Построение защиты нескольких локальных сетей, связанных через Internet без Proxy-серверов

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Постановка задачи. Построение структуры незащищенной автоматизированной системы. Разработка требований к защите

Построим и рассмотрим схему незащищенной автоматизированной системы, которую в рамках курсового проекта нам предстоит обезопасить (рисунок 1).

Рисунок 1 - Схема незащищенной автоматизированной системы

Имеются две локальных сети (LAN 1 - главный офис и LAN 2 - филиал), принадлежащие одной организации. Локальные сети объединены при помощи сети Интернет. Очевидно, что использование публичных сетей как транспорта для передачи информации между локальными сетями не может быть безопасным, если информация передается в открытом виде. Используя Интернет, мы не в состоянии контролировать ни маршрут, ни количество лиц, которые могли иметь доступ к нашим данным, ни их намерения или действия. Вопросы защиты информации при работе с публичными сетями выходят на первый план.

С точки зрения пользователей соединения могут устанавливаться между любыми узлами этих локальных сетей. На самом же деле реальные соединения устанавливаются через маршрутизаторы, своего рода «черные ящики», которые выступают в качестве посредников. Их задача - обработать идущий между ними сетевой трафик таким образом, чтобы злоумышленник или просто внешний наблюдатель не мог совершить с передаваемой информацией какого-либо действия, приводящего к ущербу (нарушение конфиденциальности, целостности и подлинности). Значит, передаваемая информация, включая адреса ее получателя и отправителя, должна быть зашифрована и криптографически подписана. Еще одна задача маршрутизаторов - защита самих локальных сетей от несанкционированного доступа к ним из глобальной сети. Из этого следует, что внешний наблюдатель должен увидеть в сети лишь зашифрованный обмен информацией между двумя «черными ящиками» и ничего более.

Кроме того, весь информационный обмен внутри каждой сети также должен быть безопасным - т. е. шифроваться и подписываться.

Так же следует предусмотреть возможность масштабирования - выбранное решение для реализации VPN должно гибко и легко распространяться на подключаемые локальные сети.

В качестве дополнительного требования можно ввести ограничение на доступ к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

1.2 Понятие виртуальной частной сети, решаемые задачи и требования к реализации

Перечисленным выше требованиям к организации защиты описанной системы (рисунок 2) как раз и удовлетворяют технологии построения виртуальных частных сетей.

Существует множество определений виртуальной частной сети [1,2,5,6], однако в рамках поставленной курсовым проектом задачи под виртуальной частной сетью (VPN - Virtual Private Network, Virtual Protected Network - виртуальная защищенная сеть) будем понимать технологию, объединяющую доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия [1]. Основная идея данного определения заключается в удовлетворении указанных требований и отражена на рисунке 2.

Требования, предъявляемые к реализующим VPN программно-аппаратным комплексам, можно сформулировать следующим образом [1]:

? масштабируемость - возможность со временем подключать новые локальные сети без необходимости изменения структуры имеющейся VPN;

? интегрируемость - возможность внедрения VPN-системы в имеющуюся технологию обмена информацией;

? легальность и стойкость используемых криптоалгоритмов - система должна иметь соответствующий сертификат, позволяющий ее использовать на территории Российской Федерации с целью защиты информации ограниченного доступа;

? высокая пропускная способность сети - система не должна существенно увеличивать объем передаваемого трафика, а также уменьшать скорость его передачи;



Рисунок 2 - Требования к защите автоматизированной системы

? унифицируемость - возможность устанавливать защищенные соединения с коллегами по бизнесу, у которых уже установлена иная VPN-система;

? низкая общая совокупная стоимость - затраты на приобретение, развертывание и обслуживание системы не должны превосходить стоимость самой информации.

1.3 Угрозы безопасности при передаче конфиденциальной информации по открытым каналам и способы их исключения технологией VPN

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов [2]:

? несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

? несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

? аутентификации взаимодействующих сторон;

? криптографическом закрытии (шифровании) передаваемых данных;

? проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.

Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью.

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений. Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети [2,4].

Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.

Таким образом, технология VPN позволяет реализовать защиту от угроз, связанных с передачей информации по открытым каналам, решая тем самым пункты первый и третий поставленной курсовым проектом задачи.

1.4 Классификации частных виртуальных сетей

Наиболее часто используются следующие три признака классификации VPN [4]:

* конфигурация структурно-технического решения;

* способ технической реализации;

* рабочий уровень модели OSI.

1.4.1 Классификация VPN по архитектуре технического решения

По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей [4]:

? VPN с удаленным доступом;

? внутрикорпоративные VPN;

? межкорпоративные VPN.

Виртуальные частные сети VPN с удаленным доступом (Remote Access) предназначены для обеспечения защищенного удаленного доступа к корпоративным информационным ресурсам мобильным и/или удаленным (home-office) сотрудникам компании.

Внутрикорпоративные сети VPN (intranet-VPN) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии.

Межкорпоративные сети VPN (extranet-VPN) обеспечивают сотрудникам предприятия защищенный обмен информацией со стратегическими партнерами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т.д. В межкорпоративных сетях большое значение придается контролю доступа посредством межсетевых экранов и аутентификации пользователей.

Согласно данной классификации разрабатываемая архитектура VPN для защиты локальных сетей без Proxy-серверов будет относиться к типу Intranet-VPN.

1.4.2 Классификация VPN по способу технической реализации

По способу технической реализации различают следующие группы VPN [1,2,4,8]:

? VPN на основе сетевой операционной системы;

? VPN на основе межсетевых экранов;

? VPN на основе маршрутизаторов;

? VPN на основе программных решений;

? VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

VPN на основе сетевой ОС

Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол РРТР, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC (Primary Domain Controller). При подключении к РРТР-серверу пользователь авторизуется по протоколам PAP, CHAP или MS CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption с 40-битовым ключом, получаемым при установлении соединения.

В качестве достоинства приведенной схемы следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений. Несовершенство такой системы - недостаточная защищенность протокола РРТР.

VPN на основе маршрутизаторов

Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.

VPN на основе межсетевых экранов

Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.

К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.

VPN на основе программного обеспечения

Для построения сетей VPN также применяются программные решения. При реализации подобных схем используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.

VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами

Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Недостаток подобного решения - его высокая стоимость.

В целях экономической выгоды было решено функции туннелирования возложить на встроенные средства маршрутизатора, а защиту циркулирующей информации в локальной сети - на встроенные средства Windows, в частности, использующие протокол IPSec.

1.4.3 Классификация VPN по рабочему уровню ЭМВОС

Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал (secure channel).

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI). Рассмотрим упрощенную модель OSI, реализованную в стеке протоколов TCP/IP. Эта модель предполагает наличие четырех уровней: прикладного, транспортного, сетевого и канального. Соответственно, для каждого уровня возможность шифрования передаваемой информации различна. Так, на прикладном уровне можно скрыть данные, например, электронного письма или получаемой web-страницы. Однако факт передачи письма, т.е. диалог по протоколу SMTP скрыть невозможно. На транспортном уровне может быть вместе с данными скрыт и тип передаваемой информации, однако IP-адреса получателя и приемника остаются открытыми. На сетевом уровне уже появляется возможность скрыть и IP-адреса. Эта же возможность имеется и на канальном уровне.

VPN строятся на достаточно низких уровнях модели OSI. Чем ниже уровень, тем легче сделать систему, функционирование которой будет незаметно для приложений высокого уровня, и тем большую часть передаваемой информации можно скрыть. Однако здесь возникает другая проблема - зависимость протокола защиты от конкретной сетевой технологии. Если для защиты данных используется протокол одного из верхних уровней, то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, то есть для приложений подобный протокол не является прозрачным.

Для каждого уровня модели разработаны свои протоколы (таблица 1).

Таблица 1 - Уровни защищенных каналов и протоколы

Прикладной	S/MIME / PGP / SHTTP
Транспортный	SSL / TLS / SOCKS
Сетевой	IPSec / SKIP
Канальный	PPTP / L2F / L2TP

От выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствами защиты.

Так, на прикладном уровне для защиты электронной почты применяется протокол S/MIME (Secure Multipurpose Internet Mail Extension) либо система PGP. Для защиты обмена по протоколу HTTP применяется протокол SHTTP (Secure HTTP). На данном уровне шифруется текст передаваемого почтового сообщения или содержимое HTML-документа. Недостатками организации VPN на базе протоколов прикладного уровня является узкая область действия. Протокол защищает только вполне определенную сетевую службу - файловую, гипертекстовую или почтовую. Так как существует жесткая связь между используемым стеком протоколов и приложением, для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола.

На транспортном уровне чаще всего применяются протоколы SSL (Secure Socket Layer) и его более новая реализация -- TSL (Transport Layer Security). Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS. Также применяется протокол SOCKS, где клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.

Особенность протоколов транспортного уровня - независимость от прикладного уровня, хотя чаще всего шифрование осуществляется для передачи по протоколу HTTP (режим HTTPS). Недостатком является невозможность шифрования IP-адресов и туннелирования IP-пакетов.

На сетевом уровне используются два основных протокола: SKIP (Simple Key management for Internet Protocol - простое управление ключами для IP-протокола) и IPSec. На данном уровне возможно как шифрование всего трафика, так и туннелирование, включающее скрытие IP-адресов. На сетевом уровне строятся самые распространенные VPN системы.

Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа «точка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). Канальный уровень представлен протоколами PPTP (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) и L2TP (Layer-2 Tunneling Protocol). Достоинством данного уровня является прозрачность не только для приложений прикладного уровня, но и для служб сетевого и транспортного уровня. В частности, достоинством является независимость от применяемых протоколов сетевого и транспортного - это может быть не только IP-протокол, но и протоколы IPX (применяется в локальных сетях с серверами на основе ОС Novell Netware) и NetBEUI (применяется в локальных сетях Microsoft). Шиф-рованию подлежат как передаваемые данные, так и IP-адреса.

В каждом из указанных протоколов по-разному реализованы алгоритмы аутентификации и обмена ключами шифрования.

Для обеспечения масштабируемости, оптимального соотношения между прозрачностью для приложений и качества защиты при передаче по публичным каналам решено использовать VPN, реализованную на сетевом уровне OSI.

1.5 Защита данных на сетевом уровне

На сетевом уровне применяются два основных алгоритма: SKIP и IPSec. Различие в алгоритмах, главным образом, состоит в способе генерации и передачи ключей для шифрования содержимого пакетов.

1.5.1 Протокол SKIP

Протокол SKIP (Simple Key management for Internet Protocol - простое управление ключами для IP-протокола) разработан компанией Sun Microsystems в 1994 году. Основными его свойствами являются: аппаратная независимость, прозрачность для приложений и независимость от системы шифрования. Последнее очень важно ввиду того, что в большинстве стран мира, включая и Россию, существуют ограничения на применяемые в данной стране стандарты шифрования передаваемых данных. Таким образом, при реализации алгоритма в каждой стране может быть применен свой стандарт шифрования, в частности в России применяется симметричный алгоритм ГОСТ 28147-89. Широко известная реализация -- линейка программных продуктов «Застава» российской компании «ЭЛВИС+».

1.5.2 Протокол IPSec

Протокол IPSec позволяет осуществлять две важнейшие функции сетевой защиты - осуществлять криптографическую защиту трафика и выполнять фильтрацию входящих/исходящих пакетов. Протокол реализован в ОС Windows 2000/XP. Протокол обеспечивает аутентификацию участников сетевого обмена (протокол IKE - Internet Key Exchange), защиту целостности (заголовок аутентификации AH - Authentication Header) и шифрование (ESP - Encapsulating Security Payload)

Аутентифицирующий заголовок (AH) выполняет защиту от атак, связанных с несанкционированным изменением содержимого пакета. Для этого особым образом применяется алгоритм MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа, затем от объединения полученного результата и преобразованного ключа.

Заголовок ESP служит для обеспечения конфиденциальности данных, предполагает возможность использования любого симметричного алгоритма шифрования.

Протокол обмена ключами IKE отвечает за первоначальный этап установки соединения, способ инициализации защищенного канала, процедуры обмена секретными ключами, выбор метода шифрования. Предполагает три различных способа аутентификации: технологию «вызов-ответ» с использова-нием хэш-функции с общим секретным ключом, применение сертификатов открытых ключей и использование протокола Керберос.

Протоколы аутентифицируещего заголовка и инскапсулирующей защиты содержимого поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаюся целиком, включая их заголовки

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь, инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами ATM, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

Таким образом, протокол IPSec, используемый на сетевом уровне, представляет компромиссный вариант для решения поставленной курсовым проектом задачи. С одной стороны, он прозрачен для приложений, а с другой, может работать практически во всех сетях, так как основан на широко распространенном протоколе IP.

Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками.

Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных.

Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования.

Протокол IKE позволяет защитить передаваемую информацию от постороннего вмешательства, решая задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами.

1.6 Выводы

1. Таким образом, к защите локальных сетей, использующих для взаимодействия публичные каналы, предъявляются следующие требования:

- соединения могут устанавливаться между любыми узлами этих локальных сетей;

- информация, проходящая через Интернет, должна защищаться;

- виртуальная защищенная сеть была невидима для всех, кто в нее не входит;

- весь информационный обмен внутри каждой сети также должен быть безопасным - т. е. шифроваться и подписываться;

- выбранное решение для реализации VPN должно гибко и легко распространяться на вновь подключаемые локальные сети.

2. Для снижения экономических затрат было решено функции туннелирования, обеспечивающего первые три пункта требований, возложить на встроенные средства маршрутизатора, а защиту циркулирующей информации в локальной сети и ограничение Интренет-трафика - на встроенные средства Windows, использующие, в частности, протокол IPSec.

2. ЭКСПЕРИМЕНТАЛЬНАЯ ЧАСТЬ

2.1 Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec

Итак, перед нами стоит задача: объединить при помощи VPN-туннеля сети главного и удалённого офисов, с тем, чтобы обеспечить безопасный обмен корпоративными данными, а также прозрачный защищённый доступ к Intranet-ресурсам сети главного офиса пользователям сети удалённого офиса через небезопасный Интернет (рисунок 3). Оба офиса имеют выделенное подключение к Интернет с реальными статическими IP-адресами. Для осуществления задачи в качестве бюджетного решения были выбраны маршрутизаторы D-link DI-804HV стоимостью 2000 рублей.

Данный маршрутизатор поддерживает протокол IPSec для обеспечения безопасности соединений (использует алгоритм IP EPS). Максимальное количество IPSec туннелей - 40.

DI-804V оснащен 4-х портовым коммутатором 10/100 Мбит/с, обеспечивая готовое решение для подключения серверов и рабочих станций, а также сервером DHCP, что позволяет автоматически распределять IP-адреса для всех компьютеров внутренней сети.

DI-804V выполняет функции Интернет-шлюза, предоставляя доступ в Интернет всем сотрудникам офиса, используя одно подключение к провайдеру через Ethernet WAN порт или подключенный к нему кабельный/DSL модем.

DI-804HV обеспечивает защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведет протокол попыток хакерских атак типа отказ в обслуживании. SPI проверяет заголовки всех входящих пакетов, прежде чем разрешить прохождение пакета. Устройство обеспечивает обнаружение атак следующих типов: Syn flood, ICMP flood, UDP flood, «ping of death», IP spoofing, land, tear drop, Win Nuke,



Маршрутизаторы имеют следующие настройки.

LAN 1:	LAN 2:
WAN IP 20.0.0.10	WAN IP 15.0.0.10
WAN Mask 255.255.255.0	WAN Mask 255.255.255.0
WAN gateway 20.0.0.20	WAN gateway 15.0.0.20
LAN IP 192.168.1.1	LAN IP 192.168.0.1
LAN Mask 255.255.255.0	LAN Mask 255.255.255.0

Шаг 1. Настройка WAN (внешнего IP) и LAN (внутреннего IP маршрутизатора).

1. Так как внутренний IP-адрес DI-804HV по умолчанию 192.168.0.1, то компьютеру, с которого конфигурируется DI-804HV, нужно назначить IP- адрес типа 192.168.0.х. Это делается следующей цепочкой действий. Нажимаем «Пуск», в выпадающем окне выбираем «Сетевое окружение» (рисунок 4).

Рисунок 4 - Вызов окна «Сетевое окружение»

В появившемся окне в «Сетевые задачи» выбираем пункт «Отобразить сетевые подключения». В открывшемся списке существующих сетевых подключений выбираем «Подключение по локальной сети», использующее адаптер Ethernet. Щелкаем правой кнопкой мыши и в контекстном меню выбираем «Свойства» (рисунок 5).

Рисунок 5 - Вызов свойств подключения по локальной сети

В списке протоколов и сетевых служб выбираем «Протокол Интернета (TCP/IP)», жмем кнопку «Свойства» (рисунок 6).

Устанавливаем IP-адрес 20.0.0.10 (внутренний адрес станции), маску подсети 255.255.255.0, основной шлюз - 192.168.0.1 (внутренний адрес маршрутизатора) как на рисунке 7.

По окончании ввода нажимаем кнопку OK и закрываем свойства сетевого подключения.

Рисунок 6 - Свойства подключения по локальной сети



Рисунок 7 - Установка свойств протокола TCP/IP

2. Запускаем браузер, отключам использование прокси-сервера (В Mozilla Firefox - рисунок 8: Инструменты - Настройки - вкладка «Дополнительные» - вкладка «Сеть» - Настройка параметров доступа в Интернет - кнопка «Настроить»). В адресной строке набираем внутренний адрес маршрутизатора - 192.168.0.1.

Рисунок 8 - Отключение использования браузером прокси-сервера

3. В окне авторизации в поле логин вводим - «Admin», поле пароля оставляем пустым.

4. На вкладке Home выбираем статический IP-адрес (Static IP Address). Указываем внешний IP маршрутизатора (WAN IP Address) 15.0.0.10, маску подсети (WAN Subnet Mask) 255.255.255.0, шлюз по умолчанию (WAN Gateway) 15.0.0.20, первичный (Primary DNS) 20.0.0.31 и вторичный DNS (Secondary DNS) 20.0.0.32 (рисунок 9).

Рисунок 9 - Настройка WAN

5. Задаём внутренний IP-адрес маршрутизатора (LAN IP Address) 192.168.0.1, соответствующую маску подсети (LAN Mask) 255.255.255.0 (рисунок 10).



Рисунок 10 - Настройка LAN

Шаг 2. Настройка VPN.

1. В маршрутизаторе DI-804HV возможно два метода настройки VPN: IKE (Internet Key Exchange - стандартный протокол IPsec) и Manual. Настройку VPN проводим используя IKE. Напротив ID1 в поле «Tunnel Name» вписываем название туннеля, в выпадающем меню «Method» выбираем IKE, нажимаем кнопку «More» (рисунок 11).

2. В окне, отображенном на рисунке 12, необходимо задать: адрес локальной подсети (Local Subnet), маску локальной подсети (Local Netmask), адрес удалённой подсети (Remote Subnet), маску удалённой подсети (Remote Netmask). В поле «Remote Gateway» задаём внешний IP-адрес удалённого VPN маршрутизатора. В поле «Preshare Key» - задаём первичный ключ, который будет использоваться механизмом IKE для организации VPN-туннеля. Этот ключ должен быть одинаковым на обоих концах VPN-туннеля.



Рисунок 11 - Выбор метода туннелирования

Рисунок 12 - Настройка туннеля

3. Нажимаем на кнопку «Select IKE Proposal …» и попадаем в меню Set IKE Proposal. Заполняем соответствующие поля, как показано на рисунке 13. Выбираем в выпадающем меню «Proposal ID» -- «1» и нажимаем кнопку «Add to». Далее «Apply».



Рисунок 13 - Настройки IKE

4. Теперь заходим в меню «Set IPSEC Proposal». Заполняем соответствующие поля, как показано на рисунке 14. Выбираем в выпадающем меню «Proposal ID» -- «1» и нажимаем кнопку «Add to». Далее «Apply».

5. По окончании настройки перезагружаем маршрутизатор нажатием на кнопку «Restart».



Рисунок 14 - Настройки IPSec

Шаг 3. Настройка второго маршрутизатора DI-804HV.

1. Настройки «IKE Proposal» и «IPSEC Proposal» у обоих маршрутизаторов совершенно идентичны. Настройки VPN-туннеля у второго маршрутизатора немного отличаются (рисунок 15).



Рисунок 15 - Настройка туннеля на втором маршрутизаторе

Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую посредством команды ping (Пуск - Выполнить - cmd.exe - ping 192.168.0.10).

Рисунок 16 - Результаты выполнения команды ping

Туннель устанавливается за несколько секунд, и после этого пакеты icmp, как и весь остальной трафик между сетями, направляются именно по тоннелю IPSec. Как видно на рисунке 16, наличие между хостами VPN-туннеля, проходящего через Интернет, остаётся совершенно незамеченным для утилиты ping. Более того, оно будет незаметно и для всех других сетевых приложений и служб.

2.2 Установка ограничения на доступ к ресурсам открытого Интернета

Для запрета Интернет-трафика необходимо создать политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS. Изображения диалоговых окон и последовательность действий будет показана ниже на примере использования ОС Windows XP.

Открываем консоль MMC (Пуск - Выполнить - mmc).

Рисунок 17 - Добавление оснастки

В меню выбираем команду «Консоль», затем «Добавить или удалить оснастку» (рисунок 17). В открывшемся диалоге также щелкаем «Добавить», выбираем из открывшегося списка «Управление политикой безопасности IP» (рисунок 18).



Рисунок 18 - Выбор оснастки

В появившемся диалоге выбора компьютера указываем «Локальный компьютер». Последовательно закрываем окна, нажимая кнопки «Готово», «Закрыть», «ОК». Теперь в левой панели консоли у нас появится узел «Политики безопасности IP на «Локальный компьютер». Делаем на нем щелчок правой кнопкой мыши и выберем команду «Управление списками IP-фильтра» (рисунок 19).

Рисунок 19 - Контекстное меню политики безопасности

В открывшемся диалоге нажимаем кнопку «Добавить». Откроется еще одно окно - «Список фильтров». Пока он пуст. Для того, чтобы в дальнейшем было проще ориентироваться в списках фильтров, зададим название для нового фильтра, напечатав в поле «Имя», например, «HTTP, HTTPS». Нажимаем кнопку «Добавить», чтобы приступить к собственно созданию фильтра.

Если не снять флажок «Использовать мастер», процесс создания будет сопровожден мастером создания фильтра (рисунок 20). Пропускаем его первую страницу, нажимая «Далее». На второй странице можно указать описание фильтра. Чтобы не запутаться - один фильтр может состоять из множества других. Так как мы указали на предыдущем шаге в описании «HTTP, HTTPS», сейчас мы последовательно создадим два фильтра - один для HTTP, другой для HTTPS. Результирующий фильтр будет объединять эти два фильтра. Итак, указываем в поле описания HTTP. Флажок «Отраженный» оставляем включенным - это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем «Далее».

Рисунок 20 - Указание адресов источника и назначения IP-трафика

Теперь необходимо указать адрес источника IP-пакетов. Как видно на рисунке 20, возможность выбора адреса довольно широка. Сейчас мы укажем «Мой IP-адрес» и нажимаем «Далее». В следующем окне задаем адрес назначения. Выбираем «Любой IP-адрес», нажимаем «Далее». Теперь следует указать тип протокола (рисунок 21). Выберите из списка «TCP».

Идем дальше - задаем номера портов (рисунок 22). Верхний переключатель оставляем в положении «Пакеты из любого порта», а в нижнем включаем режим «Пакеты на этот порт» и в поле вводим значение HTTP-порта - 80. Нажимаем «Готово», закрывая мастер.

Рисунок 21 - Выбор протокола IP

Рисунок 22 - Назначение портов протокола

В нижнем окне списка появится наш новоиспеченный фильтр. Теперь еще раз нажимаем кнопку «Добавить» и проделываем все предыдущие операции еще раз, но уже указав значение порта 443 (для HTTPS). В списке нижнего окна должны находиться оба созданных правила фильтрации пакетов (рисунок 23).



Рисунок 23 - Созданные правила фильтрации пакетов

Нажимаем кнопку «ОК». Фильтр наш готов, но необходимо теперь определить действия, которые он будет производить. Переключаемся на закладку «Управление действиями фильтра» и нажимаем кнопку «Добавить». Снова откроется диалог мастера, нажимаем «Далее». Указываем имя, например «Block», идем дальше. В качестве действия выбираем переключатель «Блокировать», нажимаем «Далее» и «Готово». Фильтр создан, действие для него определено, нам осталось лишь создать политику и назначить ее. В окне консоли MMC щелкаем правой кнопкой мыши узел «Политики безопасности IP» и выбираем команду «Создать политику безопасности IP» (рисунок 24).

В открывшемся окне мастера нажимаем «Далее», затем указываем имя для политики, например, «Block Web», нажимаем «Далее». Снимаем флажок «Использовать правило по умолчанию», щелкаем «Далее» и «Готово». В окне свойств политики нажимаем кнопку «Добавить» (рисунок 25).



Рисунок 24 - Контекстное меню политики безопасности

Рисунок 25 - Добавление правила безопасности

Нажимаем «Далее», оставляем переключатель в положении «Это правило не определяет туннель», идем дальше. Тип сети - указываем «Все сетевые подключения», нажимаем «Далее». Теперь необходимо выбрать фильтр из списка (рисунок 26).

Выбираем созданный нами фильтр HTTP, HTTPS (слева должна появиться точка в кружке), щелкаем кнопку «Далее». Таким же образом выбираем действие для фильтра - «Block Web», щелкаем «Далее» и «Готово».



Рисунок 26 - Выбор фильтра из списка

Теперь в правой панели консоли MMC появится созданная политика с именем BlockWeb. Все, что осталось сделать - назначить ее. Для этого выполняем правый щелчок мышью на названии и выбираем команду «Назначить» (рисунок 27).

Для проверки осталось запустить браузер. Если все было сделано правильно, картина должна быть такой, как на рисунке 28.

Рисунок 27 - Назначение политики безопасности

виртуальный сеть безопасность маршрутизатор туннель



Рисунок 28 - Результат назначения политики безопасности

Для разрешения подключения к некоторым узлам Интернет в консоли MMC дважды щелкаем название политики BlockWeb. В окне свойств нажимаем кнопку «Добавить», затем двойным щелчком выбираем фильтр «HTTP, HTTPS», жмем «Изменить». На вкладке «Список фильтров» нажимаем кнопку «Добавить». Указываем имя для нового фильтра, например, mail.ru, жмем «Добавить», Далее, в качестве источника пакетов оставляем «Мой IP-адрес», щелкаем кнопку «Далее». В качестве адреса назначения выберем строку «Определенное DNS-имя», а в поле Имя узла введем «www.mail.ru». Нажимаем «Далее». Появится предупреждение о том, что в фильтре вместо DNS-имени www.mail.ru будет использован IP-адрес 83.222.31.146 (рисунок 29).



Рисунок 29 - Установка DNS-имени

Соглашаемся, нажав кнопку «Да», затем указываем тип протокола - «TCP», выбираем переключатель «На этот порт» и указываем его номер - 80. Жмем «Далее», «Готово» и «ОК». Теперь определяем действие фильтра - переходим на одноименную закладку и выбираем параметр «Разрешить».

Теперь фильтр состоит из двух фильтров - один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом.

Этот пример также и показывает одно из существенных отличий между применением «нормального» межсетевого экрана и фильтрации с помощью IPSec: использование IPSec не позволяет задать порядок следования или приоритет фильтра. Впрочем, работать он все равно будет. Осталось закрыть все диалоговые окна и проверить это.



Рисунок 30 - Свойства политики безопасности Block Web

Теперь, при переходе на www.mail.ru (и только на него!) браузер должен отобразить содержание этого узла. Обратите внимание, что ресурсы, расположенные на другом хосте (например, рекламные баннеры), не отображаются - они также фильтруются примененной политикой IPSec.

Подобным образом можно создать собственные необходимые фильтры и применить их.

Заключение

Технология виртуальных частных сетей VPN позволяет эффективно решать задачи, связанные с циркуляцией конфиденциальной информации по каналам связи. Она обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), «проложенного» в общедоступной сети Internet.

В связи с этим такие технологии, как VPN, должны в дальнейшем активно развиваться, совершенствоваться и приобретать все более массовый характер.

В курсовом проекте для построения защиты нескольких локальных сетей, связанных через Internet без Proxy-серверов были выполнены следующие шаги:

- построена структура незащищенной системы;

- сформулированы требования к защите;

- изучены и рассмотрены варианты реализации виртуальных частных сетей;

- выбран и практически осуществлен один из вариантов.

Работа над проектом позволила приобрести практический опыт в построении защищенных автоматизированных систем, систематизировать полученные в процессе обучения знания. Кроме того, в дальнейшем планируется внедрение разработанного проекта.

Список используемой литературы

1. Андрончик А.Н.. Защита информации в компьютерных сетях. Практический курс: учебное пособие [Текст] / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский, А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков; под ред. Н.И. Синадского - Екатеринбург: УГТУ-УПИ, 2008. - 248 с.

2. Биячуев Т.А. Безопасность корпоративных сетей [Текст] / Т.А. Биячуев: под ред. Л.Г.Осовецкого - СПб: СПб ГУ ИТМО. - 2004. - 161 с.

3. Браун С. Виртуальные частные сети: пер. с англ. [Текст] / Стивен Браун: пер. О. Труфанов. - М.: Издательство «Лори», 2001.

4. Зима В.M. Безопасность глобальных сетевых технологий [Текст] / В.М. Зима, А.А. Молдовян, Н.А. Молдовян. - СПб.: БХВ-Петербург. - 2000. - 320 с.: ил.

5. Запечинков С.В. Основы построения виртуальных частных сетей: учеб. пособие для вузов / С.В. Запечинков, Н.Г. Милославская, А.И. Толстой. - М.: Горячая линия - Телеком, 2003. - 249 с.

6. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов [Текст] / В.Г. Олифер, Н.А. Олифер. - СПб.: Питер, 2010. - 944 с.: ил.

7. Платонов В.В. - Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей: учеб. пособие для студ. высш. учебн. заведений [Текст] / В. В. Платонов. - М.: Издательский центр «Академия», 2006. - 240 с.

8. Сайт компании DLink [Электронный ресурс] / Режим доступа: http://dlink.ru/, свободный.

9. WindowsFAQ [Электронный ресурс] / Режим доступа: http://www.windowsfaq.ru/, свободный.

Размещено на Allbest.ru