Дипломная работа: Проектирование сети с подключением удаленных филиалов и мобильных сотрудников с использованием технологии Virtual Private Network

0

Содержание

Введение…………………………………………………………………………………………………….
1 VPN – виртуальные частные сети ……………………………………………………………… 13
1.1 Концепция построения защищенных сетей ……………………………………….. 13
1.2 Понятие и принципы VPN ………………………………………………………………… 15
1.3 Классификация VPN …………………………………………………………………………. 17
1.4 Виды соединения VPN ……………………………………………………………………… 18
1.5 Компоненты VPN ……………………………………………………………………………… 23
1.6 Методы шифрования в VPN ……………………………………………………………… 24
1.7 Достоинства и недостатки VPN…………………………………………………………. 26
1.8 Перспективы VPN …………………………………………………………………………….. 28
2 IPSEC – протокол защиты сетевого трафика ……………………………………………… 30
2.1 Технологии создания виртуальных частных сетей …………………………….. 30
2.2 Необходимость защиты данных ………………………………………………………… 32
2.3 Архитектура IPSec ……………………………………………………………………………. 34
2.4 Атаки на AH, ESP и IKE……………………………………………………………………. 40
3 Проектирование сети с подключением удаленных филиалов и мобильных
сотрудников с использованием технологии VPN для ТОО “TNS–INTEC”…….. 42
3.1 Место реализации проекта ………………………………………………………………… 42
3.2 Разработка структурной схемы организации сети ……………………………… 44
3.3 Описание и характеристики выбранного оборудования …………………….. 46
3.3.1 Маршрутизатор Cisco ISR серии 1900 ……………………………………….. 46
3.3.2 Коммутатор Cisco Catalyst серии 2960–S с ПО LAN Base ………….. 54
3.4 Настройка протокола безопасности IPSec на роутерах в головном офисе
Астаны и филиале – Алматы………………………………………………………………………… 60
3.5 Инструкция по настройке VPN–соединения для Windows 7 ………………. 71
4 Безопасность жизнедеятельности……………
4.1 Анализ потенциально опасных и вредных факторов воздействия на оператора в процессе обслуживания и проектирования сети.
4.2 Расчет мощности охлаждения серверной
4.3 Анализ пожарной безопасности ……..
5 Бизнес–план …………………………………………..
5.1 Расчет капитальных вложений (вариант 1)
5.2 Расчет капитальных вложений (вариант 2)
5.3 Оценка сравнительной эффективности реализации
Заключение …………………………………………………………………………………………………. 80
Список использованной литературы…………………………………………………………….. 81
Приложение А …………………………………………………………………………………………….. 99
Приложение Б ……………………………………………………………………………………………. 100
Приложение В……………………………………………………………………………………………. 101
Приложение Г ……………………………………………………………………………………………. 102

1.1 Концепция построения защищенных сетей
Компьютеры, сети, Интернет в нашей повседневной жизни стали
неотъемлемой частью. Наш насыщенный технологиями, быстроразвивающийся
мир с каждым днем все больше становится зависимым от компьютерных
технологий и сетей. Однако эта зависимость возникла не внезапно. С каждым
годом финансирование компьютерных технологий значительно возрастало, и
неудивительно, что эти технологии проникли практически во все сферы
деятельности человека.
На заре развития компьютерных технологий большинство людей не
могли представить, насколько широко эти технологии будут использоваться в
самом недалеком будущем. Поэтому, наверное, многие не решались уделять
много времени и усилий для освоения того, что, в конце концов, могло
оказаться обыкновенной забавой. По сравнению с требованиями современного
рынка труда количество людей, работавших в то время в области
компьютерных технологий, было ничтожно мало. Люди, работавшие в этом
тесном сообществе, были хорошо знакомы и доверяли друг другу. Кроме того,
в это сообщество допускались только избранные, которые заслуживали
доверия. Таким образом, в те времена проблемы безопасности в области
компьютерных технологий практически отсутствовали. И достаточно долгое
время специалисты в области компьютерных технологий не уделяли внимания
безопасности компьютерных сетей.
В настоящее время огромное количество сетей объединено посредством
Интернет. Поэтому очевидно, что для безопасной работы такой огромной
системы необходимо принимать определенные меры безопасности, поскольку
практически с любого компьютера можно получить доступ к любой сети любой
организации, причем опасность значительно возрастает по той причине, что для
взлома компьютера к нему вовсе не требуется физического доступа [2].
В связи с широким распространением Интернет, при разработке и
применении распределенных информационных сетей и систем одной из самых
актуальных задач является решение проблем информационной безопасности.
В связи с бурным развитием сетей коллективного доступа в мире
произошел качественный скачок в распространении и доступности
информации. Пользователи получили дешевые и доступные каналы связи.
Стремясь к экономии средств, предприятия используют такие каналы для
передачи критичной коммерческой информации. Однако принципы построения
Интернет открывают злоумышленникам возможности кражи или
преднамеренного искажения информации. Не обеспечена достаточно надежная
защита от проникновения нарушителей в корпоративные и ведомственные сети.
Любая организация, будь она производственной, торговой, финансовой
компании или государственным учреждением, обязательно сталкивается с
вопросом передачи информации между своими филиалами, а также с вопросом
защиты этой информации. Не каждая фирма может себе позволить иметь
собственные физические каналы доступа, и здесь помогает технология VPN, на
основе которой и соединяются все подразделения и филиалы, что обеспечивает
достаточную гибкость и одновременно высокую безопасность сети, а также
существенную экономию затрат.
Виртуальная частная сеть (VPN – Virtual Private Network) создается на
базе общедоступной сети Интернет. И если связь через Интернет имеет свои
недостатки, главным из которых является то, что она подвержена
потенциальным нарушениям защиты и конфиденциальности, то VPN могут
гарантировать, что направляемый через Интернет трафик так же защищен, как
и передача внутри локальной сети. В тоже время виртуальные сети
обеспечивают существенную экономию затрат по сравнению с содержанием
собственной сети глобального масштаба.
В основе концепции построения защищенных виртуальных частных сетей
VPN лежит достаточно простая идея: если в глобальной сети есть два узла,
которые хотят обменяться информацией, то для обеспечения
конфиденциальности и целостности передаваемой по открытым сетям
информации между ними необходимо построить виртуальный туннель, доступ
к которому должен быть чрезвычайно затруднен всем возможным активным и
пассивным внешним наблюдателям. Термин «виртуальный» указывает на то,
что соединение между двумя узлами сети не является постоянным (жестким) и
существует только во время прохождения трафика по сети.
Преимущества, получаемые компанией при формировании таких
виртуальных туннелей, заключаются, прежде всего, в значительной экономии
финансовых средств [1].
История зарождения VPN уходит своими корнями далеко в 60 –е годы
прошлого столетия, когда специалисты инженерно–технического отдела нью–
йоркской телефонной компании разработали систему автоматического
установления соединений абонентов АТС – Centrex (Central Exchange).
Другими словами это не что иное, как виртуальная частная телефонная сеть,
т.к. арендовались уже созданные каналы связи, т.е. создавались виртуальные
каналы передачи голосовой информации. В настоящее время данная услуга
заменяется более продвинутым ее аналогом – IP–Centrex. Соблюдение
конфиденциальности было важным аспектом при передаче информации уже
достаточно длительное время, приблизительно в 1900 году до н.э. первые
попытки криптографии проявляли египтяне, искажая символы сообщений. А в
XV веке уже нашей эры математиком Леоном Батистом Альберти была создана
первая криптографическая модель. В наше время именно виртуальная частная
сеть может обеспечить достаточную надежность передаваемой информации
вместе с великолепной гибкостью и расширяемостью системы.
Главная выгода от использования VPN для удаленного доступа –
совокупность стоимостной эффективности возможного использования
общедоступной сетевой среды для транспортирования частной информации и
высокого уровня безопасности. Защищенная виртуальная сеть может
предоставить множество уровней безопасности, включая усовершенствование
конфиденциальности, целостности и аутентификации. Поскольку VPN
использует существующую сетевую инфраструктуру, ее можно реализовать
достаточно быстро, так как нет необходимости прокладывать новые
(выделенные) линии связи. Комбинация безопасности, быстрой установки и
рентабельности с точки зрения стоимости может сделать VPN превосходным
коммерческим коммуникационным решением.

1.2 Понятие и принципы VPN

VPN, или Virtual Private Network, что в переводе означает Виртуальная
Частная Сеть – это криптосистема, позволяющая защитить данные при
передаче их по незащищенной сети, такой как Интернет. Несмотря на то, что
данное описание подходит и для криптосистемы SSH, VPN имеет другое
предназначение. SSH разрабатывался как средство, позволяющее пользователю
безопасно зайти и удалённо управлять другим компьютером. Цель VPN –
прозрачный доступ к ресурсам сети, где пользователь может делать всё то, что
он делает обычно независимо от того, насколько он удалён.
По этой причине VPN приобрёл популярность среди дистанционных
работников и офисов, которые нуждаются в совместном использовании
ресурсов территориально разделённых сетей.
VPN соединение всегда состоит из канала типа точка–точка, также
известного под названием туннель (Рисунок 1.1).
Рисунок 1.1 – VPN–туннель
Туннель создаётся в незащищённой сети, в качестве которой чаще всего
выступает Интернет. Соединение точка–точка подразумевает, что оно всегда
устанавливается между двумя компьютерами, которые называются узлами или
peers. Каждый peer отвечает за шифрование данных до того, как они попадут в
туннель и расшифровке этих данных после того, как они туннель покинут.
Хотя VPN туннель всегда устанавливается между двумя точками, каждый
peer может устанавливать дополнительные туннели с другими узлами. Для
примера, когда трём удалённым станциям необходимо связаться с одним и тем
же офисом, будет создано три отдельных VPN туннеля к этому офису. Для всех
туннелей peer на стороне офиса может быть одним и тем же.
Независимо от используемого ПО, все VPN работают по следующим
принципам:
1 Каждый из узлов идентифицирует друг друга перед созданием туннеля,
чтобы удостовериться, что шифрованные данные будут отправлены на нужный
узел.
2 Оба узла требуют заранее настроенной политики, указывающей какие
протоколы могут использоваться для шифрования и обеспечения целостности
данных.
3 Узлы сверяют политики, чтобы договориться об используемых
алгоритмах; если это не получается, то туннель не устанавливается.
4 Как только достигнуто соглашение по алгоритмам, создаётся ключ,
который будет использован в симметричном алгоритме для
шифрования/расшифровки данных.
VPN и беспроводные технологии не конкурируют, а дополняют друг
друга. VPN работает поверх разделяемых сетей общего пользования,
обеспечивая в то же время конфиденциальность за счет специальных мер
безопасности и применения туннельных протоколов, таких как туннельный
протокол на канальном уровне (Layer Two Tunneling Protocol – L2TP). Смысл
их в том, что, осуществляя шифрование данных на отправляющем конце и
дешифрирование на принимающем, протокол организует «туннель», в который
не могут проникнуть данные, не зашифрованные должным образом.
Дополнительную безопасность может обеспечить шифрование не только самих
данных, но и сетевых адресов отправителя и получателя. Беспроводную
локальную сеть можно сравнить с разделяемой сетью общего пользования, а в
некоторых случаях (хот–споты, узлы, принадлежащие сообществам) она
таковой и является [3].
VPN отвечает трем условиям: конфиденциальность, целостность и
доступность. Следует отметить, что никакая VPN не является устойчивой к
DoS– или DDoS–атакам и не может гарантировать доступность на физическом
уровне просто в силу своей виртуальной природы и зависимости от
нижележащих протоколов.
1.3 Классификация VPN
Классифицировать VPN решения можно по нескольким основным
параметрам.
По степени защищенности используемой среды
Защищённые
Наиболее распространённый вариант виртуальных частных сетей. С его
помощью возможно создать надежную и защищенную сеть на основе
ненадёжной сети, как правило, Интернета. Примером защищённых VPN
являются: IPSec, OpenVPN и PPTP.
Доверительные
Используются в случаях, когда передающую среду можно считать
надёжной и необходимо решить лишь задачу создания виртуальной подсети в
рамках большей сети. Проблемы безопасности становятся неактуальными.
Примерами подобных VPN решений являются: Multi–protocol label switching
(MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти
протоколы перекладывают задачу обеспечения безопасности на другие,
например L2TP, как правило, используется в паре с IPSec).
По способу реализации
В виде специального программно–аппаратного обеспечения
Реализация VPN сети осуществляется при помощи специального
комплекса программно–аппаратных средств. Такая реализация обеспечивает
высокую производительность и, как правило, высокую степень защищённости.
В виде программного решения
Используют персональный компьютер со специальным программным
обеспечением, обеспечивающим функциональность VPN.
Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи
фильтрации сетевого трафика, организации сетевого экрана и обеспечения
качества обслуживания.
По назначению
Intranet VPN
Используют для объединения в единую защищённую сеть нескольких
распределённых филиалов одной организации, обменивающихся данными по
открытым каналам связи.
Remote Access VPN
Используют для создания защищённого канала между сегментом
корпоративной сети (центральным офисом или филиалом) и одиночным
пользователем, который, работая дома, подключается к корпоративным
ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или
интернет–киоскa.
Extranet VPN
Используют для сетей, к которым подключаются «внешние»
пользователи (например, заказчики или клиенты). Уровень доверия к ним
намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение
специальных «рубежей» защиты, предотвращающих или ограничивающих
доступ последних к особо ценной, конфиденциальной информации.
Internet VPN
Используется для предоставления доступа к интернету провайдерами,
обычно если по одному физическому каналу подключаются несколько
пользователей. Протокол PPPoE стал стандартом в ADSL–подключениях. L2TP
был широко распространён в середине 2000–х годов в домовых сетях: в те
времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это
давало возможность контролировать расходы:когда VPN–соединение
выключено, пользователь ничего не платит. В настоящее время проводной
интернет дешёвый или безлимитный, а на стороне пользователя зачастую есть
маршрутизатор, на котором включать–выключать интернет не так удобно, как
на компьютере. Поэтому L2TP–доступ отходит в прошлое.
Client/Server VPN
Он обеспечивает защиту передаваемых данных между двумя узлами (не
сетями) корпоративной сети. Особенность данного варианта в том, что VPN
строится между узлами, находящимися, как правило, в одном сегменте сети,
например, между рабочей станцией и сервером. Такая необходимость очень
часто возникает в тех случаях, когда в одной физической сети необходимо
создать несколько логических сетей. Например, когда надо разделить трафик
между финансовым департаментом и отделом кадров, обращающихся к
серверам, находящимся в одном физическом сегменте. Этот вариант похож на
технологию VLAN, но вместо разделения трафика, используется его
шифрование.
По типу протокола
Существуют реализации виртуальных частных сетей под TCP/IP, IPX и
AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему
переходу на протокол TCP/IP, и абсолютное большинство VPN решений
поддерживает именно его. Адресация в нём чаще всего выбирается в
соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.
По уровню сетевого протокола
По уровню сетевого протокола на основе сопоставления с уровнями
эталонной сетевой модели ISO/OSI [4].

1.4 Виды соединения VPN
Организовывая безопасные каналы передачи информации в учреждениях
несправедливо не рассмотреть вариант организации полноценной частной сети.
На рисунке 1.2 изображен вариант организации частной сети небольшой
компанией с 2 филиалами…..

Рахмет ретінде жарнамалардың біреуін басуды сұраймын!