ГЛАВЛЕНИЕ
ВВЕДЕНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ДЛЯ ПРОЕКТИРОВАНИЯ СИСТЕМЫ
УДАЛЁННОГО ДОСТУПА
1.1 Виртуальная частная сеть (VPN)
1.2 Структура VPN
1.3 Классификация VPN
1.4 Построение VPN
1.5 Подведение итогов главы 1
ГЛАВА 2. ПРОЕКТИРОВАНИЕ И ВНЕДРЕНИЕ СИСТЕМЫ УДАЛЁННОГО ДОСТУПА
2.1 Анализ объекта информатизации и выявление проблем. Постановка задачи по их
устранению
2.2 Формирование требований на разработку
2.3 Требования Заказчика к системе удалённого доступа
2.4 Протоколы туннелирования VPN
2.5 Методы авторизации в VPN
2.6 Сравнительный анализ возможных решений и выбор наиболее рационального
варианта реализации требований
2.7 Технико-экономическое обоснование проектного решения
2.8 Формирование проектного решения
2.9 Описание задач по администрированию
ГЛАВА 3. ОХРАНА ТРУДА
3.1 Правила монтажа МСЭ в стойку
3.2 Требования к удалённому рабочему месту пользователя
3.3 Техника безопасности при работе в Сети
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
Тема дипломной работы: Проектирование и внедрение системы удалённого доступа к
оборудованию в лаборатории средств обеспечения информационной безопасности
Колледжа Предпринимательства №11.
В настоящее время удалённый доступ активно используется во многих организациях,
потому что он просто необходим для тех сотрудников, которые часто работают вне
офиса (например, дизайнеры, программисты и др.). Для них открываются
возможности удалённого подключения к сети компании, а также появляется доступ к
электронной почте, к каким-либо имеющимся сетевым ресурсам и корпоративным
активам. В сфере IT удалённый доступ широко применяется для удалённого решения
задач администрирования. VPN позволяет обеспечить непрерывность бизнеспроцессов, которая, в свою очередь, нужна для того, чтобы не давать конкурентам
возможность находить и принимать решение раньше. Извлекать требуемую
информацию из корпоративной сети своевременно и быстро принимать решение залог успешного ведения бизнеса. Актуальность моей дипломной работы
заключается в том, что внедрение системы удалённого доступа позволить вывести
образовательный процесс на новый уровень. Возможность комфортного
дистанционного обучения (например, выполнение заданных на дом практических
заданий удалённо даже на недостаточно мощной технике из любого места, где есть
интернет) может привлечь абитуриентов именно в наш Колледж(повысив
привлекательность IT-специальностей), а также предоставить возможность всем
студентам нашего Колледжа удалённо выполнять задания. Сотрудники Колледжа,
при необходимости по работе, смогут удалённо подключаться к своим рабочим
местам. Системные администраторы получат возможность удалённого доступа к
оборудованию, находящемуся во внутренней сети отделения. Объектом
исследования будет лаборатория средств обеспечения информационной
безопасности. Предметом исследования является возможность создания
необходимых условий для дистанционного обучения. Цель дипломной работы Создание необходимых условий для удалённого совершенствования практических
навыков по работе с программно-аппаратными средствами обеспечения
информационной безопасности в аудитории при реализации Федерального
государственного образовательного стандарта среднего профессионального
образования по специальности «Информационная безопасность автоматизированных
систем» в Колледже предпринимательства №11.
Задачи дипломного проекта:
· Обследование объекта, изучение правовых и нормативных документов, разработка
требований, спецификации программно-аппаратных средств и схемы к системе
удалённого доступа;
· Создание проектных решений, практическая реализация (развёртывание),
формирование тестовых примеров и создание инструкции для администратора
системы удалённого доступа и конечных пользователей системы удалённого доступа;
· Проведение контрольных испытаний и ввод в промышленную эксплуатацию
системы удалённого доступа.
·
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ДЛЯ ПРОЕКТИРОВАНИЯ СИСТЕМЫ
УДАЛЁННОГО ДОСТУПА
1.1 Виртуальная частная сеть (VPN)
Виртуальная частная сеть (VPN - Virtual Private Network) - это безопасное частное
соединение, проходящее через недоверенные общедоступные сети (такие как
Интернет), создаваемое с применением протоколов туннелирования и шифрования,
которые обеспечивают целостность и конфиденциальность передаваемых данных.
Средства криптографии (а также шифрования, аутентификации и инфраструктуры
открытых ключей) дают возможность организовать защищенный обмен данными с
удалённой локальной сетью через общедоступную сеть. Как мне кажется, данные
VPN-туннелей в общем Интернет-трафике представляют собой поток пакетов
специального формата с зашифрованным содержанием. Передача данных через
общедоступные сети производится путём формирования потока шифрованного
трафика между отправляющей и принимающей стороной, у которых есть
публичные(public) IP-адреса и используется оборудование, и программное
обеспечение, необходимое для образования шифрованного туннеля,
обеспечивающего защиту соединения. Пакет, отправляемый клиентом, передаётся
через маршрутизатор либо шлюз, который уже добавляет так называемый заголовок
проверки подлинности (AH - Authentication Header) содержащий в себе информацию о
маршрутизации и подлинности. После этого данные кодируются и совместно с
инструкциями по декодированию и обрабатыванию становятся инкапсулированными
защищенными полезными данными (ESP - Encapsulating Security Payload).
Маршрутизатор VPN, который получает пакет, откидывает информацию заголовка,
затем осуществляет расшифровку данных и отправку пакета по назначению
(компьютеру или сети). В том случае, если работает шифрование между сетями, узел,
который должен принять пакет в локальной сети, получает его уже дешифрованным и
начинает обработку. Процедура межсетевого кодирования/декодирования в VPNсоединении прозрачна для локального узла. В качестве VPN-клиента/сервера
возможно использование как прикладного программного обеспечения, так и
аппаратного (т.е. маршрутизаторы или межсетевые экраны), производящего
шифрование трафика локальной сети при передаче в VPN-туннель и дешифровку
данных при выходе из него. С целью формирования VPN-сетей могут быть
использованы такие протоколы, как PPTP (Point-to-Point Tunneling Protocol), L2TP
(Layer Two Tunneling Protocol) и IPSec (IP Security Protocol). Как мне кажется, VPN в
зависимости от его назначения может обеспечивать соединения трёх видов: узелузел, узел-сеть и сеть-сеть. VPN-соединения на мой взгляд прекрасно подойдут как с
целью подключения удалённых пользователей и предоставления им доступа к узлу
или сети, так и в целях обеспечения связи между двумя маршрутизаторами,
межсетевыми экранами или серверами (шлюз-шлюз).
1.2 Структура VPN
VPN состоит из двух элементов:
1) «внутренняя» сеть, к которой будет разрешен доступ удалённым пользователям
(подобных сетей может быть несколько);
2) «внешняя» сеть, через которую проходит инкапсулированное соединение (в
большинстве случаев используется Интернет).
Как правило, между внутренней и внешней сетью компании ставится межсетевой
экран. При подключении удалённого пользователя (или при попытке установки
соединения с другой защищённой сетью) межсетевой экран потребует прохождения
таких процедур, как идентификация и аутентификация. И уже после благополучного
прохождения данных процессов, удалённый пользователь (или удаленная сеть)
наделяется полномочиями для работы в сети, то есть совершается процедура
авторизации.
1.3 Классификация VPN
Классифицировать VPN решения возможно согласно нескольким главным
характеристикам.
По типу используемой среды
Доверительные
Данный вид VPN используется при организации VPN без использования технологий
защиты передаваемого трафика. Также данный вид применяется в тех случаях, когда
передающая среда считается доверительной (надёжной) и нужно разрешить только
проблему формирования виртуальной подсети в рамках большой сети. В этом случае
проблемы обеспечения безопасности становятся неактуальными.
Примерами доверительных VPN решений на мой взгляд считаются следующие
протоколы: L2TP (Layer 2 Tunnelling Protocol), VPLS (Virtual Private LAN Service) и
MPLS (Multi-protocol label switching), которые перекладывают проблемы обеспечения
безопасности на другие протоколы, к примеру L2TP зачастую используется в паре с
IPSec.
Защищённые
Данный вид VPN наиболее распространён. С помощью него можно
сформировать надежную и защищенную подсеть на основе ненадёжной сети,
скажем, Интернета. Защита передаваемого трафика осуществляется при помощи
различных криптографических методов. Используется один или несколько способов
защиты, а именно:
1) Аутентификация - конечные устройства проверяют принадлежность друг друга к
данной VPN сети;
2) Шифрование - маскируются передаваемые данные, только участники VPN сети
способны их прочитать;
3) Проверка целостности - происходит проверка пакетов на предмет того, что они
были доставлены в неизменённом виде;
4) Туннелирование - IP адресация исходных пакетов скрывается за адресами
конечных точек туннеля.
Примерами защищённых VPN на мой взгляд считаются следующие протоколы: PPTP
(Point-to-Point Tunneling Protocol), IPSec (IP Security) и OpenVPN.
По способу реализации
Данный вид разделяется на несколько возможных решений:
1. Программное решение
С целью обеспечения функционирования VPN применяется специализированное
программное обеспечение, установленное на персональных компьютерах.
2. Программно-аппаратное решение
С целью обеспечения функционирования VPN применяется совокупность
специальных программно-аппаратных средств. За счёт этого поддерживается
высокая производительность и защищённость.
3. Интегрированное решение
Деятельность VPN обеспечивает программно-аппаратный комплекс, который
параллельно берёт на себя задачи фильтрации трафика, организации сетевого
экрана и т.д.
По назначению
Здесь тоже идёт разделение на несколько видов, каждый из которых
применяется по своему назначению:
1. Remote-Access VPN
Применяется с целью формирования защищённого канала между сегментом
корпоративной сети (к примеру, центральный офис либо филиал) и пользователем,
который, работая удалённо, подсоединяется к корпоративным ресурсам с домашнего
компьютера либо, будучи в командировке, подключается к корпоративным ресурсам
при помощи ноутбука или даже планшета.
В программных решениях компании Cisco Systems разделяется на два подвида:
а) Client VPN - на устройство сотрудника устанавливается специальное ПО (VPN
client), создающее виртуальный сетевой адаптер, которому присваивается
внутренний IP;
б) Clientless - клиент не потребуется, т.к. доступ к ресурсам предприятия
осуществляется посредством браузера.
2. Extranet VPN
Применяют с целью организации VPN сетей между различными организациями, а
также для сетей, к которым подсоединяются пользователи извне. Степень доверия к
ним значительно ниже, нежели к сотрудникам компании, по этой причине существует
необходимость формирования определенных правил, предотвращающих либо
ограничивающих допуск «внешних» пользователей к коммерческой либо
конфиденциальной информации.
1.4 Построение VPN
VPN на базе межсетевых экранов
Согласно многим источникам, значительное количество специалистов по
информационной безопасности полагают, что самым сбалансированным и
оптимальным решением для обеспечения комплексной безопасности
корпоративной информационной системы от атак из внешних открытых сетей
является как раз построение VPN на базе межсетевых экранов. Через МСЭ,
равно как и через маршрутизатор, пропускается весь трафик, следовательно функции
зашифрования исходящего трафика и расшифрования входящего трафика можно
возложить и на МСЭ. В настоящее время ряд VPN-решений основывается на
расширении МСЭ дополнительными функциями поддержки VPN, что дает
возможность установки шифрованного соединения с другим МСЭ через Интернет.
МСЭ многих производителей поддерживают туннелирование и шифрование данных.
Любые аналогичные продукты базируются на том, то что в случае если уж трафик
идет через МСЭ, то почему бы его попутно не зашифровать.
Большая часть МСЭ представляют собой серверное ПО, поэтому актуальный вопрос
повышения производительности может быть решен за счёт использования
высокопроизводительной компьютерной платформы. При использовании межсетевых
экранов на основе ПК необходимо помнить, что такое решение подойдет для
маленьких сетей.
Невзирая на то, что построение VPN на основе МСЭ смотрится вполне грамотным и
сбалансированным решением, ему присущи определенные недостатки. В первую
очередь, это высокая стоимость подобного решения в пересчете на одно рабочее
место корпоративной сети и довольно высокие требования к производительности
МСЭ, в том числе и при умеренной ширине полосы пропускания выходного канала
связи. Разумеется, что проблеме производительности МСЭ следует уделять
повышенное внимание при построении VPN, так как, по сути, вся нагрузка по
криптообработке трафика ложится на МСЭ даже в том случае, если требуется
объединить в localnet-VPN двух клиентов локальной сети.
VPN на базе маршрутизаторов
Первостепенной задачей данных устройств является маршрутизация
трафика, а, следовательно, шифровка исходящих пакетов и расшифровка
криптозащищённых входящих пакетов считается некой второстепенной функцией,
которая требует дополнительные вычислительные ресурсы. Иными словами, в
случае если маршрутизатор обладает достаточно большим запасом
производительности, то он вполне справится с поддержанием работоспособности
VPN.
В России на этом рынке лидирует компания Cisco Systems.
Построение VPN каналов на основе маршрутизаторов компании Cisco Systems
средствами самой ОС стало возможным, начиная, как мне кажется, с 12.х версии
Cisco IOS. В случае если на пограничные маршрутизаторы Cisco других филиалов
компании установлена данная ОС, то существует возможность организовать
корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей
типа "точка-точка" от одного маршрутизатора к другому. Помимо шифрования
передаваемых данных, маршрутизаторы Cisco Systems поддерживают и такие
функции VPN, как идентификация при установлении туннельного соединения и обмен
ключами. В целях построения VPN маршрутизаторы Cisco Systems используют
туннелирование с шифрованием любого IP-потока. При этом туннель может быть
установлен, опираясь на адреса источника и приемника, номера порта TCP(UDP) и
указанного качества обслуживания (QoS). Как правило, для шифрования данных в
канале "по умолчанию" применяется американский криптоалгоритм 3DES (Triple Data
Encryption Standard) с длиной ключа 112 либо 168 бит.
Такой продукт компании Cisco Systems, как Cisco VPN Client, дает возможность
создавать защищенные соединения "шлюз-шлюз" между рабочими станциями (в т.ч. и
удаленными) и маршрутизаторами Cisco, что делает возможным создание internet- и
localnet-VPN.
Для организации VPN туннеля маршрутизаторы компании Cisco Systems в нынешнее
время используют протокол сетевого уровня IPSec, разработанного ассоциацией
"Проблемная группа проектирования Internet (IETF - Internet Engineering Task Force), и
протокол L2TP канального уровня эталонной модели OSI, созданного на основе
"фирменных" протоколов Cisco L2F и Microsoft PPTP. Преимуществом L2TP считается
его независимость от транспортного уровня, что дает возможность применять его в
гетерогенных сетях. Немаловажным качеством L2TP считается его поддержка в ОС
компании Microsoft, что по сути своей дает возможность строить комбинированные
VPN на основе продуктов Microsoft и Cisco. Между тем, "канальная природа" L2TP
протокола является предпосылкой его существенного недостатка: с целью
гарантированной передачи защищенного пакета через составные сети все без
исключения переходные маршрутизаторы должны поддерживать данный протокол,
что, несомненно, довольно трудно гарантировать. Видимо, по этой причине компания
Cisco Systems по умолчанию использует более современный VPN протокол - IPSec.
Реализация VPN на основе маршрутизаторов имеет свои достоинства и недостатки.
Достоинства заключаются в удобстве совместного администрирования функций
маршрутизации и VPN. Использование маршрутизаторов с целью поддержания VPN
наиболее целесообразно в тех случаях, когда компания не использует межсетевой
экран и организует защиту корпоративной сети только с помощью маршрутизатора,
сочетающего функции защиты как по доступу в сеть, так и по шифрованию
передаваемого трафика. Недостатки данного решения связаны с высокими
требованиями к производительности маршрутизатора, вынужденного совмещать
первостепенные операции по маршрутизации с трудоёмкими операциями
шифрования и аутентификации трафика.
Вопрос обеспечения высокой производительности маршрутизатора решается с
помощью аппаратной поддержки функций шифрования.
VPN на базе программного обеспечения
При реализации такого решения используется специализированное
программное обеспечение. Программные средства построения VPN дают
возможность сформировывать защищенные туннели полностью программным
способом и превращают компьютер, на котором они работают, в
маршрутизатор TCP/IP - он получает зашифрованные пакеты, расшифровывает
их и передает по локальной сети дальше, к конечному пункту назначения. В
последнее время появилось немало подобных продуктов. В виде
специализированного программного обеспечения могут быть сделаны VPNшлюзы, VPN-серверы и VPN-клиенты.
VPN-продукты, реализованные программным методом, с точки зрения
производительности уступают специализированным аппаратным устройствам; с
другой стороны, программные продукты без труда обеспечивают
производительность, достаточную для удалённого доступа.
Достоинствами программных продуктов считаются гибкость и удобство в применении
и вдобавок сравнительно низкая цена. Многие компании-производители аппаратных
шлюзов дополняют линейку собственных продуктов целиком программной
реализацией VPN-клиента, который рассчитан на работу в среде стандартной ОС.
VPN на базе сетевой ОС
Данное решение является вполне удобным и недорогим средством создания
инфраструктуры защищённых виртуальных каналов. В течение многих лет, в т.ч. и в
настоящее время в России наибольшую популярность среди сетевых операционных
систем (ОС), позволяющих создавать VPN штатными средствами самой ОС, как мне
кажется, получила линейка операционных систем Windows NT. Согласно мнению
специалистов, данное решение считается оптимальным как для построения VPN
внутри локальных сетей (localnet-VPN) так и внутри домена Windows NT, а также для
построения intranet- и externet-VPN для маленьких компаний в целях защиты
некритичной для их бизнеса информации. Для создания виртуальных защищённых
туннелей в IP сетях сетевая операционная система Windows NT использует протокол
PPTP или L2TP (зависит от настройки). Не думаю, что большие предприятия доверят
защиту важной информации решению на основе PPTP, поскольку многочисленные
испытания VPN, построенных на базе Windows NT показали, что используемый в этой
ОС протокол PPTP имеет определённое количество весомых уязвимостей, поэтому с
точки зрения безопасности рекомендуется использовать протокол L2TP.
VPN на базе аппаратных средств
Данное решение подразумевает построение VPN на специализированных
устройствах и используется в сетях, требующих высокой производительности.
В специализированнных VPN-системах для повышения их быстродействия,
шифрование производится специализированными микросхемами.
Подобные VPN-средства чаще всего совместимы с протоколом IPSec и используются
в целях формирования криптозащищённых туннелей между локальными сетями.
Спецоборудование для формирования VPN от некоторых производителей
параллельно поддерживает и защищённую связь в режиме “узел - сеть”.
Аппаратные VPN-шлюзы реализуются в виде отдельного аппаратного устройства,
основной функцией которого является высокопроизводительное шифрование
трафика. Эти VPN-шлюзы функционируют с цифровыми сертификатами X.509 и
инфраструктурой управления открытыми ключами PKI, поддерживают работу со
справочными службами по LDAP.
Специализированные аппаратные VPN-средства в целом выигрывают по всем
возможным показателям, не считая стоимости, и являются предпочтительными для
крупных компаний.
Виртуальная частная сеть(VPN) - это безопасное зашифрованное соединение,
туннель которого проходит, как правило, через недоверенные общедоступные сети.
Многообразие средств защиты даёт возможность превратить передаваемые данные в
поток пакетов с зашифрованным содержанием, что значительно понижает шанс
перехвата содержимого пакетов злоумышленниками. Пакет, отправляемый клиентом,
проделывает огромный путь, прежде чем достичь узла назначения. В процессе
передачи ему добавляется заголовок проверки подлинности (AH - Authentication
Header), затем данные кодируются и совместно с инструкциями по декодированию и
обрабатыванию становятся инкапсулированными защищенными полезными данными
(ESP - Encapsulating Security Payload). Маршрутизатор VPN, получающий пакет,
откидывает информацию заголовка, расшифровывает данные и отправляет пакет
узлу назначения, который получает его дешифрованным и обрабатывает. С целью
формирования VPN-сетей обычно используют протоколы PPTP (Point-to-Point
Tunneling Protocol), L2TP (Layer Two Tunneling Protocol) и IPSec (IP Security Protocol).
VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
VPN состоит из двух элементов: Внутренняя сеть и Внешняя сеть, между которыми
ставится межсетевой экран, который требует у подключающихся пользователей
пройти процедуры идентификации и аутентификации для наделения полномочиями
для работы в сети.
VPN решения бывают как доверительными, так и защищёнными. Доверительные VPN
применяются в тех случаях, когда передающая среда считается надёжной.
Защищённые VPN наиболее распространены, потому что позволяют сформировать
надежную и защищенную подсеть на основе ненадёжной сети с использованием
одного или нескольких способов защиты, а именно: Аутентификация, Шифрование,
Проверка целостности, Туннелирование.
По способу реализации, VPN бывает Программным, Программно-аппаратным и
Интегрированным.
По назначению VPN делится на такие виды, как Remote-Access VPN(используется
для формирования защищённого канала между сегментом корпоративной сети и
удалённым пользователем) и Extranet VPN(используется с целью организации VPN
сетей между различными организациями и для сетей, к которым подключаются
пользователи извне.
При построении VPN могут использоваться межсетевые экраны, а также
маршрутизаторы, программное обеспечение, встроенные средства VPN серверных
операционных систем и какие-либо другие аппаратные средства. Несмотря на
высокую стоимость и высокие требования к производительности, построение VPN на
базе МСЭ является самым сбалансированным и оптимальным решением для
построения VPN.
Подводя итоги главы 1 можно сказать, что VPN - хорошее средство для удалённого
использования всевозможных корпоративных ресурсов и их администрирования,
которое позволит студентам Колледжа удалённо совершенствовать свои
практические навыки по работе с программно-аппаратными средствами обеспечения
информационной безопасности, а сотрудникам удалённо подключаться к своим
рабочим местам. Системные администраторы получат возможность удалённого
доступа к оборудованию, которое находится во внутренней сети отделения.
Основываясь на собранной теоретической информации, необходимо перейти к
анализу объекта информатизации и выявлению проблем. Это поможет грамотно
постановить задачу по их устранению и наиболее качественно выполнить
практическую часть.
ГЛАВА 2. ПРОЕКТИРОВАНИЕ И ВНЕДРЕНИЕ СИСТЕМЫ УДАЛЁННОГО ДОСТУПА
2.1 Анализ объекта информатизации и выявление проблем. Постановка задачи
по их устранению
В настоящий момент на обследуемом объекте размещения системы удалённого
доступа эксплуатируется следующее оборудование:
· 2 сервера, один из которых является первичным контроллером домена, а другой вторичным;
· 1 файловый сервер;
· 1 видеосервер;
· 1 межсетевой экран Cisco ASA 5510;
· 1 коммутатор Cisco Catalyst WS-C2960+24TC-S и 3 коммутатора Linksys SLM224G;
· 1 точка доступа Linksys E4200;
· 1 модем-роутер ZTE f660.
Схема сети представлена на Рис 2.1.
Рис. 2.1 Схема локальной сети на обследуемом объекте до внедрения системы
удалённого доступа
Первичный и вторичный контроллер домена отвечает за создание локальной сети с
авторизацией пользователей под своими учетными записями на компьютерах
отделения УиИТ, также они назначают права доступа для пользователей и политики
безопасности в сети. Помимо этого на данных серверах настроена роль DHCP и DNS.
Файловый сервер отвечает за отказоустойчивое хранение файлов пользователей.
Видеосервер отвечает за хранение видеофайлов, захватываемых с камер наружного
наблюдения.
Межсетевой экран отвечает за доступ пользователей в интернет и за связь между
отделениями.
Коммутатор Cisco Catalyst WS-C2960+24TC-S отвечает за разделение на
виртуальные локальные сети доступа в Интернет и локальной сети отделения УиИТ.
Первый коммутатор Linksys SLM224G отвечает за объединение в общую локальную
сеть системы видеонаблюдения и локальных сетей всех нижеуказанных
коммутаторах Linksys SLM224G. Второй коммутатор Linksys SLM224G отвечает за
объединение в общую локальную сеть файлового сервера, контроллеров домена,
локальные сети 4 этажа, а также локальных сетей, которые соединяет коммутатор
208 аудитории. Третий коммутатор Linksys SLM224G отвечает за объединение в
общую локальную сеть локальных сетей аудиторий 202 и 203, а также локальных
сетей, которые соединяет коммутатор 304 аудитории.
Точка доступа отвечает за работу Wi-fi сети в 401 кабинете, а также за доступ к
лабораторному стенду 202 аудитории и SIP-телефонии извне.
Модем-роутер отвечает за работу соединения через оптоволоконный кабель
провайдера с локальной сетью колледжа.
В настоящий момент, основной проблемой, которую мне необходимо решить в этой
дипломной работе, является создание определённых условий, при которых студенты
могли бы, воспользовавшись инструкцией по подключению, пройти два процесса
аутентификации и получить удалённый доступ к виртуальным машинам, запущенным
на сервере в ЛСОИБ. Также не исключается возможность того, что у студентов может
появиться возможность подключаться к файловым серверам, рабочим стендам с
сетевым оборудованием, расположенным во внутренней сети и задействовать при
выполнении лабораторных, контрольных, курсовых и дипломных работ. У
сотрудников Колледжа появится возможность удалённого доступа к своим рабочим
местам. А у системных администраторов - возможность удалённого доступа к
оборудованию, находящемуся во внутренней сети отделения. Для этого в этой
дипломной работе ставится следующая задача, которую необходимо решить для
устранения вышеупомянутой проблемы: спроектировать и внедрить систему
удалённого доступа.
2.2 Формирование требований на разработку
СУД ЛСОИБ должна предоставлять удалённо через сеть Интернет по защищенным
каналам с применением технологии VPN доступ к программно-аппаратным средствам
обеспечения информационной безопасности на домашних персональных
компьютерах студентов (до 250 компьютеров одновременно). Система должна
поддерживать следующие режимы функционирования:
1) Основной режим, в котором подсистемы СУД ЛСОИБ выполняют все свои
основные функции;
2) Профилактический режим, в котором одна или все подсистемы СУД ЛСОИБ не
выполняют своих функций.
В основном режиме функционирования СУД ЛСОИБ должна обеспечивать:
1) работу пользователей в режиме - 24 часов в день, 7 дней в неделю (24х7);
2) выполнение своей функции - предоставление удалённого доступа.
В профилактическом режиме СУД ЛСОИБ должна обеспечивать возможность
проведения следующих работ:
1) техническое обслуживание;
2) модернизацию аппаратно-программного комплекса;
3) устранение аварийных ситуаций;
4) обеспечение работоспособности оборудования.
Общее время проведения профилактических работ не должно превышать 10% от
общего времени работы системы в основном режиме (72 часа в месяц).
Ввод системы в действие с последующими контрольными испытаниями системы
планируется начать с 8 декабря и закончить 21 февраля. Ввод в промышленную
эксплуатацию будет осуществлён в период с 23 по 28 февраля.
Эффект, ожидаемый от системы: каждый студент и преподаватель после заведения
учётной записи на латинице в домене может при помощи инструкции по установке
VPN-соединения удалённо получить доступ к виртуальным машинам.
Температурные условия, при которых СУД ЛСОИБ может осуществлять свою работу,
приведены в Таблице 1.
Таблица 1 Условия эксплуатации средств вычислительной техники
Влияющая величина
Значение
Температура окружающего воздуха, ° С
0 ± 15
Относительная влажность, %
От 55 до 62
без конденсации влаги
Атмосферное давление, кПа
От 84 до 106
Частота питающей электросети, Гц
50 ± 0,7
Напряжение питающей сети переменного тока, В
От 165 до 270
Каждый пользователь СУД ЛСОИБ должен обладать навыками работы с функциями
СУД ЛСОИБ, применяя его либо в удалённом совершенствовании практических
навыков по работе с программно-аппаратными средствами обеспечения
информационной безопасности, либо для подключения к своему рабочему месту.
Преподаватель лаборатории средств обеспечения информационной безопасности
должен уметь использовать СУД ЛСОИБ в целях объяснения студентам принципов
его работы.
2.3 Требования Заказчика к системе удалённого доступа
Управление учебно-моделирующим комплексом лаборатории и другими элементами
локальной сети колледжа (далее - Комплекс) должно осуществляться в двух режимах:
- режим управления с автоматизированных рабочих мест, установленных в локальной
(внутренней) сети колледжа (далее - локальный режим);
- режим управления с ПЭВМ не находящихся в локальной сети колледжа, но
имеющих подключение через сеть Интернет (внешнюю) и VPN доступ к локальной
сети колледжа (далее - удаленный режим).
Роли пользователей могут быть следующие:
- администратор домена;
- администратор гипервизора;
- пользователь - преподаватель;
- пользователь - сотрудник колледжа;
- пользователь - студент колледжа.
Для организации удаленного доступа должна быть создана система удаленного
доступа к ресурсам внутренней сети колледжа (далее - Система удаленного доступа).
Ресурсами внутренней сети колледжа в зависимости от роли пользователя могут
быть:
- сервера;
- автоматизированные рабочие места, развернутые во внутренней сети;
- виртуальные машины, развернутые на серверах;
- информационные системы, развернутые во внутренней сети;
- файлы, диски и папки, расположенные во внутренней сети.
Система удаленного доступа должна обеспечивать возможность пользователю в
зависимости от его роли, удаленно (с компьютера, где есть подключение к сети
Интернет) получить доступ к Комплексу с такими же функциональными
возможностями, как и с автоматизированных рабочих мест локальной сети, в которой
расположен Комплекс.
Система удаленного доступа предназначена для удаленного пользования и
управления Комплексом. Через удаленный доступ должны быть доступны все
функции, не требующие физического контакта с Комплексом, включая функции
администрирования.
Система удаленного доступа должна состоять из следующих составных частей:
- составная часть, развернутая на серверном сегменте колледжа, включая шлюз
безопасности;
- составная часть, развернутая на пользовательском сегменте;
- защищенные каналы связи, образованные между серверным сегментом и
пользовательским сегментом (компьютерами пользователей).
Система удаленного доступа должна обеспечивать одновременное подключение не
менее 100 пользователей. Защищенные каналы связи должны обеспечивать
надежный, безопасный и прозрачный доступ пользователей к внутренней сети.
Система удалённого доступа должна быть доступна для удалённых подключений не
менее 12 часов в сутки.
На пользовательском сегменте должны быть установлены простые в использовании
средства VPN обеспечивающие подтверждение подлинности (аутентификацию),
проверку целостности и шифрование IP-пакетов, а также включать в себя протоколы
для защищённого обмена ключами в сети Интернет. Длина ключа шифрования
должна быть не менее 128 бит.
Для документирования Системы удаленного доступа должны быть разработаны:
- требования к составным частям Системы удаленного доступа на серверном
сегменте;
- структурная схема Системы удаленного доступа и ее описание;
- инструкция по развертыванию составной части Системы удаленного доступа на
серверном сегменте;
- инструкция по установке и настройке VPN на компьютере пользователя.
2.4 Протоколы туннелирования VPN
L2TP
L2TP (Layer Two Tunneling Protocol -- протокол туннелирования второго уровня)
-- это туннельный протокол канального уровня, который используется для
создания виртуальных частных сетей. В середине 1999 года данный протокол
был описан в одном из стандартов RFC. Впервые он стал поддерживаться, и
был реализован в серверных и клиентских операционных системах
Windows 2000. Порт, используемый L2TP - UDP 1721.
Во многих источниках говорится, что L2TP совмещает в себе лучшие особенности L2F
и PPTP. Он задействует средства шифрования, предоставляемые методом IPSec,
который, работая поверх IP, обеспечивает безопасность на пакетном уровне. При
этом все информационные и управляющие пакеты L2ТР в туннеле выглядят для
IPsec как обычные пакеты UDP/IP. Разумеется, что протокол L2TP и метод IPSec
должны поддерживаться как на VPN-клиенте, так и на VPN-сервере. Клиентская
поддержка L2TP встроена в последние версии семейства клиентских операционных
систем Windows NT, а серверная - в последние версии семейства серверных ОС,
соответственно.
В зависимости от параметров, выбранных в мастере настройки сервера
маршрутизации и удаленного доступа, по умолчанию протокол L2TP настраивается
для 128 портов L2TP.
Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа:
1. Инкапсуляция L2TP
Кадр PPP (IP-датаграмма) заключается в оболочку с заголовком L2TP и заголовком
UDP.
2. Инкапсуляция IPSec
Полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером
IPSec ESP (Encapsulating Security Payload), трейлером проверки подлинности IPSec,
который обеспечивает целостность сообщения и проверку подлинности, и заголовком
IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPNсерверу.
Сообщение L2TP шифруется с применением стандарта DES (Data Encryption Standard
- стандарт шифрования данных) или 3DES при помощи ключей шифрования,
созданных в процессе согласования IKE (Internet Key Exchange - обмен ключами в
Интернете).
IPSec
IP Security (IPSec) - это основанный на стандартах набор протоколов сетевого
уровня, связанных с шифрованием, аутентификацией и обеспечением защиты при
транспортировке IP-пакетов. К примеру, компания Cisco Systems в своих продуктах
для поддержки VPN используют этот набор протоколов. IPSec предоставляет
механизм защищенной передачи данных в IP-сетях, который обеспечивает
конфиденциальность, целостность и достоверность данных, передаваемых через
незащищенные сети типа Internet.
Если говорить о сетях Cisco, IPSec обеспечивает следующие возможности VPN:
· Конфиденциальность данных. Отправитель данных IPSec имеет возможность
зашифровывать пакеты перед тем, как передавать их по сети;
· Целостность данных. Получатель данных IPSec имеет возможность
аутентифицировать сообщающиеся с ним стороны (устройства или программное
обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты IPSec,
отправляемые этими сторонами для уверенности в том, что данные не были
изменены по пути;
· Аутентификация источника данных. Получатель данных IPSec имеет
возможность аутентифицировать источник получаемых пакетов IPSec. Этот сервис
зависит от сервиса целостности данных;
· Защита от воспроизведения. Получатель данных IPSec может обнаруживать и
отклонять воспроизведенные пакеты, не допуская их подмены и проведения атак
внедрения посредника.
IPSec использует стандартный способ аутентификации и шифрования соединений
между сообщающимися сторонами. Для того чтобы гарантировать защиту связей,
средства IPSec используют стандартные алгоритмы (т.е. математические формулы)
шифрования и аутентификации, которые называются преобразованиями. В IPSec
задействуются открытые стандарты согласования ключей шифрования и управления
соединениями, что даёт возможность взаимодействия между сторонами. Технология
IPSec предлагает методы, которые дают возможность сторонам IPSec "договориться"
о согласованном использовании сервисов. Для того чтобы указать согласуемые
параметры, в IPSec применяются ассоциации защиты.
Ассоциация защиты (Security Association - SA) представляет собой согласованную
политику либо способ обработки данных, обмен которыми планируется между двумя
устройствами сообщающихся сторон. Одним элементом такой политики может быть
алгоритм, применяемый с целью шифрования данных. Обе стороны могут применять
один и тот же алгоритм как с целью шифрования, так и с целью дешифрования.
Активные параметры SA сохраняются в базе данных ассоциаций защиты (Security
Association Database - SAD) обеих сторон.
Два ПК на каждой стороне SA хранят режим, протокол, алгоритмы и ключи,
применяемые в SA. Каждый SA применяется только лишь в одном направлении. С
целью двунаправленной связи требуется два SA. Каждый SA реализует один режим и
протокол; таким образом, в случае если для одного пакета нужно использовать два
протокола (равно как, к примеру, AH и ESP), то потребуется два SA.
SSL/TLS
Remote-Access VPN позволяет пользователям удалённо подключаться ко внутренней
сети предприятия. Есть два основных метода для развертывания виртуальных
частных сетей: IPsec и SSL. Каждый метод имеет свои преимущества, основанные на
требованиях доступа пользователей и ИТ-процессов организации.
VPN на основе IPsec является технологией удаленного доступа, использующейся в
большинстве современных организаций. Соединения устанавливаются с помощью
клиентского программного обеспечения VPN, установленного на ПК пользователя.
Cisco SSL VPN обеспечивает удаленный доступ по технологии SSL VPN практически
из любого места, где есть выход в Интернет. Для этого необходим только веббраузер, который имеет встроенную поддержку шифрования SSL. Эта возможность
позволяет организациям предоставлять доступ к своей защищенной сети
предприятия для любого авторизованного пользователя, обеспечивая удаленный
доступ к корпоративным ресурсам из любого подключенного к Интернету места.
Cisco SSL VPN также поддерживает доступ из ПК, которые не входят в корпоративную
собственность и находятся вне организации, включая домашние компьютеры. Эти
места являются довольно сложными для развертывания и управления VPN, поэтому
в этом случае требуется клиентское программное обеспечение, необходимое для
поддержки соединений IPsec VPN.
SSL VPN обеспечивает следующие три режима доступа:
· Режим Clientless - обеспечивает безопасный доступ к частным веб-ресурсам и вебконтенту. Этот тип полезен при использовании веб-браузера, через который
благодаря технологии SSL VPN можно получать доступ в Интернет, к базам данных и
онлайн инструментам, которые используют веб-интерфейс;
· Режим Thin Client (Тонкий клиент) - Java-апплет, расширяющий возможности
криптографических функций веб-браузера для того, чтобы включить удаленный
доступ к TCP приложениям на основе, например, Post Office Protocol версии 3 (POP3),
протокола Simple Mail Transfer (SMTP), Internet Message Access (IMAP), Telnet, и
Secure Shell (SSH);
· Режим туннелирования - предоставляет расширенную поддержку приложений через
установленный клиент Cisco AnyConnect VPN для SSL VPN. Клиент туннелирования
обеспечивает легкий, настраиваемый централизованно и простой в поддержке SSL
VPN, который обеспечивает доступ практически любого приложения на сетевом
уровне.
Возможности SSL VPN в некоторой степени ограничены по сравнению с IPsec VPN,
но, несмотря на это, SSL на основе VPN обеспечивают доступ к большому набору
приложений, в том числе доступ к веб-странице, к файлам, электронной почте и
приложениям на основе TCP (путем загружаемого тонкого клиента). Преимущество
SSL VPN заключается в доступности практически из любого подключенного к
Интернету места без необходимости устанавливать дополнительное программное
обеспечение.
Для удалённых пользователей вход и аутентификация осуществляется посредством
веб-браузера и VPN-шлюза с использованием запроса HTTP. После аутентификации
удаленный пользователь получает страницу портала, что позволяет получить доступ
к сетям SSL VPN. Страница портала содержит все имеющиеся ресурсы на внутренних
сетях. Например, страница портала может предоставить ссылку, чтобы позволить
удаленному пользователю загрузить и установить тонкий клиент (для проброса TCPпорта) или клиент туннелирования.
В режиме Clientless удаленные пользователи получают доступ к внутренней сети с
помощью веб-браузера на компьютере клиента.
В туннельном режиме, удаленные пользователи используют SSL туннель для
передачи данных на уровне сети (IP). Таким образом, туннельный режим
поддерживает большинство приложений на основе IP.
Туннельное соединение определяется настройками групповых политик. Cisco
AnyConnect VPN Client загружается и устанавливается на компьютер пользователя, и
затем устанавливается туннельное соединение, когда удаленный пользователь
входит в шлюз SSL VPN.
2.5 Методы авторизации в VPN
Протокол RADIUS
RADIUS (англ. Remote Authentication in Dial-In User Service) -- протокол,
предназначенный для осуществления аутентификации, авторизации и сбора
сведений об использованных ресурсах, который был создан с целью передачи
сведений между центральной платформой и оборудованием. Наиболее популярный
протокол Triple-A. Собственной известности этот протокол в основном обязан своей
открытости, в отличие с TACACS+ (Cisco Systems) и Kerberos (Merit).
RADIUS дает возможность проводить централизованное администрирование, что
особенно важно при немалом количестве пользователей и устройств (учетные записи
пользователей могут быть записаны в текстовые файлы, разнообразные базы
данных, пересланы на внешние сервера). Все без исключения операции между
клиентом RADIUS'а и сервером авторизируются при помощи shared secret key,
который никогда не передается по сети. Кроме того, пароль пользователя,
содержащийся в сообщениях RADIUS'а, шифруется для того, чтобы невозможно было
определить его мониторингом сети.
RADIUS поддерживает ряд механизмов аутентификации, к примеру PAP (Password
Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) и EAP
(Extended Authentication Protocol).
Сообщения RADIUS хранят в себе информацию, закодированную в виде полей типдлина-значение, именуемых атрибутами, или же парами атрибут/значение.
Стандартные значения атрибутов - имя пользователя, пароль, ip-адрес конечного
пользователя и т.д.
Процедура авторизации. Сторона клиента:
Клиент формирует Access-Request пакет RADIUS, содержащий в себе атрибуты
«User-Name» и «User-Password». Генерируется поле идентификатор пакета. Как он
генерируется, в спецификации протокола не оговорено, но как правило применяется
просто увеличение на 1 предыдущего идентификатора. Поле аутентификатора
запроса выбирается случайным образом. Такой пакет абсолютно незащищен (за
исключением атрибута «User-Password» который защищается алгоритмом MD5).
Процедура авторизации. Сторона сервера:
Получив Access-Request пакет, сервер RADUIS'а проверяет его на наличие
секретного ключа для клиента, приславшего запрос. В случае если ключ отсутствует,
сервер игнорирует такой пакет. Так как сервер владеет секретным ключом, то он,
выполнив действия, такие же, как и описанные выше, проверяет, верный ли был
прислан пароль. Если пароль верный, то сервер формирует Access-Accept пакет,
если же не верный - то Access-Reject пакет. Оба пакета используют тот же
идентификатор, который был применен в клиентском Access-Request пакета.
Процедура авторизации. Сторона клиента, завершение:
Когда клиент получает пакет с ответом сервера, он ищет соответствующий запрос по
полю-идентификатору. В случае если запрос не обнаружен, то пришедший ответ
сервера подвергаться обработке не станет. Далее проверяется аутентификатор
ответа, и при его несовпадении, пришедший пакет также не станет подвергаться
обработке. И в конечном итоге, в соответствии с типом пришедшего ответа(AccessAccept или же Access-Reject), клиент получает доступ к ресурсам.
Протокол LDAP
LDAP (Lightweight Directory Access Protocol) - это облегчённый сетевой протокол
доступа к службе каталогов, информация о различных субъектах (пользователях,
узлах и объектах) которой хранится на распределенных по сети серверах.
Эта информация представляет собой данные, хранящиеся в атрибутах. LDAP
основан на клиент-серверной модели взаимодействия.
Общая модель данного протокола состоит в том, что клиент выполняет операции
протокола на серверах. Клиент подсоединяется к LDAP-серверу (по умолчанию это
ТСР порт 389), затем отправляет запрос, описывающий операцию, которая должна
быть выполнена сервером. Сервер выполняет необходимые операции в Каталоге.
После завершения операции (операций) сервер возвращает клиенту ответ,
содержащий результаты или ошибки.
Операции могут быть следующие:
· Аутентификация и указание версии протокола LDAP;
· Поиск записей в каталоге;
· Сравнение содержит ли запись искомый атрибут;
· Добавление новой записи;
· Удаление записи;
· Модификация записи;
· Модификация отличительного имени (Distinguished Name, DN) - перемещение или
переименование записи;
· Отмена предыдущего запроса;
· Закрытие соединения.
Информация на сервере LDAP представляет собой совокупность записей, которые
содержат набор атрибутов и сгруппированы в древовидную иерархическую структуру.
Каждая запись идентифицируется глобально уникальным идентификатором, так
называемым, отличительным именем (Distinguished Name - DN).
2.6 Сравнительный анализ возможных решений и выбор наиболее
рационального варианта реализации требований
Для того чтобы система удалённого доступа в полной мере удовлетворяла
требования Заказчика, выбранные варианты реализации удалённого доступа должны,
как минимум, обладать следующими характеристиками:
· Наличие функций администрирования;
· Поддержка одновременного подключения как минимум 100 пользователей;
· Защищенные каналы связи должны обеспечивать надежный, безопасный и
прозрачный доступ пользователей к внутренней сети;
· Для пользовательского сегмента должны иметься простые в использовании
средства VPN обеспечивающие подтверждение подлинности (аутентификацию),
проверку целостности и шифрование IP-пакетов, а также поддержка протоколов
защищённого обмена ключами в сети Интернет. Длина ключа шифрования должна
быть не менее 128 бит.
Помимо требований Заказчика, как фактор, влияющий на выбор того или иного
способа, является совокупная цена внедрения продукта. Наличие бесплатной версии
продукта позволит ускорить процесс развёртывания системы удалённого доступа,
поскольку не будет затрачиваться время на закупку лицензии.
Для сравнения я выбрал несколько вариантов реализации:
1) Роль «Службы политики сети и доступа» на Windows Server (L2TP VPN);
2) Remote Access VPN на Cisco ASA;
3) С помощью продукта ViPNet Custom;
4) С помощью продукта «Застава».
Как вариант реализации VPN роль «Службы политики сети и доступа» на Windows
Server (L2TP VPN) была выбрана для сравнения потому, что на предполагаемом
объекте размещения системы удалённого доступа находилось в эксплуатации
несколько серверов с установленной на них операционной системой Windows Server
2008, которые использовались в качестве контроллера домена, DHCP и DNS сервера
и могли при развёртывании данной роли стать VPN-шлюзами. В 2008 линейке
серверных операционных систем MS Windows удалённый доступ настраивается
путём развёртывания роли «Службы политики сети и доступа», в которой содержится
служба Routing and Remote Access Service (RRAS - Служба маршрутизации и
удалённого доступа), отвечающая (помимо маршрутизации) за связь удалённых
пользователей с компьютером или локальной сетью.
При выборе такого варианта реализации VPN, как Remote Access VPN на Cisco ASA я
предполагал, что развёртывание VPN может быть осуществлёно МСЭ Cisco ASA
5510, который уже был приобретён на месте работы Заказчика с целью обеспечения
резервного канала доступа в интернет. Изначально у меня был выбор из двух
технологий реализации удалённого доступа на МСЭ Cisco, а именно - SSL VPN и
Remote-Access VPN. Изучая данные технологии, я пришёл к выводу, что для
сравнения более подходящим вариантом будет Remote-Access VPN, потому что SSL
VPN не соответствует нескольким критериям отбора. Для того, чтобы SSL VPN
поддерживал 100 и более одновременных подключений удалённых пользователей
нужно покупать дополнительную лицензию (AnyConnect Essentials VPN License)
стоимостью около 100$. Помимо этого, для того, чтобы данная технология работала
на операционных системах Windows 8.1 и выше, необходимо также активировать
дополнительные лицензии для включения набора криптостойких алгоритмов
шифрования. Если возвращаться к Remote-Access VPN, то она по умолчанию, без
покупки каких-либо дополнительных лицензий, поддерживает одновременную работу
250 удалённых пользователей, что в большей степени соответствует требованиям
Заказчика, поэтому технология Remote Access и была выбрана для сравнения.
Продукты ViPNet Custom и «Застава» интересны как программная реализация VPN.
Подразумевается, что они тоже могут быть установлены на контроллер домена
отделения, потому, что их решения полностью совместимы с данной серверной
операционной системой. Продукты позволяет объединять в единую защищенную
виртуальную сеть большое число локальных сетей и рабочих станций. Компаниипроизводители этих продуктов уделяют внимание вопросам сертификации своих
разработок в соответствии с требованиями ФСБ и ФСТЭК России, поэтому они
активно используются как в коммерческих, так и в государственных организациях.
...