Виртуальные частные сети передачи данных
Цель: получить представление о средствах информационной безопасности, применяемых в маршрутизаторах Cisco. Научиться настраивать виртуальные частные сети.
Теоретические сведения
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет).
IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
|
|
|
Существует два режима работы IPSec: транспортный режим и туннельный режим.
В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE и др.).
В туннельном режиме IP-пакет шифруется целиком. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Рассмотрим схему, изображенную на рисунке 6.1.
Рис. 6.1. Схема сети
На данной схеме рассмотрены следующие подсети:
1. Порты FastEthernet0/0 маршрутизаторов Router0, Router1, Router2, Router3 представляют собой подсеть NetA;
|
|
|
2. Порт FastEthernet0/1 маршрутизатора Router0 и порт ПК PC0 представляют собой подсеть NetB;
3. Порт FastEthernet0/1 маршрутизатора Router1 и порт ПК PC1 представляют собой подсеть NetC;
4. Порт FastEthernet0/1 маршрутизатора Router2 и порт ПК PC2 представляют собой подсеть NetD;
5. Порт FastEthernet0/1 маршрутизатора Router3 и порт ПК PC3 представляют собой подсеть NetE.
Начальным этапом защиты оборудования является закрытие свободного доступа на маршрутизаторы и коммутаторы. Доступ может быть закрыт как на telnet подключение к оборудованию (рассматривалось в лабораторной работе №2), так и на привилегированный режим.
Привилегированный режим закрывается в режиме конфигурирования командой enable password пароль. Но в таком случае, пароль будет храниться в конфигурации в открытом виде. Для того чтобы в конфигурацию сохранялся не сам пароль, а его хэш-вектор, необходимо ввести команду enable secret пароль.
Доступ к консоли оборудования может быть произведен как для удаленных пользователей, так и для пользователей, подключенных к оборудованию напрямую. В последнем случае, необходимо набрать команды:
Line console 0
Login
password пароль.
Здесь так же в случае использования ключевого слова password – пароль будет храниться в открытом виде, в обратном случае – в виде хэш-вектора. Для того чтобы проверить наличие пароля, необходимо выйти командой logout и нажать ENTER для инициирования нового входа.
|
|
|
Оборудование Cisco поддерживает создание виртуальных частных сетей с шифрованием с помощью IPSec.
Для примера рассмотрим подсети NetA: 192.168.1.0/24, NetB: 192.168.2.0/24, NetC: 192.168.3.0/24, NetD: 192.168.4.0/24, NetE: 192.168.5.0/24.
С помощью описанных ранее в данной лабораторной работе команд поставьте пароли на доступы к маршрутизаторам и на переходы в привилегированный режим.
Далее настроим туннель между сетями NetB и NetD.
Настройка туннеля начинается с того, что на шлюзе для ПК PC0 (им является Router0) выставляется политика шифрования (ISAKMP policy):
crypto isakmp policy 1
hash md5
authentication pre-share
encryption des
group 1.
С помощью команды ? после ключевых слов политики вы можете узнать, какие еще методы шифрования, хэширования, аутентификации и передачи ключей поддерживает оборудование Cisco.
Далее создадим лист доступа, разрешающий доступ по протоколу IP подсети 192.168.2.0 к 192.168.4.0 (подключать список доступа к какому-либо интерфейсу не нужно):
access-list 110permit ip192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255.
После этого выставляется ключ для аутентификации шлюзов и схема функционирования IPSec (аутентификация AH-SHA-HMAC, шифрование ESP-DES):
|
|
|
crypto isakmp key ciscoaddress192.168.1.3
crypto ipsec transform-set set_1ah-sha-hmac esp-des.
И, наконец, открываем туннель на шлюз с ранее созданными настройками:
crypto map crypto_map1 ipsec-isakmp
set peer 192.168.1.3
set transform-set set_1
match address 110.
Следует отметить, что ключ аутентификации и схема функционирования IPSec выставляются на внешний интерфейс, т.е. в нашем случае – на интерфейс, находящийся в сети NetA.
Последним этапом является применение схемы шифрования туннеля к необходимому сетевому интерфейсу (в режиме его конфигурирования):
crypto map crypto_map.
Аналогично настраивается и противоположный шлюз Router2 (настройки зеркальные).
После настройки туннелей PC0 и PC2 должны быть доступны при использовании утилиты ping. Количество шифрованных пакетов, прошедших через шлюз можно посмотреть с помощью команды show crypto ipsec sa.
Задание к лабораторной работе:
1. Собрать схему, изображенную на рисунке 6.1;
2. Установить пароли на маршрутизаторах;
3. В соответствии с вариантами настроить туннели между маршрутизаторами.
Варианты заданий:
1. Подсеть NETb и NETc;
2. Подсеть NETb и NETd;
3. Подсеть NETb и NETe;
4. Подсеть NETc и NETd;
5. Подсеть NETc и NETe;
6. Подсеть NETd и NETe.
Контрольные вопросы:
1. Понятие VPN. На каких уровнях модели OSI развертывают?
2. Понятие IPSec. Режимы работы IPSec.
3. Понятие туннелирования, инкапсуляции.
4. Шифрование и аутентификация в сетях.
Лабораторная работа №7
Дата добавления: 2018-06-01; просмотров: 745; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!