МІНІСТЕРСТВО ОСВІТИ І НАУКИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
/
З В І Т
до лабораторної роботи №13
з курсу «Безпека інформації в інформаційно-комунікаційних системах»
на тему:
«Основи організації VPN в ОС «Windows»
Мета роботи: ознайомлення з інструментальними та засобами створення сервісу VPN на комп’ютері з операційною сімейства Windows. Перевірити теритичні знання та використати їх на практиці.
/
PPTPСпецифікація PPTP розроблялася консорціумом, заснованим Microsoft для організації VPN в dial-up. Тому PPTP довгий час залишався стандартом для корпоративних мереж. З цієї ж причини він використовує протокол шифрування Microsoft Point-to-Point Encryption (MPPE).Йде «за замовчуванням» на будь-який VPN-сумісної платформі і легко налаштовується без додаткового програмного забезпечення. Ще одна перевага PPTP - високу швидкодію. Але на жаль, PPTP недостатньо безпечний. З моменту включення протоколу до складу Windows 95 OSR2 в кінці дев'яностих, розкрилися кілька вразливостей.Найсерйозніша - це можливість неінкапсулірованние аутентифікації MS-CHAP v2. Цей експлойт дозволив зламати PPTP за два дні. Microsoft «залатали» дірку, перейшовши на протокол аутентифікації PEAP, але потім самі запропонували використовувати VPN-протоколи L2TP / IPsec або SSTP. Ще один момент - PPTP-підключення легко заблокувати, тому що протокол працює з одним портом номер 1723 і використовує GRE-протокол.Коли VPN-тунель встановлено, PPTP підтримує два типи повідомлень, що передаються: це контрольні повідомлення для підтримки і відключення VPN-з'єднання, а також самі пакети даних.
L2TP і IPsec
Layer 2 Tunneling Protocol, або L2TP, також представлений практично у всіх сучасних операційних системах і працює з усіма пристроями, здатними «сприймати» VPN.
L2TP не вміє шифрувати проходить через нього трафік, тому його часто використовують в зв'язці з IPsec. Однак це призводить до появи негативного ефекту - в L2TP / IPsec відбувається подвійна інкапсуляція даних, що негативно позначається на продуктивності. Також L2TP використовує п'ятисотий UDP-порт, який легко блокується файрволом, якщо ви перебуваєте за NAT.
L2TP / IPsec вміє працювати з шифрами 3DES або AES. Перший вразливий для атак типу meet-in-the-middle і sweet32, тому сьогодні рідко зустрічається на практиці. При роботі з AES-шифром про великих вразливості невідомо, тому в теорії цей протокол повинен бути безпечний (при правильній реалізації). Однак Джон Гілмор (John Gilmore), засновник Electronic Frontier Foundation, вказав в своєму пості, що IPSec міг бути спеціальним чином ослаблений.
Найбільш серйозна проблема з L2TP / IPsec полягає в тому, що багато VPN-сервіси реалізують його недостатньо добре. Вони використовують pre-shared keys (PSK), які можна завантажити з сайту. PSK потрібні для установки з'єднання, тому навіть якщо дані виявляються скомпрометовані, вони залишаються під захистом AES. Але атакуючий може використовувати PSK, щоб видати себе за VPN-сервер і потім підслухати зашифрований трафік (навіть инжектировать шкідливий код).
SSTP
Secure Socket Tunneling Protocol, або SSTP, - це VPN-протокол, який розробляла компанія Microsoft. Він ґрунтується на SSL і вперше запущений в Windows Vista SP1. Сьогодні протокол доступний для таких ОС, як RouterOS, Linux, SEIL і Mac OS X, однак основне застосування він все одно знаходить на платформі Windows. SSTP - пропріетарний стандарт, що належить Microsoft, і його код недоступний для публічного огляду.
Сам SSTP не має криптографічного функціоналу за винятком однієї функції - мова йде про криптографическом зв'язуванні (cryptographic binding), що захищає від атаки MITM. Шифрування же даних виконує SSL. Опис процедури встановлення VPN-з'єднання можна знайти на сайті Microsoft.
Тісна інтеграція з Windows спрощує роботу з протоколом і підвищує його стабільність на цій платформі. Однак SSTP використовує SSL 3.0, який вразливий для атаки POODLE, що в теорії позначається на захищеності VPN-протоколу.
OpenVPN
OpenVPN - це відкритий ...