Организация защищенного канала между несколькими локальными сетями через Internet

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИСТЕТ»

Кафедра защиты информации

УРСОВАЯ РАБОТА

по дисциплине «Технология построения защищенных автоматизированных систем»

ТЕМА: Организация защищенного канала между несколькими локальными сетями через Internet

Автор курсовой работы

Картунов

Роман Александрович

Ставрополь, 2011.

СОДЕРЖАНИЕ

защищенный канал локальная сеть интернет

ВВЕДЕНИЕ

1. ОРГАНИЗАЦИЯ ЗАЩИЩЕННЫХ КАНАЛОВ СВЯЗИ

1.1 Краткие сведения о технологии VPN

1.2 Практическое применение технологии VPN

1.3 Вопросы безопасности, связанные с применением технологии VPN

1.4 Производительность средств VPN

1.5 Плюсы и минусы технологии VPN

1.6 Выводы по главе

2. ПОСТРОЕНИЕ БЕЗОПАСНЫХ СЕТЕЙ НА ОСНОВЕ VPN

2.1 Организация частной сети

2.2 Организация частной сети с использованием виртуальных частных сетей

2.3 Организация беспроводных частных сетей

2.4 Выводы по главе

3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ПОСТРОЕНИЯ СЕТИ В ЗА-ЩИЩЕННОМ ИСПОЛНЕНИИ С ПОМОЩЬЮ ТЕХНОЛОГИИ VPN

3.1 Построение простого варианта виртуальной частной сети

3.2 Проверка работоспособности VPN-соединения

3.3 Выводы по главе

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

Интернет - это глобальная сеть, насчитывающая тысячи компьютеров, разбросанных по всему миру. Когда два компьютера взаимодействуют между собой, весь трафик от источника до пункта назначения проходит через множество других устройств (маршрутизаторов, коммутаторов и т.д.). Эти сетевые устройства администрируют посторонние организации, и никто не может поручиться за их честность (в большинстве случаев невозможно узнать заранее, по какому пути пойдут пакеты к пункту назначения).

На любом из хостов, встречающихся на пути пакетов, может просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных.

Для решения этих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий тоннель. Информация помещается с одной стороны тоннеля и прочесть ее можно только с другой стороны.

На самом деле, передаваемая информация модифицируется таким об-разом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.

Необходимость объединения рабочих мест в распределенные сети для доступа к различным ресурсам и обмена информацией является объективной потребностью любой организации.

В большинстве случаев оптимальным, а часто и единственным доступным решением является использование сети Интернет для связи с удаленными филиалами, мобильными пользователями и другими сетями. Данное решение имеет ряд преимуществ - таких как уменьшение стоимости связи, гибкость структуры корпоративной сети организации.

Одной из существующих в настоящее время технологий, позволяющих обеспечить заданный уровень защищенности распределенной корпоративной сети, является использование виртуальных частных сетей (VPN). В качестве сети передачи данных используются сети общего пользования (например, Интернет), а безопасность информации достигается криптографическими средствами. Виртуальная частная сеть реализует функции шифрования передаваемых данных и создания электронной цифровой подписи (ЭЦП), а также централизованного управления.

Актуальность исследования заключается в правильной организации защищенного канала связи между несколькими локальными сетями через Интернет, а также построение туннеля на однокарточных координаторах.

Объектом данной курсовой работы являются локальные сети.

Предметом курсовой работы является канал связи.

Цель работы - организации защищенного канала связи между несколькими локальными сетями через Интернет, а также построение туннеля на однокарточных координаторах.

Практическая значимость работы заключается в возможности использования полученных результатов исследования при организации защищенного канала связи между несколькими локальными сетями через Интернет.

Работа состоит из трех глав. В первой главе проводится анализ технологии VPN. Во второй главе проводится построение безопасных сетей на основе VPN. Третья глава посвящена практической реализации построения сети в защищенном исполнении с помощью технологии VPN.

1. ОРГАНИЗАЦИЯ ЗАЩИЩЕННЫХ КАНАЛОВ СВЯЗИ

Одним из главных достоинств Internet является то, что она широкодоступна. Конечно, связь через Internet имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности. Используя Internet в качестве расширения внутрикорпоративной сети, информация передается по общедоступным каналам, и всякий, кто может установить на ее пути анализатор протоколов, имеет потенциальную возможность перехватить ценную информацию [1]. Этой проблеме есть решение - VPN.

1.1 Краткие сведения о технологии VPN

Технология VPN (Virtual Private Network - виртуальная частная сеть) - не единственный способ защиты сетей и передаваемых по ним данных.

Суть VPN состоит в следующем:

? на все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент);

? VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).

Поскольку информация, циркулирующая в Интернете, представляет собой множество пакетов протокола IP, VPN-агенты работают именно с ними [1].

Рисунок 1 - Схема VPN

Перед отправкой IP-пакета VPN-агент действует следующим образом:

Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется [2]:

? определяет и добавляет в пакет ЭЦП отправителя или имитоприставку;

? шифрует пакет (целиком, включая заголовок);

? проводит инкапсуляцию, т. е. формирует новый заголовок, где ука-зывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.

При получении IP-пакета выполняются обратные действия [3]:

? заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком;

? согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи;

? пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается;

? пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю [2].

VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернет. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.

Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES [3].

Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые обычно называют “туннелями”. И действительно, они “прорыты” через Интернет от одной сети к другой; циркулирующая внутри информация спрятана от чужих глаз.

Рисунок 2 - Туннелирование и фильтрация

Кроме того, все пакеты “фильтруются” в соответствии с настройками. Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Совокупность правил создания туннелей, которая называется “политикой безопасности”, записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены [4]:

? IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети);

? IP-адрес назначения;

? протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);

? номер порта, с которого или на который отправлена информация (например, 1080).

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Ин-тернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого [3]. Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания.

1.2 Практическое применение технологии VPN

Относительно применения, можно выделить четыре основных варианта построения сети VPN.

Вариант «Intrenet VPN», который позволяет объединить в единую за-щищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики [4].

Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей.

Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам [3].

Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN [5].

1.3 Вопросы безопасности, связанные с применением технологии VPN

Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec (Internet Protocol Security - стандарт, выбранный международным сообществом, группой IETF - Internet Engineering Task Force) создает основы безопасности для Интернет-протокола (IP), незащищенность которого долгое время являлась притчей во языцех. Протокол Ipsec обеспечивает защиту на сетевом уровне и требует поддержки стандарта Ipsec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов [5].

Способ взаимодействия лиц, использующих технологию Ipsec, принято определять термином "защищенная ассоциация" - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами Ipsec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.

Другие стандарты включают протокол PPTP (Point to Point Tunneling Protocol), развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый Cisco, - оба для удаленного доступа. Microsoft и Cisco работают совместно с IETF, чтобы соединить эти протоколы в единый стандарт L2P2 (Layer 2 Tunneling Protocol) с целью использования IPSec для туннельной аутентификации, защиты частной собственности и проверки целостности [4].

Проблема состоит в том, чтобы обеспечить приемлемое быстродей-ствие сети при обмене шифрованной информацией. Алгоритмы кодирования требуют значительных вычислительных ресурсов процессора, иногда в 100 раз больших, чем при обычной IP-маршрутизации. Чтобы добиться необходимой производительности, надо позаботиться об адекватном повышении быстродействия, как серверов, так и клиентских ПК. Кроме того, есть специальные шлюзы с особыми схемами, которые заметно ускоряют шифрование.

Средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использовать хакеры для проникновения в корпоративную сеть. Они не могут обнаружить вирусы и атаки типа "отказ в обслуживании", они не могут фильтровать данные по различным признакам (это делают межсетевые экраны) и т.д. На это мне можно возразить, что эти опасности не страшны, так как VPN не примет незашифрованный трафик и отвергнет его. Однако на практике это не так. Во-первых, в большинстве случае средство построения VPN используется для защиты лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед лицом статистики склоняют головы даже самые отъявленные скептики. А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкци-онированный доступ в корпоративную сеть. Из чего следует вывод, что атака или вирус будут зашифрованы наравне с безобидным трафиком [6].

1.4 Производительность средств VPN

Производительность сети -- это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

Задержки при установлении защищенного соединения между VPN-устройствами. Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности. Задержки, связанные с добавлением нового заголовка к передаваемым пакетам. Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN задержки первого типа практически не влияют на скорость обмена данными. Разумеется, это положение касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способны вносить определенные задержки в работу сети [7].

Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета -- передача пакета в сеть» и «прием пакетов из сети -- расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема здесь связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера рассмотрим систему диспетчерского управления, которая в реальном масштабе времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик -- не более 25 байтов. Данные сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных -- 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/с.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной -- 16 байтов, значение переменной -- 8 байт, служебный заголовок -- 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байтов FR-заголовка. Всего -- 59 байтов (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75?472 = 34,5 Кбит/с, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример -- средства на основе порядком уже подзабытого протокола SKIP [7].

К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75?1368 = 102,6 Кбит/с, что на 60% превышает максимальную пропускную способность имеющегося канала связи.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе «Континент-К», дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байтов (или 26 -- в зависимости от режима работы), что не вызывает никакого снижения пропускной способности (57 и 51 Кбит/с соответственно). Справедливости ради необходимо отметить, что все эти выкладки верны лишь при условии, что, кроме указанных переменных, в сети больше ничего не передается [8].

1.5 Плюсы и минусы технологии VPN

Преимущества технологии VPN настолько убедительны, что многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, даже той, которая является уязвимой. Преимущества VPN уже оценены по достоинству многими предприятиями.

При правильном выборе VPN [13]:

? получение защищенных каналов связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;

? при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;

? обеспечивается масштабирование, поскольку VPN не создает про-блем роста и сохраняет сделанные инвестиции;

? открытые интерфейсы позволяют интегрировать сеть с другими программными продуктами и бизнес-приложениями.

Минусы VPN

К ним можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению западных аналитиков, это не остановит продажу VPN, поскольку лишь пяти процентам пользователей, торгующих, например, на рынке ценных бумаг, требуются такие высокие стандарты. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам [12].

В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением вышедшего из строя оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.

Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. Как говорят аналитики Forester Research, VPN должны контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему [11].

1.6 Выводы по главе

В современных условиях развития информационных технологий, преимущества создания виртуальных частных сетей неоспоримы.

Виртуальная частная сеть или просто VPN (Virtual Private Network) - это технология, при которой происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через сеть общего пользования с имитацией частного подключения «точка-точка». Под сетью общего пользования можно подразумевать как Интернет, так и другую интрасеть.

2. ПОСТРОЕНИЕ БЕЗОПАСНЫХ СЕТЕЙ НА ОСНОВЕ VPN

2.1 Организация частной сети

Организовывая безопасные каналы передачи информации в учреждениях несправедливо не рассмотреть вариант организации полноценной частной сети. На рисунке 3 изображен вариант организации частной сети небольшой компанией с 2 филиалами.

Рисунок 3 - вариант организации частной сети небольшой компанией с 2 филиалами

Доступ во внешнюю сеть может осуществляться как через центральный офис, так и децентрализовано. Данная организация сети обладает следующими неоспоримыми преимуществами [14]:

? высокая скорость передачи информации, фактически скорость при таком соединении будет равна скорости локальной сети предприятия;

? безопасность, передаваемые данные не попадают в сеть общего пользования;

? за пользование организованной сетью ни кому не надо платить, действительно капитальные вложения будут только на стадии изготовления сети.

2.2 Организация частной сети с использованием виртуальных частных сетей

На следующем рисунке изображен аналогичный вариант организации сети учреждения с филиалами, но только с использованием виртуальных частных сетей.

Рисунок 4 - вариант организации сети учреждения с филиалами с ис-пользованием виртуальных частных сетей.

В данном случае преимущества, приведенные для частных сетей, оборачиваются недостатками для виртуальных частных сетей.

Недостатки [9]:

? скорость передачи данных. Провайдеры могут обеспечить достаточно высокоскоростной доступ в Интернет, однако с локальной, проверенной временем 100 Мбит сетью он все равно не сравнится. Для доступа к локальному сайту предприятия, пересылки электронного письма с документом вполне достаточно скорости, которой могут обеспечить Интернет-провайдеры [12]:

? безопасность передаваемых данных. При организации VPN передаваемая информация попадает во внешнюю сеть, поэтому об организации безопасности придется позаботиться заранее. Но уже сегодня существуют достаточно стойкие к атакам алгоритмы шифрования информации, которые позволяют владельцам передаваемых данных не беспокоиться за безопасность. Подробнее о способах обеспечения безопасности и алгоритмах шифрования чуть ниже;

? за организованную сеть никому не надо платить. Достаточно спорное преимущество, поскольку в противовес дешевизне пользования сетью стоят большие капитальные затраты на ее создание, которые могут оказаться неподъемными для небольшого учреждения. В то же время плата за использование Интернет в наши дни сама по себе достаточно демократичная, а гибкие тарифы позволяю выбрать каждому оптимальный пакет.

Теперь необходимо разобраться с наиболее очевидными преимуще-ствами VPN:

? масштабируемость системы. При открытии нового филиала или до-бавления сотрудника, которому позволено пользоваться удаленным доступом не нужно никаких дополнительных затрат на коммуникации;

? гибкость системы. Для VPN не важно, откуда вы осуществляете до-ступ. Отдельно взятый сотрудник может работать из дома, а может во время чтения почты из корпоративного почтового ящика фирмы пребывать в командировке в абсолютно другом государстве. Также стало возможным использовать так называемые мобильные офисы, где нет привязки к определенной местности;

? из предыдущего вытекает, что для организации своего рабочего места человек географически неограничен, что при использовании частной сети практически невозможно.

2.3 Организация беспроводных частных сетей

Отдельным пунктом можно выделить создание не проводных частных сетей, а беспроводных. При таком подходе можно даже рассмотреть вариант со своим спутником. Однако в этом случае начальные затраты достигают астрономических высот, скорость снижается фактически до скорости пользования всемирной паутиной, а для надежного обеспечения безопасности необходимо применять опять таки шифрование. И в итоге получаем туже виртуальную частную сеть, только с неимоверно высокими начальными затратами и затратами на поддержание в рабочем состоянии всего оборудования. Способы ор-ганизации [14].

В VPN наиболее целесообразно выделить следующие три основных способа:

Удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через модем либо общедоступную сеть.

Рисунок 5 - удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через модем либо общедоступную сеть

Организация такой модели виртуальной частной сети предполагает наличие VPN-сервера в центральном офисе, к которому подключаются удаленные клиенты. Удаленные клиенты могут работать на дому, либо, используя переносной компьютер, из любого места планеты, где есть доступ к всемирной паутине.

Данный способ организации виртуальной частной сети целесообразно применять в случаях:

? географически не привязанного доступа сотрудников к корпоративной сети организации;

? доступа к Интернету. Часто провайдеры создают для своих клиентов VPN подключения для организации доступа к ресурсам Интернет.

Связь в одну общую сеть территориально распределенных филиалов фирмы. Этот способ называется Intranet VPN [10].

Рисунок 6 - связь в одну общую сеть территориально распределенных филиалов фирмы

При организации такой схемы подключения требуется наличие VPN серверов равное количеству связываемых офисов.

Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ре-сурсам «материнской» компании, а также без проблем обмениваться данными между собой.

Так называемый Extranet VPN, когда через безопасные каналы доступа предоставляется доступ для клиентов организации. Набирает широкое распространение в связи с популярностью электронной коммерции.

В этом случае для удаленных клиентов будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных. Средства защиты информации - протоколы шифрования

Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре [11]:

? протоколы, инкапсулирующие данные и формирующие VPN соединение;

? протоколы, шифрующие данные внутри созданного туннеля.

Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных. Рассмотрим некоторые стандартные, предлагаемые всемирно признанным мировым лидером в области разработки операционных систем, решения.

В качестве стандартного набора предлагается сделать выбор из двух протоколов, точнее будет сказать наборов:

? PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол «точка-точка», детище Microsoft и является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows XP. При стандартном выборе данного протокола компанией Microsoft предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде.

? инкапсуляция данных по протоколу PPTP происходит путем добавления заголовка GRE (Generic Routing Encapsulation) и заголовка IP к данным обработанных протоколом PPP;

? L2TP (Layer Two Tunneling Protocol) - более совершенный протокол, родившийся в результате объединения протоколов PPTP (от Microsoft) и L2F (от Cisco), вобравший в себя все лучшее из этих двух протоколов. Предоставляет более защищенное соединение, нежели первый вариант, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows XP, более того при автоматическом определении типа подключения клиент сначала пытается соединиться с сервером именно по этому протоколу, как являющимся более предпочтительным в плане безопасности;

? инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к данным обработанным протоколом PPP. Шифрование данных достигается путем применения алгоритма DES (Data Encryption Standard) или 3DES. Именно в последнем случае достигается наибольшая безопасность передаваемых данных, однако в этом случае придется расплачиваться скоростью соединения, а также ресурсами центрального процессора.

В вопросе применения протоколов компания Microsoft и Cisco образуют некий симбиоз, судите сами, протокол PPTP - разработка Microsoft, но используется совместно с GRE, а это продукт Cisco, далее более совершенный в плане безопасности протокол L2TP - это ни что иное, как гибрид, вобравший в себя все лучшее PPTP (уже знаем чей) и L2F, да правильно, разработанный Cisco. Возможно именно поэтому VPN, при правильном подходе в организации, считается надежным способом передачи конфиденциальных данных.

Рассмотренные здесь примеры протоколов не являются единственны-ми, существует множество альтернативных решений, например, PopTop - Unix реализация PPTP, или FreeSWAN - протокол для установления IPSec соединения под Linux, а также: Vtun, Racoon, ISAKMPD и др.

2.4 Выводы по главе

Виртуальная частная сеть не новое, но, как видим, очень полезное изобретение в мире информационных технологий, которое поможет Вам безопасно получить интересующую Вас информацию.

Следует отметить, что для реализации VPN существуют целые аппа-ратные комплексы, однако они не взыскали широкого распространения в силу своей направленности на обслуживание больших предприятий и, как следствие, дороговизны. Вычислительная мощь аппаратных решений конечно очень высока, но не всегда востребована, поэтому программные решения, а тем более стандартные, не требующие дополнительных затрат на поиск и приобретение дополнительного программного обеспечения, снискали такую огромную популярность.

3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ПОСТРОЕНИЯ СЕТИ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ С ПОМОЩЬЮ ТЕХНОЛОГИИ VPN

3.1 Построение простого варианта виртуальной частной сети

В данной работе будет представлена организация простого варианта виртуальной частной сети (рисунок 7).

Рисунок 7 - Организация простого варианта виртуальной частной сети

Удаленный сотрудник или сотрудница находится вне офиса и имеет доступ в сеть общего пользования, пускай это будет Интернет.

Адрес сети, к которой необходимо получить доступ 11.7.0.0 маска подсети соответственно 255.255.0.0. Данная корпоративная сеть - это доменная сеть, под управлением Windows 2003 Server Corporate Edition. На сервере имеется два сетевых интерфейса с IP адресами, внутренним для корпоративной сети 11.7.3.1 и внешним 191.168.0.2. Следует отметить, что при проектировании сети VPN сервер ставится в самую последнюю очередь, поэтому возможно без особых проблем организовать VPN доступ к уже отлаженной и сформированной сети организации, но, в тоже время, если в управляемой сети произошли существенные изменения, то, возможно, потребуется перенастройка VPN сервера.

В данном случае имеется уже сформированная сеть, с адресами, опи-санными выше, необходимо настроить VPN сервер, а также разрешить определенным пользователям доступ из внешней сети. В корпоративной сети имеется внутренний сайт, к которому и попытаемся получить доступ посредствам виртуальной частной сети.

В Windows 2003 Server установка роли VPN сервера осуществляется достаточно просто.

Рисунок 8 - Графический интерфейс Windows 2003 Server

Следуя подсказкам мастера, устанавливаем необходимые параметры: на втором шаге выбираем удаленный доступ (VPN или модем); потом уда-ленный доступ через Интернет; на 4-м шаге указываем интерфейс сервера, подключенный к Интернету, в данном случае 191.168.0.2; далее необходимо определить способ назначения адресов удаленным клиентам, в данном случае это будут автоматически назначенные адреса; если у сети имеется RADIUS сервер, для централизованной проверки подлинности подключений, необходимо выбрать его, если нет, тогда оставить эту задачу VPN серверу.

Итак, VPN сервер создан, после проделанных установок, переходим к управлению пользователями домена и для работников, которые нуж-даются в удаленном доступе к внутренней сети организации, разрешаем этот самый доступ, установив на вкладке «Входящие звонки» соответствующий переключатель.

Рисунок 9 - Окно конфигураций

При конфигурировании виртуальной частной сети следует помнить, что для корректной работы необходимо, чтобы установленный брандмауэр разрешал протоколы, используемые VPN.

С серверной частью закончили, переходим к созданию клиента виртуальной частной сети на удаленном компьютере. Для этого необходимо запустить мастер сетевых подключений. На втором шаге, следуя подсказкам, выбрать пункт «Подключить к сети на рабочем месте». На третьем шаге «Подключение к виртуальной частной сети». Следующий шаг - вводим название подключения. Пятый шаг - выбираем, следует ли предварительно подключаться к Интернету (если Вы подключаетесь с места с постоянным доступом, выберете «нет», если же используете, например, мобильный телефон в качестве модема, тогда следует выбрать предварительный набор номера для подключения к Интернету). На предпоследнем шаге вводим IP-адрес сервера, к которому осуществляется доступ.

Рисунок 10 - Окно мастера новых подключений

Рисунок 11 - Окно VPN-свойств

Для уже созданного подключения можно в любой момент откорректировать свойства, а также настроить некоторые моменты, касающиеся безопасности и типа созданного подключения.

3.2 Проверка работоспособности VPN-соединения

Конфигурирование удаленного доступа завершено, пришло время проверить его работоспособность. Начнем с команды «ping», попробуем «пропинговать» какую-нибудь рабочую станцию из корпоративной сети.

Рисунок 12 - Окно командной строки

Все отлично работает, осталось замерить производительность работы созданной виртуальной частной сети. Для этого скопируем файл через VPN подключение, а также, не используя его, на VPN сервер. В качестве физической среды передачи информации выступит 100 Мбит сеть, в этом случае пропускная способность сети не является ограничивающим фактором. Итак, копирование файла размером 342 921 216 байт происходило 121 секунду. С подключением VPN - 153 секунды. В целом потеря во времени копирования составила 26%, что естественно, поскольку при передаче информации через VPN появляются дополнительные накладные расходы в виде шифрования/дешифрования данных. В данном случае использовался протокол PPTP, при использовании других видов протоколов потеря во времени также будет варьировать. В настоящее время Microsoft рекомендует использовать протокол L2TP IPSec вместе со смарт-картами для обеспечения максимальной защиты при проверке подлинности и передачи информации.

3.3 Выводы по главе

Построенная в результате VPN на самом деле очень проста, но она освещает основные моменты построения VPN. Построение других видов VPN на основе Microsoft 2003 Server принципиально ничем не отличаются, все просто и легко.

В заключение хотелось бы сказать, что на самом деле способов применения VPN действительно очень много, и они не исчерпываются только случаями, описанными в данной статье, а способы реализации перечислить практически невозможно. Однако если Вы нашли для себя выход из ситуации с помощью VPN, никогда не забывайте о такой важной составляющей, как безопасность не только информации, которая передается, но и самого подключения.

ЗАКЛЮЧЕНИЕ

В данной курсовой работе была рассмотрена технология удалённого доступа к частной сети под названием VPN. Был разобран принцип работы технологии VPN где эта технология применяется её протоколы и многое другое. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но несмотря на это технология VPN получит большое развитие.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Лукацкий А. Неизвестная VPN / Компьютер Пресс. ?М.: Форум, 2009, ? 158-171 с.

2 Норманн Р. Выбираем протокол VPN /Windows IT Pro. - М.: Фаргус, 2005, ? 15-26 с.

3 Петренко С. Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных. - М.: Мир Internet, 2008, ? 186-193 с.

4 Салливан К. Прогресс технологии VPN. PCWEEK/RE, - М.: Грей, 2009, ? 128 с.

5 Файльнер М. Виртуальные частные сети нового поколения LAN/Журнал сетевых решений, - М.: ГАТТ, 2005, ? 154 с.

6 Штайнке С. VPN между локальными сетями. LAN/Журнал сетевых решений, - М.: Собр, 2007, ? 596 с.

7 Гмурман А.И. Информационная безопасность. ? М.: БИТ?М, 2005. - 122-126 с.

8 Домарев В.В. Безопасность информационных технологий. Системный подход: ? К.: ТИД и ДС, 2004. ? 312 с.

9 Завгородний В.И. Комплексная защита информации в компьютерных системах. ? М.: Бука, 2009. - 524 с.

10 Корнеев И.К., Степанов Е.А. Информационная безопасность и защита информации. ? М.: ИНФОРА?М, 2008. ? 299 с.

11 Б. С. Гольдштейн, В. С. Елагин, Ю. Л. Сенченко. Телекоммуникационные протоколы. - СПб.: БХВ, 2011. - 138-149 с.

12 Малюк А.А., Пазизин С.В. Введение в защиту информации в авто-матизированных системах. ? М.: Дрофа, 2010. - 52-61 с.

13 Попов Л.И., Зубарев А.В. Основные принципы повышения эффек-тивности реализации мероприятий по комплексной защите информации. - СПб.: Альтпресс, 2009. - 512 c.

12 Галямов В.А. Исследование и разработка моделей и методов оптимизации структур телекоммуникационных систем - Новосибирск.: ? Новосибирский ГТУ, 2006. - 356-359 с.

13 Таненбаум Э.А. Компьютерные сети. ? М.: ПИТ, 2010. - 34 с.

14 Семененко В.А. Информационная безопасность. М.: Брик, 2006. - 53 с.

15 Столяров Н.В. Понятие, сущность, цели и значение защиты информации. - М.: Конфидент, 2009. - 23 с.

16 Ярочкин В.И. Система безопасности фирмы. ?М.: Брей, 2007. - 18 с.

17 Локальные сети - http://www.stavtechno.stroyvitrina.ru/lokalnye-seti-37890.html.

18 Сети - http://citforum.ru/nets/lvs.shtml.

19 Локальные вычислительные сети на предприятии - http://www.ntss.ru/network/wireless.

Размещено на Allbest