50631

ССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ СОЗДАНИЯ ЗАЩИЩЕННЫХ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ (VPN) VIPNET OFFICE

Лабораторная работа

Информатика, кибернетика и программирование

Системы построения VPN Из пункта А в пункт Б необходимо передать информацию таким образом чтобы к ней никто не смог получить доступ. Итак как сделать так чтобы информация могла передаваться по тем же проводам что и обычная информация но при этом была недоступна для других Помочь в этом может технология виртуальных частных сетей virtul privte network VPN....

Русский

2014-01-27

367.5 KB

5 чел.

Министерство образования и науки РФ

Государственное образовательное учреждение

высшего профессионального образования

«Тульский государственный университет»

Политехнический институт

Кафедра «Технологии полиграфического производства и защиты информации»

МЕТОДИЧЕСКИЕ УКАЗАНИЯ К

ЛАБОРАТОРНОЙ РАБОТЕ № 3

ИССЛЕДОВАНИЕ РАБОТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ СОЗДАНИЯ ЗАЩИЩЕННЫХ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ (VPN)

VIPNET OFFICE 

по дисциплине

ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ

Направление подготовки: 090100 – Информационная безопасность 

Специальность: 090103 – Организация и технология защиты информации

Формы обучения: очная

Тула 2010 г.

Методические указания к лабораторной работе № 3 составлены доцентом В.А.Селищевым и обсуждены на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

протокол № ____ от «____» _____________ 20____г.

Зав. кафедрой _____________________А.К. Талалаев

Методические указания к лабораторной работе № 3 пересмотрены и  утверждены  на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

протокол № ____ от «____» _____________ 20____г.

Зав. кафедрой _____________________А.К. Талалаев

1. Цель и задачи работы.

Изучение функционирования программного обеспечения VIPNET OFFICE, приобретение навыков по работе с данным продуктом.

  1.  Теоретические сведения.

                                     Системы построения VPN

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступ. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи - это очень дорогое удовольствие. Проще, если информация будет передаваться по обычным каналам связи (например, через Internet), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Internet. Но не стоит думать, что задача конфиденциальной передачи информации возникает в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, в которых требуется отделать один тип трафика, от другого (например, трафик платежной системы от трафика информационно-аналитической системы). Итак, как сделать так, чтобы информация могла передаваться по тем же проводам, что и обычная информация, но при этом была недоступна для других? Помочь в этом может технология виртуальных частных сетей (virtual private network, VPN).

                                                      
Классификация
Можно выделить два основных способа реализации VPN:
    - Разделение трафика в канале передачи;
    - Шифрование трафика в канале передачи.
Разделение трафика в канале передачи.
Первая технология достаточно недавно получила широкое распространение. Она может применяться как в глобальных, так и в локальных сетях. Причем второй случай распространен чаще - это всем известная технология виртуальных локальных сетей (VLAN), используемая для структуризации современных локальных сетей, построенных на базе коммутаторов. Однако помимо структуризации VLAN могут применяться и для отделения одного типа трафика от другого. Т.к. VLAN реализуются на канальном уровне, то их область применения не выходит за рамки локальной сети, но и тут они неплохо справляются со своими задачами. В частности, независимо от адреса канального уровня (уникального, группового или широковещательного) смешение данных из разных VLAN невозможно. В то же время внутри одной VLAN кадры передаются как обычно, только на тот порт, на который указывает адрес назначения кадра.

Узлы, входящие в VLAN могут группироваться на основе различных признаков:
    - Группировка по портам. Классический и самый простой способ формирования VLAN, согласно которому каждому порту коммутатора соответствует номер VLAN.
    - Группировка по MAC-адресам. Принадлежность к VLAN определяется по MAC-адресам сетевых пакетов.
    - Группировка по номерам подсетей сетевого уровня. В данном случае VLAN является аналогом обычной подсетью, которая известна по протоколам IP или IPX.
    - Группировка по меткам. Самый эффективный и надежный способ группирования узлов в VLAN, согласно которому номер виртуальной сети добавляется к кадру, передаваемому между коммутаторами.

Существуют и другие способы формирования VLAN, но все они менее распространены, чем вышеназванные. Технология VLAN реализована сейчас в большинстве коммутаторов ведущих сетевых производителей.


В глобальных сетях распространение получил аналог VLAN - технология MPLS (MultiProtocol Label Switching), которая также использует метки для разделения трафика и образования виртуальных каналов в IP-, ATM- и других сетях. Однако у технологии MPLS есть один недостаток (с точки зрения безопасности) - он может применяться только для связи "сеть - сеть" и не применим для соединения с отдельными узлами. Есть и второй недостаток - данные разных пользователей хоть и не смешиваются, но все-таки к ним можно получить данные, прослушивая сетевой трафик. Кроме того, провайдер, предлагающий услуги MPLS будет иметь доступ ко всей передаваемой информации. Однако данные технологии все же имеют право на существование, т.к. обеспечивают некоторый уровень защищенности информации и достаточно дешевы. Основным поставщиком MPLS является компания Cisco Systems.

                              
Шифрование трафика в канале передачи
Большую известность получила технология шифрования трафика, которая скрывает от глаз содержание данных, передаваемых по открытым сетям. Именно эта технология применяется многими разработчиками средств сетевой безопасности.


                                          
Варианты построения
Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается компанией Check Point Software Technologies, которая не без основания считается законодателем моды в области VPN.

1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
2. Вариант "Remote Access VPN", который позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN.
Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае программное обеспечение может быть как встроенным в операционную систему (например, в Windows 2000), так и разработанным специально. Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом. Такие устройства получают сейчас широкое распространение за рубежом.
3. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, описанную выше. Но вместо разделения трафика, используется его шифрование.
4. Последний вариант «Extranet VPN» предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны" (партнеры, заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам. Хотя по статистике чаще всего именно сотрудники являются причиной компьютерных преступлений и злоупотреблений.


                                            
Варианты реализации
Средства построения VPN могут быть реализованы по-разному:
    - В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Основное преимущество таких устройств - их высокая производительность и, более высокая по сравнению с другими решениями, защищенность. Такие устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации. На первое место эта проблема выходит при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN. И это не считая такого же числа межсетевых экранов, систем обнаружения атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000.
    - В виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы Unix. Российские разработчики «полюбили» ОС FreeBSD. Именно на ее изученной «вдоль и поперек» базе построены отечественные решения «Континент-К» и «Шип». Для ускорения обработки трафика могут быть использованы специальные аппаратные ускорители, заменяющие функции программного шифрования. Также в виде программного решения реализуется абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей.
    - Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Кроме того, это решение имеет сертификат Гостехкомиссии России.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение VIPNET OFFICE, документация VIPNET OFFICE 

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК, открыть  файл с документацией VIPNET OFFICE 

5. Программа работы.

5.1. Изучить общие положения гл. 1 документации ПО VIPNET OFFICE 

5.2. Изучить главу 6 документации.

6. Контрольные вопросы

6.1. Для каких целей используется программное обеспечение VIPNET OFFICE?

6.2. Каковы функции ViPNet Manager?

6.3. Каковы функции ViPNet  Координатор?

6.4. Каковы функции ViPNet Клиент?

6.5. Какие сервисные функции  предоставляет пакет ViPNet OFFICE?

Содержание отчета

  1.  Тема и цель лабораторной работы.
  2.  Краткое изложение теоретической части.
  3.  Составить базу знаний по изучаемому в п.5 материалу.
  4.  Ответы на вопросы.

Список рекомендуемой литературы

1. Расторгуев, С. П. Основы информационной безопасности : учеб. пособие для вузов / С. П. Расторгуев .— М. : ACADEMIA, 2007 .— 192 с. : ил. — (Высшее профессиональное образование:Информационная безопасность) .— Библиогр. в конце кн. — ISBN 978-5-7695-3098-2 (в пер.) : 191.00.

2. Куприянов, А.И. Основы защиты информации : учеб.пособие / А.И.Куприянов,А.В.Сахаров,В.А.Шевцов .— 2-е изд.,стер. — М. : Академия, 2007 .— 256с. : ил. — (Высшее профессиональное образование:Радиоэлектроника) .— Библиогр.в конце кн. — ISBN 978-5-7695-4416-3 /в пер./ : 247.00.

3. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах : учеб.пособие для вузов / П.Б.Хорев .— М. : Академия, 2005 .— 256с. : ил. — (Высш.проф.образование) .— Библиогр.в конце кн. — ISBN 5-7695-1839-1 /в пер./ : 164.59.

4. Девянин, П.Н. Модели безопасности компьютерных систем : учебное пособие для вузов / П.Н.Девянин .— М. : Академия, 2005 .— 144с. : ил. — (Высш.проф.образование) .— Библиогр.в конце кн. — ISBN 5-7695-2053-1 : 90.34.


 

А также другие работы, которые могут Вас заинтересовать

26037. Принципы государственной службы 33.5 KB
  Основные принципы построения и функционирования системы государственной службы 1. Основными принципами построения и функционирования системы государственной службы являются: федерализм обеспечивающий единство системы государственной службы и соблюдение конституционного разграничения предметов ведения и полномочий между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации далее государственные органы; законность; приоритет прав и свобод человека и гражданина их непосредственное...
26038. Особенности замещение государственных должностей 43.5 KB
  Особенности замещение государственных должностей По действующему законодательству государственные должности государственной службы замещаются путем назначения. Правом на замещение вакантной должности гражданской службы обладают гражданские служащие граждане которые соответствую установленным законодательством Российской Федерации о государственной гражданской службе квалификационным требованиям к вакантной должности. К числу квалификационных требований относятся: требования к стажу государственной службы или стажу работы по специальности...
26039. Цели и задачи реформирования и развития системы государственной службы 50.5 KB
  Цели и задачи реформирования и развития системы государственной службы. Основные цели и задачи реформирования системы государственной службы Российской Федерации были сформулированы в Концепции реформирования системы государственной службы Российской Федерации утвержденной Президентом РФ 15 августа 2001 году. В соответствии с Концепцией созданы основы единой системы гос. В процессе реформирования гос.
26040. Общая структура триггеров 13.24 KB
  Информационные сигналы поступают на входы A и В ЛУ и преобразуются в сигналы поступающие на внутренние входы S и R ЯП. Управляющие сигналы на асинхронный триггер воздействуют непосредственно с началом своего появления на их входах а в синхронных только с приходом сигнала на входе C.
26041. Простые триггеры 20.11 KB
  Схема простейшего триггера построенного на инверторах В этой схеме может быть только два состояния на выходе Q присутствует логическая единица и на выходе Q присутствует логический ноль. Если логическая единица присутствует на выходе Q то на инверсном выходе будет присутствовать логический ноль который после очередного инвертирования подтверждает уровень логической единицы на выходе Q. И наоборот если на выходе Q присутствует логический ноль то на инверсном выходе будет присутствовать логическая единица.
26042. JK-триггеры 14.14 KB
  Подобно RSтриггеру в JKтриггере входы J и K это входы установки выхода Q триггера в состояние 1 или 0. Однако в отличие от RSтриггера в JKтриггере наличие J=K=1 приводит к переходу выхода Q триггера в противоположное состояние. Условие функционирования JKтриггера описывается функцией: Рисунок 51 JKтриггеры: а асинхронные; б тактируемые фронтом. Триггер JKтипа называют универсальным потому что на его основе с помощью несложных коммутационных преобразований можно получить RS и Ттриггеры а если между входами J и K включить...
26043. D-триггеры 13.79 KB
  Характеристическое уравнение триггера: Qn1=Dn. Оно означает что логический сигнал Qn1 повторяет значение сигнала установленное на входе триггера в предшествующий момент времени. Благодаря включению элемента D1 на входы RSтриггера поступают разнополярные сигналы Рисунок 47а поэтому запрещённое состояние входных сигналов исключено но время задержки распространения сигнала элемента D1 должно быть меньше чем у элементов D2 и D3 tзд. В приведённой выше схеме Dтриггера вследствие задержки распространения сигналов сигнал на выходе Q...
26044. Счётные триггеры 18.55 KB
  Функционирование триггера определяется уравнением: Из уравнения следует что Ттриггер каждый раз изменяет своё состояние на противоположное с приходом на счётный вход Т очередного тактирующего импульса длительностью tи. Этому способствует наличие перекрёстных обратных связей с выходов триггера на входы элементов D1 и D2. Для надёжной работы триггера с целью сохранения информации о предыдущем состоянии триггера в момент его переключения в схему вводят элементы задержки имеющие время задержки tз tи. Сигнал на этом входе разрешает при V=1...
26045. Сумматоры, их схемы 98.69 KB
  Сумматоры их схемы В цифровой вычислительной технике используются одноразрядные суммирующие схемы с двумя и тремя входами причём первые называются полусумматорами а вторые полными одноразрядными сумматорами. приведена таблица истинности полусумматора на основании которой составлена его структурная формула в виде СДНФ Основными параметрами характеризующими качественные показатели логических схем являются быстродействие и количество элементов определяющее сложность схемы. Быстродействие определяется суммарным временем задержки сигнала...