, truncated
# and rewritten every minute.
status openvpn-status.log
# By default, log messages will go to the syslog (or
# on Windows, if running as a service, they will go
to # the "\Program Files\OpenVPN\log" directory).
# Use log or log-append to override this default.
# "log" will truncate the log file on OpenVPN
startup, # while "log-append" will append to it. Use one
# or the other (but not both).
;log openvpn.log
;log-append openvpn.log
# Set the appropriate level of
log # file verbosity.
#
# 0 is silent, except for fatal
errors # 4 is reasonable for general
usage
# 5 and 6 can help to debug connection
problems # 9 is extremely verbose
#The value can be modified by
users verb 4
Примечание: комметарии отмечены «#» или «;». Данная
конфигурация работает для ОС Windows или Linux.
Помните, что в ОС Windows для задания пути, необходимо
# Silence repeating messages. At most 20
использовать
«\\»
(например,
"C:\\Program
# sequential messages of the same
Files\\OpenVPN\\config\\foo.key")
message # category will be output to the log.
20
2.3.2;mute
Подключение
к серверу OpenVPN.
– В сетевых подключениях Windows открываем управление адаптерами
- TAP-адаптер переименовываем в «VPN Server» (как у нас указано
в конфигурационном файле, разделе dev-node):
– Открываем службы Windows и находим «OpenVpnService».
– Службу «OpenVpnService»
настраиваем на автозапуск и включаем:
– Ранее переименованный сетевой интерфейс должен включиться:
2.3.3 Конфигурация клиента.
Переходим в папку C:\Program Files\OpenVPN\sample-config.
Открываем и редактируем файл client.ovpn.
##############################################
# Sample client-side OpenVPN 2.0 config
file ## for connecting to multi-client server. #
##
# This configuration can be used by
multiple # # clients, however each client should
# On Windows, you might want to rename this
# # file so it has a .ovpn extension #
##############################################
# Specify that we are a client and that we
# will be pulling certain config file
directives # from the server.
Client
# Use the same setting as you are using
on # the server.
# On most systems, the VPN will not
function # unless you partially or fully disable
# the firewall for the TUN/TAP interface.
#we use Tap as an
example dev tap
;dev tun
# Windows needs the TAP-Win32 adapter
name # from the Network Connections panel
# if you have more than one. On XP
SP2, # you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# Are we connecting to a TCP or
# UDP server? Use the same setting
as # on the server.
#Please be same as the server‘s protocol.
;proto tcp
proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the
servers.
#Outer
network
ip
of
OpenVPN remote 192.168.35.91 1194
;remote my-server-2 1194
# Choose a random host from the remote
#
list
for
load-balancing.
Otherwise # try hosts in the order
specified.
;remote-random
# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind
to # a specific local port number.
Nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
# Try to preserve some state across restarts.
persistkey persisttun
# If you are connecting through an
# HTTP proxy to reach the actual
OpenVPN # server, put the proxy server/IP and
# port number here. See the man
page # if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a
lot # of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-
warnings
parms.
#
SSL/TLS
# See the server config file for
more # description. It's best to use
# a separate .crt/.key file
pair # for each client. A single ca
# file can be used for all
clients. #Please be sure the file
name ca /config/openvpn/ca.crt
cert /config/openvpn/Client.crt
key /config/openvpn/Client.key
#
Verify
server
certificate
by
checking # that the certicate has the
nsCertType # field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType # field
set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x
# we use DES-CBC as an
example cipher DES-CBC
# Enable compression on the VPN
link. # Don't enable this unless it is also
# enabled in the server config file.
;comp-lzo no
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
2.3.4 Создание файла client.tar
Для создание клиентского файла необходимо:
– Скопировать
файл
client.ovpn
из
C:\Program
Files\OpenVPN\sample-config и Client.crt, Client.key, ca.crt файлов
C:\Program Files\OpenVPN\easy-rsa\ и C:\Program Files\OpenVPN\ для
клиента.
– Переименовать файл client.ovpn в vpn.conf.
– Файл vpn.conf привести к следующему виду, соблюдая весь синтаксис:
client
resolv-retry
infinitenobind
remote 172.31.71.94 12345
pro
to udp dev
tun complzo
ca /config/openvpn/ca.crt
cert
/config/openvpn/clients.crt
key
/config/openvpn/clients.key
dh
/config/openvpn/dh1024.pem float
cipher
DES-CBC
keepalive 10 120
persist-key
persist-tun
verb 0
– При помощи программы 7-zip для создать файл vpn.tar.
3. Настройка телефона
3.1 Конфигурация через web
В разделе Network-Advanced-VPN:
– Устанавливаем маркер напротив функции OpenVPN
– Включаем данный функционал
– Загружаем созданный файл vpn.tar
– Нажимаем клавишу «Upload»
– После успешной загрузки
загрузки появится сообщение:
– Активируем OpenVPN и нажимаем кнопку «Submit»
– После перезагрузки аппарат
применит настройки и при успешном
подключения VPN-сервера на дисплее отобразится значок
Через экранной меню можно увидеть присвоенный ip адрес.