Балтийский государственный технический университет
«ВОЕНМЕХ»
Кафедра информационных систем и компьютерных технологий
В.А.Гаврилов
Методические указания к лабораторным работам
по курсу «Администрирование в информационных системах»
Санкт-Петербург
2009 г.
Лабораторная работа №1
Установка IPSEC и PPTP VPN-соединений в среде Microsoft Windows XP на примере VPN-сервера OvisLink WMU-9000VPN
Цель работы: Изучение методики и приобретение навыков установки защищенных сетевых протоколов и организации корпоративной виртуальной частной сети на основе ОС Windows XP.
Краткие сведения из теории.
В качестве примера рассмотрена сеть со следующей топологией:
Установка IPSEC соединений в Microsoft Windows XP:
Ниже рассмотрена пошаговая установка IPSEC соединений в операционной системе Microsoft Windows XP SP2 ENG с установленным русским MUI.
VPN (Virtual Private Network) - механизм безопасной прозрачной для пользователя передачи информации через незащищенные сети (например, Internet) с возможностью удаленного использования ресурсов сети как если бы пользователь находился внутри этой сети (примером может служить локальная сеть офиса и сотруднику, уехавшему в командировку, нужно получить доступ в нее через Интернет). Пакеты, передаваемые в незашифрованном виде, могут быть перехвачены и/или фальсифицированы злоумышленником. Для предотвращения этого пакеты шифруются и инкапсулируются (включаются) в другие пакеты.
IPSEC - надстройка к протоколу IP, обеспечивающая безопасность протоколов более высокого уровня. IPSEC был разработан для IPv6 протокола, а позже портирован на IPv4 протокол.
Данный роутер имеет типичные для подобных устройств набор настроек для IPSEC VPN. Для установки и настройки VPN-соединений в веб-интерфейсе роутера присутствует ссылка "VPN", нажав на которую попадаем в меню установки VPN-соединений. Для создания IPSEC соединения нужно нажать кнопку "Add IPSec VPN Tunnel"
Далее нужно ввести название туннеля и задать некоторые его параметры:
Local Secure Group - группа компьютеров локального сегмента, которые будут иметь доступ к туннелю. В нашем случае мы разрешаем доступ к туннелю всем компьютерам локального сегмента: 192.168.1.0/24
Remoute Secure Group - группа компьютеров на другом конце туннеля, которая будет иметь доступ к туннелю. В нашем случае мы оставляем это поле пустым, так как нам заранее неизвестна эта группа. Если бы адреса назначались статически - в этом поле можно было бы указать 10.0.0.75/32.
Remote Secure Gateway - IP-адрес другого конца VPN туннеля, с которым будет связываться роутер если компьютер из Local Secure Group начнет обращаться к компьютеру из Remote Secure Group. Если этот компьютер получает динамический адрес - роутер не может с ним связаться и ждет, пока этот компьютер сам попробует установить IPSEC-соединение с роутером. В этом случае здесь должен стоять адрес 0.0.0.0. Если бы адреса назначались статически - в этом поле можно было бы указать 10.0.0.75.
Encryption - выбор алгоритма шифрования. ОС Windows XP из представленных здесь методов поддерживает только 3DES.
Authentication - выбор метода проверки целостности MD5 или SHA1 - оба они поддерживаются в Windows XP.
Key Lifetime - время жизни ключа. Во время установки IPSEC VPN-соединения вырабатываются ключи, по которым ведется шифрование, для большей безопасности ключи периодически меняются. В этом поле указывается время (в секундах), после которого ключ должен быть заменен.
Pre-Shared Key - предварительный ключ. Для данного примера предварительным ключом будет фраза "sekret". Эта фраза должна совпадать на обоих концах туннеля (на компьютере с Windows XP и на роутере).
В завершение настройки IPSEC-туннеля на роутере жмем "Add",
после чего созданный туннель будет добавлен в список и имеет статус Enable:
На этом установка IPSEC-туннеля на роутере закончена.
За установку IPSEC соединений в Windows отвечает так называемая "Консоль управления Microsoft" (Microsoft Management Console), которую можно вызвать набрав команду mmc (mmc.exe).
Общий вид консоли показан на следующем рисунке:
Эта консоль позволяет добавлять или удалять так называемые "оснастки":
Для управления IPSEC соединениями в Windows XP необходимо добавить оснастку "Управление политикой безопасности IP":
После нажатия кнопки "добавить" нужно указать, что политика безопасности применяется на локальном компьютере и нажимаем кнопку "Готово":
Все необходимые "оснастки" добавлены, поэтому жмем кнопку "Закрыть":
В корне консоли появляется оснастка "Политики безопасности IP на Локальный компьютер", нажимаем "ОК" :
Далее выбираем в левом окне консоли оснастку "Политики безопасности IP на Локальный компьютер", а в правом окне находится несколько предопределенных, стандартных для Windows политик. Все эти политики по умолчанию не активны и никак не влияют на настраиваемое IPSEC соединение.
Необходимо добавить собственную политику безопасности. Для этого в свободном месте правого окна щелкаем правой кнопкой мыши и выбираем пункт "Создать политику безопасности IP" как показано на следующем рисунке. Задание политики нужно для указания ОС что делать с трафиком, идущим в удаленную сеть или из нее.
Запускается мастер добавления новой политики IP, нажимаем "далее".
Затем необходимо ввести название политики безопасности (в данном случае она названа "VPN"):
На следующем экране мастер предлагает использовать правило по умолчанию. Мы создаем собственные правила, поэтому снимаем галочку "использовать правило по умолчанию":
Ставим галочку "изменить свойства", чтобы начать редактировать политику сразу по завершении мастера и нажимаем кнопку "Готово":
После этого открывается окно редактирования политики. Политика безопасности представляет собой набор правил, которые используются при связи с другими компьютерами в сети. Все правила будут задаваться вручную, поэтому снимаем галочку "использовать мастер" и жмем кнопку "Добавить" для добавления нового правила:
Окно редактирования правил показано на следующем рисунке. Нам нужно добавить список фильтров для указания к какому трафику применяется правило. Нажимаем кнопку "Добавить":
Список фильтров можно задать используя несколько фильтров; в нашем случае нам нужно создать список из одного фильтра. Называем список фильтров "WinXP -> WMU-9000VPN" (обрабатывается трафик, идущий от машины с WIndows XP к роутеру OvisLink WMU-9000VPN) и нажимаем кнопку "Добавить", чтобы добавить фильтр:
Фильтры можно задавать по адресу источника пакетов, адресу назначения пакетов, по используемому протоколу и порту (только для TCP и UDP). В нашем случае мы хотим зашифровать весь трафик, идущий от нашей машины с WinXP в сеть, спрятанную за роутером (192.168.1.0/24). Для этого в качестве адреса источника пакетов выбираем "Мой IP-адрес", а в качестве адреса назначения пакетов - выбираем "Определенная подсеть IP", указываем адрес сети 192.168.1.0 и маску подсети 255.255.255.0 (что равносильно "/24"). Ставим галочку "Отраженный" ("Mirrored") и нажимаем "ОК":
После этого созданный фильтр появляется в списке фильтров "WinXP -> WMU-9000VPN", нажимаем "ОК":
Для используемого правила выбираем созданный нами список фильтров ("WinXP -> WMU-9000VPN") и переходим к вкладке "Действие фильтра":
На вкладке "Действие фильтра" выбираем действие "Require Security" (требовать безопасность), снимаем галочку "Использовать мастер" и жмем кнопку "Изменить":
Выбираем "Согласовать безопасность", снимаем галочку "Принимать небезопасную связь, но отвечать с помощью IPSEC" и ставим галочку "Сеансовые циклы безопасной пересылки (PFS)". Этими установками мы не позволяем работать без шифрования - все незащищенные соединения будут отклонены.
Установки методов безопасности представляют перебираемые по порядку (сверху вниз) методы шифрования и проверки целостности пакетов. В Windows XP поддерживаются два алгоритма шифрования (DES и 3DES) и два метода проверки целостности (MD5 и SHA1). Неиспользуемые методы можно удалить.
Алгоритм шифрования DES (56 бит) уже считается недостаточно защищенным и, скорее всего, оставлен для совместимости. Ему на смену пришел алгоритм 3DES, который представляет собой 3 раза подряд примененный алгоритм DES и, следовательно, этот алгоритм имеет в 3 раза более длинный ключ защиты.
Метод проверки целостности представляет собой хеш-функцию. SHA1 считается более защищенным.
После выполнения всех необходимых действий нажимаем "ОК" и переходим к вкладке "Параметры туннеля":
Защищенный туннель создается между нашим компьютером с Windows XP и роутером. Далее, в LAN-сегменте за роутером, трафик уже не зашифрован. Поэтому крайними точками туннеля являются компьютер с WinXP (10.0.0.75) и WAN-интерфейс роутера (10.0.0.78).
В следующем окне нужно указать конечную точку туннеля в направлении передачи трафика. Для созданного правила трафик идет от компьютера с Windows XP к роутеру (WinXP -> WMU-9000VPN), поэтому конечной точкой туннеля для этого правила будет IP-адрес WAN-интерфейса роутера. Вписываем адрес WAN-интерфейса (10.0.0.78) и переходим на вкладку "Методы проверки подлинности":
VPN - соединение устанавливается в несколько этапов. На первом этапе происходит согласование политик и выработка ключей для шифрования. В простейшем случае, для защиты на этом этапе используется механизм предварительного ключа PSK (Pre Shared Key), который должен совпадать на обоих концах IPSEC туннеля. На роутере в качестве PSK для примера задана фраза "sekret"
Для установки предварительного ключа нажимаем кнопку "Изменить":
Выбираем пункт "Использовать данную строку (предварительный ключ)" и вводим фразу, которую прописали на роутере (фраза "sekret"). В завершение жмем на "ОК":
Нажимаем кнопку "Закрыть":
Далее нужно добавить еще одно правило к политике, которое будет отвечать за трафик от роутера к машине с WinXP. Для этого нажимаем кнопку "Добавить":
Для создания еще одного списка фильтров нажимаем кнопку добавить:
Называем список фильтров "WMU-9000VPN -> WinXP" и нажимаем кнопку "Добавить" для добавления нового фильтра в список фильтров:
Теперь адреса источника и назначения меняются на противоположные. Фильтр учитывает трафик от сети, спрятанной за роутером OvisLink WMU-9000VPN (192.168.1.0/24), к компьютеру с WinXP (10.0.0.75). В пункте "Адрес источника пакетов" выбираем пункт "Определенная подсеть IP" и вписываем адрес сети вместе с маской (192.168.1.0/255.255.255.0), а в пункте "Адрес назначения пакетов" выбираем пункт "Мой IP-адрес". Ставим галочку "отраженный" и нажимаем "ОК":
В списке фильтров появляется созданное нами правило, жмем "ОК":
Выбираем среди списков созданный нами фильтр "WMU-9000VPN -> WinXP" и переходим к вкладке "Действие фильтра":
Выбираем пункт "Require security" (требовать безопасность) и жмем на кнопку "Изменить":
В этом окне все пункты должны быть выставлены как на следующем рисунке, нажимаем "ОК" и переходим к вкладке "Параметры туннеля":
Здесь мы должны указать конечную точку туннеля. В нашем случае трафик идет от роутера OvisLink WMU-9000VPN (10.0.0.78) к компьютеру с WinXP (10.0.0.75), поэтому конечной точкой туннеля будет выступать адрес нашего компьютера с Windows XP - 10.0.0.75 - вводим эти данные в окне. Далее переходим к вкладке "Методы проверки подлинности" и нажимаем на кнопку "Изменить":
Как и при создании первого правила в политике безопасности выбираем использование предварительного ключа и вводим ту же самую строку "sekret", после чего жмем на "OK":
Нажимаем на кнопку "Закрыть":
Выбираем оба созданных нами правила ("WinXP -> WMU-9000VPN" и "WMU-9000VPN -> WinXP") и жмем на кнопку "Закрыть":
Политика безопасности "VPN" теперь полностью создана, и нам остается ее только включить. Для включения политики "VPN" щелкаем на ней в правом окне правок кнопкой мыши и выбираем пункт "Назначить":
Теперь весь трафик, который будет адресоваться между сетью "192.168.1.0/24" и компьютером 10.0.0.75 должен перенаправляться в туннель установленный между роутером и компьютером с Windows XP (10.0.0.78 - 10.0.0.75) и шифроваться по выбранному алгоритму. Windows XP не создает туннеля до тех пор пока он не понадобится (пока компьютер с Windows не обратится к компьютеру локального сегмента), но тут мы сталкиваемся с одной из особенностей Windows XP: несмотря на то, что мы прописали в Windows все параметры IPSEC туннеля, Windows не знает куда посылать пакеты с адресами назначения 192.168.1.0/24, но при этом понимает, что самое время установить туннель с роутером. Получается следующая ситуация - туннель создается, но трафик по нему не идет.
Компьютеры локального сегмента не пингуются, но при этом видно, что согласование политик происходит, о чем свидетельствует надпись "Согласование используемого уровня безопасности IP". Если надпись "Согласование используемого уровня безопасности IP" выводится только один раз – значит, политика безопасности принята и туннель установлен; в случае если допущена ошибка (например, предварительные ключи не совпадают или заданы различные алгоритмы шифрования) - при каждой попытке пропинговать компьютер из локального сегмента будет производиться попытка установления VPN-соединения (то есть для данного случая надпись "Согласование используемого уровня безопасности IP" будет выведена 4 раза).
Роутер показывает, что туннель создан:
Для обхода этой особенности Windows нам нужно вручную прописать путь к сети 192.168.1.0/24: шлюзом для этой сети будет служить WAN-адрес роутера (10.0.0.78). Для добавления записи в таблицу маршрутизации на компьютере с Windows XP воспользуемся командой route:
route add 192.168.1.0 mask 255.255.255.0 10.0.0.78
Теперь все работает: происходит согласование политик, устанавливается туннель, трафик идет через этот туннель. Необходимо помнить, что рассматриваемый роутер позволяет создавать не более 100 IPSEC VPN туннелей.
Последовательность выполнения работы:
определите сетевые параметры вашей рабочей станции
настройте параметры туннеля на роутере
создайте политики безопасности IP на вашей рабочей станции
создайте правила для трафика, идущего от роутера к компьютеру с Windows
создайте правила для трафика, идущего от компьютера с Windows к роутеру
задайте статический маршрут к сети за роутером на машине с Windows