- •Тема 3.5. Виртуальные частные сети(vpn).
- •Туннелирование в vpn
- •Уровни защищенных каналов
- •Защита данных на канальном уровне
- •Организация vpn средствами протокола pptp Постановка задачи
- •Защита данных на сетевом уровне
- •Протокол skip
- •Протокол ipSec
- •Организация vpn средствами сзи VipNet Постановка задачи
- •Настройка сетевых соединений виртуальных машин
- •Установка сзи VipNet
- •Настройка сзи VipNet
- •Использование протокола ipSec для защиты сетей Организация vpn средствами сзи StrongNet Описание системы
- •Постановка задачи
- •Организация vpn средствами протокола ssl в Windows Server 2003
- •Активизация iis
- •Генерация сертификата открытого ключа для Web-сервера
- •Настройка ssl-соединения
Протокол ipSec
Протокол IPSecпозволяет осуществлять две важнейшие функции сетевой защиты — осуществлять криптографическую защиту трафика и выполнять фильтрацию входящих/исходящих пакетов. Протокол реализован в ОСWindows2000/XP. Протокол обеспечивает аутентификацию участников сетевого обмена (протоколIKE—InternetKeyExchange), защиту целостности (заголовок аутентификацииAH—AuthenticationHeader) и шифрование (ESP—EncapsulatingSecurityPayload)
Аутентифицирующий заголовок (AH) выполняет защиту от атак, связанных с несанкционированным изменением содержимого пакета. Для этого особым образом применяется алгоритм MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа, затем от объединения полученного результата и преобразованного ключа.
Заголовок ESP служит для обеспечения конфиденциальности данных, предполагает возможность использования любого симметричного алгоритма шифрования.
Протокол обмена ключами IKE отвечает за первоначальный этап установки соединения, способ инициализации защищенного канала, процедуры обмена секретными ключами, выбор метода шифрования. Предполагает три различных способа аутентификации: технологию «вызов-ответ» с использованием хэш-функции с общим секретным ключом, применение сертификатов открытых ключей и использование протокола Керберос.
Организация vpn средствами сзи VipNet Постановка задачи
Рассмотрим некоторую гипотетическую организацию, ведущую проектирование инженерной документации, составляющей коммерческую тайну. Готовые проекты передаются по защищенному каналу в удаленные филиалы.
Внедряемая система защиты должна обеспечить защиту от несанкционированного доступа к передаваемым данным, удовлетворяя следующим требованиям:
только зарегистрированные пользователи могут иметь возможность входа в систему и обмена конфиденциальной информацией;
передаваемая конфиденциальная информация должна быть защищена криптографическими методами, обеспечивающими её конфиденциальность, целостность и подлинность;
в целях расследования возможных инцидентов должна вестись регистрация в журналах наиболее важных событий, связанных с передачей защищаемой информации по каналам связи;
должна быть обеспечена безопасная работа пользователей в Интернет средствами межсетевого экранирования.
Пусть в данной организации работают администратор безопасности и два пользователя. Один пользователь работает в головном офисе, другой в удаленном филиале. Задачами администратора безопасности являются: создание логической структуры сети, определение необходимых соединений между узлами, создание ключевых наборов и генерация пользовательских паролей, установка различных уровней защиты сетевого трафика. Задачей пользователей, имеющих допуск к клиентской части ViPNet, является обмен конфиденциальной информацией.
В ходе работы имитируется функционирование четырех рабочих станций: две станции для работы пользователей и две станции для работы администратора безопасности. Администратор использует два функционально различных компьютера: ViPNet Менеджер и ViPNet Координатор.
Кроме того, имитируется работа компьютера стороннего наблюдателя (злоумышленника), имеющего возможность захватывать сетевой трафик на пути его следования. Задачей стороннего наблюдателя является анализ возможности получения доступа к конфиденциальной информации.
Лабораторная работа выполняется двумя слушателями на двух рабочих местах с использованием технологии виртуальных машин (см. приложение). Первое рабочее место имитирует компьютер пользователя основного офиса и компьютер «ViPNet Менеджер» администратора безопасности. Второе рабочее место имитирует компьютер пользователя филиала и компьютер «ViPNet Координатор» администратора безопасности. На каждом рабочем месте запускаются две виртуальные машины с ОС Windows2000 для установки СЗИVipNet.
Основные операционные системы на обоих рабочих местах имитируют компьютеры сторонних наблюдателей и используются для анализа сетевого трафика.
Для исследования применяется демонстрационная версия СЗИ VipNet.