3.8.4 Подключение сотрудников по каналам Dial-Up
Согласно заданию несколько привилегированных сотрудников работают в своих домашних офисах SOHO, подключающихся к главному офису по коммутируемым каналам связи Dial-up. Подключение этих клиентов будем осуществлять по VPN на основе службы RAS ОС Windows 2003 Server, так как подключение будет производится через общедоступные телефонные сети. Проверку подлинности удаленных пользователей в этом случае сначала выполняет сторонняя организация (в процессе предоставления доступа по телефонной линии), а затем их аутентифицирует VPN-сервер удаленного доступа (при подключении к частной сети).
При организации VPN могут использоваться усовершенствованные версии протоколов РРР (Point-to-Point Protocol), РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol). Для обеспечения безопасности конфиденциальных данных будем применять шифрование на основе протокола IPSec в туннелях L2TP, которые являются более надежными, чем туннели PPTP.
VPN-подключение состоит из следующих компонентов:
- VPN-сервер - компьютер, принимающий VPN-подключения от клиентов VPN.
- VPN-клиент - компьютер, инициирующий VPN-подключение к серверу VPN. VPN-клиентом может быть отдельный компьютер или маршрутизатор.
- Туннель - часть подключения, содержащая инкапсулированные данные. Можно создать туннель и передавать по нему данные без шифрования. Это не является VPN-подключением, поскольку личные данные передаются через общедоступную сеть в незащищенном, легко доступном для чтения виде.
- VPN-подключение - часть подключения, содержащая зашифрованные данные.
- Туннельные протоколы - протоколы, используемые для управления туннелями и инкапсуляции личных данных. Операционные системы семейства WS2003 поддерживают туннельные протоколы PPTP и L2TP.
- Туннелированные данные - данные, обычно передаваемые при помощи частного подключения «точка-точка».
- Транзитная объединенная сеть - общедоступная сеть, по которой передаются инкапсулированные данные. В операционных системах семейства WS2003 транзитная объединенная сеть всегда является сетью IP. Транзитной объединенной сетью может быть Интернет или частная интрасеть на основе IP-протокола.
Рисунок 6. Организация VPN-тоннеля
Протоколы туннелирования:
РРТР и L2TP позволяют зашифровать мультипротокольный трафик, а затем инкапсулировать его в IP-заголовок, который будет послан по объединенной IP-сети организации или общественной объединенной IP-сети типа интернета. Основаны на протоколе РРР, следовательно имеют функции для управления сеансом, назначения адресов и маршрутов.
Режим туннелирования IPSec (IPSec ТМ) позволяет зашифровывать IP-пакеты и затем инкапсулировать их в IP-заголовок, который будет послан по объединенной IP-сети организации или открытой объединенной IP-сети типа интернета.
Технология IPSec TM не рекомендуется для VPN-подключений удаленного доступа, потому что она не содержит никаких стандартных методов для аутентификации пользователей, назначения IP-адресов и назначения адреса сервера имен. Возможно использовать технологию IPSec TM для межсайтовых VPN-подключений на компьютерах с системой WS2003.
PPTP (Point-to-Point Tunneling Protocol) —является расширением протокола PPP и использует механизмы проверки подлинности, сжатия и шифрования этого протокола. Протокол PPTP и метод шифрования MPPE (Microsoft Point-to-Point Encryption) обеспечивают основные необходимые для виртуальных частных сетей службы инкапсуляции и шифрования частных данных. Кадр PPP зашифровывается по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.
Кадр PPP, содержащий IP - датаграмму заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.
Рисунок 7. Структура кадра PPP
L2TP (Layer Two Tunneling Protocol) — это туннельный протокол на основе RFC, являющийся промышленным стандартом. L2TP использует средства шифрования, предоставляемые методом IPSec. Комбинацию L2TP и IPSec называют L2TP/IPSec. Комбинация L2TP/IPSec обеспечивает работу служб VPN, выполняющих инкапсуляцию и шифрование частных данных.
Рисунок 8. Структура кадра L2TP
Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа.
1. Инкапсуляция L2TP - кадр PPP (IP-датаграмма или IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP.
2. Затем полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.
Сообщение L2TP шифруется с использованием стандарта DES или 3DES при помощью ключей шифрования, созданных в процессе согласования IKE (Internet Key Exchange).
Преимущества протокола L2TP/lPSec в сравнении с РРТР
1) Метод IPSec ESP дает аутентификацию источника данных каждого пакета, целостность данных, защиту от атак воспроизведения и конфиденциальность данных (шифрование). В противоположность этим свойствам, протокол РРТР обеспечивает только конфиденциальность данных в каждом пакете.
2) Подключения L2TP/IPSec обеспечивают более сильную аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователей через аутентификационный протокол РРР.
3) В протоколе L2TP/IPSec пакеты РРР, обмен которыми происходит в процессе аутентификации на уровне пользователей, никогда не посылаются в незашифрованной форме, потому что процесс РРР-подключения происходит после установления соглашения по безопасности IPSec. В случае перехвата РРР-пакеты опознавательного обмена для некоторых типов аутентификационных РРР-протоколов могут использоваться для автономных словарных атак и определения пользовательских паролей;
4) Связка L2TP\IPSec может работать в двух режимах – с использованием цифровых сертификатов и с использованием предварительных ключей. Сертификаты дают гибкую возможность по организации доступа, однако требуют развертывания службы сертификатов. Применение предварительных ключей делает сертификаты не нужными, однако требует применения для всех клиентов одинакового ключа. Для автоматического обновления требуется применение Диспетчера подключений (Connection Manager).
Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec
1) Протокол РРТР не требует инфраструктуры сертификатов. Протоколу L2TP/IPSec требуется инфраструктура предварительного установления общих секретов или инфраструктура сертификатов для выдачи компьютерных сертификатов VPN-серверу и всем компьютерам VPN-клиентов. В случае использования предварительных ключей это ограничение снимается.
2) Клиенты РРТР могут находиться за транслятором сетевых адресов (NAT), если транслятор NAT имеет редактор для РРТР-трафика. Клиенты или VPN-серверы, базирующиеся на протоколе L2TP/IPSec, не могут располагаться позади NAT-устройства, если только поддержка VPN в нем не установлена отдельно.
Существует несколько способов защиты конфиденциальности данных, пересылаемых между клиентами и VPN-сервером удаленного доступа:
- проверка подлинности удаленных пользователей;
- шифрование конфиденциальных данных;
- применение политик удаленного доступа.
Чтобы обеспечить доступ к ресурсам частной сети только уполномоченным удаленным пользователям, в проекте следует предусмотреть аутентификацию, или проверку подлинности, удаленных пользователей. В этом случае для входа в систему пользователям необходимо ввести реквизиты: имя пользователя, пароль и имя домена. Проверка реквизитов может выполняется на основе:
- локальных учетных записей, хранимых на VPN-сервере удаленного доступа;
- учетных записей Active Directory, хранимых на контроллерах домена.
В проектируемой сети будем осуществлять аутентификацию и авторизацию пользователей на основе учетных записей Active Directory. Доступ к ресурсам удаленному пользователю будет предоставляться на основании принадлежности его к определенной группе, авторизованной для доступа к данному ресурсу внутренней сети. В целях безопасности реквизиты удаленных шифруются при пересылке между клиентом и сервером удаленного доступа.
В корпорации CorpKAM для организации VPN выбираем связку протоколов L2TP\IPSec c использованием предварительных ключей, так как он позволяет обойтись без организации системы сертификации, что упрощает построение сети, однако снижает безопасность организованного подключения через VPN.
3.9 Обеспечение возможности проведения аудио и видео конференций
Для обеспечения видео и аудио конференций необходимо использовать возможности оборудованию по обеспечению QoS. Применяемые коммутаторы и маршрутизаторы имеют такую возможность, поэтому все, что необходимо сделать – это настроить соответствующим образом QoS на каждом устройстве.
5. ЗАКЛЮЧЕНИЕ
В ходе выполнения курсовой работы был разработан эскизный проект сети корпорации CorpKAM. Была спроектирована физическая структура сети здания каждого из филиалов. При выборе сетевого оборудования отдавалось предпочтение продукции компании 3Com, которую отличает высокая надежность и приемлемое соотношение цена/качество. К тому же, использование сетевого оборудования одного производителя гарантирует совместимость.
В процессе проектирования физической структуры сети зданий учитывались правила построения структурированных кабельных систем.
Также в ходе курсовой работы была спроектирована как логическая, так и физическая структура службы каталогов – Active Directory. Был определен состав доменов, число контроллеров в каждом из них и роли, выполняемые ими. Для корректной репликации данных главного каталога, домены были включены в состав сайтов.
Служба DNS интегрирована в Active Directory. В целях безопасности внутреннюю и внешнюю среды обслуживают разные DNS-серверы. Выбранное количество и размещение внутренних и внешних серверов DNS позволяет быстро обслужить запросы и минимизировать трафик WAN.
В целях безопасности в проекте широко применяются межсетевые экраны. Для организации конфиденциального удаленного доступа к ресурсам сети используется технология VPN на основе протокола туннелирования L2TP\IPSec.
... СУБД; можно управлять распределением областей внешней памяти, контролировать доступ пользователей к БД и т.д. в масштабах индивидуальной системы, масштабах ограниченного предприятия или масштабах реальной корпоративной сети. В целом, набор серверных продуктов одиннадцатого выпуска компании Sybase представляет собой основательный, хорошо продуманный комплект инструментов, которые можно ...
... коммуникационного центра. 51 1. Реферат. В целях комплексной автоматизации документооборота, а также повышения качества диагностики и лечения онкологических больных в Мелитопольском межрайонном онкологическом диспансере, разработан проект информационно-диагностической системы, предназначенной для оперативного ввода, анализа и хранения графической, текстовой лечебно-диагностической информации и ...
... произвести такие расчеты в рамках данного дипломного проекта не представляется возможным. Однако имеет смысл формирование прогнозной оценки реализации того или иного варианта интеграции локальных вычислительных сетей МИЭТ и студенческого городка МИЭТ. Прогнозная оценка будет формироваться исходя из суммы прямых затрат по основным статьям расходов, а так же стоимости поддержки связи, применительно ...
... информации (тип кабеля); метод доступа к среде; максимальная протяженность сети; пропускная способность сети; метод передачи и др. В данном проекте ставится задача связать административный корпус предприятия с четырьмя цехами посредством высокоскоростной сети со скоростью передачи данных – 100 Мбит/сек. Рассмотрим вариант построения сети: на основе технологии Fast Ethernet. Данный стандарт ...
0 комментариев