Министерство образования и науки РФ Государственное образовательное учреждение высшего профессионального образования

Министерство образования и науки РФ
Государственное образовательное учреждение высшего профессионального образования
НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
им. Р.Е.АЛЕКСЕЕВА
Кафедра "Вычислительные системы и технологии"
Лабораторная работа №5 по дисциплине:
«Программное обеспечение вычислительных сетей»
«Виртуальная частная сеть»
ПРЕПОДАВАТЕЛЬ:
Кочешков Александр Александрович
СТУДЕНТ
Блажнов Илья Дмитриевич
Группа 10-В-2
Нижний Новгород
2013
1
Цель работы:
Изучить средства реализации VPN на базе Windows Server, протоколы аутентификации и
шифрации, политики удаленного доступа. Выполнить настройку VPN-сервера и VPNклиентов, реализовать подключение под управлением политики удаленного доступа.
1. Установить службу «Маршрутизация и удаленный доступ».
Выполнить настройку свойств сервера VPN.
VPN— обобщённое название технологий, позволяющих обеспечить одно или несколько
сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным
уровнем доверия (например, по публичным сетям), уровень доверия к построенной
логической сети не зависит от уровня доверия к базовым сетям благодаря использованию
средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей,
средств для защиты от повторов и изменений передаваемых по логической сети
сообщений) (рис. 1).
Рис. 1
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать
соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.VPN состоит из двух частей:
«внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть,
по которой проходит инкапсулированное соединение (обычно используется Интернет).
Возможно также подключение к виртуальной сети отдельного компьютера. Подключение
удалённого пользователя к VPN производится посредством сервера доступа, который
подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении
2
удалённого пользователя (либо при установке соединения с другой защищённой сетью)
сервер доступа требует прохождения процесса идентификации, а затем процесса
аутентификации.
Выполнение.
1) Во-первых, установлю службу «Маршрутизация и удаленный доступ».
Установка будет происходить на контроллере домена. Он будет выполнять роль VPNсервера. Регистрируюсь в системе под доменной учетной записью администратор с
паролем 123456.
2) Далее захожу в «Мастер установки ролей» и устанавливаю роль «Сервер удаленного
доступа или VPN-сервер» (рис. 2)
Рис. 2
3) Далее запустился мастер установки. В появившемся окне выбираю «Особая
конфигурация».
4) В следующем окне выбираю «Доступ к виртуальной частной сети (VPN)».
5) Затем появляется окно с сообщением «служба маршрутизации и удаленного доступа
теперь установлена. Хотите запустить службу?». Выбираю «Да» (рис. 3)
Рис. 3
3
Теперь запущу службу и перейду к ее настройке (рис. 4а и рис. 4б)
Рис. 4 а
Рис. 4 б
1) Рассмотрю свойства сервера в оснастке. Сначала посмотрю вкладку Безопасность.
(рис. 5)
Рис. 5
Здесь можно указать службу проверки подлинности.
2) Оставлю сдесь Windows-провека подлинности, т.е. для проверки учетных данных
удаленного доступа и подключений по требованию используется база данных локальных
учетных записей или база данных учетных записей домена
4
3) Службу учета, оставлю Windows-учет (Сервер заносит сведения о проверке
подлинности в файлы журналов, настроенные на странице свойств папки ведения журнала
удаленного доступа).
4) Вкладка «IP» (рис. 6).
Рис. 6
5) Сдесь сделаю настройку. Выбираю статический пул адресов и добавляем начальный
адрес: 192.168.26.1 и конечный адрес: 192.168.26.5.
Далее идет вкладка PPP (рис. 7)
Рис. 7
8) Снимаю галочку напротив «Многоканальные подключения».
Если это поле
активировано, то клиентам удаленного доступа и маршрутизаторам позволяется по
требованию объединять несколько физических подключений в одно логическое.
5
9) Далее идет вкладка «Ведение журнала». Ведение журнала позволяет управлять
настроивать, какая информация должна заноситься в системный журнал просмотра
событий. Оставлю все по умолчанию.
Настройка портов (рис. 8)
Рис. 8
VPN-сервер предоставляет каждому соединению порты. Поэтому здесь определятеся
количество одновременно работающих клиентов.
1) Посмотрю политику удаленного доступа (рис. 9).
Рис. 9
Здесь есть две политики: Подключения к серверу маршрутизации и удаленного доступа и
Разрешить доступ, если разрешены входящие подключения.
2) Буду использовать политику «Разрешить доступ, если разрешены входящие
подключения». В ней например можно настроить ограничения по времени, но нас больше
интеречует другое. В рамках выполнения лабораторной работы мне надо явно включить
право на предоставление удаленного доступа.
3) Далее нужно в свойствах сетевого соединения добавить еще один IP-адрес.
Захожу в свойства сетевого адаптера
4) Далее в свойства TCP/IP, нажимаю на кнопку «дополнительно» и добавляем IP-адрес192.168.26.250.
Отмечу, что нужно также предусмотреть учетную запись пользователя, которому будет
предоставлено право для подключения к VPN.
6
1) Захожу в оснастку ActiveDirectory – пользователи и компьютеры, перехожу в папку
users
2) Затем создаю пользователя os с паролем os (рис. 10).
Рис. 10
3) Далее необходимо разрешить входящие звонки, что я и делаю (рис. 11).
Рис. 11
На этом настройка VPN-сервера завершена.
2. Настройка VPN-клиента.
1) Запускаю «Мастер новых подключений». (рис. 12)
Рис. 12
7
2) Далее выбираю «Подключить к сети на рабочем месте» (рис. 13)
Рис. 13
3) Затем выбираю «Подключение к виртуальной частной сети» (рис. 14)
Рис. 14
4) В следующем окне указываю имя для настраиваемого подключения, как VPN_DOM2.
5)Далее указаваю IP-адрес узла, к которому будет осуществляться подключение
192.168.26.250 (рис. 15)
Рис. 15
8
6) На последнем шаге указываю возможность подключения «Для всех пользователей».
По окончанию настройки, нам предлагается подключиться к VPN_DOM2, но я этого не
делаю, т.к. перед подключением нам нужно сменить пользователя.
7) Выхожу из системы и регистрируюсь в ней под учетной записью os с паролем os.
8) Далее подключаюсь. Щелкаю по созданному VPN-подключению, в результате
появляется окно для ввода имени пользователя и пароля (рис. 16)
Рис. 16
В итоге подключение осущетвилось.
Далее проверю работу VPN-соединения.
1) Для этого обратимся к другому узлу, который тоже выполнил подключение к VPNсерверу.
C помощью ipconfig /all узнаю IP-адрес VPN-соединения (рис. 17).
Рис. 17
2) Теперь попытаюсь обратится к этому узлу с другого узла, используя подключение по
локальной сети и подключение через VPN-слединение.
3) Использую для этого команду ping 192.168.26.218 и ping 192.168.26.3 (результат
выполнения представлен на рисунке 18)
9
Рис. 18
В результате вижу, что пакеты отправляются и принимаются.
начит соединение установлено и работатет норамально. Кроме того информация о
текущих подключениях к VPN-серверу отображается в оснастке «Маршрутизация и
удаленный доступ» в разделе «Клиенты удаленного доступа» (рис. 19)
Рис. 19
Посмотрю свойства VPN-подключения на клиенте.
1) Во вкладке «Общие» можно указать имя компьютера или IP-адрес, с которым
устанавливается туннельное соединение (рис. 20)
Рис. 20
10
2) Далее идет вкладка Параметры. (рис 21). В ней можно настроить параметры набора
номера: «Отображать ход подключения», «запрашивать имя пароль, сертификат и
т.д.», «Включать домен входа в Windows». Также здесь можно настроить параметры
повторного звонка. Отмечу, что эти параметры нужны в случае неустойчивого
соедеинения.
Рис. 21
Попробую отключить параметр «Запрашивать имя пароль, сертификат и т.д.».
После отключения данного признака, если попытаться выполнить подключение к
DOM2_VPN, то мне уже не потребуется ввод имени пользователя и пароля для
потключения. Подключение будет произведено.
3) Во вкладке «Сеть» (рис. 22) можно настроить тип VPN, а также выполнить установку и
конфигурирование компонентов, которые используются данным подключением.
Рис. 22
Теоретическая часть.
Возможен выбор трех типов VPN (в зависисмости от протоколов для построения VPNтуннеля):
1) PPTPVPN. PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа
точка-точка, позволяющий компьютеру устанавливать защищённое соединение с
сервером за счёт создания специального туннеля в стандартной, незащищённой
11
сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от
использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать
их по сетям IP (в том числе и Интернет). PPTP работает, устанавливая обычную
PPP-сессию с противоположной стороной с помощью протокола Generic Routing
Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для
инициации и управления GRE-соединением. Для защиты данных PPTP-траффика
может быть использован протокол MPPE. Для аутентификация клиентов могут
использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2
и EAP-TLS.
2) L2TPIPSECVPN. L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования
уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding),
разработанный компанией Cisco, и протокол PPTP корпорации Microsoft.
Позволяет организовывать VPN с заданными приоритетами доступа, однако не
содержит в себе средств для защиты данных и механизмов аутентификации. IPSec
(IP Security) - набор протоколов, касающихся вопросов обеспечения защиты
данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы
для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на
сетевом уровне (уровень 3 модели OSI).Для подключения к серверу L2TP,
хранилище «Доверенные корневые центры сертификации на компьютере должно
содержать сертификат корневого центра для центра сертификации, выдавшего
сертификат компьютеру, а также сертификат для сервера L2TP.
3) Авто. Для подключения виртуальной частной сети (VPN) следует выбрать вариант
Авто (Как в нашем случае). Сначала пробуется вариант РРТР, а затем — L2TP.
Выставлю данный параметр в значение L2TPIPSECVPN и попробую выполнить
подключение.
В итоге вывелось сообщение о том, что подключение выполнить не удалось (ошибка 781),
т.к. для подключения требуется сертификат (рис. 23).
Рис. 23
Из этого следует вывод, что у нас используется тип VPN : PPTPVPN.
12
4) Вкладка «дополнительно» не представляет особого интереса, поэтому перейдем к
рассмотрению вкладки «Безопасность» (рис. 24).
Рис. 24
Теоретическая часть.
В данной вкладке (Безопасность) можно настраивать различные параметры безопасности.
Если использовать обычные параметры параметры, то здесь предлагается выбор, что
использовать при проверке: Безопасный пароль или Смарт-Карту. У меня нет смарткарты, поэтому сдесь оставляем безопасный пароль. Также здесь можно выбрать
«Использовать автоматически имя входа и пароль из Windows (и имя домена, если
существует). В этом случае при подключение не придется вводить имя и пароль,
подключение будеи производится автоматически. Параметр «Требуется шифрование
данных (иначе отключаться)», указывает на то, что сервер, к которому выполняется
подключение, должен использовать шифрование данных.
В «параметрах IPSec…» мы можем указать использование и задать предварительный
ключ для проверки доступа. Это общий секретный ключ, заранее согласованный двумя
пользователями. Такой ключ удобен и не требует выполнения на клиенте протокола
Kerberos V5 или наличия сертификата открытого ключа. Обе стороны должны вручную
настроить IPSec на использование предварительного ключа. Это простой метод проверки
подлинности автономных компьютеров или любых компьютеров, не использующих
протокол Kerberos V5. Предварительный ключ нужен только для проверки подлинности и
не используется для проверки целостности данных или шифрования.
1) Задам данный ключ, например, 12345 (рис.25).
13
Рис. 25
2) Необходимо также указать предварительный ключ на сервере,например, 11111 (рис. 26)
Рис. 26
3) Далее на клиенте в настройках VPN-соединения укажу тип VPN: L2TPIPsecVPN.
4) Теперь пытаюсь подключиться. В результате сообщение об ошибке 792, «попытка
L2TP-подключения не удалать» (Рис. 27).
Рис. 27
5) Ну а теперь задам предварительный ключ в настройках DOM2_VPN на клиенте
такойже как и на сервере (11111) попытаюсь подключиться.
14
6) В результате подключение пройдет удачно. В сведениях подключения можно увидеть в
имени устройства указно значение Минипорт WAN(L2TP) , а также есть строчка
Шифрование IPSEC (рис. 28)
Рис. 28
7) Теперь на вкладке «Безопасность» выберу
безопасности» и нажму кнопку «Параметры».
«Дополнительные
параметры
8) Появилось окно «Дополнительные параметры безопасности» (рис. 29).
Рис. 29
Здесь можно настроить требование к шифрованию данных и соответствующее действие,
например, «Необязательное (Подключиться даже без шифрования)».
В этом случае даже, если нет шифрования данных, будет происходитьподключение.
Также можно выбрать протоколы для проверки пароля. Обязательно должен быть выбран
хотябы один протокол, если переключатель установлен напроти «Разрешить следующие
протоколы».
Используемую проверку подлинности можно увидеть в сведениях подключения.
Например для подключения к DOM2_VPN с настройками по умолчанию, используя
протокол PPTP, используется протоколол MSCHAPV2.
15
Рис. 30
В данной вкладке помимо протоколов описанных выше, можно использовать протокол
расширенной проверки подлинности EAP.
В этом случае EAP проверяет удаленных пользователей совместно с другими средствами
безопасности, такими как смарт-карты и сертификаты.
Практическая часть.
1) Выполню продключеие к DOM2_VPN с проверкой подлинности на основе
сертификатов.
2) На сервере установлю службу сертификации. Для этого захожу в «Панель управления» > «Установка и удаление программ»
3) Далее захожу в «Установка компонентов windows».
4) Далее у нас появляется мастер компонентов Windows (рис. 31).
Рис. 31
5) Нахожу в списке «Службы сертификации» и ставим напротив галочку.
6) Далее появится окно в котором указываем тип центра сертификации как «Корневой ЦС
предприятия», далее задаем имя ЦС как CENTRE SERVICE DOM2.
16
В настройках VPN подключения на клиенте в дополнительных параметрах безопасности
выбираем «Протокол расширенной проверки подлинности EAP» и затем «Смарт-карта
или иной сертификат».
7) Нажимаю на «Свойтсва». Появляется окно настройки (рис. 32).
Рис. 32
8) Здесь выбираю «Использовать сертификат на этом компьютере» и в списке
«Доверенные центы сертификации» ставлю галочку напротив нашего ЦС.
Теперь необходимо получить сертификат для учетной записи OS.
1) На клиенте захожу под учетной записью os
2) Cоздаю консоль mmc и добавляю в нее оснастку «Сертификаты».
3) В контейнере «Личное» выполню операцию запроса сертификата. После ее выполнения
появзапускается мастер запроса сертификатов (рис. 33).
Рис. 33
4) Далее выбираю тип сертификата: пользователь, имя os.
В результате в контейнере личное появляется папка Сертификаты, которая содержит
сертификат os (рис. 34).
17
Рис. 34
5) Далее посмотрю для чего он предназначен (рис. 35).
Рис. 35
6) Теперь подключаюсь к DOM2_VPN.
7) Затем нужно подтвердить правильный ли это сервер. Можно даже посмотреть
сертификат сервера.
Данное сообщение появилось, так как я в настройках свойств смарт-карт и сертификатов
на клиенте оставил галочку напротив «проверять сертификат сервера (рис. 36)
8) Далее происходит регистрация и подключение выполняется.
18