Курсовая Бенш

Управление образования и науки Липецкой области
Государственное областное бюджетное
профессиональное образовательное учреждение
«Лебедянский торгово-экономический техникум»
КУРСОВАЯ РАБОТА
по МДК 02 .03 Организация администрирования компьютерных систем
на тему «Администрирование VPN server на Windows Server»
Выполнил (а) студент (ка)
___ курса группы «_____»
специальности 09.02.06
Сетевое и системное
администрирование
ФИО
___________________
Руководитель курсовой работы
________________________
Оценка _______________
Дата _________________
Лебедянь, 2022
СОДЕРЖАНИЕ:
ВВЕДЕНИЕ
Стр.
1. Теоретические и методологические вопросы учета
1.1.
Уровни
реализации,
структура,
классификация
VPN
Уровни
реализации................................................................................................................4
1.2. Построение безопасных сетей на основе VPN................................................8
1.3. Шифрование....................................................................................................16
1.4. Фильтрация......................................................................................................19
2. ПРАКТИЧЕСКАЯ ЧАСТЬ
2.1 Настройка VPN сервера в Windows................................................................23
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
ВВЕДЕНИЕ
Традиционно основной сферой применения средств криптографической
защиты информации были и остаются сети и системы защищенной связи.
Современные информационно-телекоммуникационные системы нередко
объединяют весьма значительное число абонентов, измеряемое десятками и
сотнями тысяч, каждый из которых обладает некоторым количеством
криптографических ключей. Нередко количество участников системы заранее
не определено: одни из них могут добавляться в систему в процессе ее работы,
другие - по разным причинам выбывать из нее. В таких системах вероятность
утраты или компрометации ключей, по крайней мере, у части участников
становится весьма высокой. Полный и объективный централизованный
контроль за всеми пространственно распределенными абонентами сети связи
и их ключами становится невозможен. В связи с этим выдвигается задача
такого структурирования криптосистемы и такой организации работы с
ключами, которая рационально сочетает надежность, криптографическую
стойкость, управляемость и практичность системы для абонентов.
VPN (англ. Virtual Private Network - виртуальная частная сеть) обобщённое название технологий, позволяющих обеспечить одно или
несколько сетевых соединений (логическую сеть) поверх другой сети
(например, Интернет). Несмотря на то, что коммуникации осуществляются по
сетям с меньшим или неизвестным уровнем доверия (например, по публичным
сетям), уровень доверия к построенной логической сети не зависит от уровня
доверия к базовым сетям благодаря использованию средств криптографии
(шифрования, аутентификации, инфраструктуры открытых ключей, средств
для защиты от повторов и изменений, передаваемых по логической сети
сообщений).
3
1. Теоретические и методологические вопросы учета.
1.1. Уровни реализации, структура, классификация VPN Уровни
реализации
Уровни реализации. Обычно VPN развёртывают на уровнях не выше
сетевого, так как применение криптографии на этих уровнях позволяет
использовать в неизменном виде транспортные протоколы (такие как TCP,
UDP).
Пользователи Microsoft Windows обозначают термином VPN одну из
реализаций виртуальной сети - PPTP, причём используемую зачастую не для
создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция
протокола PPP в какой-нибудь другой протокол - IP (такой способ использует
реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя
и они имеют различия). Технология VPN в последнее время используется не
только для создания собственно частных сетей, но и некоторыми
провайдерами "последней мили" на постсоветском пространстве для
предоставления выхода в Интернет.
При должном уровне реализации и использовании специального
программного обеспечения сеть VPN может обеспечить высокий уровень
шифрования передаваемой информации. При правильной настройке всех
компонентов технология VPN обеспечивает анонимность в Сети.
Структура VPN. VPN состоит из двух частей: "внутренняя"
(подконтрольная) сеть, которых может быть несколько, и "внешняя" сеть, по
которой проходит инкапсулированное соединение (обычно используется
Интернет). Возможно также подключение к виртуальной сети отдельного
компьютера. Подключение удалённого пользователя к VPN производится
посредством сервера доступа, который подключён как к внутренней, так и к
внешней (общедоступной) сети. При подключении удалённого пользователя
4
(либо при установке соединения с другой защищённой сетью) сервер доступа
требует
прохождения
процесса
идентификации,
а
затем
процесса
аутентификации. После успешного прохождения обоих процессов удалённый
пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то
есть происходит процесс авторизации.
Классификация VPN. Классифицировать VPN решения можно по
нескольким основным параметрам: (см. рисунок 1).
По степени защищённости используемой среды:
защищенные - наиболее распространённый вариант виртуальных
частных сетей. С его помощью возможно создать надежную и защищённую
сеть на основе ненадёжной сети, как правило, Интернета. Примером
защищённых VPN являются: IPSec, OpenVPN и PPTP.
доверительные - используются в случаях, когда передающую среду
можно считать надёжной и необходимо решить лишь задачу создания
виртуальной подсети в рамках большей сети. Проблемы безопасности
становятся неактуальными. Примерами подобных VPN решений являются:
Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol)
(точнее будет сказать, что эти протоколы перекладывают задачу обеспечения
безопасности на другие, например L2TP, как правило, используется в паре с
IPSec).
По способу реализации. В виде специального программно-аппаратного
обеспечения. Реализация VPN сети осуществляется при помощи специального
комплекса программно-аппаратных средств. Такая реализация обеспечивает
высокую
производительность
и,
как
правило,
высокую
степень
защищённости.
В виде программного решения. Используют персональный компьютер
со
специальным
программным
обеспечением,
функциональность VPN.
5
обеспечивающим
Интегрированное решение. Функциональность VPN обеспечивает
комплекс,
решающий
также
задачи
фильтрации
сетевого
трафика,
организации сетевого экрана и обеспечения качества обслуживания.
По назначению. Remote Access VPN используют для создания
защищённого канала между сегментом корпоративной сети (центральным
офисом или филиалом) и одиночным пользователем, который, работая дома,
подключается к корпоративным ресурсам с домашнего компьютера,
корпоративного ноутбука, смартфона или c компьютера общественного
пользования.VPN. Используют для сетей, к которым подключаются
"внешние" пользователи (например, заказчики или клиенты). Уровень доверия
к ним намного ниже, чем к сотрудникам компании, поэтому требуется
обеспечение специальных "рубежей" защиты, предотвращающих или
ограничивающих доступ последних к особо ценной, конфиденциальной
информации.VPN. Используется для предоставления доступа к интернету
провайдерами, обычно если по одному физическому каналу подключаются
несколько пользователей. Протокол PPPoE стал стандартом в ADSLподключениях. /L2TP без шифрования были широко распространены в
середине-конце 2000-х годов в домовых сетях: в те времена внутрисетевой
трафик не оплачивался, а внешний стоил дорого. Это давало возможность
контролировать расходы: когда VPN-соединение выключено, пользователь
ничего не платит. В настоящее время (2015) средняя цена на проводной доступ
к Интернету существенно снизилась, а трафик, как правило, является
безлимитным. В итоге решения на базе туннельных протоколов становятся
избыточными для данной отрасли, зачастую даже обременительными для
клиентских устройств маршрутизации SOHO-класса, которые в последнее
время получили широкое распространение. /Server VPN. Он обеспечивает
защиту передаваемых данных между двумя узлами (не сетями) корпоративной
сети. Особенность данного варианта в том, что VPN строится между узлами,
находящимися, как правило, в одном сегменте сети, например, между рабочей
6
станцией и сервером. Такая необходимость очень часто возникает в тех
случаях, когда в одной физической сети необходимо создать несколько
логических сетей. Например, когда надо разделить трафик между финансовым
департаментом и отделом кадров, обращающихся к серверам, находящимся в
одном физическом сегменте. Этот вариант похож на технологию VLAN, но
вместо разделения трафика используется его шифрование.
Рисунок 1- Классификация VPN
По типу протокола. Существуют реализации виртуальных частных сетей
под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция
к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN
решений поддерживает именно его. Адресация в нём чаще всего выбирается в
соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.
7
По уровню сетевого протокола. По уровню сетевого протокола на основе
сопоставления с уровнями эталонной сетевой модели ISO/OSI.
По доступу. VPN могут быть как платными, так и бесплатными, со
свободным доступом для всех пользователей интернета. Бесплатные VPN
критикуют за низкий уровень защищенности данных, подозревают в сборе
информации о пользователях и продаже данных злоумышленникам.
1.2. Построение безопасных сетей на основе VPN
Предыстория. История зарождения VPN уходит своими корнями далеко
в 60-е годы прошлого столетия, когда специалисты инженерно-технического
отдела
нью-йоркской
телефонной
компании
разработали
систему
автоматического установления соединений абонентов АТС - Centrex (Central
Exchange). Другими словами это не что иное, как виртуальная частная
телефонная сеть, т.к. арендовались уже созданные каналы связи, т.е.
создавались виртуальные каналы передачи голосовой информации. В
настоящее время данная услуга заменяется более продвинутым ее аналогом IP-Centrex. Соблюдение конфиденциальности было важным аспектом при
передаче информации уже достаточно длительное время, приблизительно в
1900 году до н.э. первые попытки криптографии проявляли египтяне, искажая
символы сообщений. А в XV веке уже нашей эры математиком Леоном
Батистом Альберти была создана первая криптографическая модель. В наше
время именно виртуальная частная сеть может обеспечить достаточную
надежность передаваемой информации вместе с великолепной гибкостью и
расширяемостью системы.versus PN. Организовывая безопасные каналы
передачи информации в учреждениях несправедливо не рассмотреть вариант
организации
полноценной
частной
сети.
Ниже
изображен
вариант
организации частной сети небольшой компанией с 2 филиалами (см. рисунок
2).
8
Рисунок 2 - Частная сеть компании
Доступ во внешнюю сеть может осуществляться как через центральный
офис,
так
и
децентрализовано.
Данная
организация
сети
обладает
следующими неоспоримыми преимуществами:
·
высокая скорость передачи информации, фактически скорость при
таком соединении будет равна скорости локальной сети предприятия;
·
безопасность, передаваемые данные не попадают в сеть общего
пользования;
·
за пользование организованной сетью не кому не надо платить,
действительно капитальные вложения будут только на стадии изготовления
сети.
9
На 3 рисунке представлен аналогичный вариант организации сети
учреждения с филиалами, но только с использованием виртуальных частных
сетей.
Рисунок 3- Организация сети с использованием VPN
В данном случае преимущества, приведенные для частных сетей,
оборачиваются недостатками для виртуальных частных сетей, но так ли
значительны эти недостатки:
·
скорость
передачи
данных.
Провайдеры
могут
обеспечить
достаточно высокоскоростной доступ в Интернет, однако с локальной,
проверенной временем 100 Мбит сетью он все равно не сравнится. Но так ли
важно каждый день перекачивать сотни мегабайт информации через
организованную сеть? Для доступа к локальному сайту предприятия,
пересылки электронного письма с документом вполне достаточно скорости,
которой могут обеспечить Интернет-провайдеры;
10
·
безопасность передаваемых данных. При организации VPN
передаваемая информация попадает во внешнюю сеть, поэтому об
организации безопасности придется позаботиться заранее. Но уже сегодня
существуют
достаточно
стойкие
к
атакам
алгоритмы
шифрования
информации, которые позволяют владельцам передаваемых данных не
беспокоиться
за
безопасность.
Подробнее
о
способах
обеспечения
безопасности и алгоритмах шифрования чуть ниже;
·
за организованную сеть никому не надо платить. Достаточно
спорное преимущество, поскольку в противовес дешевизне пользования сетью
стоят большие капитальные затраты на ее создание, которые могут оказаться
неподъемными для небольшого учреждения. В то же время плата за
использование Интернет в наши дни сама по себе достаточно демократичная,
а гибкие тарифы позволяю выбрать каждому оптимальный пакет.
Теперь разберемся с наиболее очевидными преимуществами VPN:
·
масштабируемость системы: при открытии нового филиала или
добавления сотрудника, которому позволено пользоваться удаленным
доступом не нужно никаких дополнительных затрат на коммуникации.
·
гибкость системы: для VPN не важно, откуда вы осуществляете
доступ. Отдельно взятый сотрудник может работать из дома, а может во время
чтения почты из корпоративного почтового ящика фирмы пребывать в
командировке в абсолютно другом государстве. Также стало возможным
использовать так называемые мобильные офисы, где нет привязки к
определенной местности.
·
из предыдущего вытекает, что для организации своего рабочего
места человек географически неограничен, что при использовании частной
сети практически невозможно.
Отдельным пунктом можно выделить создание не проводных частных
сетей, а беспроводных. При таком подходе можно даже рассмотреть вариант
11
со своим спутником. Однако в этом случае начальные затраты достигают
астрономических высот, скорость снижается фактически до скорости
пользования всемирной паутиной, а для надежного обеспечения безопасности
необходимо применять опять таки шифрование. И в итоге получаем туже
виртуальную частную сеть, только с неимоверно высокими начальными
затратами и затратами на поддержание в рабочем состоянии всего
оборудования. Способы организации В VPN наиболее целесообразно
выделить следующие три основных способа:
1. Удаленный доступ отдельно взятых сотрудников к корпоративной
сети организации через модем либо общедоступную сеть (см. рисунок 4).
Рисунок 4- Удаленный доступ сотрудников
Организация такой модели виртуальной частной сети предполагает
наличие VPN-сервера в центральном офисе, к которому подключаются
удаленные клиенты. Удаленные клиенты могут работать на дому, либо,
используя переносной компьютер, из любого места планеты, где есть доступ к
всемирной паутине. Данный способ организации виртуальной частной сети
целесообразно применять в случаях:
12
·
географически
не
привязанного
доступа
сотрудников
к
корпоративной сети организации;
·
доступа к Интернету. Часто провайдеры создают для своих
клиентов VPN подключения для организации доступа к ресурсам Интернет.
2. Связь в одну общую сеть территориально распределенных филиалов
фирмы. Этот способ называется Intranet VPN (см. рисунок 5).
Рисунок 5- Связь в общую сеть филиалов фирмы
При организации такой схемы подключения требуется наличие VPN
серверов
равное
количеству
связываемых
офисов.
Данный
способ
целесообразно использовать как для обыкновенных филиалов, так и для
мобильных офисов, которые будут иметь доступ к ресурсам "материнской"
компании, а также без проблем обмениваться данными между собой.
13
3. Так называемый Extranet VPN, когда через безопасные каналы
доступа предоставляется доступ для клиентов организации. Набирает широкое
распространение в связи с популярностью электронной коммерции.
В этом случае для удаленных клиентов будут очень урезаны
возможности по использованию корпоративной сети, фактически они будут
ограничены доступом к тем ресурсам компании, которые необходимы при
работе
со
своими
клиентами,
например,
сайта
с
коммерческими
предложениями, а VPN используется в этом случае для безопасной пересылки
конфиденциальных данных. Средства защиты информации – протоколы
шифрования Поскольку данные в виртуальных частных сетях передаются
через общедоступную сеть, следовательно, они должны быть надежно
защищены от посторонних глаз. Для реализации защиты передаваемой
информации существует множество протоколов, которые защищают VPN, но
все они подразделяются на два вида и работают в паре:
·
протоколы, инкапсулирующие данные и формирующие VPN
соединение;
·
протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а
второй тип отвечает непосредственно за шифрование данных. Рассмотрим
некоторые стандартные, предлагаемые всемирно признанным мировым
лидером в области разработки операционных систем, решения. В качестве
стандартного набора предлагается сделать выбор из двух протоколов, точнее
будет сказать наборов:
1. PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол
"точка-точка", детище Microsoft и является расширением PPP (Point-to-Point
Protocol), следовательно, использует его механизмы подлинности, сжатия и
шифрования. Протокол PPTP является встроенным в клиент удаленного
доступа Windows XP. При стандартном выборе данного протокола компанией
14
Microsoft предлагается использовать метод шифрования MPPE (Microsoft
Point-to-Point Encryption). Можно передавать данные без шифрования в
открытом виде. Инкапсуляция данных по протоколу PPTP происходит путем
добавления заголовка GRE (Generic Routing Encapsulation) и заголовка IP к
данным обработанных протоколом PPP.
2.
L2TP (Layer Two Tunneling Protocol) - более совершенный
протокол, родившийся в результате объединения протоколов PPTP (от
Microsoft) и L2F (от Cisco), вобравший в себя все лучшее из этих двух
протоколов. Предоставляет более защищенное соединение, нежели первый
вариант, шифрование происходит средствами протокола IPSec (IP-security).
L2TP является также встроенным в клиент удаленного доступа Windows XP,
более того при автоматическом определении типа подключения клиент
сначала пытается соединиться с сервером именно по этому протоколу, как
являющимся более предпочтительным в плане безопасности.
Инкапсуляция данных происходит путем добавления заголовков L2TP и
IPSec к данным обработанным протоколом PPP. Шифрование данных
достигается путем применения алгоритма DES (Data Encryption Standard) или
3DES. Именно в последнем случае достигается наибольшая безопасность
передаваемых данных, однако в этом случае придется расплачиваться
скоростью соединения, а также ресурсами центрального процессора. В
вопросе применения протоколов компания Microsoft и Cisco образуют некий
симбиоз, судите сами, протокол PPTP - разработка Microsoft, но используется
совместно с GRE, а это продукт Cisco, далее более совершенный в плане
безопасности протокол L2TP - это ни что иное, как гибрид, вобравший в себя
все лучшее PPTP (уже знаем чей) и L2F, да правильно, разработанный Cisco.
Возможно именно поэтому VPN, при правильном подходе в организации,
считается надежным способом передачи
конфиденциальных данных.
Рассмотренные здесь примеры протоколов не являются единственными,
существует множество альтрнативных решений, например, PopTop - Unix
15
реализация PPTP, или FreeSWAN - протокол для установления IPSec
соединения под Linux, а также: Vtun, Racoon, ISAKMPD и др.
1.3. Шифрование
Безопасность ВЧС значительно повышается, когда шифруются не
только пакеты данных, но и пароли. Криптоключи данных, как уже
отмечалось, генерируются на основе регистрационных данных пользователя и
по каналам связи не передаются. Когда аутентификация завершена и личность
пользователя удостоверена, шифрование производится с помощью ключа
аутентификации.
Протоколы PPTP и L2TP, как и лежащий в их основе РРР, допускают
применение дополнительных протоколов шифрования и сжатия. В частности,
для повышения защищенности данных здесь может использоваться протокол
IPSec, который поддерживается в реализации L2TP, выполненной Microsoft.
При необходимости безопасность информации в ВЧС можно обеспечить и с
помощью других криптотехнологий.
Симметричное шифрование (с личным ключом).
В
основу
симметричного
шифрования
(его
также
называют
шифрованием с личным ключом или обычным шифрованием) положен
секретный ключ, известный только участникам сеанса связи. Отправитель
обрабатывает свое сообщение по специальному математическому алгоритму с
использованием секретного ключа, преобразуя тем самым его открытый текст
в шифрованный. Получатель сообщения с помощью того же самого
секретного ключа проводит обратную операцию, после чего получает
исходный открытый текст. Примером схемы симметричного шифрования
могут служить алгоритмы RSA RC4 (применяемый в протоколе MPPE), DES
(Data Encryption Standard - стандарт шифрования данных), IDEA (International
Data Encryption Algorithm - международный алгоритм шифрования данных), а
16
также технология шифрования Skipjack, предложенная правительством США
для микросхемы Clipper.
Асимметричное шифрование (с открытым ключом).
Для асимметричного шифрования (или шифрования с открытым
ключом) каждый пользователь должен иметь два различных ключа. Один из
них - секретный (личный) и известен только владельцу, а второй - открытый,
который доступен всем. Секретный и открытый ключи составляют пару,
взаимосвязь между ними определяется специальным математическим
алгоритмом шифрования. При такой схеме один ключ используется для
шифрования сообщения, а другой - для его дешифровки. Применение ключей
определяется особенностями службы связи. Технологии шифрования с
открытым ключом позволяют включать в сообщения цифровые подписи блоки информации, закрытые с помощью секретного ключа автора
сообщения.
При симметричном шифровании отправитель и получатель должны
знать общий секретный ключ, поэтому приходится искать пути его
предварительной доставки (с соблюдением мер предосторожности) обоим
корреспондентам. Избежать такой проблемы помогает асимметричное
шифрование. Здесь отправитель шифрует свое сообщение или снабжает его
цифровой подписью посредством собственного секретного ключа, а
дешифровка производится с помощью открытого ключа, который отправитель
может свободно переслать любому своему корреспонденту. Таким образом,
при асимметричном шифрование приходится тщательно оберегать только
один ключ - секретный.
Структурное и бесструктурное шифрование.
Для правильного выбора схемы шифрования очень важно понять
различия между структурным (stateful) и бесструктурным (stateless)
шифрованием.
17
При бесструктурном шифровании каждый одиночный пакет является
самодостаточным и содержит всю информацию, необходимую для его
дешифрования. Структурное шифрование, напротив, основано на том, что
каждый последующий пакет связан с предыдущим (или предыдущими), и
успешное дешифрование сообщения возможно лишь в том случае, если у
получателя имеется вся последовательность пакетов.
Чтобы правильно выбрать тип шифрования, необходимо найти
компромиссное
решение,
сбалансировав
стойкость
шифрования
и
производительности криптосистемы в средах с высоким уровнем потерь (или
в
сетях,
где
нарушается
Бесструктурное
шифрование
последовательность
позволяет
доставки
дешифровать
пакетов).
каждый
пакет
автономно, без какой-либо связи с предыдущими. По стойкости такой подход
уступает структурному шифрованию, где не получив предыдущего пакета,
невозможно расшифровать последующий. Однако в последнем случае
достаточно одному-единственному пакету затеряться в сети - и дешифрование
всех пакетов, следующих за ним, станет невозможным. Это может привести к
серьезному снижению производительности в сетях, где велика вероятность
потери пакетов или нарушения порядка их доставки.
Механизмы
шифрования
IPSec
обычно
опираются
на
методы
бесструктурного шифрования, и тому есть веская причина: в IP-сетях просто
невозможно гарантировать надежную пересылку всех пакетов. Их доставку
без потерь, и к тому же без нарушения последовательности, обеспечивает
только прямое подключение между узлами сети. Именно поэтому в основу
протокола РРР, разработанного специально для таких сред, положен метод
структурного шифрования.
IPSec и бесструктурное шифрование.
В протоколе IPSec предусмотрено шифрование каждого пакета
индивидуально и независимо от его предшественников. Благодаря такой схеме
18
потеря отдельного пакета приведет к утрате только той части информации,
которая была заключена в нем, но нисколько не скажется на возможности
дешифрования
других
пакетов.
В
тех
случаях,
когда
протоколы
туннелирования канального уровня (такие, как PPTP и L2TP) передаются
поверх IPSec, появляется возможность вместо механизмов структурного
шифрования РРР использовать механизмы бесструктурного шифрования
IPSec.
Протокол IPSec создан на основе модели Целевой группы технической
поддержки
Интернета,
предусматривающей
смешение
криптографии
открытых и секретных ключей. Автоматизирован здесь и процесс управления
ключами, за счет чего удается добиться максимально возможного уровня
безопасности при очень высокой производительности криптосистемы. Такая
схема позволяет производить аутентификацию, проверять целостность
информации, предотвращать повторное использование паролей, а также - при
применении дополнительных средств - сохранять конфиденциальность
данных, обеспечивая тем самым очень высокую защищенность канала связи.
К тому же, протокол IPSec, реализованный корпорацией Microsoft, работает
ниже сетевого уровня и поэтому прозрачен для пользователей и приложений.
Принимая его на вооружение, организации автоматически выходят на
качественно новый уровень сетевой безопасности.
Практические реализации IPSec обычно поддерживают более широкий
спектр алгоритмов шифрования, чем протоколы туннелирования канального
уровня, где используется шифрование РРР. Однако такие протоколы можно
передавать поверх IPSec, что позволяет шифровать туннельный трафик
канального уровня посредством всех алгоритмов протокола IPSec.
1.4. Фильтрация
Фильтрация служит еще одним мощным средством обеспечения сетевой
безопасности. Опираясь на нее, администратор может разрешить доступ к
19
корпоративной сети из Интернета только тем пользователям, которые прошли
аутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся к
протоколам PPTP и L2TP, снижает риск атаки на корпоративную сеть через
сервер шлюза ВЧС. Пропуская поступающий трафик через фильтр, можно
удалить из него все пакеты, не отвечающие заданным критериям
(протоколам). В комбинации с шифрованием по протоколу РРР эта функция
гарантирует, что поступить в частную ЛВС и покинуть ее смогут только
санкционированные шифрованные данные.
Фильтрация на сервере маршрутизации и удаленного доступа ВЧС.
Сервер R/RAS (Routing and Remote Access Server - сервер маршрутизации и
удаленного доступа) не только производит маршрутизацию сообщений, но и
выполняет целый ряд других функций. Так, он способен обслуживать
удаленный доступ по коммутируемым каналам, поддерживает ВЧС,
обеспечивает фильтрацию пакетов на отдельных портах. А в среде Windows
2000 этот сервер сможет работать с протоколом L2TP.
Разработчики сервера ВЧС R/RAS предусмотрели возможность
установки фильтров PPTP и L2TP на входных портах туннельного сервера.
Такая схема позволяет блокировать все пакеты, не соответствующие
критериям протоколов, которые установлены на сервере. В частности, в сеть
могут пропускаться лишь пакеты, адресованные конкретному серверу, или те,
исходные адреса которых указаны в список разрешенных IP-адресов
отправителей. Может также проводиться проверка подлинности адресов в
частной сети отправителя и получателя, назначаемых туннельным сервером.
Допускается и фильтрация трафика на выходных портах туннельного
сервера, которая отсеивает данные, исходящие из частной сети. Здесь,
например, можно наладить проверку адресов получателей и их сопоставление
со списком разрешенных, который ведется на сервере R/RAS. Точно так же
можно производить проверку адресов отправителей пакетов.
20
Фильтрация IPSec.
Протокол IPSec можно представить как еще один уровень, лежащий
ниже стека TCP/IP. Управление этим уровнем производится в соответствии с
политикой безопасности на каждом компьютере, учитываются и правила
обеспечения безопасности, согласованные отправителем и получателем
сообщения. Политика безопасности определяет как используемый набор
фильтров, так и ассоциированные функции безопасности (associated security
behaviors). Если IP-адрес, протокол и номер порта, указанные в пакете,
соответствуют критериям фильтрации, следующим этапом становится
проверка ассоциированных функций безопасности.
ВЧС и брандмауэры.
Брандмауэр
представляет
собой
еще
одно
средство
защиты
корпоративной сети. Этот компонент общей системы безопасности строго
следит за тем, какие данные могут быть пропущены из Интернета в частную
сеть. Известны три способа размещения брандмауэров в виртуальных частных
сетях.
Туннельный сервер ВЧС может быть установлен перед брандмауэром,
позади него или на одном компьютере с ним. Наиболее высокий уровень
защиты достигается при установке сервера перед брандмауэром. В среде
Windows NT туннель ВЧС настраивается таким образом, что в сеть проходят
только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются
и в таком виде поступают на брандмауэр, где их содержимое вновь
подвергается фильтрации и анализу. Именно такая схема - установка сервера
ВЧС перед брандмауэром - рекомендуется для применения в расширенных
интрасетях, используемых многочисленными доверенными партнерами, и для
защиты финансовых ресурсов. Впрочем, такой совет не универсален,
окончательное решение следует принимать в каждом ко
21
Как уже отмечалось, брандмауэр может устанавливаться и перед
сервером ВЧС. При такой схеме серверу приходится анализировать гораздо
больше пакетов, чем в описанной выше схеме. Кроме того, возникает
опасность прохождения через брандмауэр несанкционированных пакетов
PPTP: информация в них зашифрована и сжата, поэтому провести ее
фильтрацию брандмауэр не в состоянии. В этом случае возникает угроза
неправомерного использования сети служащими, которым предоставляется
право доступа в нее. Причем такая внутренняя угроза превращается в
повседневную, если служащий получает возможность входить в ЛВС
постоянно. Впрочем, подобную конфигурацию, как и связанный с ней риск,
можно признать допустимыми для приложений, работающих в интрасетях и
подобных им сетевых структурах.
И, наконец, третья схема, к которой могут прибегнуть организации с
ограниченными ресурсами, - брандмауэр устанавливается на одном
компьютере с сервером ВЧС. При такой конфигурации машина направляет
исходящий трафик ВЧС соответствующим получателям, а входящий - на
расположенный тут же брандмауэр для анализа. Такой способ является
наиболее экономичным, и его вполне можно рекомендовать для применения в
интрасетях и для связи в пределах одной компании.
22
2. Практическая часть
2.1. Настройка VPN сервера в Windows
Первое, что нам необходимо сделать — это установить роль удаленного
доступа. Для этого в оснастке Server Manager запускаем мастер
добавления ролей и выбираем роль «Remote Access» со всеми
дополнительными фичами. (см. рисунок 6).
Рисунок 6
И затем в списке сервисов для данной роли выбираем «DirectAccess and
VPN (RAS)». (см. рисунок 7).
23
Рисунок 7
Кроме роли удаленного доступа и инструментов управления будут
дополнительно установлены web-сервер IIS и внутренняя база данных
Windows. Полный список устанавливаемых компонентов можно
просмотреть в финальном окне мастера, перед подтверждением запуска
установки. (см. рисунок 8).
24
Рисунок 8
Все то же самое, только гораздо быстрее, можно проделать с помощью
PowerShell. Для этого надо открыть консоль и выполнить команду(см.
рисунок 9):
Рисунок 9
После установки роли нам потребуется включить и настроить службу с
помощью оснастки «Routing and Remote Access». Для ее открытия
жмем Win+R и вводим команду rrasmgmt.msc (см. рисунок 10).
25
Рисунок 10
В оснастке выбираем имя сервера, жмем правой клавишей мыши и в
открывшемся меню выбираем пункт «Configure and Enable Routing and
Remote Access» (см. рисунок 11).
Рисунок 11
В окне мастера настройки выбираем пункт «Custom configuration» (см.
рисунок 12).
26
Рисунок 12
И отмечаем сервис «VPN access» (см. рисунок 13).
Рисунок 13
В завершение настройки стартуем сервис удаленного доступа (см.
рисунок 14).
27
Рисунок 14
Сервис
VPN
установлен
и
включен,
теперь
необходимо
сконфигурировать его нужным нам образом. Опять открываем меню и
выбираем пункт «Properties» (см. рисунок 15).
Рисунок 15
28
Переходим на вкладку IPv4. Если у вас в сети нет DHCP сервера, то здесь
надо задать диапазон IP адресов, которые будут получать клиенты при
подключении к серверу (см. рисунок 16).
Рисунок 16
Дополнительно на вкладке «Security» можно настроить параметры
безопасности — выбрать тип аутентификации, задать предварительный
ключ (preshared key) для L2TP или выбрать сертификат для SSTP(см.
рисунок 17).
29
Рисунок 17
И еще пара моментов, без которых подключение по VPN не сможет
состояться.
Во первых, необходимо выбрать пользователей, которые имеют
разрешения подключаться к данному серверу. Для отдельно стоящего
сервера настройка производится локально, в оснастке «Computer
Management».
Для
запуска
оснастки
надо
выполнить
команду compmgmt.msc, после чего перейти в раздел «Local Users and
Groups». Затем надо выбрать пользователя, открыть его свойства и на
вкладке «Dial-In» отметить пункт «Allow access». Если же компьютер
является членом домена Active Directory, то эти же настройки можно
произвести из консоли «Active Directory Users and Computers» (см.
рисунок 18).
30
Рисунок 18
И во вторых, необходимо проверить, открыты ли нужные порты на
файерволле. Теоретически при добавлении роли соответствующие
правила включаются автоматически, но лишний раз проверить не
помешает (см. рисунок 19).
31
Рисунок 19
32
Заключение
Защита сети - процесс динамичный, который позволит надежно защитить
информацию и не снизить производительность всей организации. Средства
ВЧС, разработанные Microsoft, обеспечивают высочайший уровень
безопасности. Они открывают перед организациями все достоинства такой
удобной и экономичной технологии, как туннелирование трафика в
общедоступных сетях, и при этом надежно блокируют несанкционированный
доступ к информации через черный ход. Виртуальная частная сеть - очень
нужное изобретение в мире информационных технологий, которое поможет
нам безопасно получить интересующую нас информацию. Следует отметить,
что для реализации VPN существуют целые аппаратные комплексы, однако
они не взыскали широкого распространения в силу своей направленности на
обслуживание больших предприятий и, как следствие, дороговизны.
Вычислительная мощь аппаратных решений конечно очень высока, но не
всегда востребована, поэтому программные решения, а тем более
стандартные, не требующие дополнительных затрат на поиск и приобретение
дополнительного программного обеспечения, приобрели такую огромную
популярность. Построенная в результате VPN очень проста, но она
показывает основные моменты построения VPN. Построение других видов
VPN на основе Microsoft 2003 Server принципиально ничем не отличаются. В
заключение хотелось бы отметить, что способов применения VPN очень
много, как и способов реализации. С помощью VPN - безопасность не только
информации, которая передается, но и самого подключения.
33
Список литературы
Иванов М.А. Криптографические методы защиты информации в
компьютерных системах и сетях. - М.: КУДИЦ-ОБРАЗ, 2018. - 368 с.
Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Питер,
2021. - 704 с.
Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии,
протоколы: Учебник для вузов. - СПб.: Питер, 2019. - 672 с.
Романец Ю.В. Тимофеев П.А., Шаньгин В.Ф. Защита информации в
компьютерных системах и сетях. 2-е изд. - М: Радио и связь, 2020. −328 с.
Столлингс В. Основы защиты сетей. Приложения и стандарты = Network
Security Essentials. Applications and Standards. - М.: "Вильямс", 2020. - С. 432.
- ISBN 0-13-016093-8.
Запечников С.В. Модельное представление ключевых систем средств
криптографической защиты информации // Безопасность информационных
технологий. 2018. № 4. С. 84-92.
Запечников С.В. Криптографические протоколы и их применение в
финансовой и коммерческой деятельности: уч. пособие для вузов. М.:
Горячая линия - Телеком, 2019.- 320 с.
34