Туннелирование в компьютерных сетях

Размещено на http://www.allbest.ru/

Содержание

• Введение
• 1. Анализ виртуальных частных сетей
• 1.1 IP Security (IPsec)
• 1.2 Open VPN
• 1.3 Generic Routing Encapsulation (GRE)
• 1.4 Point-to-Point Tunneling Protocol (PPTP)
• 1.5 Layer 2 Tunneling Protocol (L2TP)
• 2. Проектирование защищенного канала
• 2.1 Выбор протоколов для защищенного канала
• 2.2 Выбор оборудования
• 3. Технология разработки VPN-канала
• 3.1 Настройка оборудования
• 3.2 Тесты скоростей передачи данных
• 3.3 Отказоустойчивость
• 4. Охрана труда и анализ экологической безопасности
• Заключение
• Список использованных источников

Введение

Туннелирование в компьютерных сетях - процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве тоннеля. [29]

Суть туннелирования состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт" для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети (VPN). [19]

В процессе инкапсуляции (туннелирования) принимают участие следующие типы протоколов:

· транспортируемый протокол;

· несущий протокол;

· протокол инкапсуляции.

Протокол транзитной сети является несущим, а протокол объединяемых сетей - транспортируемым. Пакеты транспортируемого протокола помещаются в поле данных пакетов несущего протокола с помощью протокола инкапсуляции. Пакеты - "пассажиры" не обрабатываются при транспортировке по транзитной сети никаким образом. Инкапсуляцию выполняет пограничное устройство (маршрутизатор или шлюз), которое находится на границе между исходной и транзитной сетями. Извлечение пакетов транспортируемого протокола из несущих пакетов выполняет второе пограничное устройство, расположенное на границе между транзитной сетью и сетью назначения. Пограничные устройства указывают в несущих пакетах свои адреса, а не адреса узлов в сети назначения.

Туннель может быть использован, когда две сети с одной транспортной технологией необходимо соединить через сеть, использующую другую транспортную технологию. При этом пограничные маршрутизаторы, которые подключают объединяемые сети к транзитной, упаковывают пакеты транспортного протокола объединяемых сетей в пакеты транспортного протокола транзитной сети. Второй пограничный маршрутизатор выполняет обратную операцию. [16]

Основными компонентами туннеля являются:

· инициатор туннеля;

· маршрутизируемая сеть;

· туннельный коммутатор;

· один или несколько туннельных терминаторов.

Инициатор туннеля встраивает (инкапсулирует) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Несмотря на то, что все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов. [24] Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Internet. Терминатор туннеля выполняет процесс, который является обратным инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети. Инкапсуляция сама по себе никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю VPN. Но инкапсуляция даёт возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путём их криптографического закрытия, т. е. зашифровывания, а целостность и подлинность - путём формирования цифровой подписи. Так как существует множество методов криптозащиты данных, необходимо чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Более того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Чтобы туннели VPN создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать. [22]

Целью работы является организация защищенного канала связи между подразделениями предприятия "Энергосервис".

Для реализации поставленной цели необходимо решить следующие задачи:

· проанализировать виртуальные частные сети;

· выбрать оборудование для организации канала;

· обосновать выбор программных и технических средств для организации защищенного канала связи;

· проектировать структуру защищенного канала связи;

· реализовать защищенный канал согласно спроектированной схеме;

· описать процесс выполнения задания;

· решение вопроса отказоустойчивости;

· тестировать и отладить разработанный канала связи.

Данная выпускная квалификационная работа, состоит из введения, четырех разделов и заключения, списка использованных источников, приложения в виде технического задания и акта внедрения. Во введении обосновывается актуальность выбранной темы, формулируются цели и задачи работы. В первом разделе проводиться анализ виртуальных частных сетей. Во втором разделе выбираться протоколы и оборудования для организации канала. В третьем разделе описывается настройка оборудования, отказоустойчивость и тесты передачи данных по каналу. В заключении подводятся итоги выполненных задач.

1. Анализ виртуальных частных сетей

VPN - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). [17]

История появления VPN тесно связана с услугой Centrex в телефонных сетях. Понятие Centrex появилось на рубеже 1960 гг. в США как общее название способа предоставления услуг деловой связи абонентам нескольких компаний на основе совместно используемого оборудования одной учрежденческой станции PBX (Private Branch Exchange). С началом внедрения в США и Канаде станций с программным управлением термин приобрел иной смысл и стал означать способ предоставления деловым абонентам дополнительных услуг телефонной связи, эквивалентных услугам PBX, на базе модифицированных станций сети общего пользования. Основное преимущество Centrex заключалось в том, что фирмы и компании при создании выделенных корпоративных сетей экономили значительные средства, необходимые на покупку, монтаж и эксплуатацию собственных станций. Хотя для связи между собой абоненты Centrex используют ресурсы и оборудование сети общего пользования, сами они образуют так называемые замкнутые группы пользователей CUG (Closed Users Group) с ограниченным доступом извне, для которых в станциях сети реализуются виртуальные PBX. [1]

В стремлении преодолеть свойственные Centrex ограничения была выдвинута идея виртуальной частной сети VPN - как объединение CUG, составляющих одну корпоративную сеть и находящихся на удалении друг от друга.

Так же VPN активно внедрялся в системах предоставления доступа интернета провайдерами в 2000 гг. в районных домашних сетях. В то время внешний трафик стоил очень дорого, но внутренний был бесплатен, что позволяло пользователям внутри своих частных сетей безлимитно обмениваться данными, за что VPN и получил свое признание. [25]

Сейчас частные сети не остались без внимания и применения - системы передачи сигналов внутри частных сетей активно внедряются в разных областях применения:

· системы удаленного банкинга;

· охранно-пожарные системы;

· системы "умный дом";

· системы защищенной передачи данных.

Несмотря на то, что коммуникации осуществляются по сетям с не большим или чаще всего с неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений, передаваемых по логической сети сообщений). [7]

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Рисунок 1 - VPN в интернете

Обычно VPN настраивают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP). [18]

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP (такой способ использует реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя, и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами для предоставления выхода в Интернет. [21]

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети. [3]

Сам VPN состоит из двух частей, внутренней и внешней.

Внутренняя - (подконтрольная) сеть, которых может быть несколько, и внешняя сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера.

Подключение удалённого пользователя к VPN производиться посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети.

При подключении удалённого пользователя (либо при установке соединения со сторонней, защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. [23]

После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, другими словами происходит процесс авторизации.

Классифицировать VPN можно по следующим основным параметрам:

1) по степени защищенности используемой среды:

· защищённые - наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, интернета. Примером защищённых VPN являются: IPsec, OpenVPN и PPTP;

· доверительные - используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunneling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например, L2TP, как правило, используется в паре с IPsec). [30]

2) по способу реализации:

· в виде специального программно-аппаратного обеспечения - реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости;

· в виде программного решения - используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN;

· интегрированное решение - функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания. [20]

3) по назначению:

· Intranet VPN - используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи;

· Remote Access VPN - используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоска;

· Extranet VPN - используют для сетей, к которым подключаются "внешние" пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных "рубежей" защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации;

· Internet VPN - используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях;

· L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет дешёвый или без лимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое;

· Client/Server VPN - он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

4) по типу протокола - Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.

5) по уровню сетевого протокола - на основе сопоставления с уровнями сетевой модели ISO/OSI. [28]

Рисунок 2 - Классификация VPN

1.1 IP Security (IPsec)

Hабор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. [5]

Стандарты:

· RFC 2401 (Security Architecture for the Internet Protocol) - архитектура защиты для протокола IP;

· RFC 2402 (IP Authentication header) - аутентификационный заголовок IP;

· RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) - использование алгоритма хэширования MD-5 для создания аутентификационного заголовка;

· RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) - использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка;

· RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - использование алгоритма шифрования DES;

· RFC 4303 (ранее RFC 2406) (IP Encapsulating Security Payload [ESP]) - шифрование данных;

· RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) - область применения протокола управления ключами;

· RFC 2408 (Internet Security Association and Key Management Protocol [ISAKMP]) - управление ключами и аутентификаторами защищённых соединений;

· RFC 2409 (The Internet Key Exchange [IKE]) - обмен ключами;

· RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) - нулевой алгоритм шифрования и его использование;

· RFC 2411 (IP Security Document Roadmap) - дальнейшее развитие стандарта;

· RFC 2412 (The OAKLEY Key Determination Protocol) - проверка соответствия ключа.

Первоначально сеть Интернет была создана как безопасная среда передачи данных между военными. Так как с ней работал только определённый круг лиц, людей, образованных и имеющих представления о политике безопасности, то явной нужды построения защищённых протоколов не было. Безопасность организовывалась на уровне физической изоляции объектов от посторонних лиц, и это было оправдано, когда к сети имело доступ ограниченное число машин. Однако, когда Интернет стал публичным и начал активно развиваться и разрастаться, такая потребность появилась.

И в 1994 году Совет по архитектуре Интернет (IAB) выпустил отчёт "Безопасность архитектуры Интернет". Он посвящался в основном способам защиты от несанкционированного мониторинга, подмены пакетов и управлению потоками данных. Требовалась разработка некоторого стандарта или концепции, способной решить эту проблему. В результате, появились стандарты защищённых протоколов, в числе которых и IPsec. Первоначально он включал в себя три базовые спецификации, описанные в документах (RFC1825, 1826 и 1827), однако впоследствии рабочая группа IP Security Protocol IETF пересмотрела их и предложила новые стандарты (RFC2401 - RFC2412), используемые и в настоящее время.

IPsec является набором стандартов Интернет и своего рода "надстройкой" над IP-протоколом. Его ядро составляют три протокола:

· Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов;

· Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально;

· Internet Security Association and Key Management Protocol (ISAKMP) - протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025).

IPsec может функционировать в двух режимах: транспортном и туннельном.

В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP).

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие - туннельный.

IKE - протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами.

Существует возможность вручную установить ключ для сессии (не путать с pre-shared key [PSK] для аутентификации). В этом случае IKE не используется. Однако этот вариант не рекомендуется и используется редко. Традиционно, IKE работает через порт 500 UDP.

В спецификациях и функционировании этих протоколов есть некоторые различия. IKEv2 устанавливает параметры соединения за одну фазу, состоящую из нескольких шагов. Процесс работы IKE можно разбить на две фазы:

Первая фаза - IKE создает безопасный канал между двумя узлами, называемый IKE security association (IKE SA). Также, в этой фазе два узла согласуют сессионный ключ по алгоритму Диффи-Хеллмана.

Первая фаза IKE может проходить в одном из двух режимов:

1) основной режим - состоит из трёх двусторонних обменов между отправителем и получателем:

· во время первого обмена согласуются алгоритмы и хэш-функции, которые будут использоваться для защиты IKE соединения, посредством сопоставления IKE SA каждого узла;

· используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путём передачи и подтверждения последовательности псевдослучайных чисел;

· по зашифрованному IP-адресу проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для последующего ISAKMP - обмена (этот протокол определяет порядок действий для аутентификации соединения узлов, создания и управления SA, генерации ключей, а также уменьшения угроз, таких как DoS-атака или атака повторного воспроизведения).

2) агрессивный режим - этот режим обходится меньшим числом обменов и, соответственно, числом пакетов. В первом сообщении помещается практически вся нужная для установления IKE SA информация: открытый ключ Диффи-Хеллмана, для синхронизации пакетов, подтверждаемое другим участником, идентификатор пакета. Получатель посылает в ответ все, что надо для завершения обмена. Первому узлу требуется только подтвердить соединение.

С точки зрения безопасности агрессивный режим слабее, так как участники начинают обмениваться информацией до установления безопасного канала, поэтому возможен несанкционированный перехват данных. Однако, этот режим быстрее, чем основной. По стандарту IKE любая реализация обязана поддерживать основной режим, а агрессивный режим поддерживать крайне желательно.

Вторая фаза - в фазе два IKE существует только один, быстрый, режим. Быстрый режим выполняется только после создания безопасного канала в ходе первой фазы. Он согласует общую политику IPsec, получает общие секретные ключи для алгоритмов протоколов IPsec (AH или ESP), устанавливает IPsec SA. Использование последовательных номеров обеспечивает защиту от атак повторной передачи. Также быстрый режим используется для пересмотра текущей IPsec SA и выбора новой, когда время жизни SA истекает. Стандартно быстрый режим проводит обновление общих секретных ключей, используя алгоритм Диффи-Хеллмана из первой фазы. [13]

Существует IKE и более новая версия протокола: IKEv2, в которой реализованы и обновлены следующие параметры:

· режимы обмена устарели;

· упрощенный обмен, всего 4 сообщения;

· PSK и RSA-Sig аутентификация;

· асимметричная аутентификация;

· сужение селектора трафика разрешено;

· Lifetime не нужны;

· Rekey - определен;

· NAT-T: Поддерживается по умолчанию;

· DPD: Поддерживается по умолчанию;

· RoadWarrior: поддерживается EAP и config payload(CP);

· сопротивление ДОС улучшено (не устанавливается соединение пока точка не верифицирована).

В работе протоколов IPsec можно выделить пять этапов.

Первый этап начинается с создания на каждом узле, поддерживающим стандарт IPsec, политики безопасности. На этом этапе определяется, какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы;

Второй этап является, по сути, первой фазой IKE. Её цель - организовать безопасный канал между сторонами для второй фазы IKE. На втором этапе выполняются:

· аутентификация и защита идентификационной информации узлов;

· проверка соответствий политик IKE SA узлов для безопасного обмена ключами;

· обмен Диффи-Хеллмана, в результате которого у каждого узла будет общий секретный ключ;

· создание безопасного канала для второй фазы IKE;

Третий этап является второй фазой IKE. Его задачей является создание IPsec-туннеля. На третьем этапе выполняются следующие функции:

· согласуются параметры IPsec SA по защищаемому IKE SA каналу, созданному в первой фазе IKE;

· устанавливается IPsec SA;

· периодически осуществляется пересмотр IPsec SA, чтобы убедиться в её безопасности;

· опционально выполняется дополнительный обмен Диффи-Хеллмана;

Рабочий этап. После создания IPsec SA начинается обмен информацией между узлами через IPsec-туннель, используются протоколы и параметры, установленные в SA;

Прекращают действовать текущие IPsec SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPsec SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных. [6]

1.2 Open VPN

OPEN VPN - свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном и распространяется под лицензией GNU GPL. [14]

OpenVPN предлагает пользователю несколько видов аутентификации.

· предустановленный ключ - самый простой метод;

· сертификатная аутентификация- наиболее гибкий в настройках метод;

· с помощью логина и пароля - может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

OpenVPN проводит все сетевые операции через TCP или UDP транспорт. В общем случае предпочтительным является UDP по той причине, что через туннель проходит трафик сетевого уровня и выше по OSI, если используется TUN соединение, или трафик канального уровня и выше, если используется TAP. Это значит, что OpenVPN для клиента выступает протоколом канального или даже физического уровня, а значит, надежность передачи данных может обеспечиваться вышестоящими по OSI уровнями, если это необходимо. Именно поэтому протокол UDP по своей концепции наиболее близок к OpenVPN, т.к. он, как и протоколы канального и физического уровней, не обеспечивает надежность соединения, передавая эту инициативу более высоким уровням. Если же настроить туннель на работу по ТСР, сервер в типичном случае будет получать ТСР-сегменты OpenVPN, которые содержат другие ТСР-сегменты от клиента. В результате в цепи получается двойная проверка на целостность информации, что совершенно не имеет смысла, т.к. надежность не повышается, а скорости соединения и пинга снижаются. Также возможна работа через большую часть прокси серверов, включая HTTP, SOCKS, через NAT и сетевые фильтры. Сервер может быть настроен на назначение сетевых настроек клиенту. Например, IP адрес, настройки маршрутизации и параметры соединения. OpenVPN предлагает два различных варианта сетевых интерфейсов, используя драйвер TUN/TAP. Возможно создать туннель сетевого уровня, называемый TUN, и канального уровня - TAP, способный передавать Ethernet-трафик. Также возможно использование библиотеки компрессии LZO для сжатия потока данных. Используемый порт 1194 выделен Internet Assigned Numbers Authority для работы данной программы. Версия 2.0 позволяет одновременно контролировать несколько туннелей, в отличие от версии 1.0, позволявшей создавать только 1 туннель на 1 процесс.

Использование в OpenVPN стандартных протоколов TCP и UDP позволяет ему стать альтернативой Ipsec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы.

1.3 Generic Routing Encapsulation (GRE)

Generic Routing Encapsulation - общая инкапсуляция маршрутов - протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Номер протокола в IP - 47.

Туннелирование подразумевает три протокола:

· пассажир - инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo);

· протокол инкапсуляции (GRE);

· транспортный протокол (UDP).

Рисунок 3 - Пример работы GRE туннеля

Пример применения:

· используется в сочетании с PPTP для создания виртуальных частных сетей;

· применяется в технологии WDS для координации действий точек доступа и контроллера WDS;

· используется в технологиях мобильного IP. [2]

1.4 Point-to-Point Tunneling Protocol (PPTP)

туннелирование компьютерный сеть виртуальный

Point-to-Point Tunneling Protocol - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля. [15]

Спецификация протокола была опубликована как "информационная" RFC 2637 в 1999 году. Протокол считается менее безопасным, чем IPsec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них - MS-CHAPv2 и EAP-TLS.

Безопасность протокола - PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:

· MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1;

· MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс;

· в 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа;

· при использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR'а потоков из разных направлений вместе, благодаря чему крипто аналитик может узнать ключ;

· MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим к атаке, делающей подмену битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.

1.5 Layer 2 Tunneling Protocol (L2TP)

Layer 2 Tunneling Protocol - протокол туннелирования второго уровня - в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей.

Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

Несмотря на то, что L2TP действует наподобие протокола Канального уровня модели OSI, на самом деле он является протоколом Сеансового уровня и использует зарегистрированный UDP-порт 1701. [8]

История:

· 1996 - 1997 - конкуренция между протоколами L2F (Cisco) и PPTP (Microsoft);

· 1997 - соглашение между разработчиками о совместной разработке протоколаL2TP;

· 1999 - опубликован стандарт RFC 2661, описывающий протокол L2TP.

Считается, что протокол L2TP вобрал в себя лучшие черты L2F и PPTP.

На диаграмме показана схема работы протокола L2TP.



Рисунок 4 - Схема работы протокола L2TP

· LAN - локальные сети (Local Area Network), к которым подключаются через L2TP;

· ЭВМ - компьютер(ы), подключённые к локальной сети напрямую;

· LNS - L2TP Network Server, сервер доступа к локальной сети по L2TP;

· LAC - L2TP Access Concentrator, устройство для прозрачного подключения своих пользователей к LNS через сеть той или иной архитектуры;

· удалённая система - система, желающая подключиться к LAN через L2TP;

· клиент LAC - ЭВМ, которая сама для себя исполняет роль LAC для подключения к LNS;

· PSTN - коммутируемая телефонная сеть (Public Switched Telephone Network);

· интернет, Сеть Frame Relay или ATM - сети разных архитектур.

Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC и LNS, размещенном в LAN.

Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN (Public Switched Telephone Network). LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, и таким образом осуществляется доступ к исходной LAN. Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккаунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.

LAC-клиент (ЭВМ, которая исполняет программу L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC, если ЭВМ, содержащая программу LAC-клиента, уже имеет соединение с Интернет. Создается "виртуальное" PPP-соединение, и локальная программа L2TP LAC формирует туннель до LNS.

Как и в вышеописанном случае, адресация, аутентификация, авторизация и аккаунтинг будут обеспечены областью управления исходной LAN.

L2TP использует два вида пакетов: управляющие и информационные сообщения. Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров, пересылаемых по туннелю. Управляющие сообщения используют надежный контрольный канал в пределах L2TP, чтобы гарантировать доставку. Информационные сообщения при потере не пересылаются повторно.

Таблица 1 - Структура протокола

PPP кадры
L2TP информационные сообщения	L2TP управляющие сообщения
L2TP информационный канал (ненадёжный)	L2TP канал управления (надёжный)
Транспортировка пакетов (UDP, FR, ATM и т.д.)

Управляющее сообщение имеет порядковый номер, используемый в управляющем канале для обеспечения надежной доставки. Информационные сообщения могут использовать порядковые номера, чтобы восстановить порядок пакетов и детектировать потерю кадров. Все коды посылаются в порядке, принятом для сетей.

Таблица 2 - Формат заголовка L2TP пакета

0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16						31
T	L	x	x	S	x	O	P	x	x	x	x	Версия	Длина(опц)
ID туннеля	ID сессии
Ns (опц)	Nr (опц)
Offset Size (опц)	Offset Pad (опц)......
Payload data

Пакеты L2TP для контрольного и информационного каналов используют один и тот же формат заголовка:

· бит тип (T) характеризует разновидность пакета;

· он устанавливается равным 0 для информационных сообщений и 1 - для управляющих;

· если бит длины (L) равен 1, поле длина присутствует;

· для управляющих сообщений этот бит должен быть равен 1;

· биты x зарезервированы для будущих применений;

· все зарезервированные биты должны быть установлены равными 0 для исходящих сообщений и игнорироваться для входящих;

· если бит последовательности (S) равен 1, присутствуют поля Ns и Nr;

· бит S для управляющих сообщений должен быть равен 1;

· если бит смещения (O) равен 1, поле величины смещения присутствует;

· бит O для управляющих сообщений должен быть равен 0;

· бит приоритета (Р) должен быть равен 0 для всех управляющих сообщений. Для информационных сообщений - если этот бит равен 1, это информационное сообщение имеет приоритет в очереди;

· поле Ver указывает версию заголовка информационного сообщения L2TP;

· значение 1 зарезервировано для детектирования пакетов L2F в условиях, когда они приходят вперемешку с L2TP-пакетами. Пакеты, полученные с неизвестным значением поля Ver, отбрасываются;

· поле Длина (опционально) указывает общую длину сообщения в октетах;

· ID-туннеля содержит идентификатор управляющего соединения. Идентификаторы туннеля L2TP имеют только локальное значение. То есть, разные концы одного туннеля должны иметь разные ID. ID-туннеля в каждом сообщении должно быть тем, которое ожидает получатель. ID-туннеля выбираются при формировании туннеля;

· ID-сессии определяет идентификатор для сессии данного туннеля. Сессии L2TP именуются с помощью идентификаторов, которые имеют только локальное значение. ID-сессии в каждом сообщении должно быть тем, которое ожидает получатель. ID-сессии выбираются при формировании сессии;

· поле Ns определяет порядковый номер информационного или управляющего сообщения, начиная с нуля и увеличиваясь на 1 (по модулю 216) для каждого посланного сообщения;

· поле Nr содержит порядковый номер, который ожидается для следующего сообщения. Таким образом, Nr делается равным Ns последнего по порядку полученного сообщения плюс 1 (по модулю 216). В информационных сообщениях, Nr зарезервировано и, если присутствует (это определяется S- битом), должно игнорироваться при получении.

· поле величина смещения (Offset Size), если имеется, специфицирует число октетов после заголовка L2TP, где должно начинаться поле данных. Содержимое заполнителя смещения не определено. Если поле смещения присутствует, заголовок L2TP завершается после завершающего октета заполнителя смещения.

Типы управляющих сообщений:

1) тип сообщения AVP определяет специфический тип посылаемого управляющего сообщения;

2) управление контрольным соединением:

· 0 (зарезервировано);

· 1 (SCCRQ) Start-Control-Connection-Request;

· (SCCRP) Start-Control-Connection-Reply;

· (SCCCN) Start-Control-Connection-Connected;

· (StopCCN) Stop-Control-Connection-Notification;

· (зарезервировано);

· (HELLO) Hello.

3) управление вызовами (Call Management):

· 7 (OCRQ) Outgoing-Call-Request;

· 8 (OCRP) Outgoing-Call-Reply;

· 9 (OCCN) Outgoing-Call-Connected;

· 10 (ICRQ) Incoming-Call-Request;

· 11 (ICRP) Incoming-Call-Reply;

· 12 (ICCN) Incoming-Call-Connected;

· 13 (зарезервировано);

· 14 (CDN) Call-Disconnect-Notify.

4) сообщения об ошибках:

· 15 (WEN) WAN-Error-Notify.

5) управление сессией PPP:

· 16 (SLI) Set-Link-Info.

Необходимая процедура установления PPP-сессии туннелирования L2TP включает в себя два этапа:

· установление управляющего канала для туннеля;

· формирование сессии в соответствии с запросом входящего или исходящего вызова.

Туннель и соответствующий управляющий канал должны быть сформированы до инициализации входящего или исходящего вызовов. L2TP-сессия должна быть реализована до того, как L2TP сможет передавать PPP-кадры через туннель. В одном туннеле могут существовать несколько сессий между одними и теми же LAC и LNS.

Рисунок 5 - PPP-туннелирование

PPP-туннелирование:

· управляющее соединение - является первичным, которое должно быть реализовано между LAC и LNS перед запуском сессии. Установление управляющего соединения включает в себя безопасную идентификацию партнера, а также определение версии L2TP, возможностей канала, кадрового обмена и т. д.

L2TP включает в себя простую, опционную, CHAP-подобную систему аутентификации туннеля в процессе установления управляющего соединения;

· установление сессии - после успешного установления управляющего соединения могут формироваться индивидуальные сессии. Каждая сессия соответствует одному PPP информационному потоку между LAC и LNS. В отличие от установления управляющего соединения, установление сессии является асимметричным в отношении LAC и LNS. LAC запрашивает LNS доступ к сессии для входных запросов, а LNS запрашивает LAC запустить сессию для работы с исходящими запросами.

Когда туннель сформирован, PPP-кадры от удаленной системы, получаемые LAC, освобождаются от CRC, канальных заголовков и т. п., инкапсулированных в L2TP, и переадресуются через соответствующий туннель. LNS получает L2TP-пакет и обрабатывает инкапсулированный PPP-кадр, как если бы он был получен через локальный интерфейс PPP.

Отправитель сообщения, ассоциированный с определенной сессией и туннелем, помещает ID сессии и туннеля (специфицированные партнером) в соответствующие поля заголовка всех исходящих сообщений;

· использование порядковых номеров в канале данных - порядковые номера, определенные в заголовке L2TP, используются для организации надежной транспортировки управляющих сообщений. Каждый партнер поддерживает отдельную нумерацию для управляющего соединения и для каждой информационной сессии в пределах туннеля.

В отличие от канала управления L2TP, информационный канал L2TP использует нумерацию сообщений не для повторной пересылки, а для детектирования потерь пакетов и/или восстановления исходной последовательности пакетов, перемешанных при транспортировке.

LNS может инициировать запрет нумерации сообщений в любое время в ходе сессии (включая первое информационное сообщение);

· механизм keepalive (Hello) - используется L2TP для того, чтобы различать простои туннеля и длительные периоды отсутствия управления или информационной активности в туннеле. Это делается с помощью управляющих сообщений Hello после заданного периода времени, истекшего с момента последнего получения управляющего сообщения через туннель. При недоставке сообщения Hello туннель объявляется нерабочим, и система возвращается в исходное состояние. Механизм перевода транспортной среды в исходное состояние путём введения сообщений Hello гарантирует, что разрыв соединения между LNS и LAC будет детектирован на обоих концах туннеля;

· прерывание сессии - может быть инициировано LAC или LNS и выполняется путём посылки управляющего сообщения CDN. После того как последняя сессия прервана, управляющее соединение может быть также разорвано;

· разрыв контрольного соединения - может быть инициирован LAC или LNS и выполняется путём посылки одного управляющего сообщения StopCCN

Протокол L2TP является самодокументируемым, работающим поверх уровня, который служит для транспортировки. Однако, необходимы некоторые детали подключения к среде, для того чтобы обеспечить совместимость различных реализаций.

Протокол L2TP сталкивается при своей работе с несколькими проблемами безопасности. Ниже рассмотрены некоторые подходы для решения этих проблем.

Соображения безопасности:

· безопасность на конце туннеля - концы туннеля могут опционно выполнять процедуру аутентификации друг друга при установлении туннеля. Эта аутентификация имеет те же атрибуты безопасности, что и CHAP, и обладает разумной защитой против атак воспроизведения и искажения в процессе установления туннеля. Для реализации аутентификации LAC и LNS должны использовать общий секретный ключ;

· безопасность пакетного уровня

Обеспечение безопасности L2TP требует, чтобы транспортная среда могла обеспечить шифрование передаваемых данных, целостность сообщений и аутентификацию услуг для всего L2TP-трафика. Сам же L2TP ответственен за конфиденциальность, целостность и аутентифицированность L2TP-пакетов внутри туннеля;

· L2TP и IPsec

При работе поверх IP, IPsec (безопасный IP) предоставляет безопасность на пакетном уровне. Все управляющие и информационные пакеты L2TP в конкретном туннеле выглядят для системы IPsec как обычные информационные UDP/IP-пакеты

Помимо транспортной безопасности IP, IPsec определяет режим работы, который позволяет туннелировать IP-пакеты, а также средства контроля доступа, которые необходимы для приложений, поддерживающих IPsec. Эти средства позволяют фильтровать пакеты на основе характеристик сетевого и транспортного уровней. В модели L2TP-туннеля аналогичная фильтрация выполняется на PPP-уровне или сетевом уровне поверх L2TP.

2. Проектирование защищенного канала

2.1 Выбор протоколов для защищенного канала

Для создания, защищенного VPN канала необходимо использовать следующие протоколы:

· L2TP - это один из самых популярных и реализованный на разных операционных системах (в 97% ОС), протокол туннелирования. Интегрирован в большинстве сетевых устройствах по умолчанию. Клиент L2TP может не иметь статического IP адреса;

· IPsec - набор протоколов (транспортного режима работы) обеспечивающих защиты данных по межсетевому протоколу IP. Осуществляет подтверждение подлинности (аутентификация), проверку целостности и шифрование пакетов.

В связке протоколы L2TP и IPsec представляют собой один из самых надежных VPN соединений.

Таблица 3 - Сравнение протоколов IKEv1 и IKEv2[12]

	Кол-во фаз работы	Требование к настройки идентификации	Шифрование (синхронное/асинхронное)	Устойчивость к DDoS	Lifetime SSA убран
IKEv1	2	симметричное	синхронное	-	-
IKEv2	1	ассиметричное	асинхронное	+	+

2.2 Выбор оборудования

На производстве необходимо использовать сетевое оборудование компании MicroTik.

MicroTik - латвийский производитель сетевого оборудования. Компания разрабатывает и продает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение - операционные системы и вспомогательное ПО. Компания была основана в 1996 году с целью продажи оборудования на развивающихся рынках. [9]

Одним из продуктов MicroTik является RouterOS - сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы MicroTik RouterBoard. Также данная система может быть установлена на ПК, превращая его в маршрутизатор с функциями брандмауэра, VPN-сервера/клиента, QoS, точки доступа и другими.

Операционная система имеет несколько уровней лицензий с возрастающим числом функций. Кроме того, существует программное обеспечение под названием Winbox, которое предоставляет графический интерфейс для настройки RouterOS. Доступ к устройствам под управлением RouterOS возможен также через FTP, Telnet, и SSH. Существует также API, позволяющий создавать специализированные приложения для управления и мониторинга.

RouterOS поддерживает множество сервисов и протоколов, которые могут быть использованы средними или крупными провайдерами - таких, как OSPF, BGP, VPLS/MPLS. RouterOS - достаточно гибкая система, и очень хорошо поддерживается MicroTik, как в рамках форума и предоставления различных Wiki-материалов, так и специализированных примеров конфигураций. [10]

RouterOS обеспечивает поддержку практически всех сетевых интерфейсов на ядре Linux. Из беспроводных чипсетов поддерживаются решения на основе Atheros и Prism (по состоянию RouterOS версии 3.x). MicroTik также работает над модернизацией программного обеспечения, которая обеспечит полную совместимость устройств и ПО MicroTik с набирающими популярность сетевыми технологиями, такими как IPv6.

RouterOS предоставляет системному администратору графический интерфейс (WinBox) для наглядной и быстрой настройки файервола, маршрутизации и управления QoS. В том числе, в интерфейсе WinBox практически полностью реализована функциональность Linux-утилит iptables, iproute2, управление трафиком и QoS на основе алгоритма HTB.

RouterBoard - аппаратная платформа от MicroTik, представляющая собой линейку маршрутизаторов под управлением операционной системы RouterOS. Различные варианты RouterBoard позволяют решать на их основе различные варианты сетевых задач: от простой беспроводной точки доступа и управляемого коммутатора до мощного маршрутизатора с брандмауэром и QoS.

Практически все модели RouterBoard устройств могут питаться с помощью PoE и имеют разъем для подключения внешнего источника питания. [11]

Модели, предназначенные для работы с беспроводными технологиями, имеют слот (miniPCI) для подключения радиомодулей. Большинство моделей также имеет разъем для подключения к COM-порту ПК. В бюджетных моделях или в зависимости от конкретного предназначения модели те или иные элементы могут отсутствовать.

У всего сетевого оборудования компании начиная от железа за 20 долларов, заканчивая железом за 3000 долларов, одинаковая поддержка сетевых технологий.

Для создания полноценного VPN канала, из всей линейки оборудования, был выбран маршрутизатор Hex RB750Gr3, стоимостью 59,95 долларов. [26]

Рисунок 6 - Маршрутизатор Hex RB750Gr3

Таблица 4 - Общая характеристика маршрутизатора

Количество портов Ethernet 1000 Мб /с:	5
Частота процессора:	MT7621A 880 МГц
Количество ядер процессора:	2
Память:	256MB
Версия RouterOS:	Level 4
DHCP-сервер:	да
Межсетевой экран Firewall:	да
Поддержка MIMO:	нет
Подключение 3G/4G-модема:	Да
USB:	да
Питание:	8.. 30 В DC (Джек или по технологии PoE), блок питания 24 В, 0.38 А в комплекте
Рабочая температура:	-40.. +55 °C
Тип корпуса:	Настольный
Объём ROM:	256
Встроенная радиокарта:	нет
Порт microSD:	Да
Дополнительно:	Array

Рисунок 7 - Блок-диаграмма

Говоря о NAT, на сайте MediaTek указана цифра в 2 Гбит (IPv4/6 routing, NAT, NAPT+HQoS), в самой документации на процессор значится "Haedware NAT with IPv6 and 2 Gbps wired speed".

Всё дело в том, что вычислительный процессор объединен с аппаратным свичем шиной с пропускной способностью 2 Гбит. Это своего рода "узкое" место. [4]

3. Технология разработки VPN-канала

3.1 Настройка оборудования

Для реализации поставленной цели, необходимо произвести настройку оборудования согласно представленной схеме.

Рисунок 8 - Общая схема

Настройка оборудования производиться в программе WinBox. Подключаемся к маршрутизатору (r001) по MAC адресу.



Рисунок 9 - Первичное окно WinBox

На следующем шаге необходимо выбрать работу в "Default Configuration" или сбросить настройки в ноль. Для выбора сброса настроек, необходимо нажать на кнопку "Remove Configuration"

Рисунок 10 - Выбор начала режима работы

Обновление маршрутизатора. Во вкладке "System" "RouterBoard" "Upgrade".

Рисунок 11 - Обновление маршрутизатора

Переименование устройство, для удобства работы. Для этого во вкладке "System" откроем окно "Identity".



Рисунок 12 - Переименование

Следующий шаг - назначение IP адреса на порты маршрутизатора и на ПК согласно предоставленной схеме. Во вкладке "IP" откроем окно "Addresses".

Рисунок 13 - Добавление IP адресов в r001

Рисунок 14 - Изменение IP на ПК

Такие же действия проводятся на втором маршрутизаторе (r101), с добавление адресов, указанных на схеме.

Возвращение к первому маршрутизатору (r001) и подключение к нему по 3 порту на котором поднят IP протокол.

...