Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Основи організації VPN в ОС «Windows
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
УІ
Кафедра:
Не вказано
Інформація про роботу
Рік:
2018
Тип роботи:
Лабораторна робота
Предмет:
Безпека інформації в інформаційно комунікаційних системах
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
/
З В І Т
до лабораторної роботи №13
з курсу «Безпека інформації в інформаційно-комунікаційних системах»
на тему:
«Основи організації VPN в ОС «Windows»
Мета роботи: ознайомлення з інструментальними та засобами створення сервісу VPN на комп’ютері з операційною сімейства Windows. Перевірити теритичні знання та використати їх на практиці.
/
PPTP
Специфікація PPTP розроблялася консорціумом, заснованим Microsoft для організації VPN в dial-up. Тому PPTP довгий час залишався стандартом для корпоративних мереж. З цієї ж причини він використовує протокол шифрування Microsoft Point-to-Point Encryption (MPPE).
Йде «за замовчуванням» на будь-який VPN-сумісної платформі і легко налаштовується без додаткового програмного забезпечення. Ще одна перевага PPTP - високу швидкодію. Але на жаль, PPTP недостатньо безпечний. З моменту включення протоколу до складу Windows 95 OSR2 в кінці дев'яностих, розкрилися кілька вразливостей.
Найсерйозніша - це можливість неінкапсулірованние аутентифікації MS-CHAP v2. Цей експлойт дозволив зламати PPTP за два дні. Microsoft «залатали» дірку, перейшовши на протокол аутентифікації PEAP, але потім самі запропонували використовувати VPN-протоколи L2TP / IPsec або SSTP. Ще один момент - PPTP-підключення легко заблокувати, тому що протокол працює з одним портом номер 1723 і використовує GRE-протокол.
Коли VPN-тунель встановлено, PPTP підтримує два типи повідомлень, що передаються: це контрольні повідомлення для підтримки і відключення VPN-з'єднання, а також самі пакети даних.
L2TP і IPsec
Layer 2 Tunneling Protocol, або L2TP, також представлений практично у всіх сучасних операційних системах і працює з усіма пристроями, здатними «сприймати» VPN.
L2TP не вміє шифрувати проходить через нього трафік, тому його часто використовують в зв'язці з IPsec. Однак це призводить до появи негативного ефекту - в L2TP / IPsec відбувається подвійна інкапсуляція даних, що негативно позначається на продуктивності. Також L2TP використовує п'ятисотий UDP-порт, який легко блокується файрволом, якщо ви перебуваєте за NAT.
L2TP / IPsec вміє працювати з шифрами 3DES або AES. Перший вразливий для атак типу meet-in-the-middle і sweet32, тому сьогодні рідко зустрічається на практиці. При роботі з AES-шифром про великих вразливості невідомо, тому в теорії цей протокол повинен бути безпечний (при правильній реалізації). Однак Джон Гілмор (John Gilmore), засновник Electronic Frontier Foundation, вказав в своєму пості, що IPSec міг бути спеціальним чином ослаблений.
Найбільш серйозна проблема з L2TP / IPsec полягає в тому, що багато VPN-сервіси реалізують його недостатньо добре. Вони використовують pre-shared keys (PSK), які можна завантажити з сайту. PSK потрібні для установки з'єднання, тому навіть якщо дані виявляються скомпрометовані, вони залишаються під захистом AES. Але атакуючий може використовувати PSK, щоб видати себе за VPN-сервер і потім підслухати зашифрований трафік (навіть инжектировать шкідливий код).
SSTP
Secure Socket Tunneling Protocol, або SSTP, - це VPN-протокол, який розробляла компанія Microsoft. Він ґрунтується на SSL і вперше запущений в Windows Vista SP1. Сьогодні протокол доступний для таких ОС, як RouterOS, Linux, SEIL і Mac OS X, однак основне застосування він все одно знаходить на платформі Windows. SSTP - пропріетарний стандарт, що належить Microsoft, і його код недоступний для публічного огляду.
Сам SSTP не має криптографічного функціоналу за винятком однієї функції - мова йде про криптографическом зв'язуванні (cryptographic binding), що захищає від атаки MITM. Шифрування же даних виконує SSL. Опис процедури встановлення VPN-з'єднання можна знайти на сайті Microsoft.
Тісна інтеграція з Windows спрощує роботу з протоколом і підвищує його стабільність на цій платформі. Однак SSTP використовує SSL 3.0, який вразливий для атаки POODLE, що в теорії позначається на захищеності VPN-протоколу.
OpenVPN
OpenVPN - це відкритий проект, який використовує бібліотеку Open SSL, TLS і ряд інших технологій. Сьогодні він є індустріальним стандартом в комерційних VPN-сервісах і реалізується на будь-якій платформі за допомогою стороннього ПО. Багато провайдерів навіть надають кастомниє клієнти OpenVPN, проте над ядром коду все одно працюють розробники проекту.
Серед достоїнств OpenVPN виділяється його налаштування. Його можна налаштувати для роботи на будь-якому порте. Це дозволяє пересилати трафік через порт 443, щоб «замаскувати» його під HTTPS, що ускладнює блокування.
Однак гнучкість цього VPN-протоколу в якійсь мірі може вважатися недоліком. Зокрема, це призводить до необхідності завантажувати та встановлювати додаткові файли конфігурацій при використанні стандартного клієнта для Windows. Але ця проблема може бути вирішена за рахунок використання попередньо налаштованих VPN-клієнтів, які реалізують деякі провайдери.
Ще одна перевага протоколу - бібліотека OpenSSL. Вона підтримує багато криптоалгоритми - це 3DES, CAST-128, Camelia, AES і Blowfish. Останні два найчастіше використовуються на практиці.
Також плюсом OpenVPN можна вважати регулярні аудити. Остання проведена перевірка не виявила «дірок», які впливають на безпеку даних користувачів. Тоді були знайдені кілька вразливостей, що дають зловмисникам можливість проводити DDoS-атаки, але розробники пропатчити їх у версії OpenVPN 2.4.2.
OpenVPN вважається одним з найнадійніших VPN-протоколів наявних сьогодні і широко підтримується VPN-індустрією. І хоча раніше OpenVPN не працював на мобільних платформах без root-доступу, сьогодні є third-party додатки, які виправили це «непорозуміння».
Типи підключення VPN
У сьогоднішньому матеріалі ми поговоримо про двох найбільш часто використовуваних типах підключення до VPN. Мова піде про віддалений доступ до корпоративної мережі (remote access) і з'єднанні «точка - точка» (site-to-site)
Віддалений доступ дозволяє співробітникам компанії безпечно підключатися до корпоративної мережі через інтернет. Особливо це важливо в тому випадку, коли співробітник працює не в офісі і підключається через незахищені точки доступу, наприклад Wi-Fi в кафе. Для організації цього з'єднання, встановлюється тунель між клієнтом на гаджеті користувача і VPN-шлюзом в мережі компанії. Шлюз проводить аутентифікацію, а потім надає (або обмежує) доступ до ресурсів мережі.
Щоб захистити з'єднання найчастіше використовуються протоколи IPsec або SSL. Також можливе застосування протоколів PPTP і L2TP.
/
Site-to-site VPN служить об'єднання різних локальних мереж. В цьому випадку пристрої користувачів працюють без VPN-клієнтів - всю роботу виконує шлюз.
Такий тип підключення застосовується тоді, коли у компанії є кілька віддалених офісів, які потрібно об'єднати в одну приватну мережу. А також в тому випадку, якщо у організації є партнер, до мережі якого потрібне підключення. Це дозволяє компаніям разом працювати в захищеному загальному просторі.
/
Висновок: мною було проаналізована сучасні протоколи та їхнє застосування у сучасному світі. Жодний з представлених протоколів не був ідеальним в тому чи іншому сенсі. Варіації та широке використання різних протоколів негативно впливає на користувацький досвід. Бо замість того щоб просто користуватися сервісом у своїх цілях, користувач стоїть перед вибором провайдера який надає це сервіс та протоколу який використовувати.
12.12.2018 20:12-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора