Описание защищенного канала между локальными сетями через Internet через туннелирование однокарточными координаторами

Понятие виртуальной частной сети. Методика туннелирования, основные компоненты туннеля. Виртуальная частная сеть, ее задачи. Требования к защите автоматизированной системы. Построение защищенного туннеля между двумя маршрутизаторами, применение фильтра.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 22.06.2011
Размер файла 2,6 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«СЕВЕРО - КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИСТЕТ»

Кафедра защиты информации

КУРСОВАЯ РАБОТА

по дисциплине «Технология построения защищенных автоматизированных систем»

ТЕМА: Описание защищенного канала между локальными сетями через Internet через туннелирование однокарточными координаторами

Ставрополь, 2011

Содержание

Введение

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Задача проекта

1.2 Что такое виртуальная частная сеть

1.3 История появления VPN

1.4 Понятие виртуальной частной сети, решаемые задачи и требования к реализации

1.5 Угрозы безопасности при передаче конфиденциальной информации по открытым каналам и способы их исключения технологией VPN

1.6 Производительность

1.7 Протоколы виртуальных частных сетей

1.8 Достоинства VPN

1.9 Недостатки VPN

2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec

2.2 Установка ограничения на доступ к ресурсам открытого Интернета

Заключение

Список используемой литературы

Введение

На современном этапе развития, в условиях, когда филиалы одного и того же предприятия находятся на значительном удалении друг от друга, потребность в оперативном и надежном обмене информацией стала наиболее острой.

Использование дорогих высокопропускных каналов связи не всегда оказывается целесообразным и экономически выгодным. Развитие же средств связи, особенно недорогих и наиболее доступных (например, Internet), приводит к тому, что их практическое использование, особенно предприятиями, становится все более массовым.

В этих условиях становится заманчивым их использование для передачи ценной корпоративной информации, убытки от потери или искажения которой могут пагубно сказаться на деятельности компании. Поэтому использование защищенных виртуальных частных сетей с учетом всех их достоинств становится все более актуальным и жизненно необходимым. Концепция таких сетей позволяет организовывать столь необходимый обмен информацией внутри компании и с клиентами при наилучшем сочетании производительности, оперативности, защищенности и стоимости.

Надо отметить, что построение защиты нескольких локальных сетей, использующих публичные каналы связи для взаимодействия, является тривиальной задачей и осуществляется многими провайдерами и сторонними организациями. В связи с этим существуют различные способы организации такой защиты с разным уровнем сложности реализации.

Таким образом, целью курсового проекта является разработка защиты указанной темой незащищенной автоматизированной системы.

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Задача проекта

Задачей проекта является описание технологии “Удалённого доступа к частной сети через Интернет(VPN)”, её плюсы и минусы, история появления

VPN, описание практического применения VPN, объяснение того, как эта технология работает, её производительность.

1.2 Что такое виртуальная частная сеть

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель

- безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания.

Основными компонентами туннеля являются:

- инициатор;

- маршрутизируемая сеть;

- туннельный коммутатор;

- один или несколько туннельных терминаторов.

Инициировать и разрывать туннель могут самые различные сетевые устройства и программное обеспечение. Например, туннель может быть инициирован ноутбуком мобильного пользователя, оборудованным модемом и соответствующим программным обеспечением для установления соединений удаленного доступа. В качестве инициатора может выступить также маршрутизатор экстрасети (локальной сети), наделенный соответствующими функциональными возможностями. Туннель обычно завершается коммутатором экстрасети или шлюзом провайдера услуг.

Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.

Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay.

Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.

В качестве примера использования туннеля для устранения несоответствий между протоколами и схемами адресации можно привести технологию Simple

Internet Transition (SIT), которая должна появиться вместе с протоколом IPv6. Это тщательно разработанная группой инженеров (IETF) методология туннелирования, призванная облегчить переход от четвертой версии межсетевого протокола (IPv4) к шестой (IPv6). Эти версии достаточно отличаются, чтобы говорить о непосредственной совместимости сетей.

Инкапсуляция же пакетов протокола IPv6 в пакеты IPv4 позволяет достичь необходимого уровня функциональной совместимости.

1.3 История появления VPN

История появления VPN тесно связана с услугой CENTREX в телефонных сетях. Понятие Centrex появилось на рубеже 60-х годов в США как общее название способа предоставления услуг деловой связи абонентам нескольких компаний на основе совместно используемого оборудования одной учрежденческой станции PBX (Private Branch Exchange). С началом внедрения в

США и Канаде станций с программным управлением термин приобрел иной смысл и стал означать способ предоставления деловым абонентам дополнительных услуг телефонной связи, эквивалентных услугам PBX, на базе модифицированных станций сети общего пользования. Основное преимущество Centrex заключалось в том, что фирмы и компании при создании выделенных корпоративных сетей экономили значительные средства, необходимые на покупку, монтаж и эксплуатацию собственных станций. Хотя для связи между собой абоненты

Centrex используют ресурсы и оборудование сети общего пользования, сами они образуют так называемые замкнутые группы пользователей CUG (Closed Users

Group) с ограниченным доступом извне, для которых в станциях сети реализуются виртуальные PBX.

В стремлении преодолеть свойственные Centrex ограничения была выдвинута идея виртуальной частной сети VPN - как объединение CUG, составляющих одну корпоративную сеть и находящихся на удалении друг от друга. Ресурсы VPN

(каждая со своим планом нумерации) могут быть распределены по нескольким станциям местной сети, оснащенным функциями Centrex и имеющим в зоне своего обслуживания одну или несколько CUG. При этом в станцию могут быть включены как PBX, непосредственно принадлежащие владельцу VPN, так и линии обычных индивидуальных абонентов.

1.4 Понятие виртуальной частной сети, решаемые задачи и требования

к реализации

Перечисленным выше требованиям к организации защиты описанной системы (рисунок 1) как раз и удовлетворяют технологии построения виртуальных частных сетей.

Существует множество определений виртуальной частной сети [1,2], однако в рамках поставленной курсовым проектом задачи под виртуальной частной сетью (VPN - Virtual Private Network, Virtual Protected Network - виртуальная защищенная сеть) будем понимать технологию, объединяющую доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия [1]. Основная идея данного определения заключается в удовлетворении указанных требований и отражена на рисунке 1.

Требования, предъявляемые к реализующим VPN программно-аппаратным комплексам, можно сформулировать следующим образом [1]:

масштабируемость - возможность со временем подключать новые локальные сети без необходимости изменения структуры имеющейся VPN;

интегрируемость - возможность внедрения VPN-системы в имеющуюся технологию обмена информацией;

легальность и стойкость используемых криптоалгоритмов - система должна иметь соответствующий сертификат, позволяющий ее использовать на территории Российской Федерации с целью защиты информации ограниченного доступа;

высокая пропускная способность сети - система не должна существенно увеличивать объем передаваемого трафика, а также уменьшать скорость его передачи;

унифицируемость - возможность устанавливать защищенные соединения с коллегами по бизнесу, у которых уже установлена иная VPN-система;

низкая общая совокупная стоимость - затраты на приобретение, развертывание и обслуживание системы не должны превосходить стоимость самой информации.

Рисунок 1 - Требования к защите автоматизированной системы

1.5 Угрозы безопасности при передаче конфиденциальной информации

по открытым каналам и способы их исключения технологией VPN

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов [2]:

несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

аутентификации взаимодействующих сторон;

криптографическом закрытии (шифровании) передаваемых данных;

проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.

Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью.

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений. Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети [2,4].

Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.

Таким образом, технология VPN позволяет реализовать защиту от угроз, связанных с передачей информации по открытым каналам, решая тем самым пункты первый и третий поставленной курсовым проектом задачи.

1.6 Производительность

Производительность сети -- это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

Задержки при установлении защищенного соединения между VPN- устройствами.

Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.

Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN задержки первого типа практически не влияют на скорость обмена данными. Разумеется, это положение касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способны вносить определенные задержки в работу сети.

Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета -- передача пакета в сеть» и «прием пакетов из сети -- расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема здесь связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера рассмотрим систему диспетчерского управления, которая в реальном масштабе времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик -- не более 25 байтов. Данные сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/с.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной -- 16 байтов, значение переменной -- 8 байт, служебный заголовок --1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP- пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байтов FR-заголовка. Всего -- 59 байтов (472 бита).

Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75Ч472 = 34,5 Кбит/с, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример -- средства на основе порядком уже подзабытого протокола SKIP.

К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75Ч1368 = 102,6 Кбит/с, что на 60% превышает максимальную пропускную способность имеющегося канала связи.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе «Континент-К», дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байтов (или 26 -- в зависимости от режима работы), что не вызывает никакого снижения пропускной способности (57 и 51 Кбит/с соответственно).

Справедливости ради необходимо отметить, что все эти выкладки верны лишь при условии, что, кроме указанных переменных, в сети больше ничего не передается.

1.7 Протоколы виртуальных частных сетей

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol

- PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР.

РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера (в отличие от специализированных серверов удаленного доступа) позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server.

В результате пользователь использует виртуальную частную сеть, не нанося при этом ущерба функциональным возможностям общедоступной сети. Все службы домена NT, включая DHCP, WINS и доступ к Network Neighborhood, безо всяких оговорок предоставляются удаленному пользователю.

Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня (Layer 2

Tunneling Protocol - L2TP). Этот протокол позволяет объединить функционирующие на втором уровне PPTP и L2F (Layer 2 Forwarding - протокол пересылки второго уровня) и расширить их возможности. Одной из них является многоточечное Туннелирование, позволяющее пользователям инициировать создание нескольких сетей VPN, например, для одновременного доступа к

Интернету и корпоративной сети.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:

1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий - на собственной

«территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.

2. Поддержка коммутации туннелей - завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов.

Коммутация туннелей позволяет как бы продлить PPP-соединение до необходимой конечной точки.

3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

1.8 Достоинства VPN

Преимущества технологии VPN настолько убедительны, что многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, даже той, которая является уязвимой. Преимущества VPN уже оценены по достоинству многими предприятиями.

При правильном выборе VPN:

1. мы получаем защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;

2. при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;

3. обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;

4. вы независимы от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;

5. открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.

1.9 Недостатки VPN

К ним можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению западных аналитиков, это не остановит продажу VPN, поскольку лишь пяти процентам пользователей, торгующих, например, на рынке ценных бумаг, требуются такие высокие стандарты. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.

В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением вышедшего из строя оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.

Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и

Novell. Как говорят аналитики Forester Research, VPN должны контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.

2. ПРАКТИЧЕСКАЯ ЧАСТЬ

Частичная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов

Схема незащищенной автоматизированной системы:

Информация об исходной схеме сети

Адреса в локальных сетях реальные.

Одна из ЛВС находится в центральном офисе.

На входах в обе локальные сети стоят маршрутизаторы.

Возможности по количеству локальных сетей не ограничены.

Требуемая защита

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется защита информационного обмена внутри локальных сетей.

Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec

Итак, перед нами стоит задача: объединить при помощи VPN-туннеля сети главного и удалённого офисов, с тем, чтобы обеспечить безопасный обмен корпоративными данными, а также прозрачный защищённый доступ к Intranet-ресурсам сети главного офиса пользователям сети удалённого офиса через небезопасный Интернет (рисунок 2). Оба офиса имеют выделенное подключение к Интернет с реальными статическими IP-адресами. Для осуществления задачи в качестве бюджетного решения были выбраны маршрутизаторы D-link DI-804HV стоимостью 2000 рублей.

Данный маршрутизатор поддерживает протокол IPSec для обеспечения безопасности соединений (использует алгоритм IP EPS). Максимальное количество IPSec туннелей - 40. DI-804V оснащен 4-х портовым коммутатором 10/100 Мбит/с, обеспечивая готовое решение для подключения серверов и рабочих станций, а также сервером DHCP, что позволяет автоматически распределять IP-адреса для всех компьютеров внутренней сети. DI-804V выполняет функции Интернет-шлюза, предоставляя доступ в Интернет всем сотрудникам офиса, используя одно подключение к провайдеру через Ethernet WAN порт или подключенный к нему кабельный/DSL модем.

DI-804HV обеспечивает защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведет протокол попыток хакерских атак типа отказ в обслуживании. SPI проверяет заголовки всех входящих пакетов, прежде чем разрешить прохождение пакета. Устройство обеспечивает обнаружение атак следующих типов: Syn flood, ICMP flood, UDP flood, «ping of death», IP spoofing, land, tear drop, Win Nuke,

Рисунок 2 - Структура защиты локальных сетей, связанных через Интернет без прокси-серверов

Маршрутизаторы имеют следующие настройки.

LAN 1:

LAN 2:

WAN IP 20.0.0.10

WAN IP 15.0.0.10

WAN Mask 255.255.255.0

WAN Mask 255.255.255.0

WAN gateway 20.0.0.20

WAN gateway 15.0.0.20

LAN IP 192.168.1.1

LAN IP 192.168.0.1

LAN Mask 255.255.255.0

LAN Mask 255.255.255.0

Шаг 1. Настройка WAN (внешнего IP) и LAN (внутреннего IP маршрутизатора).

Так как внутренний IP-адрес DI-804HV по умолчанию 192.168.0.1, то компьютеру, с которого конфигурируется DI-804HV, нужно назначить IP- адрес типа 192.168.0.х. Это делается следующей цепочкой действий. Нажимаем «Пуск», в выпадающем окне выбираем «Сетевое окружение»

В появившемся окне в «Сетевые задачи» выбираем пункт «Отобразить сетевые подключения». В открывшемся списке существующих сетевых подключений выбираем «Подключение по локальной сети», использующее адаптер Ethernet. Щелкаем правой кнопкой мыши и в контекстном меню выбираем «Свойства»

В списке протоколов и сетевых служб выбираем «Протокол Интернета (TCP/IP)», жмем кнопку «Свойства»

Устанавливаем IP-адрес 20.0.0.10 (внутренний адрес станции), маску подсети 255.255.255.0, основной шлюз - 192.168.0.1 (внутренний адрес маршрутизатора)

По окончании ввода нажимаем кнопку OK и закрываем свойства сетевого подключения.

Запускаем браузер, отключам использование прокси-сервера (В Mozilla Firefox - рисунок 3: Инструменты - Настройки - вкладка «Дополнительные» - вкладка «Сеть» - Настройка параметров доступа в Интернет - кнопка «Настроить»). В адресной строке набираем внутренний адрес маршрутизатора - 192.168.0.1.

Рисунок 3 - Отключение использования браузером прокси-сервера

В окне авторизации в поле логин вводим - «Admin», поле пароля оставляем пустым.

На вкладке Home выбираем статический IP-адрес (Static IP Address). Указываем внешний IP маршрутизатора (WAN IP Address) 15.0.0.10, маску подсети (WAN Subnet Mask) 255.255.255.0, шлюз по умолчанию (WAN Gateway) 15.0.0.20, первичный (Primary DNS) 20.0.0.31 и вторичный DNS (Secondary DNS) 20.0.0.32 (рисунок 4).

Рисунок 4 - Настройка WAN

5. Задаём внутренний IP-адрес маршрутизатора (LAN IP Address) 192.168.0.1, соответствующую маску подсети (LAN Mask) 255.255.255.0

1. В маршрутизаторе DI-804HV возможно два метода настройки VPN: IKE (Internet Key Exchange - стандартный протокол IPsec) и Manual. Настройку VPN проводим используя IKE. Напротив ID1 в поле «Tunnel Name» вписываем название туннеля, в выпадающем меню «Method» выбираем IKE, нажимаем кнопку «More» (рисунок 11).

2. В окне, необходимо задать: адрес локальной подсети (Local Subnet), маску локальной подсети (Local Netmask), адрес удалённой подсети (Remote Subnet), маску удалённой подсети (Remote Netmask). В поле «Remote Gateway» задаём внешний IP-адрес удалённого VPN маршрутизатора. В поле «Preshare Key» - задаём первичный ключ, который будет использоваться механизмом IKE для организации VPN-туннеля. Этот ключ должен быть одинаковым на обоих концах VPN-туннеля.

3. Нажимаем на кнопку «Select IKE Proposal …» и попадаем в меню Set IKE Proposal. Заполняем соответствующие поля, как показано на рисунке 13. Выбираем в выпадающем меню «Proposal ID» -- «1» и нажимаем кнопку «Add to». Далее «Apply».

4. Теперь заходим в меню «Set IPSEC Proposal». Заполняем соответствующие поля. Выбираем в выпадающем меню «Proposal ID» -- «1» и нажимаем кнопку «Add to». Далее «Apply».

5. По окончании настройки перезагружаем маршрутизатор нажатием на кнопку «Restart».

Шаг 3. Настройка второго маршрутизатора DI-804HV.

1. Настройки «IKE Proposal» и «IPSEC Proposal» у обоих маршрутизаторов совершенно идентичны. Настройки VPN-туннеля у второго маршрутизатора немного отличаются

Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую посредством команды ping (Пуск - Выполнить - cmd.exe - ping 192.168.0.10).

Рисунок 5 - Результаты выполнения команды ping

Туннель устанавливается за несколько секунд, и после этого пакеты icmp, как и весь остальной трафик между сетями, направляются именно по тоннелю IPSec. Как видно на рисунке 5, наличие между хостами VPN-туннеля, проходящего через Интернет, остаётся совершенно незамеченным для утилиты ping. Более того, оно будет незаметно и для всех других сетевых приложений и служб.

Установка ограничения на доступ к ресурсам открытого Интернета

Для запрета Интернет-трафика необходимо создать политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS. Изображения диалоговых окон и последовательность действий будет показана ниже на примере использования ОС Windows XP.

Открываем консоль MMC (Пуск - Выполнить - mmc).

Рисунок 6 - Добавление оснастки

В меню выбираем команду «Консоль», затем «Добавить или удалить оснастку»

В открывшемся диалоге также щелкаем «Добавить», выбираем из открывшегося списка «Управление политикой безопасности IP»

В появившемся диалоге выбора компьютера указываем «Локальный компьютер». Последовательно закрываем окна, нажимая кнопки «Готово», «Закрыть», «ОК». Теперь в левой панели консоли у нас появится узел «Политики безопасности IP на «Локальный компьютер». Делаем на нем щелчок правой кнопкой мыши и выберем команду «Управление списками IP-фильтра»

В открывшемся диалоге нажимаем кнопку «Добавить». Откроется еще одно окно - «Список фильтров». Пока он пуст. Для того, чтобы в дальнейшем было проще ориентироваться в списках фильтров, зададим название для нового фильтра, напечатав в поле «Имя», например, «HTTP, HTTPS». Нажимаем кнопку «Добавить», чтобы приступить к собственно созданию фильтра.

Если не снять флажок «Использовать мастер», процесс создания будет сопровожден мастером создания фильтра

Пропускаем его первую страницу, нажимая «Далее». На второй странице можно указать описание фильтра. Чтобы не запутаться - один фильтр может состоять из множества других. Так как мы указали на предыдущем шаге в описании «HTTP, HTTPS», сейчас мы последовательно создадим два фильтра - один для HTTP, другой для HTTPS. Результирующий фильтр будет объединять эти два фильтра. Итак, указываем в поле описания HTTP. Флажок «Отраженный» оставляем включенным - это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем «Далее».

Теперь необходимо указать адрес источника IP-пакетов.Возможность выбора адреса довольно широка. Сейчас мы укажем «Мой IP-адрес» и нажимаем «Далее». В следующем окне задаем адрес назначения. Выбираем «Любой IP-адрес», нажимаем «Далее». Теперь следует указать тип протокола. Выберите из списка «TCP». Идем дальше - задаем номера портов

Верхний переключатель оставляем в положении «Пакеты из любого порта», а в нижнем включаем режим «Пакеты на этот порт» и в поле вводим значение HTTP-порта - 80. Нажимаем «Готово», закрывая мастер.

В нижнем окне списка появится наш новоиспеченный фильтр. Теперь еще раз нажимаем кнопку «Добавить» и проделываем все предыдущие операции еще раз, но уже указав значение порта 443 (для HTTPS). В списке нижнего окна должны находиться оба созданных правила фильтрации пакетов.

Нажимаем кнопку «ОК». Фильтр наш готов, но необходимо теперь определить действия, которые он будет производить. Переключаемся на закладку «Управление действиями фильтра» и нажимаем кнопку «Добавить». Снова откроется диалог мастера, нажимаем «Далее». Указываем имя, например «Block», идем дальше. В качестве действия выбираем переключатель «Блокировать», нажимаем «Далее» и «Готово». Фильтр создан, действие для него определено, нам осталось лишь создать политику и назначить ее. В окне консоли MMC щелкаем правой кнопкой мыши узел «Политики безопасности IP» и выбираем команду «Создать политику безопасности IP»

В открывшемся окне мастера нажимаем «Далее», затем указываем имя для политики, например, «Block Web», нажимаем «Далее». Снимаем флажок «Использовать правило по умолчанию», щелкаем «Далее» и «Готово». В окне свойств политики нажимаем кнопку «Добавить»

Нажимаем «Далее», оставляем переключатель в положении «Это правило не определяет туннель», идем дальше. Тип сети - указываем «Все сетевые подключения», нажимаем «Далее». Теперь необходимо выбрать фильтр из списка.

Выбираем созданный нами фильтр HTTP, HTTPS (слева должна появиться точка в кружке), щелкаем кнопку «Далее». Таким же образом выбираем действие для фильтра - «Block Web», щелкаем «Далее» и «Готово».

Теперь в правой панели консоли MMC появится созданная политика с именем BlockWeb. Все, что осталось сделать - назначить ее. Для этого выполняем правый щелчок мышью на названии и выбираем команду «Назначить»

Для проверки осталось запустить браузер.

Если все было сделано правильно, картина должна быть такой, как на рисунке 7.

Рисунок 7 - Результат назначения политики безопасности

Для разрешения подключения к некоторым узлам Интернет в консоли MMC дважды щелкаем название политики BlockWeb. В окне свойств нажимаем кнопку «Добавить», затем двойным щелчком выбираем фильтр «HTTP, HTTPS», жмем «Изменить». На вкладке «Список фильтров» нажимаем кнопку «Добавить». Указываем имя для нового фильтра, например, mail.ru, жмем «Добавить», Далее, в качестве источника пакетов оставляем «Мой IP-адрес», щелкаем кнопку «Далее». В качестве адреса назначения выберем строку «Определенное DNS-имя», а в поле Имя узла введем «www.mail.ru». Нажимаем «Далее». Появится предупреждение о том, что в фильтре вместо DNS-имени www.mail.ru будет использован IP-адрес 83.222.31.146

Соглашаемся, нажав кнопку «Да», затем указываем тип протокола - «TCP», выбираем переключатель «На этот порт» и указываем его номер - 80. Жмем «Далее», «Готово» и «ОК». Теперь определяем действие фильтра - переходим на одноименную закладку и выбираем параметр «Разрешить».

Теперь фильтр состоит из двух фильтров - один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом.

Этот пример также и показывает одно из существенных отличий между применением «нормального» межсетевого экрана и фильтрации с помощью IPSec: использование IPSec не позволяет задать порядок следования или приоритет фильтра. Впрочем, работать он все равно будет. Осталось закрыть все диалоговые окна и проверить это.

Рисунок 8 - Результат назначения политики безопасности

Теперь, при переходе на www.mail.ru (и только него!) браузер должен отобразить содержание этого узла. Обратите внимание, что ресурсы, расположенные на другом хосте (например, рекламные баннеры), не отображаются - они также фильтруются примененной политикой IPSec.

Подобным образом можно создать собственные необходимые фильтры и применить их.

виртуальный туннелирование защита фильтр

Заключение

Технология виртуальных частных сетей VPN позволяет эффективно решать задачи, связанные с циркуляцией конфиденциальной информации по каналам связи. Она обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), «проложенного» в общедоступной сети Internet.

В связи с этим такие технологии, как VPN, должны в дальнейшем активно развиваться, совершенствоваться и приобретать все более массовый характер.

В курсовом проекте для построения защиты нескольких локальных сетей, связанных через Internet без Proxy-серверов были выполнены следующие шаги:

- построена структура незащищенной системы;

- сформулированы требования к защите;

- изучены и рассмотрены варианты реализации виртуальных частных сетей;

- выбран и практически осуществлен один из вариантов.

Работа над проектом позволила приобрести практический опыт в построении защищенных автоматизированных систем, систематизировать полученные в процессе обучения знания. Кроме того, в дальнейшем планируется внедрение разработанного проекта.

Список используемой литературы

1. Андрончик А.Н.. Защита информации в компьютерных сетях. Практический курс: учебное пособие [Текст] / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский, А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков; под ред. Н.И. Синадского - Екатеринбург: УГТУ-УПИ, 2008. - 248 с.

2. Биячуев Т.А. Безопасность корпоративных сетей [Текст] / Т.А. Биячуев: под ред. Л.Г.Осовецкого - СПб: СПб ГУ ИТМО. - 2004. - 161 с.

3. Браун С. Виртуальные частные сети: пер. с англ. [Текст] / Стивен Браун: пер. О. Труфанов. - М.: Издательство «Лори», 2001.

4. Зима В.M. Безопасность глобальных сетевых технологий [Текст] / В. М. Зима, А.А. Молдовян, Н.А. Молдовян. - СПб.: БХВ-Петербург. - 2000. - 320 с.: ил.

5. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов [Текст] / В.Г. Олифер, Н.А. Олифер. - СПб.: Питер, 2010. - 944 с.: ил.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.