6837

Основы организации VPN в ОС Windows

Лабораторная работа

Информатика, кибернетика и программирование

Основы организации VPN в ОС Windows Организация VPN средствами протокола PPTP В данном сценарии моделируется VPN-соединение по выделенному каналу на основе Ethernet между клиентом и шлюзом некоторой сети. Предлагается организовать соединение п...

Русский

2013-01-08

150 KB

11 чел.

Основы организации VPN в ОС Windows

  1.  Организация VPN средствами протокола PPTP

В данном сценарии моделируется VPN-соединение по выделенному каналу на основе Ethernet между клиентом и шлюзом некоторой сети.

Предлагается организовать соединение по протоколу PPTP между двумя сетевыми узлами. При этом имитируется соединение, которое пользователь Интернет устанавливает с сервером провайдера в том случае, когда используется подключение по выделенному каналу на основе Ethernet. В результате подключения пользователю выделяется IP-адрес, который может быть известен пользователю заранее либо выделяться динамически. Динамическое выделение адресов позволяет затруднить идентификацию узла пользователя из Интернет, сделав его в какой-то степени анонимным. Кроме того, это дает возможность провайдеру более эффективно использовать выделенное ему адресное пространство.

В сценарии используется две виртуальные машины VMWare, одна из которых имитирует PPTP сервер, имеет два сетевых интерфейса («внутренняя» и «внешняя» сеть провайдера), а вторая – хост, подключаемый к VPN-сети. Кроме того, в лабораторной работе будет использоваться соединение с web-сервером во «внешней» сети (например, 10.11.1.1).

Внимание: Чтобы избежать конфликтов адресов в сети, уточните у преподавателя значения IP – адресов, которые следует использовать.

Рис. 1. Схема имитируемой VPN – сети

Предполагается, что удаленный web-сервер имеет IP-адрес 10.11.1.1,

VPN-сервер имеет два интерфейса - внутренний (Ethernet 1) с адресом 192.168.200.2 и внешний (Ethernet 2) с адресом 10.11.1.210. VPN-клиент имеет адрес во внутренней сети 192.168.200.3. Пройдя авторизацию на PPTP-сервере, пользовательский компьютер получит адрес во внешней сети (например, 10.11.1.211). В дальнейшем пользовательский компьютер будет обращаться к внешнему web-серверу по протоколу HTTP.

Анализ трафика будет осуществляться в сети между пользовательским компьютером и PPTP-сервером.

1.1. Настройка VPN-сервера:

Выполните:

Примечание: Пункты, отмеченные звездочкой, выполнены ранее. В таком случае проверьте правильность настройки.

1. Запустите виртуальную машину (пароль пользователя Administrator - «labadmin») и присвойте первому виртуальному адаптеру Ethernet IP-адрес 192.168.200.2/24 и IP-адрес 10.11.1.210/24 для Ethernet2.

2. Добавьте в настроенной виртуальной машине новое входящее подключение VPN (Settings->Network and Dialup Connections->Make New Connection). С помощью мастера подключений последовательно установите следующие параметры: Accept Incoming Connections, Allow virtual private connections и укажите учетную запись, которая будет использована для этого подключения (при необходимости создайте новую учетную запись для удаленного подключения).

Примечание: В Windows 2003 новое входящее подключение создается через Control Panel -> Network Connection -> Network Connection Wizard -> Set up an advanced Connection -> Accept Incoming Connection.

3. В свойствах созданного подключения (Incoming Connections -> Properties) установите «Allow others to make private connections to my computer by tunneling through the Internet or other network», сбросьте «Require all users to secure their passwords and data».

Примечание: В Windows 2003 настройка «Require all users to secure their passwords and data» отстутствует, т.е. соединение обязательно будет защищено шифрованием.

4. В настройках протокола TCP/IP установите «Allow callers to access my local network» и укажите пул IP адресов, выдаваемых клиентам (например, 11.1.1.211…10.11.1.215. Уточните у преподавателя, чтобы избежать конфликтов адресов в сети). Компоненты «File and Printer Sharing for Microsoft Networks» и «Client for Microsoft Networks» для входящих подключений должны быть установлены. Остальные параметры оставить по умолчанию.

 

1.2. Настройка VPN-клиента:

5. Запустите виртуальную машину (пароль пользователя Administrator «labadmin») и присвойте первому виртуальному адаптеру Ethernet адрес 192.168.200.3/24. Убедитесь, что виртуальные хосты имеют различные сетевые имена и IP-адреса. Проверьте достижимость VPN - сервера (192.168.200.2).

Добавьте в ОС Клиента VPN подключение к виртуальной частной сети через Интернет:

6. Запустите мастер сетевых подключений (Settings->Network and Dial-up Connection -> Make new Connection ) и создайте новое подключение «Connect to a private network through the Internet». При создании подключения укажите адрес хоста, к которому осуществляется подключение (IP-адрес назначения): 192.168.200.2.

7. В свойствах нового подключения укажите Type of VPN server I am calling:->PPTP. Компоненты «File and Printer Sharing for Microsoft Networks» и «Client for Microsoft Networks» для данного подключения должны быть установлены. Остальные параметры оставить по умолчанию.

Внимание: Следующий пункт в лабораторных условиях можно не выполнять, поскольку в последующих заданиях вам понадобится доступ к разделяемым файлам.

8. Чтобы предотвратить возможность сетевого доступа к файлам и каталогам VPN-Сервера со стороны VPN-Клиента в обход туннеля, необходимо дополнительно установить следующие параметры для основного соединения Ethernet на Сервере (Settings-> Network and Dial-ip Connections -> Local Area Connection -> Properties):

Компоненты «File and Printer Sharing for Microsoft Networks» и «Client for Microsoft Networks» должны быть отключены. В свойствах протокола TCP/IP (Internet Protocol (TCP/IP) -> Properties -> Advanced -> WINS ) отключите использование NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP).

Аналогичные параметры должны быть установлены для подключения к локальной сети в ОС VPN-Клиента: Компоненты «File and Printer Sharing for Microsoft Networks» и «Client for Microsoft Networks» должны быть отключены. В свойствах протокола TCP/IP (Internet Protocol (TCP/IP) -> Properties -> Advanced -> WINS) отключите использование NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP).

9. Запустите созданное виртуальное частное соединение. (Network and Dial-up Connections -> Virtual Private Connection) и укажите пароль той учетной записи, которая была указана при создании входящих подключений на сервере. Выясните адреса, выделенные серверу и клиенту. При установленном параметре «Allow callers to access my local network» (Разрешить звонящим доступ к локальной сети), пройдя авторизацию на PPTP сервере, клиентский хост получит адрес из диапазона внешней сети 10.11.1.* и станет узлом локальной сети, но только на сетевом уровне модели OSI и выше.

1.3. Анализ защищенности передаваемой информации

Предлагается изучить степень защищенности передаваемой по туннельному соединению информации с использованием анализатора сетевого трафика.

10. Проверьте достижимость сервера c адресом 192.168.0.1

11. На основном компьютере запустите анализатор трафика и настройте его на перехват пакетов.

12. Отправьте из ОС Клиента VPN несколько ECHO-запросов в адрес Cервера VPN двумя способами: сначала напрямую через сеть 192.168.200.0 (адрес сервера 192.168.200.2), а затем через туннельное соединение (адрес сервера необходимо выяснить при помощи диалогового окна состояния соединения). В чем отличие передаваемых пакетов? Обратите внимание, что пакеты, посылаемые через туннельное соединение, не опознаются как ICMP-пакеты.

13. Запустите на виртуальном хосте 192.168.200.3 Internet Explorer и подключитесь к запущенному в локальной сети web-серверу. При помощи анализатора трафика посмотрите передаваемые пакеты. Есть ли возможность установить, пакеты какого содержания передавались? Зашифрованы ли поля заголовков? Какая информация может быть перехвачена злоумышленником в случае его подключения к линии связи?

14. Отключите виртуальное соединение (Virtual Private Connection -> Disconnect).


2.
Использование средств IPSec для защиты сетей

2.1. Шифрование трафика с использованием протокола IPSec

1. Проверьте возможность анализа сетевого трафика при отключенном протоколе IPSec. Запустите анализатор сетевого трафика и настройте его на перехват пакетов.

2. Создайте текстовый файл (набранный латинскими буквами) и отправьте его через сетевой доступ на второй виртуальный хост. Просмотрите захваченные пакеты. Убедитесь, что файл передается по протоколу SMB, а текст файла передается в открытом виде. Найдите текстовый шаблон из файла в захваченных пакетах.

Настройка протокола IPSec осуществляется через оснастку «IP Security Policies on Local Computer» (Control Panel -> Administrative Tools -> Local Security Policy).

Обратите внимание на существование трех шаблонов защиты: Server (Request Security) – требовать безопасное соединение, но позволять использовать небезопасное, если не удается согласовать ассоциацию защиты с другой стороной (при использовании данного шаблона возможен нешифрованный трафик, если клиент не поддерживает шифрование), Client (Respond Only) - использовать безопасное соединение только если того требует сервер (при использовании данного шаблона возможен нешифрованный трафик, если сервер его не требует) и Secure Server (Require Security) – всегда требовать безопасное соединение (при использовании данного шаблона не допускается нешифрованный трафик).

3. Выполните настройку шаблона Secure Server (Require Security). Измените настройки фильтра All IP Traffic (рис. 2).

4. В разделе «Authentication Method» (Методы проверки подлинности) измените метод аутентификации Kerberos на «Use this string to protect the key exchange (preshared Key)» и установите значение строки - ключа аутентификации (Аутентификация Kerberos используется между хостами домена Windows).

5. Примените внесенные изменения и активируйте политику безопасности , выбрав в контекстном меню данного шаблона пункт «Assign» (Одновременно может использоваться только один шаблон безопасности).

6. Аналогично настройте политику безопасности на втором виртуальном компьютер (убедитесь, что ключи аутентификации (текстовая строка) совпадают!!!)

Рис. 2. Окно настройки шаблона «Безопасность сервера»

  1.  Проверка защиты трафика

7. Проверьте командой ping доступности других компьютеров в сети 192.168.200.*. Убедитесь, что при проверке присутствия в сети вашего компьютера, возможны ICMP-пакеты как от соседнего компьютера (на котором также включено шифрование), так и от любого другого.

8. Убедитесь, что в сетевом окружении вам доступен только соседний виртуальный компьютер. При обращении к другим системам появляется ошибка.

9. Отправьте на второй компьютер через сетевой доступ еще один текстовый файл. Убедитесь путем анализа сетевого трафика, что весь IP-трафик идет в зашифрованном виде.

10. Проверьте функционирование IPSec при использовании шаблонов «Клиент (Только ответ)» и «Сервер (Запрос безопасности)».

11. По окончании отключите шифрование трафика (примененную ранее политику безопасности).

Рис. 3. Окно раздела «Методы проверки подлинности»

Рис. 4. Окно ввода ключевой строки

2.3. Настройка фильтрации трафика (сетевого экранирования) с использованием средств IPSec

Предлагается разработать политику для web-сервера, на котором разрешен только трафик через порты TCP/80 и TCP/443 из любой точки сети. Настройка политики безопасности состоит из настройки аутентификации, правил фильтрации и действий, применяемых к защищаемому трафику.

12. Пусть один из виртуальных хостов (например, VPN Server) будет Web-сервером. Проверьте, запущен ли на нем Web-сервер (Internet Information Server). Проверьте доступность web-сервера с другого виртуального хоста. По захваченным пакетам восстановите содержимое титульной web-страницы.

13. В свойствах политик безопасности (Control Panel->Administrative Tools -> Local Security Policy -> IP Security Polices on Local Machine) из контекстного меню выберите «Manage IP filter lists and filter actions” (управление списками IP-фильтра и действиями фильтра). В «Manage Filter Actions» сначала сбросьте флажок «Use Add Wizard” (Использовать мастер), а затем создайте два действия: Allow (Security Method = Permit) и Deny (Security Method = Block) (рис. 5).

14 Создайте список фильтров трафика (в Manage IP Filter Lists) под названием «Any» (любой), имеющий настройки по умолчанию, что соответствует всему трафику (рис. 6).

15. Создайте список фильтров под названием «Web» для web-сервера (рис. 7), содержащий два правила, разрешающих трафик на портах TCP/80 и TCP/443 из любой точки сети:

Правило 1.

Правило 2.

Source address: Any IP Address

Destination address: My IP Address

(Опция Mirrored должна быть включена)

Protocol=TCP

From any port

To this port: 80

Source address: Any IP Address

Destination address: My IP Address

(Опция Mirrored должна быть включена)

Protocol=TCP

From any port

To this port: 443

Рис. 5. Окно создания действий

Рис. 6. Окно создания списка фильтров «Любой»

16. Создайте новую политику под названием «Web access». Для этого из контекстного меню «IP Security Polices on Local Computer» (Политики безопасности IP) выберите «Create IP Security Policy» (Создание политики безопасности IP). Воспользуйтесь мастером. Не активируйте опцию «Activate the default response rule» (Использовать правило по умолчанию).

Рис. 7. Окно создания списка фильтров «Web-доступ»

17. Добавьте в созданную политику одно правило, использующее список фильтров (IP Filter List) «Web» и действие (Filter Action) «Allow».

Добавьте в созданную политику второе правило доступа, использующее список фильтров «Any» и действие «Deny» (рис. 8). Обратите внимание на последовательность правил.

Рис. 8. Окно создания правила доступа

18. Примените политику «Web access» (из контекстного меню политики «Web access» выберите пункт «Assign» (применить), рис. 9).

19. Проверьте политику «Web-доступ», подключившись к 80-ому порту данного Web-сервера с другого узла и просмотрите результат перехвата пакетов этого соединения.

Рис. 9. Окно применения политики

2.4 Шифрование трафика Web-сервера с использованием IPSec

20. В свойствах политики безопасности Web-сервера «Web access» измените правило, разрешающее Web-трафик, установив значение строки аутентификации. Отредактируйте свойства действия «Allow»: установите «Negotiate security», добавьте один или несколько методов безопасности и Отметьте опцию «Accept unsecured communication, but always respond using IPSec».

21. В настройках шаблона «Client (Respond Only)» политик безопасности второго виртуального хоста отредактируйте правило <Dynamic>, установите такое же значение строки аутентификации и активируйте данный профиль.

22. Снова обратитесь к Web-серверу и просмотрите результат перехвата пакетов.


 

А также другие работы, которые могут Вас заинтересовать

52315. Подорож з України до Німеччини 49.5 KB
  Обладнання: політико-географічні карти України та Німеччини зошити і словники з німецької мови ксерокопії шаблонів прапорівдля кожного учня ксерокопії політико – географічних карт України і Європи по 1 на парту різнокольорові олівці магнітофон касети картки з літерами для гри Поле чудес. Організаційний момент 2 Добрий день діти Як ваші справи...
52316. Інтелектуальні ігри на уроці української мови з використанням комп’ютера 1.89 MB
  Мета: закріпити вивчені орфограми фразеологізми односкладні речення; розвивати логічне мислення увагу під час виконання завдань; заохочувати учнів до вивчення української мови використовуючи можливості комп’ютера Обладнання: додатковий матеріал ПК інструкція до проведення тестів на ПК Вчителі: Беседа Людмила Іванівна українська мова ...
52317. Риторика – наука і мистецтво переконувати 67 KB
  Мета: пояснити що є предметом вивчення риторики як науки; окреслити роль і місце риторики в античному світі внесок зроблений у розвиток риторики східними слов’янами з’ясувати причину необхідності поновлення статусу риторики як науки та навчальної дисципліни в сучасній Україні використовуючи сучасне програмне забезпечення в розкритті питань; розвивати мислення комунікативні вміння зокрема робити висновки наводити аргументи та підтвердження тез; увагу пам'ять збагачувати й уточнювати словниковий запас учнів; сприяти духовному...
52318. Самое главное для человека – дружба 110.5 KB
  Ход урока І Организация урока ІІ Мотивація учебной деятельности Учитель зарубежной литературы Сегодня мы проводим необычный урок – бинарный – по изучению двух произведений из зарубежной и украинской литератур посвящённый теме дружбы т. Что вы знаете о литературном портрете Учитель української літератури Пригадайте що таке літературний портрет. Учитель української літератури Про якого героя йде мова Федькохаламидник із однойменного оповідання Володимира Винниченка. Учитель зарубежной литературы А...
52319. Сім’я як соціальна ланка суспільства 86 KB
  Охарактеризувати сімю як соціальну ланку суспільства логічно пов’язати її з предметом основи правових знань. Розкрити ознаки сім’ї в суспільстві активізувати та узагальнити знання учнів про поняття сімя та правові засади сімейних стосунків€. Розвиваюча: Розвивати вміння аналізувати уявляти та робити висновки навички спілкування правильної поведінки в сім’ї.
52320. Цикли з параметром. Площа криволінійної трапеції 49 KB
  Тема уроку з алгебри: Площа криволінійної трапеціїâ€. Освітня мета уроку математики: закріпити вміння і навички знаходження площі криволінійної трапеції через поняття первісної; ознайомити учнів із наближеними методами обчислення площі криволінійної трапеції; підготувати учнів до свідомого сприймання поняття інтегралу. Учитель математики: Що собою являє криволінійна трапеція Як знайти площу криволінійної трапеції Який метод використовується для цього Відповідь на це питання повинна бути проілюстрована малюнком і подана детальна...
52321. Народна казка (українська література), література і фольклор - скарбниця духовних багатств людства (зарубіжна література), виконання ілюстрацій до казки (образотворче мистецтво) 39 KB
  Мета: Розширити знання учнів про казки як вид усної народної творчості; повязати розвиток духовного багатства людства з розвитком фольклору і літератури; удосконалювати навички виразного читання та розуміння прочитаного; розвивати усне мислення; дати поняття про ілюстрацію та працю художників - ілюстраторів дитячої книжки
52322. Розмноження й розвиток рослин 48 KB
  Біологічний диктант вибрати окремо ознаки вітро та комахозапильних рослин Квітки дрібні безбарвні запаху не мають. Квітки великі яскраві. Дрібні квітки зібрані в суцвіття. Квітки розцвітають рано до розпускання листя.
52323. Розвиткове навчання засобами пропонованої технології 161 KB
  Та чи всяка діяльність учня є проявом його розумових зусиль Альтернатива тут така: якщо після виконання якогось завдання учень не прагне вдосконалення чи пізнання нового то він досяг рівня дії; якщо ж стає на шлях пошуку нових способів діяльності в біології – хоча б до самостійного порівняння аналізу тощо тоді це є ознакою пізнавальної діяльності яка є інструментом розвиткового навчання. Засобами розвиткового навчання на уроці за пропонованою технологією є завданнякарточки друковані на папері чи в комп’ютерному вираженні. Вони є...