4. WLAN

Две независимые группы сотрудников отдела маркетинга работают на ноутбуках и для них необходимо создать беспроводную сеть WLAN.

Беспроводные локальные сети кратко обозначаются аббревиатурой WLAN (Wireless Local Area Network). Самым распространенным на сегодняшний день стандартом беспроводных сетей является Wi-Fi. Он соответствует спецификации IEEE 802.11, которая, в свою очередь, имеет несколько модификаций, обозначаемых буквами a, b, g и n. Чаще всего используется модификация 802.11g (скорость соединения теоретически - до 54 Мбит/с, практически - 20 Мбит/с - «стандарт G»), но вскоре будет сертифицирована и новая модификация - 802.11n («стандарт N»), отличающаяся еще большей скоростью передачи данных - более 100 Мбит/сек.

Стандарты WLAN, разработка которых была начата вместе со стандартом 802.11, были окончательно сформированы IEEE (Инженерный институт электроники и электротехники) в 1997 году. Этот базовый стандарт поддерживает скорость передачи до 2 Мбит/с. Со временем стандарт был расширен. Расширение заключалось в добавлении информации к оригинальному стандарту, включая 802.11a и 802.11b. В списке ниже детально рассмотрены стандарты, связанные со стандартом 802.11 и скорость обмена данными для каждого стандарта.

· 802.11 - Первоначальный стандарт WLAN. Поддерживает передачу данных со скоростями от 1 до 2 Мбит/с.

· 802.11a - Высокоскоростной стандарт WLAN для частоты 5 ГГц. Поддерживает скорость передачи данных 54 Мбит/с.

· I802.11b - Стандарт WLAN для частоты 2,4 ГГц. Поддерживает скорость передачи данных 11 Мбит/с.

· 802.11e - Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN.

· 802.11f - Описывает порядок связи между равнозначными точками доступа. Многократно разгружает распределенные между поставщиками сети WLAN.

· 802.11g - Устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с.

· 802.11h - Описывает управление спектром частоты 5 ГГц для использования в Европе и Азии.

· 802.11i - Исправляет существующие проблемы безопасности в областях аутентификации и протоколов шифрования. Стандарт затрагивает протоколы 802.1X, TKIP, and AES.

Преимущества использования WLAN вместо проводной локальной сети.

1. Повышение производительности. Сеть WLAN обеспечивает не привязанную к отдельным помещениям сеть и доступ в Интернет. Сеть WLAN дает пользователям возможность перемещаться по территории предприятия или организации, оставаясь подключенными к сети.

2. Простое и быстрое построение локальной сети. Не нужно тянуть и укреплять кабели.

3. Гибкость установки. Беспроводную сеть можно построить там, где нельзя протянуть кабели; технология WLAN облегчает временную установку сети и ее перемещение.

4. Снижение стоимости эксплуатации. Беспроводные сети снижают стоимость установки, поскольку не требуются кабельные соединения. В результате достигается экономия, тем более значительная, чем чаще меняется окружение.

5. Масштабируемость. Расширение и реконфигурация сети для WLAN не является сложной задачей: пользовательские устройства можно интегрировать в сеть, установив на них беспроводные сетевые адаптеры.

6. Совместимость. Различные марки совместимых клиентских и сетевых устройств будут взаимодействовать между собой.

Точка доступа соединяет кабельную и беспроводную сеть и позволяет клиентам последней получить доступ к ресурсам кабельной сети. Каждая точка доступа расширяет общую вычислительную мощность системы. Пользователи могут перемещаться между точками доступа, не теряя соединения с сетью, - как и при подключении к сети с помощью сотового телефона. Другими словами, точка доступа - это программно-аппаратное устройство, которое выполняет роль концентратора для клиента беспроводной сети и обеспечивает подключение к кабельной сети.

Технология WPA (Wi-Fi Protected Access) состоит из нескольких компонентов:

· протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)

· протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol)

· протокол TKIP - протокол временной целостности ключей, другой вариант перевода - протокол целостности ключей во времени (Temporal Key Integrity Protocol)

· MIC - криптографическая проверка целостности пакетов (Message Integrity Code)

· протокол RADIUS

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме. Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ.

Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

· EAP-SIM, EAP-AKA - используются в сетях GSM мобильной связи

· LEAP - пропреоретарный метод от Cisco systems

· EAP-MD5 - простейший метод, аналогичный CHAP (не стойкий)

· EAP-MSCHAP V2 - метод аутентификации на основе логина/пароля пользователя в MS-сетях

· EAP-TLS - аутентификация на основе цифровых сертификатов

· EAP-SecureID - метод на основе однократных паролей

Рис.7, структура EAP-кадра



Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

Операционные системы семейства Windows Server 2003 поддерживают протокол MS-CHAP v2, обеспечивающий взаимную проверку подлинности, создание более надежных начальных ключей шифрования данных для MPPE (Microsoft Point-to-Point Encryption) и разные ключи шифрования для отправки и приема данных. Чтобы свести к минимуму риск раскрытия пароля во время обмена паролями, из протокола исключена поддержка старых методов обмена паролями MS-CHAP. Поскольку версия MS-CHAP v2 обеспечивает более надежную защиту, чем MS-CHAP, при подключении сначала предлагается использовать именно ее (если она доступна), а затем уже MS-CHAP. Протокол MS-CHAP v2 поддерживается на компьютерах, работающих под управлением Windows XP, Windows 2000, Windows 98, Windows Millennium Edition и Windows NT 4.0. Компьютеры, работающие под управлением Windows 95, поддерживают MS-CHAP v2 только для подключений VPN, но не для подключений удаленного доступа.

Из-за нецелесообразности использования центра сертификации выбираем метод аутентификации EAP-MSCHAP V2, который является самым распространенным, наиболее дешевым и достаточно надежным.



5. ДЕМИЛИТАРИЗОВАННАЯ (DMZ) ЗОНА

Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей - там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью, защищенной (или отделенной) от публичных и корпоративных сетей межсетевыми экранами.

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана - один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети. Именно такую схему будем использовать для организации демилитаризованной зоны корпорации CorpUTY.

В DMZ вынесем почтовый, web- и FTP-серверы, а также внешний DNS и сервер удаленного доступа RAS.

Cеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим - от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй - в DMZ и третий - в локальную сеть.

Сетевой адаптер, подключенный к Интернету, будем называть WAN, интерфейс, подключенный к демилитаризованной зоне, - DMZ, а к локальной сети - LAN.

На рис. 8 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй - к DMZ и LAN, в случае «б» - один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рисунок 8. Варианты развертывания межсетевого экрана и демилитаризованной зоны



При реализации второго варианта необходимо обратить внимание на его недостатки. Прежде всего, это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие - поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера - это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «а» можно превратить в вариант «б», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

Для создания промежуточной DMZ, использующей два брандмауэра на базе ISA Server, понадобится два сервера, две копии Windows 2000 или 2003, две копии ISA Server, четыре сетевых интерфейса (по два на каждый сервер) и коммутатор для DMZ. Часто такие затраты оказываются слишком большими для компании.

При проектировании корпоративной сети CorpUTY будем использовать вариант «а», но в качестве внутреннего межсетевого экрана будет использоваться ISA Server 2004, а в качестве внешнего - маршрутизатор Сisco Catalyst 3800.

Продолжая использовать продукты компании Сisco, выберем в качестве пограничного маршрутизатора между внешним межсетевым экраном и Internet маршрутизатор Сisco Catalyst 3800. Это устройство поддерживает различные интерфейсные модули WAN и обеспечивает поддержку высокопроизводительной маршрутизации на скорости носителя, а также предоставляет встроенные функции защиты и возможности конвергенции, что позволяет надёжно защитить связь между филиалами компаний и одновременно реализовать централизованное управление из главного офиса. Кроме того, выбранный маршрутизатор поддерживает функции межсетевого экрана с учётом состояний, а также механизм защиты от атак Cyber Attack Defense Engine, приостанавливающий типичные атаки на сети, обеспечивая высокий уровень доступности критически важных Интернет- приложений. Кроме того, межсетевой экран поддерживает механизм адресации NAT и возможность переадресации портов.

Поскольку в выбранный маршрутизатор встроен так называемый packet filter, то необходимость в использовании отдельного (standalone) межсетевого экрана для отделения DMZ от Internet отпадает.

Протокол NAT

Большинство современных маршрутизаторов поддерживают протокол NAT (Network Address Translation), базирующийся на сеансовом уровне и по сути представляющий собой протокол трансляции сетевых адресов. NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети.

Протокол NAT решает две главные задачи:

помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров;

обеспечивает безопасность внутренней сети -- компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.

Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.

Принцип работы протокола NAT достаточно прост. Когда клиент внутренней сети устанавливает связь с сервером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, то IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и портсервера.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт.

Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Было принято решение использовать программный межсетевой экран. Для этого необходимо выделить отдельную довольно мощную машину с несколькими интерфейсами. В качестве программного файрволла предполагается использовать Microsoft ISA Server 2004 Standard Edition.

К одному из интерфейсов компьютера с программным межсетевым экраном подключается внутренняя сеть здания A (inside). К другому - коммутатор для объединения серверов, вынесенных в DMZ-зону (выберем Cisco Catalyst 2960). При выборе данного коммутатора останется запас портов, поэтому добавление серверов в DMZ-зону в будущем не составит труда.

Microsoft Internet Security and Acceleration (ISA) Server выполняет функции защитного экрана масштаба предприятия и Web-кэша. ISA Server может быть установлен в трех режимах: либо в качестве кэширующего сервера (proxy-сервера), либо в качестве брандмауэра, либо в интегральном режиме (этот режим обеспечивает как функции кэширования, так и функции защитного экрана). Поскольку мы используем ISA Server в качестве брандмауэра, необходимо будет выбрать либо режим Firewall, либо Integrated. С помощью ISA Server можно отслеживать процессы доступа клиентов внутренней сети к ресурсам Internet.

Внутренняя сеть задается вводом соответствующего диапазона IP-адресов в таблицу локальных адресов Local Address Table (LAT) на ISA Server. Поскольку ISA Server позволяет вести только одну LAT, можно будет обеспечить полноценную защиту лишь одной сети (внутренней).

Для настройки политик использования входящего и исходящего трафика на ISA Server применяются правила доступа к сайтам и типу содержимого, правила использования протоколов, фильтры IP-пакетов, правила Web-публикаций и правила публикации серверов. Правила доступа к сайтам и типу содержимого управляют доступом и временем доступа внутренних пользователей к определенным внешним сайтам или их содержимому по типу этого содержимого. Правила протоколов управляют тем, какими протоколами могут пользоваться внутренние клиенты для доступа к компьютерам в Internet. Фильтры пакетов IP позволяют управлять тем, какие типы пакетов ISA Server будет принимать из Internet, а какие -- от внутренних компьютеров. Например, можно использовать IP-фильтр, чтобы разрешить прохождение пакетов Ping или PPTP. Правила Web-публикаций позволят сделать внутренние Web-серверы доступными внешним клиентам из Internet. С помощью этих правил можно управлять входящими Web-запросами в зависимости от соответствующих учетных записей, адресов клиентов, целевых адресов и пути. При помощи правил публикации серверов можно будет сделать доступными для внешнего мира другие серверы (например, SMTP-серверы). Правила публикации серверов позволят управлять входящими запросами к этим серверам в зависимости от IP-адреса клиента.

Когда внутренний клиент пытается подсоединиться к компьютеру в Internet, ISA Server проверяет запрос на соответствие правилам использования протоколов. Если этот запрос является HTTP или HTTP Secure (HTTPS), ISA Server дополнительно проверяет его на соответствие правилам доступа к сайтам и по типу содержимого сайтов. Когда ISA Server принимает входящий запрос с клиента Internet, ISA Server проверяет его на соответствие фильтру IP-пакетов. Если запрос является запросом HTTP или HTTPS, ISA Server дополнительно проверяет его на соответствие правилам Web-публикации; в других случаях ISA Server проверяет запрос на соответствие правилам публикации серверов.

6. ПОДКЛЮЧЕНИЕ ФИЛИАЛОВ КОРПОРАЦИИ И УДАЛЕННЫХ ПОЛЬЗОВАТЕЛЕЙ

Согласно заданию на курсовую работу, все три здания корпорации CorpUTY географически разнесены, поэтому необходимо определить, каким образом будет происходить подключение филиалов к главному зданию A.

6.1 Подключение здания В по каналу Е1

Филиал Manufacture расположен в другом городе, удалённом на значительное расстояние от главного офиса. Для его подключения арендуется канал E1. Для обеспечения репликации сайтов и зон DNS, целесообразно подключить выделенный канал к коммутатору, соединяющему корпоративные серверы в демилитаризованной зоне. На стороне здания B используется специальный модуль E1, который устанавливается в выбранный маршрутизатор.

Канал Е1 - первичный канал иерархии PDH - является основным каналом, используемым во вторичных сетях телефонии, передачи данных и ISDN. По сравнению с остальными каналами иерархии PDH этот канал имеет несколько особенностей, связанных с его использованием, а именно сверхцикловую структуру и канал сигнализации, используемый во вторичных сетях цифровой телефонии и ISDN.

Остальные каналы иерархии PDH имеют только цикловую структуру. Такое отличие канала Е1 обусловлено его функцией в современной первичной сети - канал Е1 обычно является "пограничным" каналом между первичной и вторичными сетями. Структура систем передачи Е1 включают три уровня эталонной модели OSI: физический, канальный и сетевой. Физический уровень описывает электрический интерфейс потока Е1, а также параметры сигнала Е1.

Канальный уровень описывает процедуры мультиплексирования и демультиплексирования каналов более низкого уровня иерархии (ОЦК 64 кбит/с и каналов ТЧ) в поток Е1, цикловую и сверхцикловую структуру потока Е1, встроенные процедуры контроля ошибок и т.д. Наконец, сетевой уровень описывает процедуры управления каналами Е1 в первичной сети, а также контроль параметров ошибок на сетевом уровне. Этот уровень является относительно неполным и включает всего лишь несколько процедур. Основным же для рассмотрения систем передачи Е1 является структура канального уровня. Рассмотрим более подробно структуру каждого из трех уровней систем Е1.

Используемые типы кодирования: HDB3 (стандартизирован), либо AMI.

Уровень цифровой иерархии	Скорости передачи, соответствующие различным системам цифровой иерархии, кбит/с
	Американский стандарт(Tx)	Японский стандарт(DSx)Jx	Европейский стандарт(Ex)
1 (первичный) - E1	1544 (24 канала)	1544 (24 канала)	2048 (30 каналов по 64kbps)
2 (вторичный) - E2	6312 (96 каналов)	6312 (96 каналов)	8448 (120 каналов по 64kbps)
3 (третичный) - E3	44736 (672 канала)	32064 (480 каналов)	34368 (480 каналов по 64kbps)
4 (четвертичный) - E4	274176 (4032 канала)	97728 (1440 каналов)	139264 (1920 каналов по 64kbps)
5 (пятеричный)	*не используется*	397200	564992

На другом конце линии E1 (в главном офисе) необходимо предусмотреть установку модема. Остановимся на модели XStream 1300 фирмы Tainet. Этот модем поддерживает fractional T1/E1 по двухпроводной линии в полнодуплексном режиме на расстояние, зависящее от качества линии. Линейная скорость передачи автоматически устанавливается устройством со значениями 144/272/400/528/784/1040/1552/2064 Кбит/с или 2320 Кбит/с, чтобы наилучшим образом соответствовать скорости DTE. XStream 1300 легко интегрируется в систему управления сетью по SNMP и соответствует международным спецификациям на DSL оборудование.

Таким образом, выбранный модем подключается к одному из портов коммутатора, объединяющего серверы в демилитаризованной зоне. Поскольку для соединения филиала Manufacture с главным офисом не используется никакая публичная сеть, то на этом канале организовывать VPN с целью защиты данных не будем.

6.2 Подключение здания С с использованием ADSL

Филиал Research (здание C) связывается с главным офисом через Internet маршрутизаторами с функцией «дозвон по требованию», используя подключение ADSL. Выбранный маршрутизатор Сisco MC 3810 не поддерживает функцию «дозвон по требованию», поэтому было решено маршрутизацию настраивать с помощью ОС Windows 2003 Server, в котором эта функция есть. Для этого будет использоваться машина с 2-мя интерфейсами. Помимо маршрутизации, эта машина будет выполнять роль межсетевого экрана. С этой целью установим на неё Microsoft ISA Server 2004. Поскольку подключение к Internet осуществляется с помощью ADSL, необходимо выбрать модем ADSL. Остановимся на модели Cisco SB100. Это устройство принадлежит к четвертому поколению ADSL-устройств и реализует широкий круг задач широкополосного доступа и передачи данных: межсетевой экран с контролем состояния соединений (Stateful Packet Inspection), средства для организации VPN-туннелей с аппаратным шифрованием данных по протоколам DES и 3DES, антивирусный фильтр. Рекомендуется для подключения к Интернету и реализации сетеобразующей инфраструктуры офисов и филиалов компаний. Для сохранения конфиденциальности данных, передаваемых между зданиями A и C, организуем VPN-туннель.

ADSL (Asymmetric Digital Subscriber Line - Асимметричная цифровая абонентская линия) входит в число технологий высокоскоростной передачи данных, известных как технологии DSL (Digital Subscriber Line - Цифровая абонентская линия) и имеющих общее обозначение xDSL.

Общее название технологий DSL возникло в 1989 году, когда впервые появилась идея использовать аналого-цифровое преобразование на абонентском конце линии, что позволило бы усовершенствовать технологию передачи данных по витой паре медных телефонных проводов. Технология ADSL была разработана для обеспечения высокоскоростного (можно даже сказать мегабитного) доступа к интерактивным видеослужбам (видео по запросу, видеоигры и т.п.) и не менее быстрой передачи данных (доступ в Интернет, удаленный доступ к ЛВС и другим сетям).

Рис.9. Схема ADSL-сети

Прежде всего, ADSL является технологией, позволяющей превратить витую пару телефонных проводов в тракт высокоскоростной передачи данных. Линия ADSL соединяет два модема ADSL, которые подключены к каждому концу витой пары телефонного кабеля (смотрите рисунок 10). При этом организуются три информационных канала - "нисходящий" поток передачи данных, "восходящий" поток передачи данных и канал обычной телефонной связи (POTS) (смотрите рисунок 11). Канал телефонной связи выделяется с помощью фильтров, что гарантирует работу вашего телефона даже при аварии соединения ADSL.



Рис.10. Схема организации ADSL соединения

Рис.11. Распределение частот в ADSL

ADSL является асимметричной технологией - скорость "нисходящего" потока данных (т.е. тех данных, которые передаются в сторону конечного пользователя) выше, чем скорость "восходящего" потока данных (в свою очередь передаваемого от пользователя в сторону сети).

Технология ADSL использует метод разделения полосы пропускания медной телефонной линии на несколько частотных полос (также называемых несущими). Это позволяет одновременно передавать несколько сигналов по одной линии. Точно такой же принцип лежит в основе кабельного телевидения, когда каждый пользователь имеет специальный преобразователь, декодирующий сигнал и позволяющий видеть на экране телевизора футбольный матч или увлекательный фильм. При использовании ADSL разные несущие одновременно переносят различные части передаваемых данных. Этот процесс известен как частотное уплотнение линии связи (Frequency Division Multiplexing - FDM) (смотрите рисунок 12). При FDM один диапазон выделяется для передачи "восходящего" потока данных, а другой диапазон для "нисходящего" потока данных. Диапазон "нисходящего" потока в свою очередь делится на один или несколько высокоскоростных каналов и один или несколько низкоскоростных каналов передачи данных. Диапазон "восходящего" потока также делится на один или несколько низкоскоростных каналов передачи данных. Кроме этого может применяться технология эхокомпенсации (Echo Cancellation), при использовании которой диапазоны "восходящего" и "нисходящего" потоков перекрываются (смотрите рисунок 12) и разделяются средствами местной эхокомпенсации.

Рис.12. Частотное уплотнение линии связи и эхокомпенсация

6.3 Подключение сотрудников корпорации в Европе по каналам ISDN

Аббревиатура ISDN расшифровывается как цифровая сеть с интеграцией услуг (Integrated Services Digital Network). Технология ISDN базируется на пользовательских каналах со скоростью 64 Кбит/с (так называемых B-каналах) и на отдельном служебном канале (D-канале).

Канал "B" (Bearer) - канал для передачи голоса, данных, видео c пропускной способностью 64 Кбит/с. Он предоставляется "чистым", т.е. вся его полоса пропускания доступна для передачи информации, а вызовы, сигнализация и другая системная информация передается по D-каналу.

Канал "D" (Delta) - служебный канал для передачи управляющих сигналов с пропускной способностью 16 (BRI) или 64 (PRI) Кбит/с. Один канал типа "D" обслуживает 2 или 30 (Европа) В-каналов и обеспечивает возможность быстрой генерации и сброса вызовов, а также передачу информации о поступающих вызовах, в том числе о номере обращающегося к сети абонента. Некоторые операторы и производители телекоммуникационного оборудования поддерживают передачу через D-канал дополнительной информации, например организуют канал X.25 или поток данных с телеметрической информацией со скоростью передачи до 9,6 Кбит/c.

BRI (Basic Rate Interface) - стандартный базовый интерфейс с пропускной способностью 144 Кбит/с (EuroISDN); он объединяет два канала "B" и один канал "D". К интерфейсу BRI можно подключить до восьми различных ISDN-устройств. При этом каждому устройству выделяется свой индивидуальный номер (multiple subscriber numbers). Очень важная особенность ISDN состоит в том, что для установки BRI-розетки оператору обычно не требуется прокладывать новую телефонную пару - используется обычная линия ТСОП.

Физическим уровнем интерфейса BRI, определяющего правила взаимодействия конечных пользователей и коммутатора ISDN, служит обычная витая пара, которая работает в дуплексном режиме передачи данных, - так называемый U-интерфейс.

PRI (Primary Rate Interface) - этот интерфейс объединяет несколько B-каналов (например, в Европе - 30 В-каналов с общей полосой пропускания 2,048 Мбит/с). В отличие от BRI, он поддерживает только одно оконечное устройство. Но подключив, например, локальную АТС или маршрутизатор c поддержкой ISDN, можно разбить PRI на множество BRI-интерфейсов. В настоящее время для предоставления офисам PRI-сервиса широко используется абонентская цифровая линия на одной (SDSL) или двух (HDSL) телефонных парах.

По сравнению с традиционными аналоговыми сетями, ISDN имеет ряд преимуществ:

· экономия времени благодаря быстрому соединению между абонентами (менее 1 секунды внутри города и не более 10 секунд при междугородном вызове);

· два полноценных городских номера по одной паре проводов, вместо одного, как при аналоговом подключении;

· возможность подключить до 8 различных устройств (компьютер, факс, телефон, видеотелефон и др.), два, из которых могут работать одновременно;

· великолепное качество связи, отсутствие прерываний и посторонних шумов на линии;

· высокая скорость соединения с сетью Интернет - гарантированные 128 Кбит/с до провайдера, вместо негарантированных при аналоговом подключении 51200 Кбит/с (в лучшем случае);

· широкий спектр различных дополнительных услуг (более надежное определение номера вызывающего абонента (CLIP), мультиплексирование абонентских номеров (MSN), мини-АТС, переадресация по различным критериям, 3-х сторонняя конференция и т.д.).

По одной физической паре пользователь получает две независимые цифровые линии по 64 Кбит/c (вместо одной, как аналоговом подключении), которые он может использовать для:

· подключения двух обычных или специальных цифровых телефонов;

· одновременного подключения телефона и ISDN-устройства передачи данных на скорости 64 Кбит/c;

· подключения ISDN-устройства передачи данных на скорости 128 Кбит/c (для подключения к сети Интернет или организации внутрикорпоративной сети).

Кроме этого:

· ISDN может работать со всеми типами информации, включая голос, текст, изображение, аудио- и видеоинформацию;

· ISDN позволяет объединить компьютерные сети компании, имеющей рассредоточенные офисы в как пределах города (звонок бесплатный), так и за его пределами (поминутная оплата за межгород, соединение по требованию - DDR) с гарантированной (в отличие от сети "Интернет") скоростью 64 или 128 Кбит/c;

· стоимость ISDN-оборудования значительно меньше, чем стоимость модемов для выделенных линий;

· абонент получает шестизначный номер городской телефонной сети и имеет возможность пользоваться услугами междугородной связи.

6.4 Подключение сотрудников по коммутируемым каналам связи Dial-up

Согласно заданию несколько привилегированных сотрудников работают в своих домашних офисах SOHO, подключающихся к главному офису по коммутируемым каналам связи Dial-up. Подключение этих клиентов будем осуществлять по VPN на основе службы RRAS. Проверку подлинности удаленных пользователей в этом случае сначала выполняет сторонняя организация (в процессе предоставления доступа по телефонной линии), а затем их аутентифицирует VPN-сервер удаленного доступа (при подключении к частной сети).

При организации VPN могут использоваться усовершенствованные версии протоколов РРР (Point-to-Point Protocol), РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol). Для обеспечения безопасности конфиденциальных данных будем применять шифрование на основе протокола IPSec в туннелях L2TP, которые являются более надежными, чем туннели PPTP.

VPN-подключение состоит из следующих компонентов.

- VPN-сервер - компьютер, принимающий VPN-подключения от клиентов VPN.

- VPN-клиент - компьютер, инициирующий VPN-подключение к серверу VPN. VPN-клиентом может быть отдельный компьютер или маршрутизатор.

- Туннель - часть подключения, содержащая инкапсулированные данные. Можно создать туннель и передавать по нему данные без шифрования. Это не является VPN-подключением, поскольку личные данные передаются через общедоступную сеть в незащищенном, легко доступном для чтения виде.

- VPN-подключение - часть подключения, содержащая зашифрованные данные.

- Туннельные протоколы - протоколы, используемые для управления туннелями и инкапсуляции личных данных. Операционные системы семейства WS2003 поддерживают туннельные протоколы PPTP и L2TP.

- Туннелированные данные - данные, обычно передаваемые при помощи частного подключения «точка-точка».

- Транзитная объединенная сеть - общедоступная сеть, по которой передаются инкапсулированные данные. В операционных системах семейства WS2003 транзитная объединенная сеть всегда является сетью IP. Транзитной объединенной сетью может быть Интернет или частная интрасеть на основе IP-протокола.



Протоколы туннелирования:

РРТР и L2TP позволяют зашифровать мультипротокольный трафик, а затем инкапсулировать его в IP-заголовок, который будет послан по объединенной IP-сети организации или общественной объединенной IP-сети типа интернета. Основаны на протоколе РРР, следовательно имеют функции для управления сеансом, назначения адресов и маршрутов.

Режим туннелирования IPSec (IPSec ТМ) позволяет зашифровывать IP-пакеты и затем инкапсулировать их в IP-заголовок, который будет послан по объединенной IP-сети организации или открытой объединенной IP-сети типа интернета.

Технология IPSec TM не рекомендуется для VPN-подключений удаленного доступа, потому что она не содержит никаких стандартных методов для аутентификации пользователей, назначения IP-адресов и назначения адреса сервера имен. Возможно использовать технологию IPSec TM для межсайтовых VPN-подключений на компьютерах с системой WS2003.

PPTP (Point-to-Point Tunneling Protocol) --является расширением протокола PPP и использует механизмы проверки подлинности, сжатия и шифрования этого протокола. Протокол PPTP и метод шифрования MPPE (Microsoft Point-to-Point Encryption) обеспечивают основные необходимые для виртуальных частных сетей службы инкапсуляции и шифрования частных данных. Кадр PPP зашифровывается по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.

Кадр PPP, содержащий IP-датаграмма заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.

L2TP (Layer Two Tunneling Protocol) -- это туннельный протокол на основе RFC, являющийся промышленным стандартом. L2TP использует средства шифрования, предоставляемые методом IPSec. Комбинацию L2TP и IPSec называют L2TP/IPSec. Комбинация L2TP/IPSec обеспечивает работу служб VPN, выполняющих инкапсуляцию и шифрование частных данных.

Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа.

1. Инкапсуляция L2TP - кадр PPP (IP-датаграмма или IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP.

2. Затем полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.

Сообщение L2TP шифруется с использованием стандарта DES или 3DES при помощью ключей шифрования, созданных в процессе согласования IKE (Internet Key Exchange).

Преимущества протокола L2TP/lPSec в сравнении с РРТР

- Метод IPSec ESP дает аутентификацию источника данных каждого пакета, целостность данных, защиту от атак воспроизведения и конфиденциальность данных (шифрование). В противоположность этим свойствам, протокол РРТР обеспечивает только конфиденциальность данных в каждом пакете.

- Подключения L2TP/IPSec обеспечивают более сильную аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователей через аутентификационный протокол РРР.

- В протоколе L2TP/IPSec пакеты РРР, обмен которыми происходит в процессе аутентификации на уровне пользователей, никогда не посылаются в незашифрованной форме, потому что процесс РРР-подключения происходит после установления соглашения по безопасности IPSec. В случае перехвата РРР-пакеты опознавательного обмена для некоторых типов аутентификационных РРР-протоколов могут использоваться для автономных словарных атак и определения пользовательских паролей.

Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec

* Протокол РРТР не требует инфраструктуры сертификатов. Протоколу L2TP/IPSec требуется инфраструктура предварительного установления общих секретов или инфраструктура сертификатов для выдачи компьютерных сертификатов VPN-серверу и всем компьютерам VPN-клиентов.

* Клиенты РРТР могут находиться за транслятором сетевых адресов (NAT), если транслятор NAT имеет редактор для РРТР-трафика. Клиенты или VPN-серверы, базирующиеся на протоколе L2TP/IPSec, не могут располагаться позади NAT-устройства.

Существует несколько способов защиты конфиденциальности данных, пересылаемых между клиентами и VPN-сервером удаленного доступа:

- проверка подлинности удаленных пользователей;

- шифрование конфиденциальных данных;

- применение политик удаленного доступа.

Чтобы обеспечить доступ к ресурсам частной сети только уполномоченным удаленным пользователям, в проекте следует предусмотреть аутентификацию, или проверку подлинности, удаленных пользователей. В этом случае для входа в систему пользователям необходимо ввести реквизиты: имя пользователя, пароль и имя домена. Проверка реквизитов может выполняется на основе:

- локальных учетных записей, хранимых на VPN-сервере удаленного доступа;

- учетных записей Active Directory, хранимых на контроллерах домена.

В проектируемой сети будем осуществлять аутентификацию и авторизацию пользователей на основе учетных записей Active Directory. Доступ к ресурсам удаленному пользователю будет предоставляться на основании принадлежности его к определенной группе, авторизованной для доступа к данному ресурсу внутренней сети. В целях безопасности реквизиты удаленных шифруются при пересылке между клиентом и сервером удаленного доступа.

ЗАКЛЮЧЕНИЕ

В ходе выполнения курсовой работы был разработан эскизный проект сети корпорации CorpUTY. Была спроектирована физическая структура сети здания каждого из филиалов. При выборе сетевого оборудования отдавалось предпочтение продукции компании Cisco, которую отличает высокая надежность и приемлемое соотношение цена/качество. К тому же, использование сетевого оборудования одного производителя гарантирует совместимость.

В процессе проектирования физической структуры сети зданий учитывались правила построения структурированных кабельных систем.

Также в ходе курсовой работы была спроектирована как логическая, так и физическая структура службы каталогов - Active Directory. Был определен состав доменов, число контроллеров в каждом из них и роли, выполняемые ими. Для корректной репликации данных главного каталога, домены были включены в состав сайтов.

Служба DNS интегрирована в Active Directory. В целях безопасности внутреннюю и внешнюю среды обслуживают разные DNS-серверы. Выбранное количество и размещение внутренних и внешних серверов DNS позволяет быстро обслужить запросы и минимизировать трафик WAN.

В целях безопасности в проекте широко применяются как программные, так и аппаратные межсетевые экраны. Для организации конфиденциального удаленного доступа к ресурсам сети используется технология VPN на основе протокола туннелирования L2TP.

Размещено на Allbest.ru