Организация защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

Факультет информационных технологий и телекоммуникаций

Кафедра защиты информации

КУРСОВАЯ РАБОТА

Пояснительная записка

Тема: Организация защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах

Руководитель доцент _к.т.н. доцент В.И. Граков

Разработал студент А.Н. Мищенко

Ставрополь, 2011

Содержание

Введение

1. Анализ структуры незащищенной сети и формирование требований защиты

1.1 Анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности

1.2 Формирование требований защиты

2. Выбор и анализ технологий для построения системы защиты сети

2.1 Выбор средств для построения системы защиты

2.2 Анализ технологии VPN для построения туннеля между сегментами сети

2.3 Основные возможности программы ViPNet Coordinator

3. Организация защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах

3.1 Функция туннелирования открытого трафика локальной сети

3.2 Пример защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами

3.3 Настройка сетевых узлов

3.3.1 Установка и настройка ViPNet-координатора для туннелирования устройств IP-телефонии

3.3.2 Настройка туннелируемых устройств IP-телефонии

3.3.3 Дополнительные настройки в зависимости от варианта конфигурации локальной сети

Заключение

Список использованных источников

Введение

Расширение глобальной сети Интернет, широкое распространение IP-приложений -- все это позволило сервис-провайдерам предложить своим заказчикам целый ряд весьма привлекательных новых услуг. Новый Мир телекоммуникаций отражает и демонстрирует фундаментальные перемены в бизнесе сервис-провайдеров, которые уходят от услуг, ориентированных на сеть (и состоящих в простой поддержке полосы пропускания), и переходят к моделям, ориентированным на бизнес и услуги с добавленной ценностью (включая пакетную телефонию и электронную коммерцию), которые предлагаются помимо простых услуг передачи трафика.

Чтобы постоянно поддерживать преимущество над конкурентами, сервис-провайдерам необходимо развертывать сети общего доступа, способные консолидировать трафик разных типов и поддерживать услуги, связанные с передачей данных, голоса и видео. Эта задача становится все более очевидной ввиду перемен, которые происходят в сетях корпоративных заказчиков. По мере того, как их приложения становятся все более сложными и требовательными к сетевым ресурсам, компании все чаще прибегают к внешнему подряду (аутсорсингу), чтобы сократить расходы и получить доступ к передовому опыту в области сетевых технологий. Те провайдеры, которые раньше других воспользуются возможностью установления партнерских отношений с заказчиками и предложат им дифференцированные услуги, добьются финансового успеха, так как получат новые источники доходов и повысят прибыльность своего бизнеса.

Виртуальные частные сети (VPN) станут основой для поддержки услуг Нового Мира. Уже сегодня многие сервис-провайдеры имеют планы развертывания услуг с добавленной ценностью поверх своих транспортных сетей VPN. Новые услуги, такие как электронная коммерция (e-commerce), хостинг приложений и поддержка мультимедиа, дают возможность сервис-провайдерам получать дополнительный доход и поддерживать долгосрочные преимущества в конкурентной борьбе. Более того, сервис-провайдеры смогут воспользоваться «экономией масштаба» в своей транспортной сети и предоставить заказчикам услуги пакетной телефонии.

Цель VPN состоит в создании сети совместного использования, которая, с точки зрения заказчика, будет функционировать как выделенная линия. На первый взгляд, это широкое определение позволяет включить в состав VPN такие технологии, как Frame Relay и ATM.

Однако их можно назвать всего лишь сетями VPN Уровня 2. Для поддержки IP-функциональности Уровня 3 такие сети должны пользоваться каким-то оверлейным (наложенным) решением, включающим постоянные виртуальные каналы, эмулирующие соединения типа «точка-точка». Однако таким решением трудно управлять, и оно плохо масштабируется.

По мере разработки бизнес-моделей Нового Мира и перехода от простого предоставления полосы пропускания к услугам с добавленной ценностью, сервис-провайдеры все чаще пытаются использовать повсеместно распространившийся протокол IP в качестве основного протокола для своих сетей. Разумеется, это ставит в повестку дня задачи поддержки безопасных, масштабируемых соединений с гарантированным качеством услуг на базе общих или частных IP-сетей, которые исторически были предназначены для передачи трафика «по мере возможности» и не имели средств защиты. Для этого нужны новые протоколы и услуги для IP-сетей.

Упрощенно все требования к VPN можно разделить на две части. С одной стороны, это возможности, которые нужны сервис-провайдеру для экономичного предоставления заказчикам услуг VPN, а с другой стороны -- функции безопасности, которые нужны корпоративным заказчикам для защиты своей информации в совместно используемой сети. Считается, что в будущем предприятия будут больше доверять возможностям провайдеров в плане защиты своих данных, однако сегодня многие из них предпочитают полагаться на свои собственные системы безопасности. В будущем, когда взаимное доверие укрепится, сервис-провайдеры смогут за отдельную плату предлагать предприятиям помимо простых соединений VPN дополнительные услуги безопасности, включая шифрование и услуги аутентификации.

Глава 1. АНАЛИЗ СТРУКТУРЫ НЕЗАЩИЩЕННОЙ СЕТИ И ФОРМИРОВАНИЕ ТРЕБОВАНИЙ ЗАЩИТЫ

1.1 Анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности

Для начала составим схему незащищенной сети (рис. 1.1).

Рис. 1.1. Схема незащищенной сети

Информация об исходной схеме сети

- Адреса в локальных сетях частные.

- На входах в локальные сети стоят компьютеры, осуществляющие функции шлюзов данных сетей.

- Локальных сетей может быть сколько угодно.

- Пользователей в локальных сетях может быть сколько угодно.

- К ресурсам данной сети подключается n-ое количество мобильных пользователей, использующих в качестве канала передачи данных открытый Интернет.

- На компьютерах пользователей установлена операционная система Windowx XP SP3.

- На компьютерах, выполняющих функции шлюзов в локальных сетях, установлена операционная система Windows Server 2008.

Из схемы видно, что информационный обмен между локальными сетями осуществляется по открытым каналам передачи данных, т.е. через Интернет. Ни для кого не секрет, что при передаче данных через Интернет имеется множество различных угроз информационной безопасности. Следовательно, безопасность информационного обмена между локальными сетями полностью отсутствует, а это в свою очередь влечет за собой возможность нанесения ущерба компании, использующей данную сеть.

При использовании данной схемы в реальных условиях имеются следующие угрозы:

- Нарушение конфиденциальности информации, циркулирующей в данной сети, что может нанести прямой ущерб ее владельцу, т.е. фирме

- Нарушение целостности информации. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности

- Нарушение работоспособности сети, что является причиной нарушения доступности информации. Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов или отказу сети от потока информации. Последнее означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имя в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Реализация данных угроз возможна путем осуществления следующих удаленных атак:

- Анализ сетевого трафика

- Сканирование сети с целью выявления уязвимостей

- Использование эксплойтов программного обеспечения

- Подмена доверенного объекта или субъекта сети

- Внедрение ложного объекта сети

- Внедрение вредоносного ПО в сеть

- Перехват сетевого трафика

Перейдем к формированию требований конкретной защиты данной сети.

1.2 Формирование требований защиты

Из анализа схемы незащищенной сети можно выявить требования к защите данной сети.

Главное требование - организация безопасного информационного обмена при прохождении трафика через Интернет. Для реализации этого требования необходимо использовать технологию туннелирования.

Помимо этого так же требуется наличие аутентификации пользователей с проверкой их аутентичности, использующих информационный туннель, на машинах, которые его реализуют, а сама процедура защищенного обмена должна быть совершенно прозрачной для пользователей.

Доступ к ресурсам открытого Интернета должен быть закрыт для пользователей локальных сетей, за исключением ресурсов, необходимых для работы. Доступ к ресурсам других локальных сетей и ресурсам мобильных пользователей должен быть разграничен администратором для каждого пользователя в соответствии с выполняемой работой и занимаемым положением в компании.

Мобильные пользователи должны иметь доступ к туннелируемым ресурсам локальных сетей, но и в этом случае доступ должен быть определен администратором.

Каждое автоматизированное рабочее место сети должно быть защищено межсетевым экраном.

Также в сети должен проводиться общий аудит любой сетевой активности, что поможет обнаружить вторжение или удаленную атаку.

Выполнение данных требований снизит до минимума вероятность осуществления успешной удаленной атаки на сеть и повысит уровень информационную безопасность предприятия.

Проанализировав схему незащищенной сети, я выявил потенциальные угрозы, реализующиеся путем удаленных атак, и требования защиты, выполнение которых необходимо в реальных условиях для обеспечения требуемого уровня информационной безопасности предприятия. Далее необходимо перейти к выбору средства защиты.

Глава 2. ВЫБОР И АНАЛИЗ ТЕХНОЛОГИЙ ДЛЯ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ СЕТИ

Под защитой информации в компьютерных системах принято понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде.

2.1 Выбор средств для построения системы защиты

Для организации защиты информации в корпоративных сетях важным вопросом является классификация имеющихся способов и средств защиты, которые позволяют воспрепятствовать незаконному ее использованию. На рисунке 2.1 схематически показаны наиболее часто используемые способы защиты информации в компьютерных сетях и средства, которыми они могут быть реализованы.

Рис. 2.1 - Способы и средства защиты информации

В данной работе будут рассмотрены программные средства защиты информации.

Программные средства - это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Они являются наиболее распространенными средствами, так как с их помощью могут быть реализованы практически все идеи и методы защиты, и, кроме того, по сравнению с аппаратными средствами они имеют невысокую стоимость. С помощью программных методов обеспечения безопасности реализованы почти все межсетевые экраны и большинство средств криптографической защиты. Основным их недостатком является доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты. По целевому назначению их можно разделить на несколько классов:

- программы идентификации и аутентификации пользователей;

- программы определения прав (полномочий) пользователей (технических устройств);

- программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);

- программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации.

Программные средства защиты информации часто делят на средства, реализуемые в стандартных операционных системах (ОС), и средства защиты в специализированных информационных системах.

Криптографические программы основаны на использовании методов шифрования (кодирования) информации. Данные методы являются достаточно надежными средствами защиты, значительно повышающими безопасность передачи информации в сетях.

Таким образом для построение системы защиты сегментированной сети будем использовать программные средства защиты, как встроенные в ОС, так и специализированные программные продукты.

В нашем случае сеть является сильно сегментированной, ее сегменты имеют различный уровень доверия и обмен данными между ними происходит через открытую сеть Интернет, поэтому наиболее предпочтительно для защиты данным между сегментами использовать VPN-туннель. Для контроля трафика между определенными компьютерами или запрета использования определенных портов, лучше использовать политики IPSec.

Выбор данных средств защиты обусловлен соображениями обеспечения максимальной безопасности при небольших затратах на построение системы.

2.2 Анализ технологии VPN для построения туннеля между сегментами сети

Защищенной виртуальной сетью VPN называют соединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность данных. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых туннелями VPN. Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются сообщений виртуальной сети.

С помощью этой методики пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.



Рис. 2.2 - Схема виртуального туннеля

Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных (вместе со служебными полями) в новый «конверт». Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходный пакет вместе с заголовком, упаковывает его в поле данных внешнего пакета с новым открытым IP-заголовком и отправляет по транзитной сети. Схема виртуального туннеля представлена на рисунке 2.2 (где ЗИ - заголовок исходного пакета, ЗВ - заголовок внешнего пакета).

Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета. Для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в начале и конце туннеля, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде. По прибытии в конечную точку защищенного канала из внешнего пакета извлекают и расшифровывают внутренний исходный пакет и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети.

Для конкретной реализации VPN-туннеля в сети, рассматриваемой в данной работе, я буду использовать программно-аппаратный комплекс ViPNet Coordinator. Этот продукт предназначен для построения виртуальных частных IP-сетей различной конфигурации и реализован с использованием сертифицированных средств криптографической защиты информации (СКЗИ) компании «Infotecs».

2.3 Основные возможности программы ViPNet Coordinator

ViPNet Coordinator может обеспечивать различную функциональность, в зависимости от настроек в ЦУС (или ViPNet Manager), а также и на самом координаторе. Программа предоставляет следующие основные возможности:

* Одной из важных возможностей ПО ViPNet Coordinator помимо шифрования трафика является перехват и фильтрация IP-пакетов, проходящих через каждый сетевой интерфейс координатора. Можно настроить правила антиспуфинга для открытого трафика, выбрать для каждого сетевого интерфейса режим безопасности при обработке открытого трафика, настроить правила фильтрации трафика для открытого и защищенного трафика.

* Еще одним очень важным элементом является обеспечение Координатором трансляции открытых сетевых адресов (NAT). Можно настроить статические и динамические правила трансляции для организации подключения к открытым ресурсам Интернета. Координатор поддерживает также трансляцию сетевых адресов на прикладном уровне для протокола FTP для обеспечения возможности работы FTP-клиентов в активном режиме, и фильтрацию команд FTP-протокола для защиты от использования некорректных значений IP-адресов клиента и сервера.

* В программу встроена система обнаружения вторжений (intrusion detection system IDS). Эта система блокирует наиболее распространенные сетевые атаки посредством постоянного слежения за входящим и исходящим трафиком на предмет атак.

* При просмотре Интернет-ресурсов, ViPNet Coordinator обеспечивает:

- блокировку наиболее распространенных баннеров, рекламы, которые могут отвлекать пользователя и приводить к увеличению интернет-трафика. Администратор может расширить список блокируемых баннеров;

- блокировку Flash-анимации, которая может реализовывать несанкционированные пользователем действия;

- защиту от несанкционированного сбора информации о действиях пользователя в Интернете (путем блокирования Cookies и Referer).

Администратор может задать общие правила блокировки для всех веб-сайтов, а также задать список исключений для отдельных веб-сайтов.

* Программа позволяет управлять параметрами обработки прикладных протоколов FTP, HTTP, SIP (привязкой портов к протоколам).

* При помощи встроенного модуля Контроль приложений обеспечивается защита координатора на уровне приложений, путем контроля сетевой активности приложений. Это гарантирует блокирование любого неразрешенного пользователем приложения, при попытках последнего проявить сетевую активность. Например, модуль Контроль приложений позволяет блокировать работу программ - «троянских коней». Возможность использования программы Контроль приложений зависит от регистрационного файла.

* В процессе работы в окне Блокированные IP-пакеты фиксируются сетевые адреса открытых ресурсов, IP-пакеты с которых блокируются ViPNet Драйвером. Это могут быть злоумышленники, пытающиеся получить доступ к информации на компьютере.

* В процессе работы формируются различные журналы: регистрации IP-трафика, сетевой активности приложений, регистрации событий по изменению настроек безопасности в программе. Также программа отображает в режиме on-line различную статистическую информацию о зарегистрированном сетевом трафике и заблокированных веб-фильтрами элементах веб-страниц. С помощью этой информации пользователь может легко проанализировать различные события, зафиксированные программой, а также эффективность работы программы.

* Программа предоставляет возможность сохранять текущие настройки программы в различные конфигурации, для того, чтобы потом просто выбирать ту либо иную конфигурацию в зависимости от потребностей.

* Существует возможность через заданное время после прекращения работы на компьютере, или, используя кнопку Блокировки, или сразу после загрузки компьютера закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно.

* Программа позволяет производить различные дополнительные настройки работы программы в окне дополнительных настроек.

* В программе предусмотрен режим Администратора, воспользоваться которым можно, если ввести соответствующий пароль. После чего будут доступны некоторые дополнительные возможности по настройке программы и просмотр журнала регистрации событий по изменению настроек безопасности в программе.

* Программа позволяет получить защищенный доступ на удаленный компьютер пользователя сети ViPNet (из окна Защищенная сеть), используя внешние программы Remote Administrator, Remote Desktop Connection и VNC.

* В программе имеются средства для отслеживания срока действия пароля пользователя, возможность смены пароля, а также смены самого пользователя, если их несколько. За эти и некоторые другие функции отвечает модуль Настройка параметров безопасности.

* Предоставляется возможность использования различных сервисных служб программы для работы в Защищенной сети между пользователями, такие как:

- Обмен сообщениями/Конференция - эта функция предназначена для передачи сообщений в реальном масштабе времени между пользователями сети ViPNet. Все сообщения шифруются в реальном времени.

- Файловый Обмен - позволяет пользователям сети ViPNet быстро и удобно обмениваться файлами без установки каких-либо дополнительных сервисов, например, ftp или совместного использования (sharing) ресурсов. Функция интегрирована в оболочку Windows Explorer и реализуется с помощью контекстного меню, вызываемого по правой кнопке мыши на выбранном для отправки файле или папке.

- Вызов внешних приложений - программа поддерживает автоматизированный вызов ряда коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait с принудительным шифрованием трафика этих приложений.

- Проверка соединения с узлом и информирование о статусе пользователя - эта функция предоставляет возможность пользователю по своей инициативе узнавать о текущем статусе других доступных ему пользователей защищенной сети - доступны они или нет, активны или нет и т.д.

- Функция Web-ссылка - позволяет обратиться в защищенном режиме к информационным web-ресурсам узла защищенной сети.

- Функция Открыть сетевой ресурс - позволяет открыть доступные сетевые ресурсы на узле защищенной сети. На компьютеры пользователей защищенной сети ViPNet обращение происходит в защищенном режиме.

- В программе реализована система псевдонимов, с помощью которой можно задать удобные для Вас имена узлам защищенной сети.

Во второй главе данной работы были рассмотрены существующие способы и средства защиты информации, из множества которых были выделены те, которые будут использованы для организации защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах. Это технология VPN, для организации взаимодействия между сегментами сети через Интернет, и настройки политики безопасности с помощью ViPNet Coordinator, для организации защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах. Была дана характеристика этих технологий. Конкретная их реализация будет рассмотрена в следующей главе.

Глава 3. Организация защищенного канала между локальными сетями через Internet и мобильными абонентами через туннелирование на однокарточных координаторах

3.1 Функция туннелирования открытого трафика локальной сети

ViPNet-координатор может туннелировать трафик от заданных компьютеров (без ViPNet Client) и других устройств локальной сети, который должен быть передан другим узлам ViPNet или туннелируемым компьютерам других координаторов. При этом трафик остается незащищенным только на участке от туннелируемого устройства до координатора, а в дальнейшем весь трафик идет в зашифрованном виде.

ViPNet-координатор сможет выполнять функции туннелирования, если в ЦУС для этого координатора разрешено туннелирование, т.е. указано максимальное число IP-адресов, которое координатор сможет одновременно туннелировать.

Туннелироваться может трафик любых устройств, находящихся со стороны любого сетевого интерфейса. При этом передача закрытого трафика производится от имени адреса интерфейса координатора, с которого уходит этот трафик, то есть выполняется NAT.

Если узел ViPNet взаимодействует с туннелируемым некоторым координатором компьютером, и этот компьютер находится в той же подсети, что и узел ViPNet, то в этом случае узел ViPNet по умолчанию взаимодействует с этим компьютером напрямую без шифрования трафика.

Если два туннелируемых устройства одного координатора, взаимодействующие между собой, расположены со стороны разных интерфейсов, и трафик между ними проходит через координатор, то для адресов этих устройств должно быть задано разрешающее транзитное правило в фильтрах открытой сети.

Локальные сети, соединенные через туннели могут быть не согласованы по IP-адресам (IP-адреса могут пересекаться). В этом случае работа может производиться по виртуальным адресам, выделяемым ViPNet-координаторами.

Расшифрованные координатором пакеты для туннелируемых им компьютеров всегда отправляются в сеть от имени реального или виртуального адреса, под которым на координаторе виден компьютер, пославший этот пакет.

Списки IP-адресов, подлежащих туннелированию, задаются в виде диапазонов и отдельных значений непосредственно на объектах виртуальной сети (АП и Координаторах) или в ЦУС (или ViPNet Manager).

Для туннелируемых ресурсов также могут быть настроены необходимые фильтры.

Использование ViPNet-координатора для туннелирования целесообразно, если на какие-либо компьютеры не удается или нет необходимости устанавливать ViPNet Client для индивидуальной защиты

3.2 Пример защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами

Для обеспечения защиты трафика IP-телефонии, а также надежной работоспособности CISCO IP-телефонии совместно с сетями ViPNet, рекомендуется соблюдать схему топологии сети и настройки сетевых узлов, рассмотренные ниже.

Пример топологии сети:

Допустим, Ваша организация имеет несколько офисов (главный и дополнительный офис) и мобильные компьютеры, соединенные через внешнюю сеть (например, Интернет). В локальных сетях офисов могут быть организованы подсети. Рассмотрим вариант, когда локальная сеть главного офиса состоит из трех подсетей (Подсеть 1, Подсеть 2, Подсеть 3). В офисах организации развернута Cisco IP-телефония, т.е. установлены различные устройства для обеспечения телефонной связью сотрудников организации (абонентов IP-телефонии):

* Установлены телефонные аппараты Cisco IP HardPhone. В главном офисе телефонные аппараты Cisco IP HardPhone выделены в отдельную подсеть (Подсеть 2). Требование не является обязательным и Cisco IP HardPhone могут находиться в Подсети 1.

* На стационарных и мобильных компьютерах установлены программные телефоны Cisco IP Communicator. В главном офисе стационарные компьютеры с Cisco IP Communicator находятся в Подсети 1.

* В одном из офисов расположен сервер Cisco CallManager. Cisco CallManager расположен в главном офисе в Подсети 3.

* Подключение локальных сетей к телефонной сети общего пользования (PSTN) осуществляется через IP-шлюз на основе оборудования Cisco.

Для обеспечения защищенной работы Cisco IP-телефонии организации должны быть выполнены следующие условия:

1. В каждом из офисов на границе локальной сети, где установлены IP-телефоны, установлен ViPNet-координатор

* Телефонные аппараты Cisco IP HardPhone, компьютеры с программными телефонами Cisco IP Communicator без модуля ViPNet, шлюз в PSTN должны туннелироваться с помощью ViPNet-координатора соответствующего офиса.

* Если в сети IP-телефонии возможно пересечение IP-адресов, то туннелирование сервера Cisco CallManager рекомендуется выполнять на отдельном ViPNet-координаторе с двумя сетевыми интерфейсами, установленном, например, за ViPNet-координатором офиса. При этом для Cisco CallManager следует назначить IP-адрес, который не используется у других участников сети IP-телефонии.

Замечание: Если в организации несколько серверов Cisco CallManager, каждый из которых обслуживает свою группу абонентов IP-телефонии, то для получения рекомендаций по настройке сети ViPNet в этом случае, следует обратиться в службу поддержки Инфотекс.

2. На ВСЕХ компьютерах с программными телефонами Cisco IP Communicator в локальных сетях офисов установлен ViPNet-клиент

3. На ВСЕХ удаленных стационарных компьютерах, автономно подключающихся к сети через провайдера, и мобильных компьютерах с программными телефонами Cisco IP Communicator, установлен ViPNet-клиент. или, если нет необходимости шифрования трафика внутри локальной сети, обеспечено туннелирование этих компьютеров с помощью ViPNet-координатора соответствующего офиса.

4. На всех защищенных устройствах организации в программе ViPNet Coordinator (Client) [Монитор] сервер Cisco CallManager виден по реальному IP-адресу (т.е. в окне Защищенная сеть в правиле доступа ViPNet-координатора, туннелирующего Cisco CallManager, на вкладке Туннель не следует устанавливать флажок «Использовать виртуальные IP-адреса» (по умолчанию флажок снят).

3.3 Настройка сетевых узлов

информационный безопасность туннелирование телефония

Для правильной настройки сетевых узлов в каждой локальной сети необходимо выполнить следующие действия:

Шаг 1. Необходимо установить и необходимо настроить ViPNet-координатор для туннелирования компьютеров и устройств локальной сети, участвующих в работе IP-телефонии.

Шаг 2. Необходимо настроить туннелируемые компьютеры и устройства локальной сети, участвующие в работе IP-телефонии.

Шаг 3. Необходимо установить и необходимо настроить ПО ViPNet Client на стационарных компьютерах локальной сети с программными телефонами Cisco IP Communicator.

Шаг 4. Необходимо установить и необходимо настроить ПО ViPNet Client на мобильных компьютерах с программными телефонами Cisco IP Communicator.

Шаг 5. Необходимо установить и необходимо настроить ПО ViPNet Client на удаленных стационарных компьютерах с программными телефонами Cisco IP Communicator, автономно подключающихся к сети через провайдера (работающих вне офиса).

Шаг 6. При необходимости выполнить дополнительные настройки в зависимости от варианта конфигурации локальных сетей.

3.3.1 Установка и настройка ViPNet-координатора для туннелирования устройств IP-телефонии

Шаг 1. Необходимо установить и необходимо настроить ViPNet-координатор для туннелирования компьютеров и устройств локальной сети, участвующих в работе IP-телефонии.

1. Необходимо сконфигурировать ViPNet-координатор в программе ViPNet Manager (или ЦУС):

* Для обеспечения взаимодействия ViPNet-координатора с другими узлами необходимо задать IP-адреса ViPNet-координатора или IP-адреса доступа к ViPNet-координатору через внешние межсетевые экраны.

* Для обеспечения туннелирования компьютеров и устройств локальной сети, участвующих в работе IP-телефонии офиса, необходимо задать их адреса в качестве туннелируемых.

2. Необходимо установить ViPNet-координатор на границе локальной сети, или, если ViPNet-координатор уже установлен, то из ViPNet Manager (или ЦУС) необходимо отправить на него обновление с новыми настройками. На ViPNet-координаторе необходимо произвести следующие настройки:

* В сетевых настройках Windows необходимо задать правила маршрутизации в соответствии с адресами взаимодействующих подсетей, где установлены устройства IP-телефонии (например, для локальной сети 1 взаимодействующие подсети - это Подсеть 1, Подсеть 2, Подсеть 3). Для сетевого интерфейса координатора, к которому подключена внешняя сеть (например, Интернет), необходимо задать шлюз по умолчанию на шлюз во внешнюю сеть.

* В программе ViPNet Coordinator [Монитор] в окне Свойства сетевых интерфейсов (вкладка Режим), вызываемом из окна Сетевые интерфейсы, необходимо произвести настройки режимов координатора (Рисунок 3.2.). На всех сетевых интерфейсах координатора необходимо установить 2 режим безопасности (устанавливается по умолчанию).

Рисунок 3.2. Окно настроек режимов безопасности

* Для своих туннелируемых устройств, расположенных со стороны разных сетевых интерфейсов, необходимо задать транзитное правило между соответствующими адресами. Настройки производятся в окне Открытая сеть в разделе фильтрации Транзитные фильтры (Рисунок 3.3.).

Рисунок 3.3. Окно настройки фильтров открытой сети

3.3.2 Настройка туннелируемых устройств IP-телефонии

Шаг 2. Необходимо настроить туннелируемые компьютеры и устройства локальной сети, участвующие в работе IP-телефонии.

Необходимо произвести следующие настройки на туннелируемых устройствах и компьютерах локальной сети:

* На всех туннелируемых устройствах и компьютерах в сетевых настройках необходимо задать шлюз по умолчанию на адрес сетевого интерфейса ViPNet-координатора своего офиса или адрес роутера, имеющего такой шлюз.

Замечание: Если по технологии организации сети шлюз по умолчанию требуется задать на иной адрес, то должны быть настроены соответствующие маршруты на ViPNet-координатор для подсетей адресов (реальных или виртуальных), под которыми видны удаленные защищаемые устройства

При нахождении туннелируемых устройств в одной подсети или в разных подсетях, но не разделенных ViPNet-координатором, туннелируемые устройства будут работать между собой напрямую, минуя ViPNet-координатор (на ViPNet-координаторе своего офиса).

Рисунок 3.1., пример прямого маршрута трафика обозначен синей пунктирной стрелкой между туннелируемыми устройствами в Подсети 2 и между Подсетью 1 и 2).

Установка и настройка ViPNet-клиентов на мобильных компьютерах локальной сети с Cisco IP Communicator

Шаг 4. Необходимо установить и необходимо настроить ПО ViPNet Client на мобильных компьютерах с программными телефонами Cisco IP Communicator.

Необходимо установить ПО ViPNet Client на мобильные компьютеры с программными телефонами Cisco IP Communicator. Как правило, пользователь мобильного компьютера подключается к внешней сети (Интернет) через разные точки доступа с использованием различных способов подключения. Для того, чтобы при различных способах подключения можно было осуществлять соединение с сетью и звонки с программного телефона Cisco IP Communicator без постоянных сетевых перенастроек, рекомендуется в ПО ViPNet Client [Монитор] произвести настройки параметров для различных способов подключения и сохранить их в отдельные конфигурации. Тогда при различных способах подключения для доступа в сеть достаточно будет просто выбрать одну из конфигураций. Для создания новой конфигурации и ее сохранения используйте окно Конфигурации (Рисунок 3.4.).

Необходимо произвести настройки конфигураций в соответствии со следующими рекомендациями:

* В одной конфигурации можно сохранить настройки для работы в своей локальной сети. Необходимо выполнить настройки аналогичные настройкам на стационарных компьютерах, т.е. необходимо настроить работу через ViPNet-координатор локальной сети, обеспечивающий выход во внешнюю сеть.

* Во второй конфигурации можно сохранить настройки для подключения к Интернет, вне локальных сетей офисов через какого-либо провайдера. В этом случае рекомендуется настроить работу через межсетевой экран с динамической трансляцией адресов. Т.е. в окне Настройка\Защищенная сеть установить флажок Использовать межсетевой экран и выбрать тип межсетевого экрана С динамической трансляцией адресов.

Рисунок 3.4. Окно настройки параметров подключения к сети. Работа через МЭ с динамической трансляцией адресов

* В остальных конфигурациях при необходимости можно сохранить другие настройки в зависимости от точки доступа и особенностей подключения к сети. Например, для работы из локальной сети другого офиса следует в окне Настройка\Защищенная сеть выбрать тип межсетевого экрана Координатор и указать ViPNet-координатор локальной сети этого офиса.

* Во всех конфигурациях для всех туннелируемых адресов координаторов кроме координатора, туннелирующего Cisco CallManager, во избежание конфликтов целесообразно установить флажок Использовать виртуальные IP-адреса.

Установка и настройка ViPNet-клиентов на удаленных стационарных компьютерах с Cisco IP Communicator, работающих вне офисов

Шаг 5. Необходимо установить и необходимо настроить ПО ViPNet Client на удаленных стационарных компьютерах с программными телефонами Cisco IP Communicator, автономно подключающихся к сети через провайдера (работающих вне офиса).

Необходимо установить ПО ViPNet Client на стационарные компьютеры с программными телефонами Cisco IP Communicator. Далее рекомендуется настроить работу через межсетевой экран с динамической трансляцией адресов. Т.е. в окне Настройка\Защищенная сеть установить флажок Использовать межсетевой экран и выбрать тип межсетевого экрана С динамической трансляцией адресов.

Для всех туннелируемых адресов координаторов кроме координатора, туннелирующего Cisco CallManager, во избежание конфликтов целесообразно установить флажок Использовать виртуальные IP-адреса.

3.3.3 Дополнительные настройки в зависимости от варианта конфигурации локальной сети

Шаг 6. При необходимости выполнить дополнительные настройки в зависимости от варианта конфигурации локальных сетей.

1. Если в локальных сетях офисов, между которыми организуется защищенное взаимодействие, используются IP-адреса из одинаковых подсетей, то во избежание конфликтов IP-адресов и ошибок маршрутизации необходимо выполнить следующие настройки на туннелирующих ViPNet-координаторах и ViPNet-клиентах:

* В программе ViPNet Coordinator (Client) [Монитор] для координаторов конфликтующих локальных сетей включите использование виртуальных туннелируемых адресов. Для этого в окне Правило доступа соответствующего координатора на вкладке Туннель необходимо установить флажок Использовать виртуальные IP-адреса (по умолчанию эта опция отключена).

2. Если туннелируемые устройства (компьютеры) и ViPNet-клиенты расположены в разных подсетях одной локальной сети, не разделенных ViPNet-координаторами, то между ними можно организовать прямые маршруты, исключив шифрование на участке между ViPNet-клиентами и ViPNet-координатором туннелируемых устройств.

Например, для локальной сети 1 прямые маршруты можно задать между туннелируемыми устройствами из Подсети 2 и ViPNet-клиентами из Подсети 1 (Рисунок 3.1., пример прямого маршрута трафика обозначен оранжевой пунктирной стрелкой).

Для настройки необходимо выполнить следующие действия:

* На ViPNet-клиентах и туннелируемых устройствах в сетевых настройках необходимо задать прямые маршруты между ними, минуя ViPNet-координатор.

* На ViPNet-клиентах в программе ViPNet Client [Монитор] для туннелирующих ViPNet-координаторов своей локальной сети явно укажите список IP-адресов, в адрес которых не требуется шифровать трафик, или полностью отключите шифрование в адреса всех туннелируемых ViPNet-координаторами устройств. Для настройки в окне Правило доступа соответствующего ViPNet-координатора на вкладке Туннель необходимо установить флажок Не туннелировать следующие IP-адреса и укажите IP-адреса, в адрес которых не требуется шифровать трафик, или снимите флажок Использовать IP-адреса для туннелирования.

Еще раз необходимо убедиться, что трафик в адрес туннелируемых устройств, для которых было отключено шифрование, не проходит через туннелирующий ViPNet-координатор. Иначе трафик будет заблокирован ViPNet-координатором!

Замечание: Если туннелируемые устройства расположены в одной подсети с ViPNet-клиентами, то шифрование в адрес таких туннелируемых устройств на ViPNet-клиентах отключено по умолчанию (в программе ViPNet Client [Монитор] в окне Правило доступа для туннелирующего ViPNet-координатора на вкладке Туннель установлен флажок Не туннелировать IP-адреса, входящие в подсеть Вашего компьютера). Пример прямого маршрута трафика обозначен на схеме (Рисунок 3.1.) синей пунктирной стрелкой между туннелируемым устройством и ViPNet-клиентом в Подсети 1.

Заключение

В ходе данной работы я провел анализ незащищенной сети и выявил требования, которые должны быть выполнены для создания системы защиты данной сети. Затем был проведен анализ средств защиты, и выбор наиболее подходящего, на мой взгляд, средства - программно-аппаратного комплекса ViPNet Coordinator на основе технологии Cisco. На основе этого комплекса была реализована система защиты, с помощью которой были реализованы все требования по информационной безопасности: организован закрытый информационный туннель для обмена информацией между локальными сетями через Internet и мобильными абонентами.

Но, как известно, совершенной защиты не бывает. Поэтому необходимо постоянно следить за сетевой активностью, проводить аудит, анализировать подозрительную активность. И если данная система когда-нибудь не сдержит злоумышленника, то в ней должен быть квалифицированный специалист, который сможет распознать злоумышленные действия и пресечь их еще до появления серьезных последствий.

Я считаю, что на сегодняшний день, эта система защиты является наиболее рациональной и достаточно стойкой в своей сфере применения.

Список использованных источников

1. Infotecs, ViPNet Coordinator Рекомендации по построению VPN Руководство администратора/Infotecs, Москва 2010 - 218 с.: ил.

2. Браун, С. Виртуальные частные сети / Браун.. - М.: Лори, 2001. - 503 с.: ил.

3. Дэвидсон Д. Основы передачи голосовых данных по сетям IP. / Д. Питерс, М.Бхатия, С. Калидинди, С. Мукхерки. - М., Спб, Киев: Вильямс, 2007 г. - 397 с. ил.

4. Infotecs, Технология построения виртуальных защищенных сетей ViPNet Windows+Linux версии 3.0. / Infotcs. - М.: 11 - формат, 2008. - 267 с.: ил.

5. Infotecs, Технология построения VPN ViPNet: курс лекций / Infotecs. - М.: Прометей, 2009. - 180 с.: ил.

6. http://www.infotecs.ru/

Размещено на Allbest.ru