Основные понятия и функции сети VPN
ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ
ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
СТЕРЛИТАМАКСКИЙ МНОГОПРОФИЛЬНЫЙ ПРОФЕССИОНАЛЬНЫЙ КОЛЛЕДЖ
(ГАПОУ СМПК)
КУРСОВАЯ РАБОТА
«МОДЕЛИРОВАНИЕ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ VPN ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ЛОКАЛЬНОЙ СЕТИ»
| Оценка: ______________ «___»_________ 2020 г. | Выполнил: студент III курса группы ССА-39 специальности 09.02.06 Системное и сетевое администрирование Фурман Борис Леонидович. Руководитель: Агибалова Кристина Евгеньевна. |
Стерлитамак, 2020
СОДЕРЖАНИЕ
АННОТАЦИЯ.. 3
ВВЕДЕНИЕ. 4
ГЛАВА I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ VPN.. 6
1.1. Основные понятия и функции сети VPN.. 6
1.2. Технология программного GRE туннелирования в VPN сети. 16
ВЫВОДЫ ПО I ГЛАВЕ. 18
ГЛАВА 2. ПРАКТИЧЕСКАЯ РАБОТА ПО РЕАЛИЗАЦИИ ТЕХНОЛОГИИ VPN В ЛОКАЛЬНОЙ СЕТИ.. 19
2.1. Моделирование объектов сетевой инфраструктуры локальной сети. 19
2.2. Этапы реализации технологии VPN локальной сети организации. 24
ВЫВОДЫ ПО II ГЛАВЕ. 31
ЗАКЛЮЧЕНИЕ. 32
СПИСОК ЛИТЕРАТУРЫ.. 34
ПРИЛОЖЕНИЯ
АННОТАЦИЯ
Объем работы: 35 страниц.
Количество иллюстраций: 27.
Количество таблиц: 3.
Количество приложений: 4.
Количество использованных источников: 15.
Полученные результаты: смоделированы в Cisco Packet Tracer этапы реализации технологии VPN для пользователей локальной сети.
Перечень ключевых слов: VPN, IPSec, OpenVPN, PPTP, TCP/IP, IPX, незащищенная сеть, VPN типа «узел-узел», GRE, интерфейс туннеля, локальная сеть, инкапсуляция пакетов, основной шлюз, Intranet, Extranet.
|
|
|
ВВЕДЕНИЕ
Современное развитие информационных технологий и, в частности, сети Интернет, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. Интернет является незащищенной сетью, поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной сети.
VPN – это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия. На мой взгляд, это наиболее яркий образ технологии, которая получает все большее распространение среди не только технических специалистов, но и среди рядовых пользователей, которым также требуется защищать свою информацию (например, пользователи Интернет-банков или Интернет-порталов).
В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям.
|
|
|
Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных Интернет сетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем уже не уступает выделенным линиям. Очевидная экономическая эффективность от внедрения VPN-технологий стимулирует предприятия к активному их внедрению.
Цель проекта: смоделировать реализацию технологии VPN для пользователей локальной сети.
Объект проекта: локальная сеть организации.
Предмет проекта: технология VPN как средство настройки удаленного соединения в локальной сети
Задачи проекта:
1. Рассмотреть учебно-техническую литературу по теме курсовой работы.
2. Раскрыть понятия, назначение и функции технологии VPN.
3. Описать этап реализации технологии VPN для пользователей локальной сети.
|
|
|
4. Смоделировать объекты сетевой инфраструктуры локальной сети.
5. Описать этапы реализации технологии VPN для смоделированной локальной сети.
ГЛАВА I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ VPN
Основные понятия и функции сети VPN
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:
1) несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть;
2) несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.
Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач:
1) защита подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
2) защита информации в процессе ее передачи по открытым каналам связи [15].
Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Интернет (Рисунок 1).
|
|
|
Рисунок 1. Сеть VPN
Структура VPN. VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN. Классифицировать VPN решения можно по нескольким основным параметрам:
По степени защищённости используемой среды:
Защищенные – наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищённую сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
Доверительные –используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например, L2TP, как правило, используется в паре с IPSec).
По способу реализации. В виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению. Remote Access VPN используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или c компьютера общественного пользования. VPN используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Протокол PPPoE стал стандартом в ADSL-подключениях. L2TP без шифрования были широко распространены в середине-конце 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время средняя цена на проводной доступ к Интернету существенно снизилась, а трафик, как правило, является безлимитным. В итоге решения на базе туннельных протоколов становятся избыточными для данной отрасли, зачастую даже обременительными для клиентских устройств маршрутизации SOHO-класса, которые в последнее время получили широкое распространение. Server VPN. Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.
По типу протокола. Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.
По уровню сетевого протокола. По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI [14].
Основные способы реализации VPN в локальной сети:
1. Удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через модем либо общедоступную сеть (Рисунок 2).
Рисунок 2. Удаленный доступ сотрудников
Организация такой модели виртуальной частной сети предполагает наличие VPN-сервера в центральном офисе, к которому подключаются удаленные клиенты. Удаленные клиенты могут работать на дому, либо, используя ноутбук с доступов в Интернет. Данный способ организации виртуальной частной сети целесообразно применять в случаях:
– географически не привязанного доступа сотрудников к корпоративной сети организации;
– доступа к Интернету. Часто провайдеры создают для своих клиентов VPN подключения для организации доступа к ресурсам Интернет.
2. Связь в одну общую сеть территориально распределенных филиалов фирмы. Этот способ называется Intranet VPN (Рисунок 3).
Рисунок 3. Связь в общую сеть филиалов фирмы
При организации такой схемы подключения требуется наличие VPN серверов равное количеству связываемых офисов. Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ресурсам «материнской» компании, а также без проблем обмениваться данными между собой.
3. Extranet VPN, когда через безопасные каналы доступа предоставляется доступ для клиентов организации. Набирает широкое распространение в связи с популярностью электронной коммерции.
В этом случае для удаленных клиентов будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных. Средства защиты информации –протоколы шифрования. Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре:
– протоколы, инкапсулирующие данные и формирующие VPN соединение;
– протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных [9].
Основные протоколы:
1. PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол «точка-точка», детище Microsoft и является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows XP. При стандартном выборе данного протокола компанией Microsoft предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде. Инкапсуляция данных по протоколу PPTP происходит путем добавления заголовка GRE (Generic Routing Encapsulation) и заголовка IP к данным обработанных протоколом PPP.
2. L2TP (Layer Two Tunneling Protocol) – более совершенный протокол, родившийся в результате объединения протоколов PPTP (от Microsoft) и L2F (от Cisco), вобравший в себя все лучшее из этих двух протоколов. Предоставляет более защищенное соединение, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows 10, более того при автоматическом определении типа подключения клиент сначала пытается соединиться с сервером именно по этому протоколу, как являющимся более предпочтительным в плане безопасности [11].
Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана:
– на аутентификации взаимодействующих сторон;
– криптографическом закрытии (шифровании) передаваемых данных;
– проверке подлинности и целостности доставляемой информации.
VPN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое ПО модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN-клиентами, VPN-серверами или шлюзами безопасности VPN. Обычно реализация VPN-клиента представляет собой программное решение, дополняющее стандартную ОС – Windows 7/10 [4, с. 56].
VPN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN-сервер обеспечивает защиту серверов от НСД из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VPN-продуктами. VPN-сервер является функциональным аналогом продукта VPN-клиент для серверных платформ. Он отличается прежде всего расширенными ресурсами для поддержания множественных соединений с VPN-клиентами. VPN-сервер может поддерживать защищенные соединения с мобильными пользователями [8, с. 85].
Суть туннелирования состоит в том, чтобы инкапсулировать, т. е. «упаковать», передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от НСД или искажения, но благодаря туннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов. Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (Рисунок 4).
Рисунок 4. Инкапсулированный пакет передаваемых данных
Особенность технологии туннелирования в том, что она позволяет зашифровывать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети – данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник может использовать такую информацию при организации атак на корпоративную сеть. Исходный пакет с зашифрованным заголовком не может быть использован для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью, вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.
По прибытии в конечную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети.
Туннелирование может быть использовано для защиты не только конфиденциальности содержимого пакета, но и его целостности и аутентичности, при этом электронную цифровую подпись можно распространить на все поля пакета [2, с. 116].
В дополнение к сокрытию сетевой структуры между двумя точками, туннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями. При создании локальной сети, не связанной с Internet, компания может использовать любые IP-адреса для своих сетевых устройств и компьютеров. При объединении ранее изолированных сетей эти адреса могут начать конфликтовать друг с другом и с адресами, которые уже используются в Internet. Инкапсуляция пакетов решает эту проблему, поскольку позволяет скрыть первоначальные адреса и добавить новые, уникальные в пространстве IP-адресов Internet, которые затем используются для пересылки данных по разделяемым сетям. Сюда же входит задача настройки IP-адреса и других параметров для мобильных пользователей, подключающихся к локальной сети.
Механизм туннелирования широко применяется в различных протоколах формирования защищенного канала. Обычно туннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например между точкой входа в открытый Интернет и точкой входа в корпоративную сеть. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде. Следует отметить, что сам механизм туннелирования не зависит от того, с какой целью применяется туннелирование. Туннелирование может применяться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPv4 и IPv6). Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования. Например, в качестве протокола-«пассажира» может быть использован транспортный протокол IPX, переносящий данные в локальных сетях филиалов одного предприятия. Наиболее распространенным вариантом несущего протокола является протокол IP сети Интернет. В качестве протоколов туннелирования могут быть использованы протоколы канального уровня РРТР и L2TP, а также протокол сетевого уровня IPSec. Благодаря туннелированию становится возможным сокрытие инфраструктуры Internet от VPN-приложений.
Туннели VPN могут создаваться для различных типов конечных пользователей – либо это локальная сеть LAN (local area network) со шлюзом безопасности, либо отдельные компьютеры удаленных и мобильных пользователей. Для создания виртуальной частной сети крупного предприятия нужны VPN-шлюзы, VPN-серверы и VPN-клиенты. VPN-шлюзы целесообразно использовать для защиты локальных сетей предприятия, VPN-серверы и VPN-клиенты используют для организации защищенных соединений удаленных и мобильных пользователей с корпоративной сетью через Интернет [7, с 135].
Дата добавления: 2021-04-15; просмотров: 1059; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!