Uploaded by Dima Abnosov

Организация удаленного рабочего места с использованием виртуальной частной сети

advertisement
Содержание
Введение
Глава 1. Теоретическая часть
.1 Уровни реализации, структура, классификация VPN
.2 Построение безопасных сетей на основе VPN
.3 Шифрование
.4 Фильтрация
Глава 2. Практическая часть
.1 Практическая реализация
.2 Проверка
Заключение
Список литературы
Введение
Традиционно основной сферой применения средств криптографической
защиты информации были и остаются сети и системы защищенной связи.
Современные
информационно-телекоммуникационные
системы
нередко
объединяют весьма значительное число абонентов, измеряемое десятками и
сотнями тысяч, каждый из которых обладает некоторым количеством
криптографических ключей. Нередко количество участников системы заранее
не определено: одни из них могут добавляться в систему в процессе ее работы,
другие - по разным причинам выбывать из нее. В таких системах вероятность
утраты или компрометации ключей, по крайней мере, у части участников
становится весьма высокой. Полный и объективный централизованный
контроль за всеми пространственно распределенными абонентами сети связи и
их ключами становится невозможен. В связи с этим выдвигается задача такого
структурирования криптосистемы и такой организации работы с ключами,
которая рационально сочетает надежность, криптографическую стойкость,
управляемость и практичность системы для абонентов.
VPN (англ. Virtual Private Network - виртуальная частная сеть) обобщённое
название
технологий, позволяющих
обеспечить
одно
или
несколько сетевых соединений (логическую сеть) поверх другой сети
(например, Интернет). Несмотря на то, что коммуникации осуществляются по
сетям с меньшим или неизвестным уровнем доверия (например, по публичным
сетям), уровень доверия к построенной логической сети не зависит от уровня
доверия к базовым сетям благодаря использованию средств криптографии
(шифрования, аутентификации, инфраструктуры открытых ключей, средств для
защиты от повторов и изменений, передаваемых по логической сети
сообщений).
Глава 1. Теоретическая часть
.1 Уровни реализации, структура, классификация VPN
Уровни реализации. Обычно VPN развёртывают на уровнях не выше
сетевого, так как применение криптографии на этих уровнях позволяет
использовать в неизменном виде транспортные протоколы (такие как TCP,
UDP).
Пользователи Microsoft Windows обозначают термином VPN одну из
реализаций виртуальной сети - PPTP, причём используемую зачастую не для
создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция
протокола PPP в какой-нибудь другой протокол - IP (такой способ использует
реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и
они имеют различия). Технология VPN в последнее время используется не
только для создания собственно частных сетей, но и некоторыми провайдерами
"последней мили" на постсоветском пространстве для предоставления выхода в
Интернет.
При должном уровне реализации и использовании специального
программного обеспечения сеть VPN может обеспечить высокий уровень
шифрования передаваемой информации. При правильной настройке всех
компонентов технология VPN обеспечивает анонимность в Сети.
Структура
VPN.
VPN
состоит
из
двух
частей:
"внутренняя"
(подконтрольная) сеть, которых может быть несколько, и "внешняя" сеть, по
которой проходит инкапсулированное соединение (обычно используется
Интернет). Возможно также подключение к виртуальной сети отдельного
компьютера. Подключение удалённого пользователя к VPN производится
посредством сервера доступа, который подключён как к внутренней, так и к
внешней (общедоступной) сети. При подключении удалённого пользователя
(либо при установке соединения с другой защищённой сетью) сервер доступа
требует
прохождения
процесса
идентификации,
а
затем
процесса
аутентификации. После успешного прохождения обоих процессов удалённый
пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то
есть происходит процесс авторизации.
Классификация VPN. Классифицировать VPN решения можно по
нескольким основным параметрам: (см. рисунок 1).
По степени защищённости используемой среды:
защищенные - наиболее распространённый вариант виртуальных
частных сетей. С его помощью возможно создать надежную и защищённую сеть
на основе ненадёжной сети, как правило, Интернета. Примером защищённых
VPN являются: IPSec, OpenVPN и PPTP.
доверительные - используются в случаях, когда передающую среду
можно считать надёжной и необходимо решить лишь задачу создания
виртуальной подсети в рамках большей сети. Проблемы безопасности
становятся неактуальными. Примерами подобных VPN решений являются:
Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol)
(точнее будет сказать, что эти протоколы перекладывают задачу обеспечения
безопасности на другие, например L2TP, как правило, используется в паре с
IPSec).
По способу реализации. В виде специального программно-аппаратного
обеспечения. Реализация VPN сети осуществляется при помощи специального
комплекса программно-аппаратных средств. Такая реализация обеспечивает
высокую производительность и, как правило, высокую степень защищённости.
В виде программного решения. Используют персональный компьютер со
специальным программным обеспечением, обеспечивающим функциональность
VPN.
Интегрированное
решение.
Функциональность
VPN
обеспечивает
комплекс, решающий также задачи фильтрации сетевого трафика, организации
сетевого экрана и обеспечения качества обслуживания.
По
назначению.
Remote
Access
VPN
используют
для
создания
защищённого канала между сегментом корпоративной сети (центральным
офисом или филиалом) и одиночным пользователем, который, работая дома,
подключается
к
корпоративным
ресурсам
с
домашнего
компьютера,
корпоративного ноутбука, смартфона или c компьютера общественного
пользования.VPN. Используют для сетей, к которым подключаются "внешние"
пользователи (например, заказчики или клиенты). Уровень доверия к ним
намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение
специальных "рубежей" защиты, предотвращающих или ограничивающих
доступ последних к особо ценной, конфиденциальной информации.VPN.
Используется для предоставления доступа к интернету провайдерами, обычно
если по одному физическому каналу подключаются несколько пользователей.
Протокол PPPoE стал стандартом в ADSL-подключениях./L2TP без шифрования
были широко распространены в середине-конце 2000-х годов в домовых сетях:
в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого.
Это давало возможность контролировать расходы: когда VPN-соединение
выключено, пользователь ничего не платит. В настоящее время (2015) средняя
цена на проводной доступ к Интернету существенно снизилась, а трафик, как
правило, является безлимитным. В итоге решения на базе туннельных
протоколов становятся избыточными для данной отрасли, зачастую даже
обременительными для клиентских устройств маршрутизации SOHO-класса,
которые в последнее время получили широкое распространение./Server VPN. Он
обеспечивает защиту передаваемых данных между двумя узлами (не сетями)
корпоративной сети. Особенность данного варианта в том, что VPN строится
между узлами, находящимися, как правило, в одном сегменте сети, например,
между рабочей станцией и сервером. Такая необходимость очень часто
возникает в тех случаях, когда в одной физической сети необходимо создать
несколько логических сетей. Например, когда надо разделить трафик между
финансовым департаментом и отделом кадров, обращающихся к серверам,
находящимся в одном физическом сегменте. Этот вариант похож на технологию
VLAN, но вместо разделения трафика используется его шифрование.
Рисунок 1- Классификация VPN
По типу протокола. Существуют реализации виртуальных частных сетей
под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к
всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN
решений поддерживает именно его. Адресация в нём чаще всего выбирается в
соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.
По уровню сетевого протокола. По уровню сетевого протокола на основе
сопоставления с уровнями эталонной сетевой модели ISO/OSI.
По доступу. VPN могут быть как платными, так и бесплатными, со
свободным доступом для всех пользователей интернета. Бесплатные VPN
критикуют за низкий уровень защищенности данных, подозревают в сборе
информации о пользователях и продаже данных злоумышленникам.
.2 Построение безопасных сетей на основе VPN
Предыстория. История зарождения VPN уходит своими корнями далеко в
60-е годы прошлого столетия, когда специалисты инженерно-технического
отдела
нью-йоркской
телефонной
компании
разработали
систему
автоматического установления соединений абонентов АТС - Centrex (Central
Exchange). Другими словами это не что иное, как виртуальная частная
телефонная сеть, т.к. арендовались уже созданные каналы связи, т.е.
создавались виртуальные каналы передачи голосовой информации. В настоящее
время данная услуга заменяется более продвинутым ее аналогом - IP-Centrex.
Соблюдение конфиденциальности было важным аспектом при передаче
информации уже достаточно длительное время, приблизительно в 1900 году до
н.э. первые попытки криптографии проявляли египтяне, искажая символы
сообщений. А в XV веке уже нашей эры математиком Леоном Батистом
Альберти была создана первая криптографическая модель. В наше время
именно виртуальная частная сеть может обеспечить достаточную надежность
передаваемой
информации
вместе
с
великолепной
гибкостью
и
расширяемостью системы.versus PN. Организовывая безопасные каналы
передачи информации в учреждениях несправедливо не рассмотреть вариант
организации полноценной частной сети. Ниже изображен вариант организации
частной сети небольшой компанией с 2 филиалами (см. рисунок 2).
Рисунок 2 - Частная сеть компании
Доступ во внешнюю сеть может осуществляться как через центральный
офис, так и децентрализовано. Данная организация сети обладает следующими
неоспоримыми преимуществами:

высокая скорость передачи информации, фактически скорость при
таком соединении будет равна скорости локальной сети предприятия;

безопасность, передаваемые данные не попадают в сеть общего
пользования;

за пользование организованной сетью ни кому не надо платить,
действительно капитальные вложения будут только на стадии изготовления
сети.
На 3 рисунке представлен аналогичный вариант организации сети
учреждения с филиалами, но только с использованием виртуальных частных
сетей.
Рисунок 3- Организация сети с использованием VPN
В данном случае преимущества, приведенные для частных сетей,
оборачиваются недостатками для виртуальных частных сетей, но так ли
значительны эти недостатки:

скорость передачи данных. Провайдеры могут обеспечить достаточно
высокоскоростной доступ в Интернет, однако с локальной, проверенной
временем 100 Мбит сетью он все равно не сравнится. Но так ли важно каждый
день перекачивать сотни мегабайт информации через организованную сеть? Для
доступа к локальному сайту предприятия, пересылки электронного письма с
документом
вполне
достаточно
скорости,
которой
могут
обеспечить
Интернет-провайдеры;
безопасность

передаваемых
данных.
При
организации
VPN
передаваемая информация попадает во внешнюю сеть, поэтому об организации
безопасности придется позаботиться заранее. Но уже сегодня существуют
достаточно стойкие к атакам алгоритмы шифрования информации, которые
позволяют владельцам передаваемых данных не беспокоиться за безопасность.
Подробнее о способах обеспечения безопасности и алгоритмах шифрования
чуть ниже;

за организованную сеть никому не надо платить. Достаточно
спорное преимущество, поскольку в противовес дешевизне пользования сетью
стоят большие капитальные затраты на ее создание, которые могут оказаться
неподъемными для небольшого учреждения. В то же время плата за
использование Интернет в наши дни сама по себе достаточно демократичная, а
гибкие тарифы позволяю выбрать каждому оптимальный пакет.
Теперь разберемся с наиболее очевидными преимуществами VPN:

масштабируемость системы: при открытии нового филиала или
добавления сотрудника, которому позволено пользоваться удаленным доступом
не нужно никаких дополнительных затрат на коммуникации.

гибкость системы: для VPN не важно, откуда вы осуществляете
доступ. Отдельно взятый сотрудник может работать из дома, а может во время
чтения почты из корпоративного почтового ящика фирмы пребывать в
командировке в абсолютно другом государстве. Также стало возможным
использовать так называемые мобильные офисы, где нет привязки к
определенной местности.

из предыдущего вытекает, что для организации своего рабочего
места человек географически неограничен, что при использовании частной сети
практически невозможно.
Отдельным пунктом можно выделить создание не проводных частных
сетей, а беспроводных. При таком подходе можно даже рассмотреть вариант со
своим спутником. Однако в этом случае начальные затраты достигают
астрономических
высот,
скорость
снижается
фактически
до
скорости
пользования всемирной паутиной, а для надежного обеспечения безопасности
необходимо применять опять таки шифрование. И в итоге получаем туже
виртуальную частную сеть, только с неимоверно высокими начальными
затратами
и
затратами
на
поддержание
в
рабочем
состоянии
всего
оборудования. Способы организации В VPN наиболее целесообразно выделить
следующие три основных способа:
1. Удаленный доступ отдельно взятых сотрудников к корпоративной
сети организации через модем либо общедоступную сеть (см. рисунок 4).
Рисунок 4- Удаленный доступ сотрудников
Организация такой модели виртуальной частной сети предполагает
наличие VPN-сервера в центральном офисе, к которому подключаются
удаленные клиенты. Удаленные клиенты могут работать на дому, либо,
используя переносной компьютер, из любого места планеты, где есть доступ к
всемирной паутине. Данный способ организации виртуальной частной сети
целесообразно применять в случаях:

географически не привязанного доступа сотрудников к корпоративной
сети организации;

доступа к Интернету. Часто провайдеры создают для своих
клиентов VPN подключения для организации доступа к ресурсам Интернет.
2. Связь в одну общую сеть территориально распределенных филиалов
фирмы. Этот способ называется Intranet VPN (см. рисунок 5).
Рисунок 5- Связь в общую сеть филиалов фирмы
При организации такой схемы подключения требуется наличие VPN
серверов
равное
количеству
связываемых
офисов.
Данный
способ
целесообразно использовать как для обыкновенных филиалов, так и для
мобильных офисов, которые будут иметь доступ к ресурсам "материнской"
компании, а также без проблем обмениваться данными между собой.
3. Так называемый Extranet VPN, когда через безопасные каналы доступа
предоставляется доступ для клиентов организации. Набирает широкое
распространение в связи с популярностью электронной коммерции.
В этом случае для удаленных клиентов будут очень урезаны возможности
по использованию корпоративной сети, фактически они будут ограничены
доступом к тем ресурсам компании, которые необходимы при работе со своими
клиентами, например, сайта с коммерческими предложениями, а VPN
используется в этом случае для безопасной пересылки конфиденциальных
данных. Средства защиты информации - протоколы шифрования Поскольку
данные в виртуальных частных сетях передаются через общедоступную сеть,
следовательно, они должны быть надежно защищены от посторонних глаз. Для
реализации
защиты
передаваемой
информации
существует
множество
протоколов, которые защищают VPN, но все они подразделяются на два вида и
работают в паре:

протоколы,
инкапсулирующие
данные
и
формирующие
VPN
соединение;

протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а
второй тип отвечает непосредственно за шифрование данных. Рассмотрим
некоторые стандартные, предлагаемые всемирно признанным мировым лидером
в области разработки операционных систем, решения. В качестве стандартного
набора предлагается сделать выбор из двух протоколов, точнее будет сказать
наборов:
1. PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол
"точка-точка", детище Microsoft и является расширением PPP (Point-to-Point
Protocol), следовательно, использует его механизмы подлинности, сжатия и
шифрования. Протокол PPTP является встроенным в клиент удаленного доступа
Windows XP. При стандартном выборе данного протокола компанией Microsoft
предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point
Encryption). Можно передавать данные без шифрования в открытом виде.
Инкапсуляция данных по протоколу PPTP происходит путем добавления
заголовка GRE (Generic Routing Encapsulation) и заголовка IP к данным
обработанных протоколом PPP.
2.
L2TP (Layer Two Tunneling Protocol) - более совершенный протокол,
родившийся в результате объединения протоколов PPTP (от Microsoft) и L2F (от
Cisco), вобравший в себя все лучшее из этих двух протоколов. Предоставляет
более
защищенное
соединение,
нежели
первый
вариант,
шифрование
происходит средствами протокола IPSec (IP-security). L2TP является также
встроенным в клиент удаленного доступа Windows XP, более того при
автоматическом определении типа подключения клиент сначала пытается
соединиться с сервером именно по этому протоколу, как являющимся более
предпочтительным в плане безопасности.
Инкапсуляция данных происходит путем добавления заголовков L2TP и
IPSec к данным обработанным протоколом PPP. Шифрование данных
достигается путем применения алгоритма DES (Data Encryption Standard) или
3DES. Именно в последнем случае достигается наибольшая безопасность
передаваемых данных, однако в этом случае придется расплачиваться
скоростью соединения, а также ресурсами центрального процессора. В вопросе
применения протоколов компания Microsoft и Cisco образуют некий симбиоз,
судите сами, протокол PPTP - разработка Microsoft, но используется совместно
с GRE, а это продукт Cisco, далее более совершенный в плане безопасности
протокол L2TP - это ни что иное, как гибрид, вобравший в себя все лучшее
PPTP (уже знаем чей) и L2F, да правильно, разработанный Cisco. Возможно
именно поэтому VPN, при правильном подходе в организации, считается
надежным способом передачи конфиденциальных данных. Рассмотренные здесь
примеры протоколов не являются единственными, существует множество
альтернативных решений, например, PopTop - Unix реализация PPTP, или
FreeSWAN - протокол для установления IPSec соединения под Linux, а также:
Vtun, Racoon, ISAKMPD и др.
.3 Шифрование
Безопасность ВЧС значительно повышается, когда шифруются не только
пакеты данных, но и пароли. Криптоключи данных, как уже отмечалось,
генерируются на основе регистрационных данных пользователя и по каналам
связи не передаются. Когда аутентификация завершена и личность пользователя
удостоверена, шифрование производится с помощью ключа аутентификации.
Протоколы PPTP и L2TP, как и лежащий в их основе РРР, допускают
применение дополнительных протоколов шифрования и сжатия. В частности,
для повышения защищенности данных здесь может использоваться протокол
IPSec, который поддерживается в реализации L2TP, выполненной Microsoft.
При необходимости безопасность информации в ВЧС можно обеспечить и с
помощью других криптотехнологий.
Симметричное шифрование (с личным ключом).
В основу симметричного шифрования (его также называют шифрованием
с личным ключом или обычным шифрованием) положен секретный ключ,
известный только участникам сеанса связи. Отправитель обрабатывает свое
сообщение по специальному математическому алгоритму с использованием
секретного ключа, преобразуя тем самым его открытый текст в шифрованный.
Получатель сообщения с помощью того же самого секретного ключа проводит
обратную операцию, после чего получает исходный открытый текст. Примером
схемы симметричного шифрования могут служить алгоритмы RSA RC4
(применяемый в протоколе MPPE), DES (Data Encryption Standard - стандарт
шифрования данных), IDEA (International Data Encryption Algorithm международный
алгоритм
шифрования
данных),
а
также
технология
шифрования Skipjack, предложенная правительством США для микросхемы
Clipper.
Асимметричное шифрование (с открытым ключом).
Для асимметричного шифрования (или шифрования с открытым ключом)
каждый пользователь должен иметь два различных ключа. Один из них секретный (личный) и известен только владельцу, а второй - открытый, который
доступен всем. Секретный и открытый ключи составляют пару, взаимосвязь
между
ними
определяется
специальным
математическим
алгоритмом
шифрования. При такой схеме один ключ используется для шифрования
сообщения, а другой - для его дешифровки. Применение ключей определяется
особенностями службы связи. Технологии шифрования с открытым ключом
позволяют включать в сообщения цифровые подписи - блоки информации,
закрытые с помощью секретного ключа автора сообщения.
При симметричном шифровании отправитель и получатель должны знать
общий секретный ключ, поэтому приходится искать пути его предварительной
доставки (с соблюдением мер предосторожности) обоим корреспондентам.
Избежать такой проблемы помогает асимметричное шифрование. Здесь
отправитель шифрует свое сообщение или снабжает его цифровой подписью
посредством собственного секретного ключа, а дешифровка производится с
помощью открытого ключа, который отправитель может свободно переслать
любому
своему
корреспонденту.
Таким
образом,
при
асимметричном
шифрование приходится тщательно оберегать только один ключ - секретный.
Структурное и бесструктурное шифрование.
Для правильного выбора схемы шифрования очень важно понять
различия
между
структурным
(stateful)
и
бесструктурным
(stateless)
шифрованием.
При бесструктурном шифровании каждый одиночный пакет является
самодостаточным и содержит всю информацию, необходимую для его
дешифрования. Структурное шифрование, напротив, основано на том, что
каждый последующий пакет связан с предыдущим (или предыдущими), и
успешное дешифрование сообщения возможно лишь в том случае, если у
получателя имеется вся последовательность пакетов.
Чтобы
правильно
компромиссное
выбрать
решение,
тип
шифрования,
сбалансировав
стойкость
необходимо
найти
шифрования
и
производительности криптосистемы в средах с высоким уровнем потерь (или в
сетях, где нарушается последовательность доставки пакетов). Бесструктурное
шифрование позволяет дешифровать каждый пакет автономно, без какой-либо
связи с предыдущими. По стойкости такой подход уступает структурному
шифрованию, где не получив предыдущего пакета, невозможно расшифровать
последующий. Однако в последнем случае достаточно одному-единственному
пакету затеряться в сети - и дешифрование всех пакетов, следующих за ним,
станет
невозможным.
Это
может
привести
к
серьезному
снижению
производительности в сетях, где велика вероятность потери пакетов или
нарушения порядка их доставки.
Механизмы
шифрования
IPSec
обычно
опираются
на
методы
бесструктурного шифрования, и тому есть веская причина: в IP-сетях просто
невозможно гарантировать надежную пересылку всех пакетов. Их доставку без
потерь, и к тому же без нарушения последовательности, обеспечивает только
прямое подключение между узлами сети. Именно поэтому в основу протокола
РРР, разработанного специально для таких сред, положен метод структурного
шифрования.
IPSec и бесструктурное шифрование.
В
протоколе
IPSec
предусмотрено
шифрование
каждого
пакета
индивидуально и независимо от его предшественников. Благодаря такой схеме
потеря отдельного пакета приведет к утрате только той части информации,
которая была заключена в нем, но нисколько не скажется на возможности
дешифрования других пакетов. В тех случаях, когда протоколы туннелирования
канального уровня (такие, как PPTP и L2TP) передаются поверх IPSec,
появляется возможность вместо механизмов структурного шифрования РРР
использовать механизмы бесструктурного шифрования IPSec.
Протокол IPSec создан на основе модели Целевой группы технической
поддержки Интернета, предусматривающей смешение криптографии открытых
и секретных ключей. Автоматизирован здесь и процесс управления ключами, за
счет чего удается добиться максимально возможного уровня безопасности при
очень высокой производительности криптосистемы. Такая схема позволяет
производить
аутентификацию,
проверять
целостность
информации,
предотвращать повторное использование паролей, а также - при применении
дополнительных средств - сохранять конфиденциальность данных, обеспечивая
тем самым очень высокую защищенность канала связи. К тому же, протокол
IPSec, реализованный корпорацией Microsoft, работает ниже сетевого уровня и
поэтому прозрачен для пользователей и приложений. Принимая его на
вооружение, организации автоматически выходят на качественно новый
уровень сетевой безопасности.
Практические реализации IPSec обычно поддерживают более широкий
спектр алгоритмов шифрования, чем протоколы туннелирования канального
уровня, где используется шифрование РРР. Однако такие протоколы можно
передавать поверх IPSec, что позволяет шифровать туннельный трафик
канального уровня посредством всех алгоритмов протокола IPSec.
.4 Фильтрация
Фильтрация служит еще одним мощным средством обеспечения сетевой
безопасности. Опираясь на нее, администратор может разрешить доступ к
корпоративной сети из Интернета только тем пользователям, которые прошли
аутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся к
протоколам PPTP и L2TP, снижает риск атаки на корпоративную сеть через
сервер шлюза ВЧС. Пропуская поступающий трафик через фильтр, можно
удалить из него все пакеты, не отвечающие заданным критериям (протоколам).
В комбинации с шифрованием по протоколу РРР эта функция гарантирует, что
поступить в частную ЛВС и покинуть ее смогут только санкционированные
шифрованные данные.
Фильтрация на сервере маршрутизации и удаленного доступа ВЧС.
Сервер R/RAS (Routing and Remote Access Server - сервер маршрутизации и
удаленного доступа) не только производит маршрутизацию сообщений, но и
выполняет целый ряд других функций. Так, он способен обслуживать
удаленный
доступ
по
коммутируемым
каналам,
поддерживает
ВЧС,
обеспечивает фильтрацию пакетов на отдельных портах. А в среде Windows
2000 этот сервер сможет работать с протоколом L2TP.
Разработчики сервера ВЧС R/RAS предусмотрели возможность установки
фильтров PPTP и L2TP на входных портах туннельного сервера. Такая схема
позволяет блокировать все пакеты, не соответствующие критериям протоколов,
которые установлены на сервере. В частности, в сеть могут пропускаться лишь
пакеты, адресованные конкретному серверу, или те, исходные адреса которых
указаны в список разрешенных IP-адресов отправителей. Может также
проводиться проверка подлинности адресов в частной сети отправителя и
получателя, назначаемых туннельным сервером.
Допускается и фильтрация трафика на выходных портах туннельного
сервера, которая отсеивает данные, исходящие из частной сети. Здесь,
например, можно наладить проверку адресов получателей и их сопоставление
со списком разрешенных, который ведется на сервере R/RAS. Точно так же
можно производить проверку адресов отправителей пакетов.
Фильтрация IPSec.
Протокол IPSec можно представить как еще один уровень, лежащий ниже
стека TCP/IP. Управление этим уровнем производится в соответствии с
политикой безопасности на каждом компьютере, учитываются и правила
обеспечения
безопасности,
согласованные
отправителем
и
получателем
сообщения. Политика безопасности определяет как используемый набор
фильтров, так и ассоциированные функции безопасности (associated security
behaviors). Если IP-адрес, протокол и номер порта, указанные в пакете,
соответствуют критериям фильтрации, следующим этапом становится проверка
ассоциированных функций безопасности.
ВЧС и брандмауэры.
Брандмауэр
представляет
собой
еще
одно
средство
защиты
корпоративной сети. Этот компонент общей системы безопасности строго
следит за тем, какие данные могут быть пропущены из Интернета в частную
сеть. Известны три способа размещения брандмауэров в виртуальных частных
сетях.
Туннельный сервер ВЧС может быть установлен перед брандмауэром,
позади него или на одном компьютере с ним. Наиболее высокий уровень
защиты достигается при установке сервера перед брандмауэром. В среде
Windows NT туннель ВЧС настраивается таким образом, что в сеть проходят
только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и
в таком виде поступают на брандмауэр, где их содержимое вновь подвергается
фильтрации и анализу. Именно такая схема - установка сервера ВЧС перед
брандмауэром - рекомендуется для применения в расширенных интрасетях,
используемых многочисленными доверенными партнерами, и для защиты
финансовых ресурсов. Впрочем, такой совет не универсален, окончательное
решение следует принимать в каждом ко
Как уже отмечалось, брандмауэр может устанавливаться и перед сервером
ВЧС. При такой схеме серверу приходится анализировать гораздо больше
пакетов, чем в описанной выше схеме. Кроме того, возникает опасность
прохождения
через
брандмауэр
несанкционированных
пакетов
PPTP:
информация в них зашифрована и сжата, поэтому провести ее фильтрацию
брандмауэр не в состоянии. В этом случае возникает угроза неправомерного
использования сети служащими, которым предоставляется право доступа в нее.
Причем такая внутренняя угроза превращается в повседневную, если служащий
получает возможность входить в ЛВС постоянно. Впрочем, подобную
конфигурацию, как и связанный с ней риск, можно признать допустимыми для
приложений, работающих в интрасетях и подобных им сетевых структурах.
И, наконец, третья схема, к которой могут прибегнуть организации с
ограниченными ресурсами, - брандмауэр устанавливается на одном компьютере
с сервером ВЧС. При такой конфигурации машина направляет исходящий
трафик ВЧС соответствующим получателям, а входящий - на расположенный
тут же брандмауэр для анализа. Такой способ является наиболее экономичным,
и его вполне можно рекомендовать для применения в интрасетях и для связи в
пределах одной компании.
Глава 2. Практическая часть
.1 Практическая реализация
Теперь перейдем от теории к практике. Организуем простой вариант
виртуальной частной сети (см. рисунок 6).
Рисунок 6- Вариант виртуальной частной сети
Удаленный сотрудник или сотрудница находится вне офиса и имеет
доступ в сеть общего пользования, пускай это будет Интернет. Адрес сети, к
которой необходимо получить доступ 11.7.0.0 маска подсети соответственно
255.255.0.0. Данная корпоративная сеть - это доменная сеть, под управлением
Windows 2003 Server Corporate Edition. На сервере имеется два сетевых
интерфейса с IP адресами, внутренним для корпоративной сети 11.7.3.1 и
внешним 191.168.0.2. Следует отметить, что при проектировании сети VPN
сервер ставится в самую последнюю очередь, поэтому Вы сможете без особых
проблем организовать VPN доступ к уже отлаженной и сформированной сети
организации, но, в тоже время, если в управляемой сети произошли
существенные изменения, то, возможно, Вам потребуется перенастроить VPN
сервер. В нашем случае имеется уже сформированная сеть, с адресами,
описанными выше, необходимо настроить VPN сервер, а также разрешить
определенным пользователям доступ из внешней сети. В корпоративной сети
имеется внутренний сайт, к которому мы и попытаемся получить доступ
посредствам виртуальной частной сети (см. рисунок 7) . В Windows 2003 Server
установка роли VPN сервера осуществляется достаточно просто.
Рисунок 7- Мастер настройки сервера
Следуя подсказкам мастера, устанавливаем необходимые параметры: на
втором шаге выбираем удаленный доступ (VPN или модем); потом удаленный
доступ
через Интернет; на 4-м шаге указываем интерфейс сервера,
подключенный к Интернету, в нашем случае 191.168.0.2; далее определяем
способ назначения адресов удаленным клиентам, в нашем случае это будут
автоматически назначенные адреса; если у Вашей сети имеется RADIUS сервер,
для централизованной проверки подлинности подключений, выберете его, если
нет, тогда оставьте эту задачу VPN серверу. Итак, VPN сервер создан, после
проделанных установок, переходим к управлению пользователями нашего
домена и для работников, которые нуждаются в удаленном доступе к
внутренней сети организации, разрешаем этот самый доступ, установив на
вкладке "Входящие звонки" соответствующий переключатель (см. рисунок 8).
Рисунок 8- Свойства: входящие звонки
При конфигурировании виртуальной частной сети следует помнить, что
для корректной работы необходимо, чтобы установленный брандмауэр
разрешал протоколы, используемые VPN. С серверной частью закончили,
переходим к созданию клиента виртуальной частной сети на удаленном
компьютере. Для этого необходимо запустить мастер сетевых подключений. На
втором шаге, следуя подсказкам, выбрать пункт "Подключить к сети на рабочем
месте". На третьем шаге "Подключение к виртуальной частной сети".
Следующий шаг - вводим название подключения. Пятый шаг - выбираем,
следует ли предварительно подключаться к Интернету (если Вы подключаетесь
с места с постоянным доступом, выберете "нет", если же используете,
например, мобильный телефон в качестве модема, тогда следует выбрать
предварительный
набор
номера
для
подключения
к
Интернету).
На
предпоследнем шаге вводим IP-адрес сервера, к которому осуществляется
доступ (см. рисунок 9).
Рисунок 9- Мастер новых подключений
Для
уже
созданного
подключения
можно
в
любой
момент
откорректировать свойства, а также настроить некоторые моменты, касающиеся
безопасности и типа созданного подключения (см. рисунок 10).
Рисунок 10- VPN- свойства
2.2 Проверка
криптографический пользователь идентификация аутентификация
Конфигурирование удаленного доступа завершено, необходимо проверить
его работоспособность. Начнем с команды "ping", попробуем "пропинговать"
какую-нибудь рабочую станцию из нашей корпоративной сети (см. рисунок 11).
Рисунок 11- Проверка рабочей станции
Компьютеры видны, удаленному работнику не понадобится, попробуем
зайти на локальный сайт организации (см. рисунок 12).
Рисунок 12- Локальный сайт организации
Все
работает,
необходимо
замерить
производительность
работы
созданной виртуальной частной сети. Для этого скопируем файл через VPN
подключение, а также, не используя его, на VPN сервер. В качестве физической
среды передачи информации выступит 100 Мбит сеть, в этом случае пропускная
способность сети не является ограничивающим фактором. Итак, копирование
файла размером 342 921 216 байт происходило 121 секунду. С подключением
VPN - 153 секунды. В целом потеря во времени копирования составила 26%,
что естественно, поскольку при передаче информации через VPN появляются
дополнительные накладные расходы в виде шифрования/дешифрования
данных. В нашем случае использовался протокол PPTP, при использовании
других видов протоколов потеря во времени также будет варьироваться. В
настоящее время Microsoft рекомендует использовать протокол L2TP IPSec
вместе со смарт-картами для обеспечения максимальной защиты при проверке
подлинности и передачи информации.
Заключение
Защита сети - процесс динамичный, который позволит надежно защитить
информацию и не снизить производительность всей организации.
Средства ВЧС, разработанные Microsoft, обеспечивают высочайший
уровень безопасности. Они открывают перед организациями все достоинства
такой удобной и экономичной технологии, как туннелирование трафика в
общедоступных сетях, и при этом надежно блокируют несанкционированный
доступ к информации через черный ход.
Виртуальная частная сеть - очень нужное изобретение в мире
информационных технологий, которое поможет нам безопасно получить
интересующую нас информацию. Следует отметить, что для реализации VPN
существуют целые аппаратные комплексы, однако они не взыскали широкого
распространения в силу своей направленности на обслуживание больших
предприятий и, как следствие, дороговизны. Вычислительная мощь аппаратных
решений конечно очень высока, но не всегда востребована, поэтому
программные
решения,
дополнительных
программного
затрат
а
на
обеспечения,
тем
более
поиск
и
приобрели
стандартные,
приобретение
такую
не
требующие
дополнительного
огромную
популярность.
Построенная в результате VPN очень проста, но она показывает основные
моменты построения VPN. Построение других видов VPN на основе Microsoft
2003 Server принципиально ничем не отличаются. В заключение хотелось бы
отметить, что способов применения VPN очень много, как и способов
реализации. С помощью VPN - безопасность не только информации, которая
передается, но и самого подключения.
Список литературы
. Иванов М.А. Криптографические методы защиты информации в
компьютерных системах и сетях. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.
. Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Питер,
2000. - 704 с.
.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии,
протоколы: Учебник для вузов. - СПб.: Питер, 2001. - 672 с.
.Романец Ю.В. Тимофеев П.А., Шаньгин В.Ф. Защита информации в
компьютерных системах и сетях. 2-е изд. - М: Радио и связь, 2002. −328 с.
.Столлингс В. Основы защиты сетей. Приложения и стандарты = Network
Security Essentials. Applications and Standards. - М.: "Вильямс", 2002. - С. 432. ISBN 0-13-016093-8.
. Запечников С.В. Модельное представление ключевых систем средств
криптографической защиты информации // Безопасность информационных
технологий. 2008. № 4. С. 84-92.
. Запечников С.В. Криптографические протоколы и их применение в
финансовой и коммерческой деятельности: уч. пособие для вузов. М.: Горячая
линия - Телеком, 2007.- 320 с.
Download