Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Захишених мереж
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
Не вказано
Кафедра:
Кафедра електронні обчислювальні машини
Інформація про роботу
Рік:
2013
Тип роботи:
Дипломна робота
Предмет:
Алгоритми і програмне забезпечення спеціальних комп'ютерних систем
Частина тексту файла (без зображень, графіків і формул):
Міністерство освіти і науки, молоді та спорту України
Національний університет «Львівська політехніка»
Методи побудови віртуальних захищених мереж
Бакалаврська робота
напряму 6.050102 "Комп'ютерна інженерія"
освітньо-кваліфікаційний рівень – бакалавр
Кафедра “Електронні обчислювальні машини”
Науковий керівник
_____________________________
/Підпис студента/ /Підпис наукового керівника/
ЛЬВІВ – 2013
АНОТАЦІЯ
. Методи побудови віртуальних захищених мереж:
Бакалаврська робота: ( 6.050102 "Комп'ютерна інженерія") / Національний університет «Львівська політехніка». Кафедра “Електронні обчислювальні машини”; Наук. керів.:. –Ль.,2013. – 58 с.
У роботі розглядається віддалений доступ абонентів мережі передачі даних по каналам VPN з шифруванням.
Метою дипломної роботи є дослідження захищеного віддаленого доступу абонентів мережі передачі даних основаного на технології VPN та практична реалізація VPN серверу.
Розроблений, у результаті виконання дипломної роботи VPN сервер повністю задовольняє вимогам по реалізації захищеного віддаленого зв’язку в мережі передачі даних.
ВІДДАЛЕНИЙ ДОСТУП, ПЕРЕДАЧА ДАНИХ, ТУНЕЛЮВАННЯ
ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ
AH (Authentication Header) – ідентифікаційний заголовок
ATM (Asynchronous Transfer Mode) – асинхронний спосіб передачі даних
CHAP (Challenge Handshake Authentication Protocol) —алгоритм перевірки автентифікації
DES (Data Encryption Standard) — симетричний алгоритм шифрування даних
DSS (Digital Signature Standard) —стандарт для генерації цифрового підпису
EAP (Extensible Authentication Protocol) - розширюваний протокол автентифікації
ESP (Encapsulating Security Payload) - протокол шифрування мережевого трафіку
GRE (Generic Routing Encapsulation) — протокол тунелювання мережевих пакетів
IETF (Internet Engineering Task Force) — відкрите міжнародне співтовариство, яке займається розвитком протоколів і архітектури Інтернету.
IP (Internet Protocol) — мережевий протокол
IPComp (IP Payload Compression Protocol) - протокол стиснення даних IP
IPv4 (Internet Protocol version 4) — четверта версія IP-протокола
IPv6 (Internet Protocol version 6) — шоста версія IP-протокола
IPSec (IP Security) — набір протоколів для забезпечення захисту даних
L2F (Layer 2 Forwarding) - Протокол естафетної передачі другого рівня
L2TP (Layer 2 Tunneling Protocol — протокол тунелювання другого рівня
MD5 (Message Digest 5) — 128-бітний алгоритм хеширування
MPPE (Microsoft Point-to-Point Encryption) — протокол шифрування даних, використовуємий поверх з’єднань PPP
MPLS (Multiprotocol Label Switching) — багатопротокольна комутація за мітками
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — протокол Microsoft для автентифікації віддалених робочих станцій
NAP (Network Access Protection) - захист доступу до мережі
OSI (Open Systems Interconnection Reference Model) - модель взаємодії відкритих систем
PAP (Password Authentication Protocol) — протокол простої перевірки автентифікації
PPP (Point-to-Point Protocol) — двухточечний протокол канального рівня
PPPoE (Point-to-point protocol over Ethernet) - протокол передачі кадрів PPP через Ethernet
PPTP (Point-to-Point Tunneling Protocol) — тунельний протокол типу точка-точка
RSA (Rivest, Shamir, Adleman) — криптографічна система з відкритим ключем
SA (Security Association) - асоціації безпеки
SPI (Security Parameters Index) - індекс параметрів безпеки
TCP/IP (Transmission Control Protocol / Internet Protocol)- набір міжмережевих протоколів керування передачею даних
UDP (User Datagram Protocol) - протокол дейтаграм користувача
ЗМІСТ
ВСТУП
Розділ 1.ЗАГАЛЬНА ХАРАКТЕРИСТИКИ ЗАХИЩЕНИХ МЕРЕЖ.................9
1.1 Поняття віртуальних захищених мереж............................................................9
1.2 Класифікація віртуальних захисних мереж.....................................................9
1.2.1 Технологія ATM ...............................................................................................9
1.2.2 Технологія Frame Relay.......................................................................................................13
1.2.3 Технологія VPN..................................................................................................14
Висновок Розділ 1
Розділ 2. Технологія віртуальних захисних мереж як інструменту захисту інформації у комп’ютерних мережах..........................................18
2.1 Класифікація віртуальна (захищена) приватна мережа VPN......................18
2.1.1 За типом використовуваного середовища......................18
2.1.2 За способом реалізації ...............................................18
2.1.3 За призначенням..........................................................19
2.1.4 За типом протоколу .....................................................19
2.1.5 За рівнем мережевого протоколу...................................19
2.2 Концепція побудови віртуальних захищених мереж........20
2.2.1 VPN на базі брандмауерів............................................................... .............20
2.2.2 VPN на базі маршрутизаторів.......................................................................20
2.2.3 VPN на базі програмного забезпечення.......................................................21
2.2.4 VPN на базі апаратних засобів......................................................................22
2.2.5 VPN на базі мережевої ОС............................................................................22
2.3 Безпека інформаційних мереж на основі VPN та способи за допомогою яких вона досягається.............................................................................................23
2.3.1 Тунелювання...............................................................23
2.3.2 Аутентифікація...............................................................................................23
2.3.3Шифрування.................................................................24
2.4 Протоколи реализації віддаленого доступу на основі віртуальних захищених мереж ....................................................................................................25
2.4.1 Протоколи VPN по рівням мережевої моделі OSI......................................25
Висновок Розділ 2
Розділ 3. РОЗРОБКА І РЕАЛІЗАЦІЯ ЗАХИЩЕНОЇ МЕРЕЖІ ЗА ДОПОМОГОЮ КАНАЛІВ VPN............................................................................36
3.2 Настройка VPN серверу....................................................................................36
Висновок Розділ 3
Розділ 4 Економічна частина . ..............................................................................44
Висновок Розділ 4
ЗАКЛЮЧЕННЯ
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
ДОДАТКИ
Вступ
В сучасну еру високих технологій велика кількість інформації зберігається в електронному вигляді. Методів захисту, які використовуються в наш, час велика кількість, але для того, щоб уникнути несанкціонованого доступу до конфіденційної інформації або мінімізувати ризик успішних атак, необхідно знайти найефективніший варіант поєднання цих методів. При цьому слід врахувати вартість проекту, щоб вона відповідала цінності даних.
Захищеною віртуальною мережею називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.
Віртуальна Захищена мережа, це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією. дозволяє об'єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів.
Метою та завданням роботи є вивчення технології Віртуальних захищених мереж з метою удосконалення захисту інформації у комп’ютерних мережах.
Для досягнення мети були сформовані наступні завдання:
• визначити основні властивості технології захищених мереж щодо захисту інформації у комп’ютерних захищених мереж ;
• розглянути та дослідити особливості технології ;
• порівняти можливості основних видів технології віртуальних захищених мереж
Об’єктом дослідження є захист інформації у комп’ютерних мережах за допомогою технології захищених мереж.
Предметом дослідження є методи побудови віртуальних захищених мереж.
Методи дослідження: в роботі загальні методи та принципи, що визначаються дисциплінарною специфікою обраної теми. Методологічну основу роботи складають: аналітичний, системний та порівняльний метод.
Структура роботи: робота складається зі вступу, трьох розділів, висновків, списку використаних джерел.
РОЗДІЛ 1. Загальна характеристика віртуальних захисних мереж.
Поняття віртуальних захисних мереж.
Інтенсивний розвиток нових інформаційних технологій в сімдесяті роки привів до бурхливого розвитку мікропроцесорної техніки, яка стимулювала розвиток цифрових методів передачі голосу і даних, що кінець кінцем привело до створення нових високошвидкісних технологій глобальних мереж: ATM, Frame Relay, VPN.
1.2 Класифікація віртуальних захисних мереж.
віртуальних захищених мереж рішення та основни параметри:
1.2.1 Технологія ATM
ATM - це метод передачі інформації між пристроями в мережі маленькими пакетами фіксованої довжини, названими осередками (cells). Фіксація розмірів осередку має ряд істотних переваг у порівнянні з пакетами перемінної довжини.
По-перше, осередку фіксованої довжини вимагають мінімальної обробки при операціях маршрутизації в комутаторах. Це дозволяє максимально спростити схемні рішення комутаторів при високих швидкостях комутації.
По-друге, усі види обробки осередків у порівнянні з обробкою пакетів перемінної довжини значно простіше, тому що відпадає необхідність в обчисленні довжини осередку .
По-третє, у випадку застосування пакетів перемінної довжини передача довгого пакета даних могла б викликати затримку видачі в лінію пакетів з мовою або відео, що привело б до їхнього перекручування.
Модель АТМ запозичила чотири верхніх рівні еталонної моделі OSI без змін. Але, починаючи з мережевого рівня і нижче, у моделі АТМ використовується дещо інший підхід до поділу рівнів. На рис. 1.2 .1 показано спрощену схему трьох нижніх рівнів моделі АТМ, які відповідають фізичному, канальному і мережевому рівням моделі OSI.
/
Рис. 1.2.1 Три нижні рівні моделі АТМ
Як видно з рис. 1.2.1, обробка інформації користувачем відокремлена від процесів обробки службової інформації. Ще однією характерною рисою технології АТМ є відсутність чіткої межі між рівнем адаптації АТМ і рівнем АТМ.
Комірки АТМ
У технології АТМ для передачі даних і службової інформації використовуються невеликі (53 байти) пакети фіксованої довжини, які називаються комірками (cells). При фіксованому розмірі комірки відрізняються за сферою використання, маючи у кожному конкретному випадку унікальний формат.
Існує два різних формати комірок: один для UNI, другий — для NNI. Відмінність між цими форматами полягає у тому, що 4 біти керування потоком (GFC — Generic Flow Control) у заголовку комірки UNI в інтерфейсі NNI застосовуються для ідентифікації віртуального з’єднання.
Комірки UNI-формату використовуються для взаємодії абонентів, при формуванні запиту на встановлення з’єднання від відправника до комутатора і для обробки трафіка, який спрямовується через установлене з’єднання. Заголовок комірки формату UNI.
Він містить такі поля.
*GFC (Generic Flow Control). Поле загального керування потоком. Ці 4 біти мають значення тільки при взаємодії кінцевого пристрою із сусіднім комутатором АТМ і використовуються для контролю навантаження на з’єднання
*VPI (Virtual Path Identifier). Ідентифікатор віртуального шляху
*VCI (Virtual Channel Identifier). Ідентифікатор віртуального каналу
*РТ (Payload Type). Ці три біти передають вміст комірки: користувацькі дані, інформація для керування трафіком або дані формату інформаційного потоку ОАМ — протоколу керування потоками інформації про експлуатацію і технічне обслуговування .
*CLP (Cell Loss Priority). Пріоритет втрати комірки. Це поле складається з одного біта, який указує, чи можуть комутатори відкинути цю комірку (CLP = 1), чи мають ретранслювати її далі (CLP = 0) як таку, що має високий пріоритет. Це поле визначає прийнятний рівень втрати комірок. Комірки з полем CLP = 1 можна розглядати як «порушників угоди» щодо якості обслуговування. Це поле також показує, які комірки можуть бути видалені за перевантаження мережі
*НЕС (Header Error Control). Використовується на фізичному рівні АТМ для виявлення та виправлення бітових помилок у заголовку комірки. Без такого захисту можливе порушення адресації, унаслідок чого комірки можуть бути перенаправлені іншому одержувачеві і вміщені у кадр, що ним збирається.
Віртуальні канали і віртуальні шляхи
Для передачі даних між двома вузлами АТМ потрібно встановити віртуальне з’єднання.
Віртуальний канал — це односпрямоване з’єднання для передачі комірок із єдиним ідентифікатором. Створюваний віртуальний канал одержує ідентифікатор віртуального каналу (VCI — Virtual Channel Identifier), який використовується пристроєм, що бере участь у процесі передачі даних, для визначення напрямку комутації комірок цього віртуального каналу.
Віртуальний шлях (VP — Virtual Path) — це шлях, що об’єднує групу односпрямованих віртуальних каналів, які мають ідентифікатор віртуального шляху. Такі віртуальні канали характеризуються схожими вимогами до мережі, але можуть працювати з різними абонентами. Як і віртуальні канали, віртуальні шляхи мають певний ідентифікатор, що називається ідентифікатором віртуального шляху.
при з’єднанні через віртуальний канал користуються поняттям ланки віртуального каналу (VCL — Virtual Channel Link), під яким розуміють канали зв’язку між двома суміжними комутаторами. Відтак, з’єднанням через віртуальний канал називається послідовність ланок віртуальних каналів.
З’єднання через віртуальний канал має такі характерні особливості:
створюється й закривається функціями верхніх рівнів;
підтримує якість обслуговування;
може бути як комутованим, так і постійним;
отримання комірок відбувається у порядку їх передачі;
підтримує двоспрямований і односпрямований потік даних;
резервує певні значення VCI для деяких специфічних функцій;
пропускна здатність може бути різною у будь-яких напрямках обміну.
Проміжок між точками, в яких відбувається призначення й перетворення ідентифікаторів віртуальних шляхів, називається ланкою віртуального шляху (VPL — Virtual Path Link). Відповідно, послідовність ланок віртуальних шляхів називається з’єднанням віртуальних шляхів (VPC — Virtual Path Connection), яке має приблизно такі самі характерні особливості, що і VCC.
1.2.2 Технологія Frame Relay
Основна відмінність мереж Frame Relay від мереж Х.25 полягає в тому, що в них виключена корекція помилок між вузлами мережі. Задачі відновлення потоку інформації покладаються на кінцеве устаткування і програмне забезпечення користувачів, що потребує використання досить якісних каналів зв’язку. Другою відмінністю мереж Frame Relay є те, що сьогодні практично в усіх подібних мережах реалізовано тільки механізм постійних віртуальних каналів (PVC). Це означає, що підключаючись до таких мереж користувачу необхідно заздалегідь визначити, до яких саме вилучених ресурсів він буде мати доступ.
А технологія Frame Relay визначає два типи віртуальних каналів – постійні PVC і комутуючі SVC. Це відповідає потребам користувача, так як для з’єднання по яким трафік передається майже завжди більше підходять постійні канали, а для з’єднання потребуючого лише декілька годин в місяць – комутуючі. Frame Relay забезпечує можливість передачі даних з комутацією пакетів через інтерфейс між пристроями користувача DTE (наприклад, маршрутизаторами, мостами) і встаткуванням мережі DCE (перемикаючими вузлами).
Стандарти Frame Relay визначають два типи віртуальних каналів:
PVC, (Permanent Virtual Circuit) постійний віртуальний канал, що створюється між двома обэктами і існує протягом тривалого часу, навіть під час відсутності даних для передачі.
SVC (Switched Virtual Circuit) - віртуальний канал, що комутує, створюється між двома обэктакми безпосередньо перед передачею даних і розривається після закінчення сеансу зв'язку.
Структура мережі Frame Relay
Протокол ретрансляції фреймів забезпечує пакетно-комутуючий обмін даними, який проходить по інтерфейсу між пристроями користувача (такими як маршрутизатори, мости і хости) і мережевим обладнанням (такими як комутуючі вузли).
Як було сказано раніше, пристрої користувача називають (Data Terminal Equipment, DTE ), а мережеве обладнання, взаємодіюче з DTE, називається завершеним обладнанням канала даних (Data Circuit-Terminating Equipment, DCE)
VC, ідентифікація VC
Кожне з’єднання PVC і SVC ідентифікується за допомогою ідентифікатора каналу передачі даних (Data-Link Control Identifier , DLCI). DLCI схожий на телефонний номер. Різниця полягає в тому, що сфера його дії обмежується тільки локальною ділянкою мережі. Завдяки цьому різні маршрутизатори в мережі можуть повторно використовувати той самий DLCI, що дозволяє мережі підтримувати велику кількість віртуальних каналів.
1.2.3 Технологія VPN
Віртуальна приватна мережа - це зашифрований або інкапсульований процес комунікації, який безпечним чином передає дані з однієї точки в іншу; безпека цих даних забезпечена стійкою технологією шифрування, і передані дані проходять через відкриту, незахищену, маршрутизуєму мережу.
У цьому визначенні кілька важливих моментів:
• VPN є зашифрованим або інкапсульованим комунікаційним процесом;
• комунікація між вузлами зашифрована що гарантує безпеку і цілісність даних;
• дані проходять через відкриту, незахищену, маршрутизуєму мережу.
VPN можна уявити і як процес відправлення зашифрованих даних з однієї точки в іншу через Інтернет.
Чудовою властивістю технології VPN є її масштабність. У міру того як провайдери мережевих послуг збільшують смугу пропускання на своїх магістралях, VPN теж можуть рости, щоб користуватися цією смугою. Так як VPN не залежать від платформи і не спираються на певну операційну систему, майже будь-який пристрій в компанії може функціонувати або як клієнт VPN, або як сервер. VPN також нададуть простір для власного зростання, більшість пристроїв VPN зможуть керувати будь-якими службами, розміщеними на них. Вони дозволять за запитом створювати тунелі або наскрізну передачу з шифруванням. З'являється можливість створювати тунелі до інших вузлів, наприклад тунель між корпоративним центральним офісом і основними офісами збуту, а пізніше додаткові тунелі для інших офісів.
VPN повинні забезпечувати:
*Aвтентифікацію користувачів. Розв’язання повинні перевіряти ідентичність користувача і обмежувати VPN-доступ тільки до авторизованих користувачів. Крім того, повинен забезпечуватися аудит і облік записів, які показують, хто і коли мав доступ до певної інформації.
*Управління адресами. Розв’язання повинні призначати адреси клієнтам у приватній мережі та мусять дбати про те, щоб ці адреси були таємними.
*Шифрування даних. Дані, які переносяться через публічні мережі, мусить бути захищені від читання неавторизованими клієнтами мережі.
*Управління ключами. Розв’язання повинні генерувати та оновлювати ключі шифування для клієнта і для сервера.
*Багатопротокольну підтримку. Розв’язання повинні бути здатні обслуговувати поширені протоколи, які вживаються у публічних мережах. Це включає протоколи IP, IPX і тому подібні.
Для Internet розв’язання VPN базуються на тунельному протоколі “пункт-пункт” (Point-to-Point Tunneling Protocol – PPTP) або на тунельному протоколі Рівня 2 (Layer 2 Tunneling Protocol- L2TP), які відповідають всім цим основним вимогам і широко доступні в Internet. Інші розв’язання, включно з новим захищеним протоколом IP (IP Security Protocol – IPSec), відповідають тільки деяким із цих вимог, однак можуть вживатися в особливих ситуаціях.
Висновки до розділу 1
Підводячи підсумки визначення віртуальних мереж та захисту цього розділу, можна зробити висновок, що – VPN (VirtualPrivateNetwork - віртуальна (захищена) приватна мережа) технологія дозволяє один або кілька мережевих з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет). Незважаючи на те, що повідомлення здійснюється мережах з меншою впевненістю невідомо (наприклад, системи), рівень довіри до побудованої логічної мережі не залежить від рівня довіри до основних мереж з використання криптографії (шифрування, аутентифікації, інфраструктури відкритих ключів, інструментів для захисту від повторів і зміни до повідомлень, переданим логічну мережу). Безпеки мережі VPN краще, ніж безпека ATM і мережі Frame Relay.
Розділ 2. Технологія віртуальних захищених мереж як інструменту захисту інформації у комп’ютерних мережах .
2.1 Класифікація віртуальна (захищена) приватна мережа VPN.
віртуальних (захищених) приватний мереж рішення та основни параметри:
2.1.1 За типом використовуваного середовища:
· Захищені віртуальни мережі. Найбільш поширений варіант приватних мереж. його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
· Довірчі віртуальних захищених мереж. Використовуються у випадках, коли передавальну середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN рішенні є: MPLS та L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2.1.2 За способом реалізації:
· VPN мережі у вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
· VPN мережі у вигляді програмного рішення. Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
· VPN мережі з інтегрованим рішенням. Функціональність VPN забезпечує комплекс, вирішальний також завдання фільтрації мережевого трафіку, організації мережного екрану і забезпечення якості обслуговування.
2.1.3 За призначенням:
· Intranet VPN. Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.
· Remote Access VPN. Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера або, перебуваючи у відрядженні, підключається до корпоративних ресурсів за допомогою ноутбука.
· Extranet VPN. Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо цінної, конфіденційної інформації.
2.1.4 За типом протоколу:
Існують реалізації віртуальних приватних мереж під TCP / IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP / IP, і абсолютна більшість VPN рішень підтримує саме його.
2.1.5 За рівнем мережевого протоколу:
За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO / OSI.
2.2 Концепція побудови віртуальних захищених мереж.
Існують різні варіанти побудови віртуальних захищених мереж VPN.
2.2.1 VPN на базі брандмауерів
Брандмауери більшості виробників підтримують тунелювання і шифрування даних. Всі подібні продукти засновані на тому, що якщо вже трафік проходить через брандмауер, то чому б його заодно не зашифрувати. До програмного забезпечення власне брандмауера додається модуль шифрування. Недоліком даного методу можна назвати залежність продуктивності від апаратного забезпечення, на якому працює брандмауер. При використанні брандмауерів на базі ПК треба пам'ятати, що подібне рішення можна застосовувати тільки для невеликих мереж з невеликим обсягом переданої інформації.
/
Рис 2.2.1 VPN на базі брандмауера
2.2.2 VPN на базі маршрутизаторів
Іншим способом побудови VPN є застосування маршрутизаторів для створення захищених каналів. Так як вся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то доцільно покласти на цей маршрутизатор і завдання шифрування.
Яскравим прикладом обладнання для побудови VPN на маршрутизаторах є обладнання компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3 маршрутизатори Cisco підтримують протоколи L2TP і IPSec. Крім простого шифрування інформації Cisco підтримує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами.
/
Рис 2.2.2 VPN на базі маршрутизаторів
Для побудови VPN Cisco використовує тунелювання з шифруванням будь-якого IP-потоку. При цьому тунель може бути встановлений, грунтуючись на адресах джерела і приймача, номера порту TCP (UDP) і зазначеного якості сервісу (QoS).
2.2.3 VPN на базі програмного забезпечення
тиНаступним підходом до побудови VPN є чисто програмні рішення. При реалізації такого рішення використовується спеціалізоване програмне забезпечення, яке працює на виділеному комп'ютері і в більшості випадків виконує роль proxy-сервера. Комп'ютер з таким програмним забезпеченням може бути розташований за брандмауером.
Як приклад такого рішення можна виступати програмне забезпечення AltaVista Tunnel компанії Digital. При використанні даного ПЗ клієнт підключається до сервера Tunnel, аутентифіковані на ньому і обмінюється ключами. Шифрація проводиться на базі 56 або 128 бітних ключів Rivest-Cipher 4, отриманих в процесі встановлення з'єднання, які змінюються кожні 30 хвилин. Далі, зашифровані пакети інкапсулюються в інші IP-пакети, які в свою чергу відправляються на сервер..
2.2.4 VPN на базі апаратних засобів
Варіант побудови VPN на спеціальних пристроях може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення є продукт cIPro-VPN компанії Radguard.
/
Рис 2.2.4 VPN на базі апаратних засобів
Даний продукт використовує апаратне шифрування переданої інформації, здатне пропускати потік в 100 Мбіт / с. cIPro-VPN підтримує протокол IPSec і механізм управління ключами ISAKMP / Oakley. Крім іншого, даний пристрій підтримує засоби трансляції мережевих адрес і може бути доповнений спеціальної платою, яка додає функції брандмауера.
2.2.5 VPN на базі мережевої ОС
Рішення на базі мережевої ОС ми розглянемо на прикладі системи Windows компанії Microsoft. Для створення VPN Microsoft використовує протокол PPTP, який інтегрований у систему Windows. Дане рішення дуже привабливо для організацій використовують Windows в якості корпоративної операційної системи. У роботі VPN на базі Windows використовується база користувачів, що зберігається на Primary Domain Controller (PDC). При підключенні до PPTP-сервера користувач аутентифікується за протоколами PAP, CHAP або MS-CHAP. Передані пакети інкапсулюються в пакети GRE / PPTP. Для шифрування пакетів використовується нестандартний протокол від Microsoft Point-to-Point Encryption з 40 або 128 бітовим ключем, отриманим в момент встановлення з'єднання.
2.3 Безпека інформаційних мереж на основі VPN та способи за допомогою яких вона досягається
Віртуальна захищена мережа базується на трьох методах, які застосовуються при реалізації заходів безпеки в інформаційних мережах:
• Тунелювання;
• Аутентифікація.
• Шифрування;
2.3.1 Тунелювання
Тунелювання забезпечує передачу даних між двома точками - закінченнями тунелю - таким чином, що для джерела і приймача даних виявляється прихованою вся мережева інфраструктура, що лежить між ними.
Побудови тунелю достатньо для того, щоб з'єднати два мережевих вузла так, що з точки зору працюючого на них програмного забезпечення вони виглядають підключеними до однієї (локальної) мережі. Однак не можна забувати, що насправді «паром» з даними проходить через безліч проміжних вузлів (маршрутизаторів) відкритої публічної мережі.
Такий стан справ таїть в собі дві проблеми. Перша полягає в тому, що передається через тунель інформація може бути перехоплена зловмисниками.
Якщо вона конфіденційна (номери банківських карток, фінансові звіти, відомості особистого характеру), то цілком реальна загроза її компрометації, що вже само по собі неприємно. Гірше того, зловмисники мають можливість модифікувати передаються через тунель дані так, що одержувач не зможе перевірити їх достовірність. Наслідки можуть бути жахливими.Обидві проблеми вирішуються сучасними засобами криптографічного захисту інформації.
2.3.2 Аутентифікація
Забезпечення безпеки є основною функцією VPN. Всі дані від комп'ютерів-клієнтів проходять через Internet до VPN-сервера. Такий сервер може знаходитися на великій відстані від клієнтського комп'ютера, і дані на шляху до мережі організації проходять через обладнання безлічі провайдерів. Як переконатися, що дані не були прочитані або змінені? Для цього застосовуються різні методи аутентифікації і шифрування.
Для аутентифікації користувачів PPTP може задіяти будь-який з протоколів, що застосовуються для PPP
• EAP або Extensible Authentification Protocol;
• MSCHAP або Microsoft Challenge Handshake Authentification Protocol (версії 1 і 2);
• CHAP або Challenge Handshake Authentification Protocol;
• SPAP або Shiva Password Authentification Protocol;
• PAP або Password Authentication Protocol.
Схема запит / відгук набагато більш застосована. В загальному вигляді вона виглядає так:
• клієнт посилає серверу запит (request) на аутентифікацію; • сервер повертає випадковий відгук (challenge);
• клієнт знімає зі свого пароля хеш (хешем називається результат хеш-функції, яка перетворює вхідний масив даних довільної довжини в вихідну бітову рядок фіксованої довжини), шифрує їм відгук і передає його серверу;
• те ж саме проробляє і сервер, порівнюючи отриманий результат з відповіддю клієнта;
• якщо зашифрований відгук збігається, аутентифікація вважається успішною;
На першому етапі аутентифікації клієнтів і серверів VPN, L2TP поверх IPSec використовує локальні сертифікати, отримані від служби сертифікації. Клієнт і сервер обмінюються сертифікатами і створюють захищене з'єднання ESP SA (security association). Після того як L2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, виконується аутентифікація на рівні користувача.
2.3.3Шифрування
Шифрування за допомогою PPTP гарантує, що ніхто не зможе отримати доступ до даних при пересиланні через Internet. В даний час підтримуються два методи шифрування:
• Протокол шифрування MPPE або Microsoft Point-to-Point Encryption сумісний тільки з MSCHAP (версії 1 і 2);
PPTP змінює значення ключа шифрування після кожного прийнятого пакета. При побудові віртуальних мереж через мережі загального доступу цих умов дотримуватися неможливо, так як пакети даних часто приходять до одержувача не в тій послідовності, в якій були відправлені. Тому PPTP використовує для зміни ключа шифрування порядкові номери пакетів. Це дозволяє виконувати дешифрацію незалежно від попередніх прийнятих пакетів.
Таким чином, зв'язка «тунелювання + аутентифікація + шифрування» дозволяє передавати дані між двома точками через мережу загального користування, моделюючи роботу приватної (локальної) мережі.
2.4 Протоколи реализації віддаленого доступу на основі віртуальних захищених мереж
Мережі VPN будуються з використанням протоколів тунелювання даних через мережу зв'язку загального користування Інтернет, причому протоколи тунелювання забезпечують шифрування даних і здійснюють їх наскрізну передачу між користувачами. Як правило, на сьогоднішній день для побудови мереж VPN використовуються протоколи наступних рівнів:
• Канальний рівень
• Мережевий рівень
• Транспортний рівень
2.4.1 Протоколи VPN по рівням мережевої моделі OSI
*Канальний рівень
На канальному рівні можуть використовуватися протоколи тунелювання даних L2TP і PPTP, які використовують авторизацію і аутентифікацію.
•PPTP
В даний час найбільш поширеним протоколом VPN є протокол двухточечного тунельного зв'язку або Point-to-Point Tunnelling Protocol - PPTP.
PPTP використовує існуючі відкриті стандарти TCP / IP і багато в чому покладається на застарілий протокол двухточечного зв'язку РРР. На практиці РРР так і залишається комунікаційним протоколом сеансу з'єднання РРТР. він створює тунель через мережу до сервера одержувача і передає по ньому РРР-пакети віддаленого користувача. Сервер і робоча станція використовують віртуальну приватну мережу і не звертають уваги на те, наскільки безпечною або доступною є глобальна мережа між ними.
РРТР надає компаніям можливість взаємодіяти з існуючими мережевими інфраструктурами і не завдавати шкоди власній системі безпеки. Таким чином, віддалений користувач може підключитися до Інтернету за допомогою місцевого провайдера по аналогової телефонної лінії або каналу ISDN і встановити з'єднання з сервером. При цьому компанії не доводиться витрачати великі суми на організацію та обслуговування пулу модемів, що надає послуги віддаленого доступу.
PPTP інкапсулює пакети IP для передачі по IP-мережі. Клієнти PPTP
використовують порт призначення для створення керуючого тунелем з'єднання. Цей процес відбувається на транспортному рівні моделі OSI. Після створення тунелю комп'ютер-клієнт і сервер починають обмін службовими пакетами. На додаток до керуючого з'єднання PPTP, що забезпечує працездатність каналу, створюється з'єднання для пересилання по тунелю даних. Інкапсуляція даних перед пересиланням через тунель відбувається дещо інакше, ніж при звичайній передачі. Інкапсуляція даних перед відправкою в тунель включає два етапи:
1. Спочатку створюється інформаційна частина PPP. Дані проходять зверху вниз, від прикладного рівня OSI до канального.
2. Потім отримані дані відправляються нагору по моделі OSI і інкапсулюються протоколами верхніх рівнів.
Таким чином, під час другого проходу дані досягають транспортного рівня. Проте інформація не може бути відправлена за призначенням, оскільки за це відповідає канальний рівень OSI. Тому PPTP шифрує поле корисного навантаження пакета і бере на себе функції другого рівня, які зазвичай належать PPP, тобто додає до PPTP-пакету PPP-заголовок і закінчення. На цьому створення кадру канального рівня закінчується.
Далі, PPTP інкапсулює PPP-кадр в пакет Generic Routing Encapsulation (GRE), який належить мережному рівню. GRE інкапсулює протоколи мережного рівня, наприклад IPX, AppleTalk, DECnet, щоб забезпечити можливість їх передачі по IP-мереж. Однак GRE не має можливості встановлювати сесії і забезпечувати захист даних від зловмисників. Для цього використовується здатність PPTP створювати з'єднання для управління тунелем. Застосування GRE як методу інкапсуляції обмежує поле дії PPTP тільки мережами IP.
Після того як кадр PPP був інкапсульований в кадр із заголовком GRE, виконується інкапсуляція в кадр з IP-заголовком. IP-заголовок містить адреси відправника і одержувача пакета. На закінчення PPTP додає PPP заголовок і закінчення.
Система-відправник посилає дані через тунель. Система-одержувач видаляє всі службові заголовки, залишаючи тільки дані PPP.
• L2TP
L2TP з'явився в результаті об'єднання протоколів PPTP і L2F (Layer 2 Forwarding). PPTP дозволяє передавати через тунель пакети PPP, а L2F-пакети SLIP і PPP. Щоб уникнути плутанини і проблем взаємодії систем на ринку телекомунікацій, комітет Internet Engineering Task Force (IETF) рекомендував компанії Cisco Systems об'єднати PPTP і L2F. На загальну думку, протокол L2TP увібрав в себе кращі риси PPTP і L2F. Головна перевага L2TP в тому, що цей протокол дозволяє створювати тунель не тільки в мережах IP, але і в таких, як ATM, та Frame Relay.
L2TP застосовує в якості транспорту протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних. L2TP в реалізації Microsoft використовує в якості контрольних повідомлень пакети UDP, що містять шифровані пакети PPP. Надійність доставки гарантує контроль послідовності пакетів.
Функціональні можливості PPTP і L2TP різні. L2TP може використовуватися не тільки в IP-мережах. Службові повідомлення для створення тунелю й пересилки по ньому даних використовують однаковий формат і протоколи. PPTP може застосовуватися тільки в IP-мережах, і йому необхідно окреме з'єднання TCP для створення і використання тунелю. Особливості L2TP роблять його дуже перспективним протоколом для побудови віртуальних мереж.
Протоколи L2TP і PPTP відрізняються від протоколів тунелювання третього рівня рядом особливостей:
1. Надання корпораціям можливості самостійно обирати спосіб аутентифікації користувачів та перевірки їх повноважень - на власній «території» або у провайдера інтернет-послуг. Обробляючи тунельовані пакети PPP, сервери корпоративної мережі отримують всю інформацію, необхідну для ідентифікації користувачів.
2. Підтримка комутації тунелів - завершення одного тунелю та ініціювання іншого до одного з безлічі потенційних термінаторів. Комутація тунелів дозволяє, як би продовжити PPP - з'єднання до необхідної кінцевої точки.
3. Надання системним адміністраторам корпоративної мережі можливості реалізації стратегій призначення користувачам прав доступу безпосередньо на брандмауері і внутрішніх серверах. Оскільки термінатори тунелю отримують пакети PPP з відомостями про користувачів, вони в стані застосовувати сформульовані адміністраторами стратегії безпеки до трафіку окремих користувачів.
• MPLS
Від англійського Multiprotocol Label Switching - мультипротокольна комутація по мітках - механізм передачі даних, який емулює різні властивості мереж з комутацією каналів поверх мереж з комутацією пакетів. MPLS працює на рівні, який можна було б розташувати між канальним і третім мережевим рівнями моделі OSI, і тому його зазвичай називають протоколом канально-мережевого рівня. Він був розроблений з метою забезпечення універсальної
16.09.2013 19:09-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора