Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
ЗІ
Кафедра:
Не вказано
Інформація про роботу
Рік:
2016
Тип роботи:
Лабораторна робота
Предмет:
Комп ютерні методи високорівневого проектування систем захисту
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра ЗІ
/
Звіт до лабораторної роботи № 4
З курсу:
«Комп`ютерні методи високорівневого
проектування систем захисту»
На тему:
“ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ”
Варіант № 8
Мета роботи – ознайомитися зі способами організації віртуальних приватних мереж та набути практичні навики стосовно конфігурації параметрів відповідного мережного обладнання і вирішенні проблем щодо захисту комп’ютерного трафіку.
1.Теоретичні відомості
Віртуальна приватна мережа – це комунікаційне середовище, у якому доступ контрольований через дозвіл сполучення між респондентами тільки всередині визначеної спільноти за інтересами і побудований на певних формах спільного використання основного комунікаційного середовища, де це основне комунікаційне середовище забезпечує послуги мережі на невиключній основі.
VPN може бути побудована між двома кінцевими системами, між двома організаціями, між окремими кінцевими системами всередині однієї організації або між багатьма організаціями через глобальний Internet, між індивідуальними застосуваннями або для довільної комбінації вказаних вище. VPN не обов’язково означає комунікаційну ізоляцію, а скоріше керовану сегментацію комунікацій для спільнот за інтересами через спільну інфраструктуру.
Слід також відзначити, що оскільки віртуальні приватні мережі можуть бути побудовані відповідно до будь-якої кількості певних бізнесових потреб або технічних вимог, то сучасні VPN-розв’язання повинні підтримувати доступ через комутовані канали, доступ до багатьох віддалених пунктів через виділені лінії, здатність надавачів VPN-послуг надавати різні послуги замовникам VPN і датність VPN-провайдерів підтримувати сполучення не тільки всередині VN, але і між VPN, включно із сполученнями до Internet.
Існує декілька мотивів для побудови VPN. Основна мотивація міститься в економіці комунікацій а також у забезпеченні їх приватності.
Існують різні типи VPN і, залежно від функціональних вимог, різні методи їх побудови. Процес вибору може включати розгляд того, яка проблема вирішується, аналіз ризику при захисті інформації, передбаченому для конкретних впроваджень, питання масштабування при збільшенні розміру VPN, складності провадження VPN, а також обслуговування та відмовостійкості. Для спрощення опису різних типів VPN їх ділять на категорії, розміщені на різних рівнях системи протоколів TCP/IP.
Віртуальні приватні мережі забезпечують віддалений доступ до корпоративних ресурсів через Internet, забезпечуючи секретність інформації (рис. 2). Замість використання виділеної лінії або комутованого зв’язку на велику відстань через зовнішній сервер доступу, користувач спочатку з’єднується з локальним ISP через телефон. Використовуючи локальне сполучення до ISP, програмне забезпечення VPN створює приватну віртуальну мережу між користувачем і корпоративним сервером VPN через Internet.
Сполучення повинні забезпечувати секретність і цілісність даних, які поширюються через корпоративне об’єднання мереж, тому розв’язання VPN повинні забезпечувати:
автентифікацію користувачів
управління адресами
шифрування даних
управління ключами
багатопротокольну підтримку
Для Internet розв’язання VPN базуються на тунельному протоколі “пункт-пункт” (Point-to-Point Tunneling Protocol – PPTP) або на тунельному протоколі Рівня 2 (Layer 2 Tunneling Protocol- L2TP), які відповідають всім цим основним вимогам і широко доступні в Internet. Інші розв’язання, включно з новим захищеним протоколом IP (IP Security Protocol – IPSec), відповідають тільки деяким із цих вимог, однак можуть вживатися в особливих ситуаціях.
Тунелювання – це метод використання інфраструктури об’єднання мереж для пересилання даних від одної мережі через іншу мережу. Даними, які пересилаються, тобто корисним навантаженням можуть бути рамки або пакети від інших протоколів. Замість висилання рамки, випродукованої джерельним протоколом, тунельний протокол інкапсулює (запаковує) рамку в новий пакет, забезпечений своїм заголовком. Цей заголовок забезпечує інформацію для раутінгу, так що інкапсульоване корисне навантаження може перетинати проміжну мережу. При цьому інкапсульовані пакети маршрутуються через проміжне об’єднання мереж між кінцевими пунктами. Логічний шлях, через який переміщається інкапсульований пакет, називають тунелем. Коли інкапсульований пакет досягає призначення в об’єднанні мереж, він розпаковується і пересилається до кінцевого призначення. Зауважимо, що тунелювання включає процес запакування, пересилання і розпакування пакетів. Транзитне об’єднання мереж може бути довільним і Internet як публічна мережа є тільки найбільш поширеним прикладом.
Технології тунелювання вже існують певен час, однак новітні технології тунелювання з’явилися протягом останніх декількох років. Ці новітні технології включають:
протокол PPTP, який дозволяє шифрувати трафік IP, IPX або NetBEUI і тоді інкапсулювати його в IP-данограму, яка пересилається через корпоративну IP-мережу або через публічну IP-мережу, таку, як Internet;
протокол L2TP, який дозволяє шифрувати трафік IP, IPX або NetBEUI і тоді висилати його через довільне середовище, яке підтримує доручення данограм типу “пункт-пункт”, наприклад, через мережі IP, X.25, Frame Relay або ATM;
тунельний режим IPSec, який дозволяє шифрувати трафік IP і тоді інкапсулювати його в IP-данограму, яка пересилається через корпоративну IP-мережу або через публічну IP-мережу, таку, як Internet.
Для сполучення VPN із віддаленим доступом комп’ютер створює сполучення з віддаленим доступом до сервера VPN. Протягом процесу сполучення VPN-сервер призначає IP-адресу для VPN-клієнта віддаленого доступу і змінює маршрут за замовчуванням до віддаленого клієнта так, щоб відповідний трафік висилався через віртуальний інтерфейс.
Для VPN-клієнта із доступом через комутовані канали, який з’єднується з Internet перед створенням VPN-сполучення з VPN-сервером у Internet, виділяються дві IP-адреси:
коли створюється PPP-сполучення, то IPCP-узгодження із сервером мережевого доступу ISP призначає публічну IP-адресу;
коли створюється VPN-сполучення, то IPCP-узгодження з VPN-сервером призначає IP-адресу в intranet; ця адреса, призначена VPN-сервером, може бути публічною або приватною, залежно від того, від кого організація впровадила публічну або приватну адресацію для свого intranet.
VPN-сполучення раутер-раутер можуть бути тимчасовими або постійними. Тимчасові VPN-сполучення раутер-раутер здійснюють, якщо є пакети, які будуть маршрутовані через інтерфейс VPN через комутовані канали на вимогу і сполучення буде завершене після визначеного періоду простою. Час простою конфігурується як у VPN-клієнті (раутер, який викликає), так і у VPN-сервері (раутер, який викликають). Час простою інтерфейсів через комутовані канали на вимогу за замовчуванням у VPN- клієнтів не обмежується; для VPN-серверів він становить 20 хвилин. Однак загалом час простою можна конфігурувати. Постійні VPN-сполучення раутер-раутер здійснюють, якщо раутер стартує і залишається сполученим незалежно від того, чи пересилається трафік. Якщо VPN-сполучення завершується, то автоматично здійснюється спроба встановити його знову.
Віртуальні приватні мережі з використанням сполучень через комутовані канали з ISP. Якщо VPN-сервер і VPN-клієнт безпосередньо сполучені з Internet через постійний WAN-зв’язок наприклад, через канал E1 або Frame Relay, то VPN-сполучення може бути постійним і чинним 24 години на добу. Однак, коли постійний WAN-зв’язок неможливий або непрактичний, то можна сконфігурувати VPN-сполучення на вимогу, використовуючи доступ через комутовані канали до ISP. VPN-сполучення раутер-раутер на вимогу із використанням сполучення до iSP через комутовані канали має два інтерфейси:
інтерфейс виклику на вимогу для виклику ISP;
інтерфейс виклику на вимогу для VPN-сполучення раутер-раутер.
Статичний або динамічний раутінг. Коли інтерфейс виклику на вимогу створено і здійснено вибір між тимчасовим і постійним сполученнями, то слід вибрати один із таких методів для додавання раутінгової інформації до таблиці раутінгу:
Для тимчасових сполучень можна вручну додати потрібні статичні маршрути для досягнення мережевих ідентифікаторів у інших офісах. Конфігурування вручну статичних маршрутів придатне для малих впроваджень з малою кількістю маршрутів.
Для тимчасових сполучень можна використати автостатичні модифікації для періодичної модифікації статичних маршрутів, наявних крізь VPN-сполучення раутер-раутер. Автостатичні маршрути добре працюють для великих впроваджень з великим обсягом раутінгової інформації.
Для постійних сполучень слід виконати відповідний протокол раутінгу через VPN-сполучення раутер-раутер, трактуючи VPN-сполучення як зв’язок “пункт-пункт”.
При виборі технології VPN важливо розглянути питання адміністрування. Великі мережі потребують зберігати інформацію директорій користувачів (послуги директорій –directory service) у централізованому запам’ятовуючому пристрої, так що адміністратори і застосування можуть додавати, модифікувати або запитувати про цю інформацію. Кожен сервер доступу або тунельний сервер може обслуговувати власну внутрішню базу даних з засобами, орієнтованими на користувача, такими, як імена, паролі та атрибути дозволу на використання комутованих каналів. Однак, оскільки облік багатьох користувачів для багатьох серверів адміністративно не підтримується, то більшість адміністраторів встановлює головну базу даних обліку на сервері директорій (Directory Server), або на первинному контролері домену, або на RADIUS-сервері.
Протокол Remote Authentification Dial-in User Service (RADIUS) – це поширений метод для обслуговування автентифікації та авторизації віддалених користувачів. RADIUS є дуже легким протоколом, базованим на UDP. Сервери RADIUS можуть бути локалізовані будь-де в Internet і здійснювати автентифікацію (включно з PPP PAP, CHAP, MSCHAP, EAP) для своїх клієнтів NAS. Крім того, сервери RADIUS можуть забезпечувати послуги проксі (proxy) для пересилання автентифікаційних запитів до віддалених серверів RADIUS. Наприклад, багато ISP утворюють корсорціуми, щоб дозволяти переміщення абонентів з метою використання локальних послуг від найближчого ISP для доступу через комутовані канали до Internet і віртуального об’єднання мереж на глобальній основі. Ці “альянси для переміщень” використовують переваги послуг проксі RADIUS. Якщо ISP розпізнає ім’я користувача – абонента віддаленої мережі, то ISP використовує RADIUS-проксі для пересилання запиту на доступ до потрібної мережі. У результаті наявні ефективні вихідні розв’язання, у яких правила авторизації обслуговуються корпорацією і інфраструктура надавача послуг використовується для мінімізації вартості.
2.Завдання
1. Побудувати мережу в середовищі Packet Tracer згідно індивідуального завдання.
2. Розробити текстові описи налаштувань мережевого обладнання.
3. Використовуючи інтерфейс командного рядка ввести команди налаштувань для мережевого обладнання та задати мережеві параметри вузлам мережі.
4. Налаштувати site-to-site VPN на пограничних маршрутизаторах.
5. Продемонструвати роботу site-to-site VPN для захисту мережевого трафіку, що передається каналами публічної мережі.
Взяти за основу схему комп’ютерної мережі, поданої на рис. 15 лабораторної роботи №4, при цьому, «внутрішні» мережі для філій вибираються згідно номера варіанту: для філії1 - Network1, для філії2 - Network2.
Попередньо налаштувати маршрутизатори філій та налаштувати site-to-site VPN згідно поданого варіантом завдання.
Здійснити моделювання та привести результати роботи у звіті.
№ п/п
Network1
Network2
алгоритм шифрування
алгоритм хешування
число Діффі Геллмана
8
192.168.0.0
172.16.0.0
aes
sha
group 5
3.Результати роботи
/
Філія 1:
Router(config)#int fast0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#ex
Router(config)#int fast0/1
Router(config-if)#ip address 210.210.1.2 255.255.255.252
Router(config-if)#ip nat outside
Router(config-if)#ex
Router(config)#ip access-list extended FOR-NAT
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#ex
Router(config)#ip nat inside source list FOR-NAT int fast0/1 overload
Router(config)#ip route 0.0.0.0 0.0.0.0 210.210.1.1
Router(config)#
VPN:
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 5
Router(config-isakmp)#ex
Router(config)#crypto isakmp key LAB address 210.210.2.2
Router(config)#crypto ipsec transform-set TS esp-aes esp-sha-hmac
Router(config)#ip access-list extended FOR-VPN
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map CMAP 5 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set peer 210.210.2.2
Router(config-crypto-map)#set transform-set TS
Router(config-crypto-map)#match address FOR-VPN
Router(config-crypto-map)#ex
Router(config)#int fast0/1
Router(config-if)#crypto map CMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Router(config-if)#ex
Router(config)#
Філія2:
Router(config)#int fast0/0
Router(config-if)#ip address 172.16.0.1 255.255.0.0
Router(config-if)#ip nat inside
Router(config-if)#ex
Router(config)#int fast0/1
Router(config-if)#ip address 210.210.2.2 255.255.255.252
Router(config-if)#ip nat outside
Router(config-if)#ex
Router(config)#ip access-list extended FOR-NAT
Router(config-ext-nacl)# deny ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#ex
Router(config)#ip nat inside source list FOR-NAT int fast0/1 overload
Router(config)#ip route 0.0.0.0 0.0.0.0 210.210.2.1
Router(config)#
VPN:
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 5
Router(config-isakmp)#ex
Router(config)#crypto isakmp key LAB address 210.210.1.2
Router(config)#crypto ipsec transform-set TS esp-aes esp-sha-hmac
Router(config)#ip access-list extended FOR-VPN
Router(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
Router(config-ext-nacl)#ex
Router(config)#crypto map CMAP 5 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set peer 210.210.1.2
Router(config-crypto-map)#set transform-set TS
Router(config-crypto-map)#match address FOR-VPN
Router(config-crypto-map)#ex
Router(config)#int fast0/1
Router(config-if)#crypto map CMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Router(config-if)#ex
Router(config)#
/
4. Висновки
В роботі розглянуто способи організації віртуальних приватних мереж та проблеми щодо захисту комп’ютерного трафіку. Для забезпечення зв’язку між віддаленими вузлами корпоративної мережі конфігурації було налаштовано відповідне мережне обладнання для встановлення захищеного з'єднання по мережі загального користування по технології site-to-site VPN. Це дозволило розширити мережу компанії, доступ до комп'ютерних ресурсів однієї філії доступно для співробітників в інших місцях.
28.04.2017 22:04-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора