Выбор сетевого (активного и пассивного) оборудования и программного обеспечения

Для решения основной задачи данного курсового проекта, а именно для организации защищенного соединения между двумя удаленными пользователями, находящимися в разных сетях использовалось моделирование. Моделирование заключалось в организации двух локальных сетей далее именуемых как «Сеть 1» и «Сеть 2», данный факт предполагает использование двух маршрутизаторов выступающих в роли сетевых шлюзов, что следует учесть при расчете стоимости сети. Прежде чем приступить к выбору сетевого оборудования и программного обеспечения необходимо смоделировать схему организации сетей. Схема проектируемых сетей представлена на рисунке 3.1:

Рисунок 3.1 – Схема проектируемых сетей

Сетевое оборудование

3.1.1 Выбор сетевого активного оборудования для «Сеть 1». В настоящее время представлен широкий выбор активного сетевого оборудования. Важной характеристикой, при выборе роутера, является наличие двухдиапазонной точки доступа Wi-Fi (2,4 ГГц/5 ГГц), а так же поддержание стандартов Wi-Fi IEEE 802.11 a/b/g/n (2,4/5 ГГц). Рассмотрим наиболее подходящие для решения нашей задачи Wi-Fi роутеры.

Таблица 3.1 – Технические характеристики рассматриваемых маршрутизаторов для «Сеть 1»

Продолжение таблицы 3.1

Для выполнения задачи подойдет маршрутизатор Zyxel Keenetic Ultra.

3.1.2 Выбор сетевого активного оборудования для «Сеть 2». Для экономии средств выделенных на построение необходимых сетей, при выборе роутера для «Сеть 2», акцент делался на небольшую стоимость и поддержание стандартов Wi-Fi IEEE 802.11 a/b/g (2,4 ГГц). Рассмотрим наиболее подходящие для решения нашей задачи Wi-Fi роутеры.

Таблица 3.2 - Технические характеристики рассматриваемых маршрутизаторов для «Сеть 2»

Продолжение таблицы 3.2

Для выполнения задачи подойдет маршрутизатор Zyxel Keenetic Start .

В качестве пассивного сетевого оборудования для «Сеть 1» и для «Сеть 2» выступает кабель-витая пара UTP PowerCat 5e, LSZH, IEC 332.1, 4 пары, 305 м, Molex, 39-504-5E (3 метра) стоимостью 8,20 руб./м. – 3 шт..

Программное обеспечение

Одна из основных задач данной работы – организация защищенного соединения между двумя удаленными пользователями. Основное назначение подобного соединения – возможность подключения с клиентского компьютера к удаленному компьютеру, расположенному в другом месте. Например, можно подключиться к рабочему компьютеру из дома (или сети филиала организации) и получить доступ ко всем файлам и сетевым ресурсам так же, как и при работе на рабочем компьютере.

Для решения поставленной задачи существует широкий спектр программного обеспечения для организации удаленного доступа. В данном разделе рассмотрены наиболее популярные программные средства, позволяющие осуществить такое подключение.

В пункте «2.3 Требования к безопасности сети, обоснование выбора протоколов и технологии построения безопасной сети» описан обоснованный выбор технологии организация защищенного соединения при помощи технологии виртуальных частных сетей.

Виртуальные частные сети (VPN) расширяют сеть предприятия, размыкая пределы локальных сетей. С помощью VPN сотрудники, находящиеся вне предприятия, могут безопасно подключиться к корпоративной локальной сети из любой точки Internet. Аутентифицированный и зашифрованный туннель VPN прокладывается через Internet, поэтому затраты на его организацию гораздо ниже, чем на дорогостоящие двухточечные специальные сетевые каналы.

3.2.1 OpenVPN. Многие администраторы знакомы с решениями RRAS VPN компании Microsoft и с коммерческими VPN таких поставщиков, как Cisco Systems и Nortel Networks, но не всем известно об открытой программе OpenVPN, которая отличается высокой гибкостью и располагает функциями VPN. При значительно меньших затратах, основные функции OpenVPN такие же, как у коммерческих конкурентов. OpenVPN распространяется бесплатно, и администратору приходится тратить время лишь на настройку конфигурации.

Предприятиям, которые уже располагают коммерческой VPN, нет смысла менять ее на OpenVPN. Но если нужно организовать новую VPN для офиса филиала или лаборатории, либо требуется недорогое, безопасное решение для связи с удаленными сетями, то OpenVPN заслуживает внимания. Программа совместима со многими операционными системами, поэтому может стать альтернативой VPN-функциональности RRAS или Microsoft Internet Security and Acceleration (ISA) Server для предприятий, использующих платформу Windows.

В OpenVPN ряд основных функций защиты VPN реализован на базе протокола Secure Sockets Layer (SSL)/Transport Layer Security (TLS), а в других сетевых VPN для этого используются протоколы IP Security (IPsec) или PPTP. В отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент. Кроме того, OpenVPN представляет собой одноранговое (P2P) приложение, поэтому одну программу можно выполнять по обеим сторонам туннеля VPN.

В OpenVPN предусмотрены режимы моста (bridged) и маршрутизации (routing), в которых сетевой трафик можно направлять через единственный порт UDP или TCP по выбору администратора. По умолчанию OpenVPN использует протокол UDP и порт 1194. Любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.

С помощью OpenVPN можно организовать VPN между сайтами или клиентские туннели. Пакет OpenVPN отличается гибкостью, и этапы настройки VPN между сайтами и типа клиент-сервер похожи. В действительности, одно приложение OpenVPN устанавливается в обоих конечных пунктах VPN. OpenVPN поддерживает несколько механизмов аутентификации, в том числе сертификаты, смарт-карты и учетные данные пользователя, имя пользователя/пароль.

OpenVPN надежна и устойчива к отказам сети. Если сетевое соединение прервано при активной сети VPN, то OpenVPN автоматически восстанавливает соединение после восстановления сетевого канала связи.

3.2.2 TeamViewer. TeamViewer – пакет программного обеспечения для удалённого контроля компьютеров, обмена файлами между управляющей и управляемой машинами, видеосвязи и веб-конференций. TeamViewer работает на операционных системах Windows, Mac OS X, Linux, iOS и Android. Кроме прямого соединения, доступ возможен через брандмауэр, возможно получение доступа к удалённой машине посредством веб-браузера.

TeamViewer может работать с инсталляцией или без неё — в последнем случае программа работает без администраторских прав доступа. Для установления связи TeamViewer должен быть запущен на обеих машинах. При запуске TeamViewer генерируется ID компьютера и пароль. Чтобы установить связь между компьютерами, клиент-оператор должен связаться с удаленным оператором и узнать его логин и пароль, а затем ввести их в клиент-TeamViewer.

TeamViewer также может установить связь с удалённым компьютером, используя браузер с технологией Flash.

TeamViewer позволяет устанавливать VPN соединения между клиентом и сервером. Есть возможность скачать с сайта производителя отдельные модули программы (клиентский и серверный). Можно также на сайте производителя сконфигурировать клиентский модуль с заранее предустановленным паролем доступа и собственным логотипом, скомпилировать и сразу скачать его. Однако, без лицензии, связь в этом случае возможна не более 5 минут за сеанс. Предлагаемые модули без собственных предустановок не имеют таких ограничений.

Эти модули не требуют инсталляции и просты в использовании. Возможен видео-, голосовой, и текстовый чат между компьютерами. Данная программа бесплатна для личного пользования, но для коммерческого использования требуется купить полную версию продукта.

3.2.3 Hamachi.Hamachi — программное обеспечение, предназначенное для построения VPN, позволяет создать собственную защищённую сеть из компьютеров, соединённых через интернет, как будто они соединены одной физической локальной сетью.

Hamachi позволяет создать локальную сеть (LAN) поверх Интернета. Чаще всего Hamachi-сети используются для соединения серверов с серым IP и клиентских компьютеров. Такой метод значительно усложняет дешифрацию клиентского трафика.

Любые приложения, которые работают через локальную сеть, могут работать через сети Hamachi, при этом передаваемые данные будут защищены, и обмен между ними осуществляется в стиле peer-to-peer.

Hamachi — система организации виртуальных защищённых сетей на основе протокола UDP. В такой сети узлы для установления соединения между собой используют третий узел, который помогает им лишь обнаружить друг друга, а передача информации производится непосредственно между узлами. При этом взаимодействующие узлы могут находиться за NAT или фаерволом.

С 19 ноября 2012 года программа стала платной, в бесплатной версии есть ограничение на число подключенных устройств (до пяти), сеть может быть только ячеистой топологии. Платная лицензия предоставляет дополнительные возможности удаленного рабочего стола, потоковой передачи видео и аудио и расширенного контроля над сетями.

Таким образом, исходя из всего вышеперечисленного, можно сделать вывод, что программа OpenVPN является одним из лучших среди своих аналогов и безупречно подходит для создания современных частных виртуальных сетей. Причём оно не требует больших финансовых потерь для покупки самого средства, но, как недостаток - для реализации всех имеющихся возможностей не обойтись высококвалифицированных специалистов.

Принципы работы OpenVPN

Сеть VPN [5] - частная, так как к ней могут подключаться только узлы компании, создавшей эту сеть, а не все желающие. На каждом узле сети VPN должно работать ПО VPN. Еще там должны находиться ключи и сертификаты, обеспечивающие узлам доступ к сети VPN и криптографическую защиту передаваемых данных.

Таким образом, сеть VPN может объединять ресурсы (серверы и рабочие станции) компании в единую безопасную виртуальную сеть, созданную на базе Интернета. И теперь сотрудники, работающие удаленно (из дома или из другой страны) будут находиться как бы в общей сети своей компании. Сеть VPN подходит и для консолидации территориально разделенных офисов компании.

3.3.1 Обмен данными по сети. ПО OpenVPN передает данные по сети с помощью протоколов UDP или TCP с применением драйвера TUN/TAP. Протокол UDP и драйвер TUN позволяет подключаться к серверу OpenVPN клиентам, расположенным за NAT.

Для OpenVPN можно выбрать произвольный порт, что позволяет преодолевать ограничения файервола, через который осуществляется доступ из локальной сети в Интернет (если такие ограничения установлены).

3.3.2 Безопасность и шифрование. Безопасность и шифрование в OpenVPN обеспечивается библиотекой OpenSSL и протоколом транспортного уровня Transport Layer Security (TLS). Вместо OpenSSL в новых версиях OpenVPN можно использовать библиотеку PolarSSL. Протокол TLS представляет собой усовершенствование протокола защищенной передачи данных уровня защищенных сокетов Secure Socket Layers (SSL).

В OpenSSL может использоваться симметричная и ассиметричная криптография.

В первом случае перед началом передачи данных на все узлы сети необходимо поместить одинаковый секретный ключ. При этом возникает проблема безопасной передачи этого ключа через небезопасный Интернет.

Во втором случае у каждого участника обмена данными есть два ключа — публичный (открытый) и приватный (секретный).

Публичный ключ используется для зашифрования данных, а приватный — для расшифрования. В основе шифрования лежит довольно сложная математика. Выбранный в SSL/TLS алгоритм зашифрования публичным ключом обеспечивает возможность расшифрования только с помощью приватного ключа.

Приватный ключ секретный, и должен оставаться в пределах узла, на котором он создан. Публичный ключ должен передаваться участникам обмена данными.

Для безопасной передачи данных необходимо идентифицировать стороны, принимающие участие в обмене данными. В противном случае можно стать жертвой так называемой "атаки посредника" (Man in the Middle, MITM). В ходе такой атаки злоумышленник подключается к каналу передачи данных и прослушивает его. Он также может вмешиваться, удалять или изменять данные.

Чтобы обеспечить аутентификацию (проверку подлинности пользователя) протокол TLS использует инфраструктуру публичных ключей (Public Key Infrastructure, PKI) и асимметричную криптографию.

Нужно осознавать, что расшифрование данных без наличия приватного ключа тоже возможно, например, методом последовательного перебора. Хотя такой метод и требует больших вычислительных ресурсов, это только вопрос времени, когда данные смогут быть расшифрованы.

Хотя размер ключа влияет на сложность расшифрования, никакой ключ не дает гарантии полной безопасности данных. Кроме того, существует возможность похищения уже расшифрованных данных и ключей за счет уязвимостей и закладок в операционной системе или прикладном ПО, а также в аппаратном обеспечении серверов и рабочих станций.

Шифрование данных увеличивает трафик и замедляет обмен данными. Чем больше длина ключа, применяемого для шифрования данных, тем труднее будет его подобрать, но и тем заметнее получится замедление обмена данными.

3.3.3 Сертификаты. Для сети VPN, создаваемой для своей компании, допустимо самостоятельно создать свой удостоверяющий центр CA и выпускать так называемые самоподписанные сертификаты. Конечно, доверие к таким сертификатам не будет выходить за рамки вашей компании, но во-первых, этого будет вполне достаточно, а во-вторых, самоподписанные сертификаты совершенно бесплатны.

Самоподписанные сертификаты и будут играть роль публичных ключей, с помощью которых узлы вашей сети OpenVPN будут зашифровывать данные. Для расшифрования данных будут использованы приватные ключи.

Сертификаты создаются в соответствии со стандартом X.509. Этот стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями.

Сертификат X.509 — это публичный ключ, содержащий такие данные, как субъект, владеющий сертификатом, имя узла, период действия, алгоритм и значение подписи сертификата, и т.д. Сертификат должен быть подписан приватным ключом удостоверяющего центра (Certification authority, CA).

Когда наш узел рабочей станции подключается к удаленному узлу (серверу) с использованием протокола TLS, сервер отправляет ему сертификат X.509. На нашем узле есть публичный ключ удостоверяющего центра CA, который подписал этот сертификат. Этот ключ используется для проверки подписи.

Таким образом, имеется способ проверки удаленного узла (сервера), к которому наш узел собирается подключиться, чтобы исключить "атаки посредника" MITM.

3.3.4 Файл Диффи-Хелмана. Файл Диффи-Хелмана (Diffie-Hellman) необходим для реализации одноименного протокола, позволяющего использовать небезопасный канал для получения общего секретного ключа. Этот ключ будет в дальнейшем использоваться для защищенного обмена данными с помощью алгоритмов симметричного шифрования.

В применении к OpenVPN файл Диффи-Хелмана нужен для обеспечения защиты трафика от расшифровки, если ключи были похищены. Здесь имеется в виду тот трафик, который был записан и сохранен еще до похищения ключей.

Файл Диффи-Хелмана создается на сервере OpenVPN.

3.3.5 Статический ключ HMAC.Статический ключ (хэш-код) аутентификации сообщений (Hash-based Message Authentication Code, HMAC) обеспечивает проверку подлинности информации, передаваемой между сторонами. Этот ключ создается на сервере OpenVPN с целью дополнительной защиты от DoS-атак и флуда.

3.3.6 Компоненты сети OpenVPN.

3.3.6.1 Сервер OpenVPNсоздает туннель внутри незащищенной сети, например, Интернета. Этот туннель обеспечивает безопасный зашифрованный трафик между узлами — участниками обмена данными в сети OpenVPN, так же может выступать в роли удостоверяющего центра (СА).

3.3.6.2 Клиент OpenVPN устанавливается на все узлы, которым необходим защищенный канал передачи данный с сервером OpenVPN. При соответствующей настройка сервера OpenVPN возможна защищенная передача данных между клиентами OpenVPN, а не только между клиентами и сервером OpenVPN.

3.3.6.3 Сертификаты (публичные ключи) X.509 представляют собой публичные ключи, заверенные удостоверяющим центром CA. Они используются для зашифровывания данных. Факт заверения сертификата удостоверяющим центром CA позволяет идентифицировать сторону, передающую зашифрованные данные.

Файл запроса на сертификат создается на узлах сети, затем он переносится на узел удостоверяющего центра и там подписывается. Созданный в результате подписанный сертификат переносится обратно на запросивший его узел сети OpenVPN.

3.3.6.4 Приватные ключи–секретные. Они должны создаваться и храниться на каждом узле сети OpenVPN, предназначены для расшифрования данных и никогда не должны передаваться по сети.

Приватные ключи создаются на узлах сети OpenVPN одновременно с файлом запроса на получение сертификата.

3.3.6.5 Файл Диффи-Хелманаиспользуется, чтобы в случае похищения ключей исключить расшифрование трафика, записанного еще до этого похищения. Создается на сервере OpenVPN.

3.3.6.6 Статический ключ HMACслужит для проверки подлинности передаваемой информации. Обеспечивает защиту от DoS-атак и флуда. Создается на сервере OpenVPN.

Расчет стоимости сети

Для выполнения данного курсового проекта было необходимо смоделировать две сети, в этом разделе приведен расчет стоимости двух проектируемых сетей. На основании требований предъявляемых к функциональным возможностям сетей можно сделать предварительный вывод о том, что для реализации первой ЛВС необходим один маршрутизатор, минимум – два персональных компьютера, а так же два кабеля витой пары UTP Cat. 5e. Для реализации второй ЛВС необходимо и достаточно: один маршрутизатор и персональный компьютер, один кабель витой пары.

Ниже приведены таблицы с расчетом стоимостей обеих сетей.

Таблица 4.1 – Расчет стоимости проектируемой сети «Сеть 1»

Таблица 4.2 – Расчет стоимости проектируемой сети «Сеть 2»

Продолжение таблицы 4.2

Стоимость двух проектируемых сетей составила 72125 рублей.

Не нашли, что искали? Воспользуйтесь поиском по сайту: