9.3 ВЧС и брандмауэры

Брандмауэр представляет собой еще одно средство защиты корпоративной сети. Этот компонент общей системы безопасности строго следит за тем, какие данные могут быть пропущены из Интернета в частную сеть. Известны три способа размещения брандмауэров в виртуальных частных сетях.

Туннельный сервер ВЧС может быть установлен перед брандмауэром, позади него или на одном компьютере с ним. Наиболее высокий уровень защиты достигается при установке сервера перед брандмауэром. В среде Windows NT туннель ВЧС настраивается таким образом, что в сеть проходят только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и в таком виде поступают на брандмауэр, где их содержимое вновь подвергается фильтрации и анализу. Именно такая схема - установка сервера ВЧС перед брандмауэром - рекомендуется для применения в расширенных интрасетях, используемых многочисленными доверенными партнерами, и для защиты финансовых ресурсов. Впрочем, такой совет не универсален, окончательное решение следует принимать в каждом конкретном случае отдельно.

Как уже отмечалось, брандмауэр может устанавливаться и перед сервером ВЧС. При такой схеме серверу приходится анализировать гораздо больше пакетов, чем в описанной выше схеме. Кроме того, возникает опасность прохождения через брандмауэр несанкционированных пакетов PPTP: информация в них зашифрована и сжата, поэтому провести ее фильтрацию брандмауэр не в состоянии. В этом случае возникает угроза неправомерного использования сети служащими, которым предоставляется право доступа в нее. Причем такая внутренняя угроза превращается в повседневную, если служащий получает возможность входить в ЛВС постоянно. Впрочем, подобную конфигурацию, как и связанный с ней риск, можно признать допустимыми для приложений, работающих в интрасетях и подобных им сетевых структурах.

И, наконец, третья схема, к которой могут прибегнуть организации с ограниченными ресурсами, - брандмауэр устанавливается на одном компьютере с сервером ВЧС. При такой конфигурации машина направляет исходящий трафик ВЧС соответствующим получателям, а входящий - на расположенный тут же брандмауэр для анализа. Такой способ является наиболее экономичным, и его вполне можно рекомендовать для применения в интрасетях и для связи в пределах одной компании.

10 Выбор средств ВЧС

Абсолютная безопасность недостижима. Но точно так же нельзя полагать, будто существует абсолютная угроза безопасности. Виртуальные частные сети Microsoft на базе протокола PPTP с применением MPPE-шифрования обеспечивают весьма надежную защиту.

Заложенная в Windows 2000 поддержка протокола L2TP, полная защита канала связи по протоколу IPSec, применение протокола EAP в микропроцессорных карточках, сертификаты Kerberos - все это предоставляет сетевым администраторам богатейший выбор средств обеспечения безопасности, разработанных корпорацией Microsoft и рекомендуемых ею для развертывания виртуальных частных сетей.

10.1 Анализ угроз сетевой безопасности

Приступая к планированию виртуальной частной сети, сетевой администратор первым делом должен провести анализ угроз ее безопасности. Ему необходимо выявить наиболее уязвимые места сети, оценить вероятность различных видов атак на нее и возможные последствия взлома системы защиты.

В ходе анализа следует также учесть, что может понадобиться для внедрения той или иной системы. Скажем, развертывание полномасштабной инфраструктуры шифрования IP Security может потребовать замены всех компьютеров с процессорами 486 и ранних Pentium, которые не способны удовлетворить требования к производительности ЦПУ. А ведь применение IPSec может стать насущной необходимостью, если на серверах сети размещается конфиденциальная информация и высока вероятность попыток их взлома. В таких условиях капиталовложения в развертывание новой инфраструктуры будут вполне оправданными. Те же организации, которые особого интереса для хакеров и конкурентов не представляют, могут вполне ограничиться ВЧС на базе PPTP, не тратясь на модернизацию оборудования.

Благодаря поддержке протокола EAP, заложенной в Windows 2000, компании могут взять на вооружение системы безопасности с микропроцессорными карточками и жетонами аутентификации. Каждый пользователь такой сети получает небольшое устройство размером с кредитную карточку, которое открывает ему доступ в сеть с любого компьютера. Правда, и здесь дополнительный уровень защиты приходится рассматривать через призму повседневных проблем реального мира. Скажем, следует учитывать, что служащим свойственно забывать свои микропроцессорные карточки дома, а то и вообще терять их.

Неоднозначна и практическая оценка сертификатов Kerberos. Они создают дополнительную защиту сети и в ряде случаев без них просто не обойтись. Но неизбежно найдутся сетевые администраторы, которые не решатся взвалить на свои плечи такую сложнейшую задачу, как интеграция сети с инфраструктурой открытых ключей.

10.2 Безопасность и требования к паролю

Простота развертывания и управления, дополненная высочайшим уровнем безопасности и шифрованием данных по протоколу MPPE, - вот что делает виртуальные частные сети Microsoft на базе протокола PPTP одной из самых популярных сетевых сред. Конечно, каждому администратору приходится самостоятельно искать и находить именно ту систему, которая в наибольшей степени отвечает требованиям, выработанным в ходе анализа угроз сетевой безопасности. Однако большинство организаций, включая саму Microsoft, уже убедились в том, что ВЧС на базе PPTP обеспечивают высочайший уровень защиты информации и вполне подходят большинству компаний.

Аутентификацией по паролю, предусмотренной протоколом PPTP, управлять намного легче, чем системами на базе микропроцессорных карточек и сертификатов, но здесь есть свои подводные камни. Чтобы добиться безопасности своей ВЧС на базе PPTP (в дополнение к сетевым ресурсам), администратору нужно разработать правила использования паролей, предусматривающие:

применение только паролей Windows NT;

использование сложных символьных последовательностей (перемежающихся в случайном порядке строчных и прописных букв, цифр, знаков препинания) и определение минимально допустимой длины пароля;

регулярную смену пароля.

Хорошо продуманная политика в области безопасности должна также предусматривать и практические меры, способствующие ее выполнению. К сожалению, приходится периодически напоминать пользователям даже о том, чтобы они не демонстрировали свой пароль окружающим, оставляя его на экране монитора.

10.3 Возможности реализаций VPN на различных версиях Windows.

	Windows 9x	Windows NT	Windows 2000
Работа в качестве клиента ВЧС	+	+	+
Работа в качестве сервера ВЧС	-	+	+
Поддержка протокола PPTP	+	+	+
Поддержка протокола L2TP	-	-	+
Необходимость дополнительной установки протоколов для работы с ВЧС	+	+	-

10.4 Часто задаваемые вопросы при выборе средств VPN

Есть ли различия в обеспечении безопасности удаленного доступа и доступа в ВЧС?

Конечно. Так, в виртуальных частных сетях ощущается гораздо большая потребность в шифровании. Здесь трафик проходит через Интернет, где вероятность его перехвата гораздо выше, чем в телефонных каналах. Чтобы подслушать телефонный разговор, достаточно получить физический доступ к кабелю или коммутатору телефонной компании. Конечно, бывает и так, хотя злоумышленнику приходится преодолевать значительные трудности. В Интернете же путь от PPTP-клиента к PPTP-серверу пролегает через множество промежуточных устройств (коммутаторов, серверов имен и так далее). А чем больше промежуточных звеньев, тем легче злоумышленнику проникнуть в одно из них, чтобы перехватить трафик данных или перенаправить его.

Немало найдется и таких хакеров, которые попытаются взломать сам сервер ВЧС, более уязвимый, чем сервер удаленного доступа по коммутируемым каналам. Это лишний раз подчеркивает важность аутентификации пользователей, подключающихся к серверу ВЧС, и необходимость применения надежных паролей.

Можно ли сказать, что ВЧС на базе IPSec безопаснее виртуальных сетей на базе PPTP?

Не обязательно. Какой бы протокол ни применялся, безопасность ВЧС на его базе зависит от многих аспектов практической реализации сетевых компонентов. Большинство современных реализаций IPSec поддерживают сертификаты открытого ключа и, теоретически, способны генерировать более стойкие ключи, чем механизмы на базе общих паролей. Однако почти все они полагаются исключительно на машинные сертификаты и, следовательно, не производят аутентификацию пользователя. То есть, доступ здесь предоставляется не пользователю, а машине, - кто же работает за ней в данный момент, никому не известно. Стандартное требование для доступа в ВЧС - обязательная проверка полномочий. Если сопоставить все эти положения, то становится ясно: в тех случаях, когда клиентский компьютер доступен более, чем одному пользователю, одних машинных сертификатов для управления доступом недостаточно - это создает брешь в системе обеспечения безопасности.

Можно ли сказать, что ВЧС на базе L2TP безопаснее виртуальных сетей на базе PPTP?

Тоже не обязательно. Как и в случае с другими средствами создания ВЧС, безопасность сетей на базе L2TP во многом определяется особенностями их практической реализации. Безопасность стандартных ВЧС такого типа достигается за счет применения протокола IPSec, который обеспечивает конфиденциальность и одновременно контролирует целостность сообщений. При этом, как правило, одновременно используется и аутентификация по протоколу РРР, которая позволяет проверить, кто именно подключается к сети. Следовательно ВЧС на базе L2TP с применением IPSec способны обеспечить надежную защиту информации в самых разных условиях.

Можно ли сказать, что межсерверные ВЧС безопаснее клиент-серверных виртуальных сетей?

В пользу межсерверных ВЧС говорит целый ряд факторов. Так, здесь могут использоваться более длинные, и к тому же кажущиеся бессмысленными, пароли - ведь они хранятся, как правило, на жестком диске, и их не нужно вводить вручную. Однако такие потенциальные преимущества в полной мере сказываются лишь в тех случаях, когда через серверы проходит весь трафик ВЧС. К тому же межсерверные системы предъявляют особо жесткие требования к физической защите серверов.

11 Создание виртуального частного подключения в Windows 2000

11.1 Создание подключения к удаленному серверу

1. В «Панели управления» открываем папку «Сеть и удаленный доступ к сети».

2. Нажимаем на «Создание нового подключения». Появляется следующее окошко:

Рисунок 8

Нажимаем кнопку «Далее».

3. Видим:



Рисунок 9

Выбираем «Подключение к виртуальной частной сети через Интернет» и нажимаем «Далее».

4. Опять вылезает окно следующего содержания:

Рисунок 10

Здесь мы вводим IP-адрес сервера, с которым мы хотим установить VPN-соединение, «Далее».

5. Следующее окно:

Рисунок 11

Здесь я выбрал «только для меня» (так захотелось), «Далее».

6. Следующее окно:

Рисунок 12

Здесь мы вводим название подключения, «Готово».

7. Итак, в окне «Сеть и удалённый доступ к сети» появился значок с названием подключения, давайте посмотрим:

Рисунок 13

8. Что же теперь? А теперь мы легко устанавливаем VPN-соединение, нажав на вышеописанный значок:

Рисунок 14

Здесь мы вводим имя и пароль. Посмотрим, что произойдёт дальше!

9. А дальше происходит следующее:

Рисунок 15

Рисунок 16

Рисунок 17

Ну, конечно, случаются некоторые неприятности:

Рисунок 18

Примем это как есть. И вот награда за столь трудоёмкие затраты энергии:

Рисунок 19

10. После этого на панели задач справа появляется значок «Состояние подключения». Интересно, а что же там? А там вот что:

Рисунок 20

11. Посмотрим закладку «Сведения»:

Рисунок 21

11.2 Создание входящего подключения

Теперь нам необходимо настроить Windows2000 на приём VPN-подключений.

1. Опять нажимаем «Создание нового подключения», «Далее» и выбираем «Принимать входящие подключения»:

Рисунок 22

Естественно, нажимаем «Далее».

2. Вот что появляется дальше:

Рисунок 23

Здесь всё понятно, «Далее».

3. На данном этапе и определяется возможность VPN-подключения к вашему компьютеру:

Рисунок 24

4. Здесь мы выбираем пользователей, которые смогут подключаться к компьютеру:

Рисунок 25

5. Теперь выбираем используемые сетевые компоненты для подключения:

Рисунок 26

6. Далее мастер сетевого подключения предложит название соединения. Оставим его: «Входящие подключения».

7. Теперь посмотрим на свойства VPN-подключения. Для этого в окне «Сеть и удалённый доступ к сети» наведём на значок нашего соединения «В этом и заключается моя курсовая работа», нажмём правую кнопку мыши и выберем «Свойства».

8. Закладка «Общие». Здесь можно указать IP-адрес компьютера, с которым мы будем устанавливать VPN-соединение, а так же указать номер телефона:

Рисунок 27

9. Закладка «Параметры». Здесь указываются Параметры набора номера и Параметры повторного звонка:

Рисунок 28

10. Закладка «Безопасность». Здесь у нас имеется два пункта «Параметров безопасности»: «Обычные» и Дополнительные».

Рисунок 29

В меню «При проверке используется:» можно выбрать либо «Безопасный пароль», либо «Смарт-карта».

Если выбрать пункт «Дополнительные» и нажать «Настройка», то вылезет следующее окно:

Рисунок 30

В меню «Шифрование данных» можно выбрать три пункта:

- обязательное (отключиться если нет шифрования)

- необязательное (подключиться даже без шифрования)

- неразрешено (отключиться если требуется шифрование)

В меню «Безопасный вход» имеется два пункта:

1) Протокол расширенной проверки подлинности. Здесь имеется список методов проверки подлинности, доступных на компьютере.

2) Разрешить следующие протоколы. Здесь указывается, какие протоколы разрешить/не разрешить.

11. Закладка «Сеть». Здесь можно выбрать тип вызываемого сервера VPN: Автоматически, Туннельный протокол точка-точка (PPTP) и туннельный протокол второго уровня (L2TP). Так же имеется список доступных для использования сетевых компонентов.

Рисунок 31

12. Закладка «Общий доступ».

Рисунок 32

Если навести на «Общий доступ» и нажать правую кнопку мыши, то появится следующая подсказка:

Рисунок 33

12 Создание виртуального частного подключения в Windows NT

12.1 Установка протокола PPTP

Установка протокола PPTP (в нашем случае он уже установлен). В «Панели управления» дважды щелкаем на папку «Сеть». Затем смотрим закладку «Протоколы»:

Рисунок 34

Нажимаем на кнопку “Add” (Добавить), выбираем Point to Point Tunneling Protocol, нажимаем ОК:

Рисунок 35

Чтобы посмотреть конфигурацию PPTP, нужно нажать правой кнопкой на Point to Point Tunneling Protocol:

Рисунок 36

Здесь можно выбрать количество одновременных подключений к серверу.

12.2 Добавление VPN устройств на PPTP сервер

Наводим курсор на Remote Access Service и нажимаем Properties.



Рисунок 37

Затем для добавления VPN-устройства нужно нажать Add и выбрать VPN-устройство:

Рисунок 38

Устройство добавлено:

Рисунок 39

Для конфигурирования VPN-устройства нажимаем Configure:

Рисунок 40

Здесь имеются следующие возможности:

· Только исходящие звонки

· Только входящие звонки

· Исходящие и входящие звонки

Выбираем «исходящие и входящие звонки». Теперь сервер может принимать и создавать VPN-соединения.

PPTP в большинстве случаев используется для создания безопасных соединений через Интернет. Таким образом, PPTP клиент должен иметь две записи в своей телефонной книге:

1) для соединения с Интернет-провайдером

2) для соединения с PPTP сервером

Однако если использовать PPTP для соединения с другим компьютером по локальной сети, необходимо иметь только одну запись в телефонной книге.

12.3 Создание записи в телефонной книге для подключения к провайдеру Интернета

Запускаем программу Dial-Up Networking (Start, Accessories). В появившемся окне вводим имя новой записи и нажимаем «Next». Во вновь появившемся окне выбираем I am calling the Internet и нажимаем «Next»:

Рисунок 41

В следующем окне выбираем модем, нажимаем «Next». Далее появляется окно, в котором мы вводим телефонный номер провайдера, нажимаем «Next». Новая запись сделана. Можно редактировать запись нажав «More», «Edit entry and modem properties». Появиться окно с открытой закладкой «Basic»:

Рисунок 42

Здесь можно ввести имя записи, другой номер телефона и т.д.

Закладка «Server». Здесь можно выбрать тип сервера, используемые протоколы, установить сжатие данных:

Рисунок 43

Закладка «Security». Здесь выбирается политика шифрования и аутентификации:

Рисунок 44

12.4 Создание записи в телефонной книге для подключения к PPTP серверу

Здесь необходимо произвести операции, описанные выше, за исключением следующих:

- в окне выбора модема нужно выбрать устройство RASPPTPM(VPN1), нажать «Next»

- в появившемся окне вместо телефонного номера ввести IP-адрес сервера

Появилась новая запись:

Рисунок 45

Для редактирования записи нужно нажать «More», «Edit entry and modem properties»:

Рисунок 46

Теперь можно подключиться к PPTP серверу. В окне Dial-Up Networking выбираем запись для подключения к PPTP серверу и нажимаем «Dial». После проверки имени и пароля появляется окно:

Рисунок 47

Соединение произведено успешно.

В правом углу «Панели задач» появляется значок Dial-Up Networking Monitor. Если щёлкнуть на него, появиться окно:

Рисунок 48

13 Создание виртуального частного подключения в Windows 9х

Microsoft Windows 9x имеет весьма скромные возможности для создания VPN-соединений по сравнению c Windows NT и тем более с Windows 2000. Здесь можно работать только в качестве PPTP клиента.

13.1 Установка Адаптера виртуальной частной сети Microsoft

Сначала необходимо установить адаптер виртуальной частной сети Microsoft. В «Панели управления» дважды щелкаем на папку «Сеть». Затем нажимаем кнопку «Добавить», выбираем тип устанавливаемого устройства - Сетевая плата и снова нажимаем «Добавить». В появившемся окне выбираем Изготовитель: Microsoft, Сетевая плата: Адаптер виртуальной частной сети Microsoft. Так же необходимо установить «Контроллер удалённого доступа»:

Рисунок 49

После проделанных операций закладка «Конфигурация» папки «Сеть» будет иметь следующий вид:

Рисунок 50

13.2 Создание VPN-соединения

1. Теперь можно приступить к созданию VPN-соединения. Для этого в папке «Удаленный доступ к сети» дважды щелкаем на значок «Новое соединение». Появляется следующее окно:

Рисунок 51

Здесь вводим название соединения, выбираем Microsoft VPN Adapter и нажимаем «Далее».

2. Во вновь появившемся окне вводим IP-адрес VPN-сервера:

Рисунок 52

3. В папке «Удаленный доступ к сети» появляется значок с названием соединения:

Рисунок 53

4. Дважды щёлкаем на значок с нашим VPN-соединением. В появившемся окне вводим имя и пароль и нажимаем «Подключиться»:

Рисунок 54

5. Далее происходит следующее:

Рисунок 55

7. Соединение произведено успешно:

Рисунок 56

14 Использование программы Sniffer Pro для просмотра содержимого пакетов

Для того чтобы просмотреть в каком виде передаются данные по протоколу PPTP использовался анализатор сети Sniffer Pro 2.5 (рисунок 57).

При VPN соединении клиента Windows 98 с сервером Windows2000 было перехвачено 100 пакетов.

Рисунок 57 - перехваченные пакеты

Окно разделено на три части: основная информация, детальная информация и содержимое пакета в шестнадцатеричном виде.

Основная информация содержит записи о перехваченных пакетах. Каждая запись содержит адрес отправителя, адрес получателя, протокол, длину пакета, время с начала перехвата, временную разницу между первым перехваченным пакетом и последующим и дату перехвата.

PPTP посылает управляющую информацию через протокол TCP, а данные - через протокол Generic Routing Encapsulation (GRE).

На рисунке 57 видно, что в основном идёт обмен пакетами по протоколу GRE.

Посмотрим содержимое пакетов переданных с помощью протокола GRE.

Рисунок 58 - перехваченные пакеты

На рисунке 58 видна детальная информация о пакете, а также содержимое пакета. До места отмеченного серым цветом идет служебная информация о пакете, а далее сами данные в зашифрованном виде.

Посмотрим еще пакет:

Рисунок 59 - перехваченные пакеты

Для сравнения посмотрим пакет переданный по протоколу TCP:

Рисунок 60 - перехваченные пакеты

На рисунке 60 видно, что пакет не содержит зашифрованных данных. До места отмеченного серым цветом идёт информация об IP, а затем о TCP.

Заключение

Защита сети - процесс динамичный. Здесь приходится постоянно искать компромисс, который бы позволил надежно защитить информацию, не тормозя работу самой сети и не снижая производительность всей организации.

Средства ВЧС, разработанные Microsoft, обеспечивают высочайший уровень безопасности. Они открывают перед организациями все достоинства такой удобной и экономичной технологии, как туннелирование трафика в общедоступных сетях, и при этом надежно блокируют несанкционированный доступ к информации через черный ход.

Microsoft продолжает развивать свои технологии виртуальных частных сетей, чтобы предложить пользователям хорошо интегрированные и безопасные средства организации ВЧС. Применение протокола PPTP дает организациям возможность легко и с минимальными затратами прокладывать туннели через общедоступные сети, предупреждая при этом несанкционированное их использование. Возможности PPTP прекрасно дополняет протокол MPPE, обеспечивающий дополнительное шифрование данных, передаваемых по туннелю. А протоколы L2TP, IPSec и EAP, поддержка которых предусмотрена в Windows 2000, сделают доступными и другие методы аутентификации, включая применение микропроцессорных карточек.

Прекрасно осознавая динамический характер сетевых угроз, Microsoft пытается предвосхитить будущие требования к безопасности сетей, для чего обращает повышенное внимание на развитие средств защиты сетевых операций. Ее усилия в этой области привели к дальнейшему повышению безопасности ВЧС на базе PPTP за счет:

расширенной аутентификации по протоколу MS-CHAP;

применения для аутентификации более стойких паролей;

применения дополнительных средств шифрования на базе протокола MPPE;

защиты канала управления.

Организациям приходится иметь дело с самыми различными угрозами безопасности. Некоторые сети, особенно те, где циркулирует строго конфиденциальная информация и существует высокая вероятность попыток взлома, требуют применения самых надежных систем защиты. Для других же вполне достаточно развертывания базовой ВЧС, дополненной, возможно, шифрованием данных.