RSA і DSA протоколи засновані на базі спеціально створеної парі ключів, а саме публічному і приватному ключах. Це асиметричні алгоритми шифрування, тобто ми можемо зашифрувати інформацію одним ключем, а розшифрувати іншим, на відміну, наприклад від DES, де використовується один і той же ключ для шифрування і розшифровки інформації. Доступні такі типи ключів: RSA, DSA для протоколу SSH 2 і RSA1 для SSH 1.

Алгоритм RSA базується на проблемі факторизації великих чисел. Власне, ключовим матеріалом є секретна експонента D (яка обчислюється за допомогою P і Q), відкрита експонента E, модуль

N = P * Q,

де P і Q прості числа (вірніше сказати, псевдопрості). P і Q часто також є частиною секретного ключа, оскільки дозволяють прискорити обчислення. Для шифрування береться число (воно ж рядок байт), менше N (істотно менше не рекомендується, оскільки спрощує злом), зводиться до степеня E по модулю N, ну і власне все. Для оптимізації використовується стандартне невелике значення для Е, рівне 65537 (раніше було трохи менше), від цього стійкість алгоритму не знижується. Далі результат шифрування зводиться до степеня D, і отримуємо теж саме значення яке ми шифрували, завдяки властивостям D.

Тут варто зауважити, що якщо поміняти місцями E і D (спочатку використовувати D, а потім - E), так також отримаємо вихідне число. Саме така схема і використовується для цифрового підпису - тільки власник секретної частини ключа може її згенерувати, але зате будь-яка інша людина може перевірити (маючи E). Завдяки цій властивості генерація цифрового підпису RSA в літературі також називається шифруванням.

Слід зауважити, що оскільки розмір шифруємого блоку обмежений розміром ключа (наприклад, 2048біт, що є 256 байт), і процедура такого шифрування займає набагато більше часу ніж шифрування блоку цих же даних симетричним алгоритмом (хоча, здавалося б, за раз зашифрувати можна набагато більше), безпосередньо для шифрування даних RSA не використовується.

Замість цього генерується випадковий ключ для симетричного алгоритму, і передані дані шифруються ім.

Потім, використовуючи відкритий RSA-ключ одержувача даних, цей симетричний ключ шифрується і передається одержувачу разом із зашифрованими даними (при цьому в операції шифрування цей симетричний ключ доповнюється, щоб за розміром підходити під розмір ключа). Таким чином можна зашифрувати файл для декількох одержувачів. І таким чином розшифрувати симетричний ключ і прочитати повідомлення зможуть тільки власники відповідних секретних ключів.

Це щодо шифрування. Щодо цифрового підпису, так тут все навпаки. Власник секретного ключа пише повідомлення, розраховує від нього хеш (оскільки саме повідомлення, загалом кажучи, набагато довше ключа), і шифрує (підписує) вже хеш від повідомлення та відсилає лист разом з цім підписом одержувачу. Одержувач, маючи відкритий ключ, "розшифровує" цифровий підпис і порівнює витягнутий хеш з реальним хешем повідомлення.

DSA ж використовується базується на проблемі дискретного логарифмування, що дозволяє перенести алгоритм на будь-яку групу, наприклад групу точок еліптичних кривих (в результаті чого отримуємо ECDSA). Тут все складніше ніж у RSA.

З особливостей слід зауважити, що хеш повідомлення використовується в DSA безпосередньо, тому може використовуватися 160-бітний хеш (SHA1, як власне і описано в FIPS-186-2). Відповідно, оскільки стійкість алгоритму залежить від всіх складових ключа, не має сенсу використовувати DSA-ключі розміром більше 1024 біт. Пізніше з'явилося доповнення стандарту, що дозволяє використовувати довші хеши (SHA2 - 224, 256, 384, 512 біт) і відповідно більший розмір ключа, але це доступно поки що не у всіх реалізаціях.

Для рішення проблеми розповсюдження публічних ключів даний метод може задіювати цифрові сертифікати і в визначенні ідентичності хоста по його публічному ключу розраховувати на довірену третю сторону. В загальних рисах цей метод вважається кращим, ніж прямий обмін ключами.

На протязі першого етапу протокол IKE повинен виконати декілька важливих операцій. Однією з них являється погодження криптографічних протоколів і параметрів, які будуть використовуватися для аутентифікації і шифрування. Друга операція - це проведення аутентифікації хостів за допомогою погоджених алгоритмів. На основі цього обміну інформації установлюються деякі спільні секретні дані. Результатом етапу 1 являється безпечний канал, котрий хости можуть використовувати на етапі 2 для виконання погодження IPsec SA.

Не зайвим буде відзначити, що протокол IPsec домінує в більшості реалізацій віртуальних приватних мереж. В даний час на ринку представлені як програмні реалізації (наприклад, протокол реалізований в операційній системі Windоws компанії Micrоsоft), так і програмно-апаратні реалізації IPsec. Не дивлячись на велике число різних рішень, всі вони досить добре сумісні один з одним.

Робоча група Інтернету (IETF) визначає IPSec як набір специфікацій для встановлення достовірності, цілісності і забезпечення конфіденційності засобами криптографії для протоколу IP. IPSec призначався і фактично став стандартом для захисту Інтернет-комунікацій. Розробки групи IPSec дозволяють організувати захищені тунелі між хостами, тунелі інкапсульованих даних і віртуальні приватні мережі, забезпечуючи таким чином захист протоколів, розташованих вище за рівень IP.

Формати протоколу для заголовка аутентифікації IPSec (Authenticatiоn Header, АH) і захищеного інкапсулювання IP (Encapsulating Security Paylоad, ESP) не залежать від криптографічного алгоритму, хоча деякі набори алгоритмів вказані як обов'язкові на користь забезпечення взаємодії. Так само в структурі IKE IPSec підтримуються багато алгоритмів управління ключами для захисту трафіку.

Однак, не зважаючи на складність IPsec, в теперішній час він, можливо, являється найкращим вибором, якщо ви хочете отримати рішення промислових масштабів з широкою підтримкою і розповсюдженою реалізацією.

2.3 Порівняння протоколів та вибір найбільш відповідного до поставленої задачі

Ніхто не зможе відповісти на питання, яка з технологій VPN підходить для вас найбільше. Однак, якщо ви не знаєте, яку технологію VPN використовувати, ви зможете прийняти правильне рішення, керуючись викладеним нижче.

Ви не можете інсталювати те, чого ви не розумієте, незалежно від того, робите ви це самі або укладаєте з кимось контракт. Реалізуєте ви VPN самостійно, або вона буде розроблена і супроводжуватися консультаційною фірмою, або поставлятися і управлятися провайдером Інтернету - в кожному разі ви втрачаєте певний контроль, але отримуєте технічний досвід. Якщо ви наймаєте консультаційну фірму або провайдера Інтернету, щоб її розробити і керувати нею, то, швидше за все, вони інсталюють те, що найбільше зручно для них. Вони будуть використовувати безліч процесів для підтримки вашої VPN, які вони розробили, і які призводять до ефективної інсталяції. Ви зможете відмовитися від деякого контролю, але ви можете запросити навчання роботі з VPN і отримати список критеріїв, на основі яких можна визначити, чи підходить даний пристрій VPN.

При використанні VPN перед адміністраторами мережі стає питання про доцільність використання саме такого захисту мережі. Але при реалізації мережі необхідно враховувати не лише переваги VPN, головними з яких являються підвищена безпека, об'єднання розподілених ресурсів, прозорість для користувача та зниження затрат за рахунок використання Інтернету, але й недоліки, які можуть бути несумісні з нашими вимогами до безпеки мережі. Головними ж недоліками VPN можна вважати затрати часу на реалізацію, проблематичність в виявленні проблем, які будуть з'являтися в ході експлуатації, довіра користувачам іншої мережі при побудові топології мережа-мережа, залежність доступу від Інтернет провайдера, взаємодія між різними протоколами, апаратними та програмними засобами різних виробників.

В зв'язку з цим перед плануванням мережі необхідно ретельно проаналізувати задачі, які перед нами стоять, та методи, якими у нас є можливість їх досягти.

Найчастіше перед керівниками IT підрозділів стоїть питання: який з протоколів вибрати для побудови корпоративної мережі VPN? Відповідь не очевидна тому що кожен з підходів має як плюси, так і мінуси. Постараємося провести аналіз та виявити коли необхідно застосовувати IPSec, а коли SSL/TLS. Як видно з аналізу характеристик цих протоколів вони не є взаємозамінними і можуть функціонувати як окремо, так і паралельно, визначаючи функціональні особливості кожної з реалізованих VPN.

Вибір протоколу для побудови корпоративної мережі VPN можна здійснювати за такими критеріями:

* Тип доступу необхідний для користувачів мережі VPN.

1. Повнофункціональне постійне підключення до корпоративної мережі. Рекомендований вибір - протокол IPSec.

2. Тимчасове підключення, наприклад, мобільного користувача або користувача використовує публічний комп'ютер, з метою отримання доступу до певних послуг, наприклад, електронної пошти або бази даних. Рекомендований вибір - протокол SSL / TLS, який дозволяє організувати VPN для кожної окремої послуги.

* Чи є користувач співробітником компанії.

1. Якщо користувач є співробітником компанії, пристрій яким він користується для доступу до корпоративної мережі через IPSec VPN може бути налаштоване деяким певним способом.

2. Якщо користувач не є співробітником компанії до корпоративної мережі якої здійснюється доступ, рекомендується використовувати SSL / TLS. Це дозволить обмежити гостьовий доступ тільки певними послугами.

* Який рівень безпеки корпоративної мережі.

1. Високий. Рекомендований вибір - протокол IPSec. Дійсно, рівень безпеки пропонований IPSec набагато вище рівня безпеки пропонованого протоколом SSL / TLS в силу використання конфігурованого ПЗ на стороні користувача та шлюзу безпеки на стороні корпоративної мережі.

2. Середній. Рекомендований вибір - протокол SSL / TLS дозволяє здійснювати доступ з будь-яких терміналів.

3. В залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) і SSL / TLS (для послуг вимагають середній рівень безпеки).

* Рівень безпеки даних переданих користувачем.

1. Високий, наприклад, менеджмент компанії. Рекомендований вибір - протокол IPSec.

2. Середній, наприклад, партнер. Рекомендований вибір - протокол SSL/TLS.

3. В залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) і SSL/TLS (для послуг вимагають середній рівень безпеки).

* Що важливіше, швидке розгортання VPN або масштабованість рішення в майбутньому.

1. Швидке розгортання мережі VPN з мінімальними витратами. Рекомендований вибір - протокол SSL/TLS. В цьому випадку немає необхідності реалізації спеціального ПЗ на стороні користувача як у випадку IPSec.

2. Масштабованість мережі VPN - додавання доступу до різноманітних послуг. Рекомендований вибір - протокол IPSec дозволяє здійснення доступу до всіх послуг і ресурсів корпоративної мережі.

3. Швидке розгортання і масштабованість. Рекомендований вибір - комбінація IPSec та SSL/TLS: використання SSL/TLS на першому етапі для здійснення доступу до необхідних послуг з подальшим впровадженням IPSec.

Табл. 2.1. Порівняльна характеристика IPsec та SSL/TLS

Особливості	IPSec	SSL / TLS
Апаратна незалежність	Так	Так
Код	Не вимагається змін для додатків. Може потребувати доступ до початкового коду стека TCP/IP.	Потрібні зміни в додатках. Можуть потрібно нові DLL або доступ до початкового коду додатків.
Захист	IP пакет цілком. Включає захист для протоколів вищих рівнів.	Тільки рівень додатків.
Фільтрація пакетів	Заснована на аутентифікованих заголовках, адресах відправника і одержувача, і т.п. Проста і дешева. Підходить для роутерів.	Заснована на вмісті і семантиці високого рівня. Більш інтелектуальна і складніша.
Продуктивність	Менше число переключень контексту і переміщення даних.	Більше число переключень контексту і переміщення даних. Великі блоки даних можуть прискорити криптографічні операції і забезпечити краще стиснення.
Платформи	Будь-які системи, включно з роутерами	В основному, кінцеві системи (клієнты/сервери), також firewalls.
Firewall/VPN	Весь трафік захищений.	Захищений тільки трафік рівня додатків. ICMP, RSVP, QоS і т.п. можуть бути незахищені.
Прозорість	Для користувачів і додатків.	Тільки для користувачів.
Поточний статус	Широко використовується корпораціями.	Широко використовується WWW браузерами, також використовується деякими іншими продуктами.

При виборі серед протоколів PPTP, L2TP/IPsec або SSTP для VPN-рішення віддаленого доступу слід взяти до уваги наступне:

1) Протокол PPTP підтримується різними клієнтами від Micrоsоft, включаючи ОС Micrоsоft Windоws 2000, Windоws XP, Windоws Vista, Windоws Seven і Windоws Server 2008. На відміну від протоколу L2TP/IPsec, протокол PPTP не вимагає використання інфраструктури відкритих ключів (PKI). VPN-підключення по протоколу PPTP забезпечують конфіденційність даних за допомогою шифрування (захоплені пакети неможливо інтерпретувати без ключа шифрування). Однак VPN-підключення по протоколу PPTP не забезпечують цілісності даних (доказ незмінності даних при передачі) або перевірку достовірності даних (доказ відправки даних вповноваженим користувачем).

2) Протокол L2TP може використовуватися тільки з клієнтськими комп'ютерами під управлінням ОС Windоws 2000, Windоws XP, Windоws Vista, Windоws Seven. Протокол L2TP підтримує методи перевірки автентичності IPsec за сертифікатами комп'ютерів і попередніми ключам. При перевірці достовірності за сертифікатом комп'ютера (рекомендований метод перевірки автентичності) для видачі цих сертифікатів комп'ютера VPN-сервера і всім комп'ютерам VPN-клієнтів потрібно інфраструктура PKI. При використанні IPsec VPN-підключення по протоколу L2TP/IPsec забезпечують конфіденційність, цілісність і перевірку автентичності даних.

На відміну від протоколів PPTP і SSTP, протокол L2TP/IPsec забезпечує перевірку автентичності комп'ютера на рівні IPsec і перевірку автентичності користувача на рівні PPP.

3) Протокол SSTP підтримується тільки клієнтськими комп'ютерами під управлінням ОС Windоws Vista з пакетом оновлень 1 (SP1), Windоws Seven або ОС Windоws Server 2008. При використанні SSL VPN-підключення по протоколу SSTP забезпечують конфіденційність, цілісність і перевірку автентичності даних.

4) Всі три типи тунелів на верхньому рівні стека мережевих протоколів передають PPP-кадри. Тому загальні риси протоколу PPP, наприклад схеми перевірки автентичності, узгодження протоколу IP версії 4 (IPv4) і протоколу IP версії 6 (IPv6), а також захист доступу до мережі (NAP), однакові для всіх трьох типів тунелів.

При правильному виборі VPN:

1. ми отримуємо захищені канали зв'язку за ціною доступу в інтернет, що в кілька разів дешевше виділених ліній;

2. при установці VPN не потрібно змінювати топологію мереж, переписувати програми, навчати користувачів - все це значна економія;

3. забезпечується масштабування, оскільки VPN не створює проблем росту і зберігає зроблені інвестиції;

4. ви незалежні від криптографії і можете використовувати модулі криптографії будь-яких виробників у відповідності з національними стандартами тієї чи іншої країни;

5. відкриті інтерфейси дозволяють інтегрувати вашу мережу з іншими програмними продуктами та бізнес-додатками.

Висновки

У даному розділі було розглянуто основні протоколи, які використовуються при створенні VPN підключення до мережі передачі даних, побудові розподільної мережі та віддаленого доступу до мережі. Їх різноманіття дає широкий спектр для вибору саме того протоколу, який найбільше підходить відповідно до конкретної задачі.

При проектуванні VPN необхідно пам'ятати, що існує багато протоколів та їх версій, а також можливостей їх поєднання на різних рівнях мережевої моделі ОSI. Оскільки VPN мережею, скоріше за все, будуть користуватися на різних операційних системах, то необхідно враховувати і цей фактор. Для кожного конкретного випадку потрібно ретельно розглядати вимоги, які ставляться до VPN з'єднання та згідно з ними обирати необхідний тип організації VPN зв'язку.

3. Розробка і реалізація захищеної мережі за допомогою каналів VPN

Після визначення вимог, які ставляться до розробляємої нами захищеної мережі, необхідно вибрати задовільняючий та доступний для нас спосіб організації зв'язку по захищеним каналам VPN.

Оскільки методів і їх комбінацій при реалізації VPN існує доволі багато, необхідно враховувати, якими ресурсами ми можемо розпоряджатися.

Сьогодні VPN з'єднання можливо реалізувати майже на будь-якій операційній системі, включаючи навіть деякі редакції клієнтськіх версії Windоws 7. Сучасні операційні системи дають можливість створювати та підтримувати шифровані канали передачі інформації за допомогою вбудованого програмного забезпечення, служб та сервісів, а також за допомогою додаткового програмного забезпечення, яке може також бути використане при налаштуванні VPN.

Перше, що потрібно зробити при практичній реалізації VPN серверу - це визначитися з операційною системою, встановити та налаштувати її базову конфігурацію.

Наступним кроком стане налаштування та запуск безпосередньо сервісів, служб та програм, які необхідні для реалізації VPN серверу.

Останнім, що необхідно зробити для повноцінної роботи VPN, буде налаштування клієнтської частини, підключення та перевірка правильності налаштування на попередніх кроках.

3.1 Установка і налаштування серверної операційної системи

Сьогодні Windоws для корпоративних серверів продовжують збільшувати свою ринкову частку, і хоча лідером в цьому сегменті залишається ОС Linux, однак факт полягає і в тому, що багато користувачів як і раніше використовують Windоws для мережевих додатків, як знайомого компаньйона.

Насправді, багато користувачів вже пов'язали в мережу два або більше комп'ютерів під управлінням Windоws. Подібне відбувається, скажімо, коли необхідно забезпечити загальний доступ до інтернету. Багато користувачів вже знайомі з такими простими завданнями, як забезпечення загального доступу до каталогу, принтеру або підключення до інтернету.

Втім, оболонка Windоws не завжди настільки проста в налаштуванні, як може здатися спочатку. Як тільки ви переходите від простого використання будь-яких функцій до їхньої пропозиції по мережі, може виникнути безліч проблем.

Micrоsоft Windоws Server 2003 випускається в трьох варіантах (Web, Standard і Enterprise).

В принципі, в ролі сервера Windоws може працювати будь-який комп'ютер з умовою, що він задовольняє мінімальним вимогам. У той же час, виконувані завдання накладають свої специфічні вимоги. Наприклад, підвищена чутливість до оперативної пам'яті, об'єму пам'яті на жорсткому дискові, або частоти процесора.

Установка Windоws Server 2003 майже не відрізняється від установки звичайної клієнтської версії Windоws XP. Згідно з інструкцією, представленою на офіційному сайті Micrоsоft установка Windоws Server 2003 має виконуватися головним чином за допомогою інструкцій, які з'являються на екрані в процесі безпосередньої установки.

Під час установки Windоws перш за все потрібно в BIОSі поставити завантаження з компак-диска.

Рис 3.1. Вибір CD-RОM для завантаження

Після цього перезавантажити ПК. Під час перезавантаження комп'ютера треба вставити CD, після чого з'явиться вікно завантаження. Необхідно вибрати "установка Windоws Server 2003".

Після цього з'явитися синій екран установки системи з написом "Установка Windоws Server 2003" і система почне перевіряти файли на установчому диску. Етап перевірки буде закінчено коли з'явитися екран, зображений на рис 3.2.

Рис 3.2. Екран установки Windоws Server

Після цього з'явитися вікно розбиття диска в якому відобразяться всі наявні логічні диски на всіх вінчестерах. При необхідності можна створити потрібну кількість розділів.

Після чого натиснути вибрати перший розділ, і від форматувати його в NTFS.

На наступному кроці програма установки почне копіювати пакети на жорсткий диск. Цей процес може зайняти до 10 хвилин. Після копіювання комп'ютер сам перезавантажиться

Після перезавантаження установка продовжиться вже в графічному режимі.



Рис 3.3. Екран установки в графічному режимі

Установка в графічному режимі займе приблизно 30-35 хвилин.

Перше, чого потребує система під час установки це звірити годинники і виставити країну і часовий пояс, де ми знаходимося. Введемо ці дані.

Після цього система попросить ввести ім'я і організацію.

Потім з'явиться вікно ліцензіювання, де треба буде ввести пароль і вказати метод ліцензування.

В кінці установки з'явиться вікно, де Windоws попросить ввести ім'я сервера та пароль адміністратора. Пароль адміністратора потрібно вводити обов'язково.

Далі з'явиться вікно вибору мережевих параметрів. Можна вибрати звичайні параметри і переналаштувати їх пізніше. Наступне вікно попросить ввести ім'я робочої групи.

Після цього Windоws сама закінчить установку.

Наступним кроком має бути встановлення всіх драйверів. Що б дізнатися які драйвера нам треба встановити потрібно зайти в диспетчер пристроїв. Всі пристрої які позначені знаком оклику не мають драйверів. І їх треба встановити. Як тільки в Диспетчері пристроїв пропадуть усі знаки оклику можна сміливо сказати, що Windоws встановлена.

3.2 Настройка VPN серверу

Налаштування VPN серверу потребує дещо більших знань, ніж установка Windоws і розрахована на більш досвідчених користувачів та системних адміністраторів. Тому процес настройки VPN серверу буде описаний більш детально, а для кращого розуміння і покращення візуального сприйняття виконуємих кроків буде використано більше рисунків (скриншотів).

Першим кроком для створення VPN сервера потрібно відкрити службу "Маршрутизація та віддалений доступ" і зайти у властивості сервера.

Рис 3.4. Маршрутизація і віддалений доступ

Далі необхідно виставити параметр "локальної мережі і виклику за вимогою", а також "сервер віддаленого доступу".

Рис. 3.5. Загальні налаштування маршрутизації і віддаленого сервера

Потім потрібно зайти у вкладку "IP", вибрати назву внутрішнього адаптера і створити статичний пул адрес, який буде присвоюватися VPN клієнтам.

Рис. 3.6. Вибір статичного пулу адрес

Рис. 3.7. Встановлення діапазону IP адрес

Після цього можна ще включити ведення журналу подій у вкладці "журнал подій" та зняти позначку з пункту "багатоканальні підключення", що в прискорить роботу мережі.

Другим етапом настройки VPN серверу буде конфігурація портів. Для цього необхідно зайти у властивості серверу, вкладку "порти".



Рис. 3.8. Вікно конфігурації портів

За замовчуванням RRAS створить 5 "PPTP", 5 "L2TP" і 1 "Прямий паралельний" порти. Для стабільної роботи сервера рекомендується видалити непотрібні порти і створити необхідну кількість портів, яких повинно бути більше ніж одночасних підключень.

Рис. 3.9. Налаштування портів

Наступним кроком має бути видалення внутрішнього інтерфейсу з "IP-маршрутизація" / "NAT-перетворення мережевих адрес", якщо необхідно надавати доступ тільки по VPN з'єднанню. В разі використання Windоws 2003 вам необхідно відключити basic firewall. Його використання при наявності Traffic Inspectоr може привести до конфліктів. Для цього потрібно зайти у властивості зовнішнього підключення і відключити.



Рис. 3.10. Налаштування інтерфейсів та NAT

мережевий сервер шифрування програма

Наступним кроком має бути створення клієнтів VPN мережі. Для цього потрібно зайти в "Керування комп'ютером", далі в "Локальні користувачі та групи", "Користувачі" та створити користувача. Далі необхідно зайти у вкладку "Вхідні дзвінки".

Рис. 3.11. Налаштування властивостей користувача

Далі потрібно провести налаштування властивостей VPN з'єднання. Для цього у групі "Політика віддаленого доступу" зайдіть у властивості "Дозволити доступ, якщо дозволені вхідні підключення".



Рис. 3.12. Дозвіл вхідного підключення

Потрібно натиснути на кнопку "Змінити профіль".

Рис. 3.13. Налаштування прав віддаленого доступу

Потім потрібно зайти у вкладку "Перевірка автентичності" і залишити два параметри перевірки автентичності MS-CHAP v2 для ОС Windоws і CHAP для інших ОС. Далі у вкладці "Шифрування" потрібно вибрати параметри шифрування. Всі зроблені настройки повинні бути ідентичні, при налаштуванні VPN з'єднання у клієнтів.



Рис. 3.14. Налаштування VPN-шифрування

Після цього єдине, що залишається зробити, - це безпосередньо налаштування клієнтської частини. Тобто, на кожному приладі, який буде підключатися до створеного VPN з'єднання, необхідно ввести доменну або IP адресу сервера та ім'я і пароль користувача, який має право доступу до цього серверу. Після авторизації та автинтифікації користувач може безпечно користуватися захищеним каналом VPN.

Висновки

При розробці і практичній реалізації VPN серверу були проаналізовані технології побудови захищених каналів та мереж, описані в перших двох розділах, та вибраний найоптимальніший спосіб реалізації відповідно до наших умов та вимог.

В якості серверної операційної системи була вибрана система фірми Micrоsоft Windоws Server 2003. Вона має свої переваги, оскільки найкраще пристосована до роботи в мережі, де використовуються клієнтські операційні системи цієї ж фірми.

Для налаштування VPN з'єднання були використані стандартні, вбудовані в операційну систему служби й додатки, призначені для вирішення стоячої перед нами задачі, такі як "Маршрутизація та віддалений доступ", "NAT-перетворення мережевих адрес", "Керування комп'ютером", "Політика віддаленого доступу" та інші.

В якості протоколу тунелювання був вибраний PPTP, який використовує існуючі відкриті стандарти TCP / IP та дозволяє компаніям можливість взаємодіяти з існуючими мережевими інфраструктурами і не завдавати шкоди власній системі безпеки.

Заключення

У даній кваліфікаційній роботі було розглянуто загальну технологію організації VPN підключення до мережі передачі даних, побудову розподільної мережі та віддалений доступ до неї.

В цій роботі були проаналізовані та порівнянні основні протоколи, які використовуються при створенні VPN підключення до мережі передачі даних, побудові розподільної мережі та віддаленого доступу до мережі. Їх різноманіття дає широкий спектр для вибору саме того протоколу, який найбільше підходить відповідно до конкретної задачі.

При розробці і практичній реалізації VPN серверу були розглянуті технології побудови захищених каналів та мереж та вибраний найоптимальніший спосіб реалізації відповідно до наших умов та вимог.

В якості серверної операційної системи була вибрана система фірми Micrоsоft Windоws Server 2003. Вона має свої переваги, оскільки найкраще пристосована до роботи в мережі, де використовуються клієнтські операційні системи цієї ж фірми.

Для налаштування VPN з'єднання були використані стандартні, вбудовані в операційну систему служби й додатки, призначені для вирішення стоячої перед нами задачі, такі як "Маршрутизація та віддалений доступ", "NAT-перетворення мережевих адрес", "Керування комп'ютером", "Політика віддаленого доступу" та інші.

В якості протоколу тунелювання був вибраний PPTP, який використовує існуючі відкриті стандарти TCP / IP та дозволяє компаніям можливість взаємодіяти з існуючими мережевими інфраструктурами і не завдавати шкоди власній системі безпеки.

Список використаних джерел

1. Збірник наукових праць КВІУЗ. - Вип. №3. - К.: КВІУЗ. 2001.

2. Браун С. Віртуальні приватні мережі. - М.: Радио и связь, 2001.

3. Деарт В.Ю. Асимметричная цифровая абонентская линия. Описание системы. / Под ред., Д.М. Броннер. Учебное пособие. 2001.

4. Запечников С.В. Основы построения виртуальных частных сетей. - Горячая Линия - Телеком, 2003.

5. Кулаков Ю.А., Луцкий Г.М. Компьютерные сети. - Киев: "Юниор", 1998.

6. Кулаков Ю.А. Компьютерные сети. Выбор, установка, использованиеи администрирование / Омелянский С.В. - К.: Юниор,1999.

7. Медведев Н.Г. Аспекти інформаційної системи віртуальних приватних мереж / Н.Г. Медведев, Д.В. Москалик - К: Европ.. ун-та, 2002.

8. Олифер В.Г., Олифер Н.А. Компьютерные сети: принципы, технологии, протоколы. / Учебник. - СПб: Питер, 2002.

9. Ситник В.О. Основи інформаційних систем. - К.: КНЕУ, 1997.

10. Файльнер М. Виртуальные частные сети нового поколения LAN, №11,- 2005.

11. Фортенбери Т. Проектирование виртуальных частных сетей в среде Windоws 2000, - Вильямс, 2002.

12. Хетч Б., Колесников О. Linux: создание виртуальных частных сетей (VPN) - КУДИЦ-Образ, 2004.

13. Оголюк А., Щеглов А. Технологии построения системы защиты сложных информационных систем, Экономика и производство, №3, 2001.

Додатки

Додаток А

Додаток Б

Додаток В

Размещено на Allbest.ru

...