Содержание

Введение

1 Основы безопасности ВЧС

1.1 Пользовательские процессоры

1.2 Заказные и принудительные туннели

1.2.1 Заказное туннелирование

1.2.2 Принудительное туннелирование

2 ВЧС на основе туннельного протокола PPTP (Point-to-Point Tunneling Protocol)

2.1 Практические аспекты обеспечения безопасности

2.3 Развитие технологии

2.4 Совершенствование аутентификации в протоколе MS-CHAP 2

2.5 Обязательное использование паролей Windows NT

2.5.1 Соблюдение правил выбора пароля

2.5.2 Основы правильного использования паролей

2.6 Повышение стойкости шифрования по протоколу MPPE

3 Криптоанализ туннельного протокола PPTP

3.1 Криптоанализ функций хэширования паролей Windows NT

3.2 Криптоанализ MS-CHAP

3.3 Криптоанализ МРРЕ

3.3.1 Восстановление ключа

3.3.2 Атаки переворота битов

3.3.3 Атака путем ресинхронизации

3.4 Другие атаки на MS-PPTP

3.4.1 Пассивный мониторинг

3.4.2 Перехват переговоров РРР

3.4.3. Потенциальные утечки информации на клиенте

3.5 Выводы

4 Туннелирование по протоколу L2TP

5 Протокол безопасности IP Security Protocol

5.1 Разработка на основе IP Security

5.1.1 Полная поддержка промышленных стандартов

5.1.2 Поддерживаемые стандарты и ссылки

5.2 Туннелирование с применением IPSec

5.3 Пример передачи данных по протоколу IPSec

5.4 Преимущества и недостатки протокола L2TP/IPSec.

6 Сравнение протоколов PPTP и IPSec

7 Протокол EAP

7.1 Обеспечение безопасности на уровне транзакций

7.2 Аутентификация с помощью службы RADIUS

7.3 Учет бюджета ВЧС с помощью службы RADIUS

7.4 Протокол EAP и RADIUS

8 Шифрование

8.1 Симметричное шифрование (с личным ключом)

8.2 Асимметричное шифрование (с открытым ключом)

8.3 Структурное и бесструктурное шифрование

8.4 IPSec и бесструктурное шифрование

9 Фильтрация

9.1 Фильтрация на сервере маршрутизации и удаленного доступа ВЧС

9.2 Фильтрация IPSec

9.3 ВЧС и брандмауэры

10 Выбор средств ВЧС

10.1 Анализ угроз сетевой безопасности

10.2 Безопасность и требования к паролю

10.3 Возможности реализаций VPN на различных версиях Windows.

10.4 Часто задаваемые вопросы при выборе средств VPN

Есть ли различия в обеспечении безопасности удаленного доступа и доступа в ВЧС?

Можно ли сказать, что ВЧС на базе IPSec безопаснее виртуальных сетей на базе PPTP?

Можно ли сказать, что ВЧС на базе L2TP безопаснее виртуальных сетей на базе PPTP?

Можно ли сказать, что межсерверные ВЧС безопаснее клиент-серверных виртуальных сетей?

11 Создание виртуального частного подключения в Windows 2000

11.1 Создание подключения к удаленному серверу

11.2 Создание входящего подключения

12 Создание виртуального частного подключения в Windows NT

12.1 Установка протокола PPTP

12.2 Добавление VPN устройств на PPTP сервер

12.3 Создание записи в телефонной книге для подключения к провайдеру Интернета

12.4 Создание записи в телефонной книге для подключения к PPTP серверу

13 Создание виртуального частного подключения в Windows 9х

13.1 Установка Адаптера виртуальной частной сети Microsoft

13.2 Создание VPN-соединения

14 Использование программы Sniffer Pro для просмотра содержимого пакетов

Заключение

Введение

Операционные системы Microsoft Windows 95, Windows 98, Windows NT и Windows 2000 позволяют организовывать простую, безопасную и высокорентабельную связь, преодолевая тем самым географические и государственные границы на пути развития бизнеса. Одной из важнейших особенностей коммуникационных платформ на базе Windows, несомненно, является поддержка виртуальных частных сетей (ВЧС).

Виртуальные частные сети находят сегодня все более широкое распространение. Этому способствует два обстоятельства: экономичность такого вида связи и одновременно – высокая безопасность инфраструктуры частных сетей. Используя ВЧС, и командированный работник, и служащий филиала может подключиться к корпоративной сети с обычного локального телефона, что намного дешевле выхода на линии междугородной связи или абонирования «бесплатного» номера 800, не говоря уж об аренде выделенных каналов связи. Безопасность же ВЧС достигается за счет организации так называемых туннельных подключений, позволяющих войти в корпоративную сеть только тем пользователям, которые прошли аутентификацию. Средства ВЧС, предлагаемые корпорацией Microsoft, обеспечивают шифрование информации с применением 128-битового ключа. В целом виртуальную частную сеть можно представить как своеобразный туннель, проложенный через Интернет или другую общедоступную сеть. По безопасности и функциональности туннелирование практически ничем не уступает частным сетям. Под туннелированием понимается включение информационного пакета в обычный IP-пакет (так называемое инкапсулирование) и его передача в таком виде по общедоступной сети. Когда инкапсулированный пакет поступает в сеть получателя, например, в корпоративную локальную вычислительную сеть (ЛВС), внешняя IP-оболочка с него снимается, после чего обработка информации производится обычным способом.

ВЧС уже доказали свою высокую эффективность в организации работы с надомными служащими, филиалами и внешними партнерами, благодаря чему превратились в один из ключевых элементов общей корпоративной стратегии информационных технологий.

Корпорация Microsoft была в числе пионеров интеграции средств ВЧС и сейчас продолжает активно работать в этом направлении. Совместно со своими отраслевыми партнерами и Целевой группой технической поддержки Интернета IETF корпорация совершенствует технологии виртуальных частных сетей и средства обеспечения их безопасности. Настоящий документ посвящен вопросам защиты ВЧС, оценке угрозы их безопасности и различным способам ее устранения, которые предлагает Microsoft.

Microsoft разработала широкий спектр средств организации ВЧС, способных удовлетворить самые разные запросы в области защиты информации. Одним из них является протокол PPTP (Point-to-Point Tunneling Protocol – протокол туннелирования между узлами), призванный свести к минимуму общую стоимость владения системой. Корпорация встроила его в свои операционные системы Windows 95, Windows 98 и Windows NT 4.0, а независимые производители сделали этот протокол доступным пользователям Windows 3.1 и Macintosh. Протокол PPTP совместим с широким кругом аппаратных платформ, позволяет производить аутентификацию по паролю и не требует инфраструктуры сертификации.

Чтобы обеспечить еще больший уровень безопасности, корпорация включает в операционную систему Windows 2000 собственную реализацию протоколов L2TP (Layer 2 Tunneling Protocol – протокол туннелирования канального уровня) и IPSec (Internet Protocol Security – протокол безопасности в Интернете). Правда, применение этих средств предъявляет повышенные требования к системам: для них необходимо развертывание PKI (Public Key Infrastructure – инфраструктура с открытыми ключами) и применение центральных процессоров класса Pentium.

1 Основы безопасности ВЧС

Туннель ВЧС служит для транспортировки информации, не отвечающей стандартам адресации Интернета. Чтобы доставить такие данные от одного конца туннеля к другому, программа помещает (инкапсулирует) их в стандартные IP-пакеты, которые затем пересылаются по промежуточным сетевым каналам от одной сети (или одиночного клиента) к другой. Весь процесс инкапсулирования и пересылки пакетов называется туннелированием, а логическое подключение, используемое для их передачи, – туннелем. Таким образом, туннель представляет собой логический канал связи, проложенный через Интернет или любую другую промежуточную сеть. Удаленные пользователи при этом играют роль виртуальных узлов той сети, с которой они соединены туннелем.

Для пользователя не имеет никакого значения характер физической сети, через которую проложен туннель: с его точки зрения, вся информация пересылается как бы по выделенной частной сети.

Рисунок 1 - Концептуальная модель ВЧС

Инкапсулирование, как и шифрование потоков данных, жизненно необходимы для передачи информации через Интернет. Функции инкапсулирования, выполняемые с помощью протоколов PPTP и L2TP, упрощают организацию многопротокольной связи, так как позволяют пересылать по IP-сетям пакеты данных, созданные на основе других протоколов. Благодаря этому удаленный клиент может применять для подключения к корпоративной ЛВС любой протокол и при этом пользоваться всеми преимуществами Интернета.

1.1 Пользовательские процессоры

Средства организации ВЧС, разработанные Microsoft, позволяют подключать к серверам на базе Windows NT так называемые пользовательские процессоры (front-end processor, ПП), управляющие доступом клиентов в сеть данного сервера. Применение таких посредников дает возможность устанавливать туннельные подключения даже тем клиентам, которые не оснащены средствами ВЧС. Пользователь может и не знать, подключился он к серверу напрямую, или через ПП, создавший для него туннель. Благодаря этому в ВЧС Microsoft обеспечивается «прозрачный» доступ к клиентам РРР, позволяющий им работать в средах Unix, Win 16, MS-DOS®, а также взаимодействовать с клиентами Macintosh и другими.

Пользовательский процессор не имеет доступа к данным, циркулирующим между клиентом и сервером, поэтому его вполне можно разместить на узле поставщика услуг Интернета. Здесь ПП будет выполнять роль бесстрастного регулировщика, которого нисколько не касается содержимое проходящей через него информации. С точки зрения безопасности это означает, что компания сохраняет полный контроль за доступом в сеть, да и безопасность ее данных нисколько не страдает. Такая схема очень удобна для тех компаний, которые готовы передать управление удаленным доступом по коммутируемым каналам в руки сторонних поставщиков услуг, но при этом хотят обеспечить полную безопасность своей информации.

Для надежной защиты данных необходимо ограничивать доступ к серверу, а не к пользовательскому процессору. С этой целью проверка аутентификации всех пользователей, которые пытаются подключиться к серверу, производится на самом сервере. Функции ПП ограничиваются проверкой идентификатора пользователя и созданием туннеля к серверу. Как мы видим, этот посредник и здесь играет пассивную роль, ничуть не снижая безопасности соединения.

1.2 Заказные и принудительные туннели

Существует два типа туннелей ВЧС – заказные (voluntary) и принудительные (compulsory). Для создания заказного туннеля необходимо, чтобы клиент был оснащен средствами создания ВЧС, тогда как принудительный туннель организуется при посредничестве пользовательского процессора.

1.2.1 Заказное туннелирование

Заказные туннели создаются самой рабочей станцией, которая организует ВЧС с удаленной сетью. Чтобы создать их, клиенту нужны собственные средств ВЧС, то есть, он должен поддерживать протокол PPTP или L2TP, а также иметь вспомогательное программное обеспечение (сервер туннелирования обеспечивает поддержку всех таких компонентов по умолчанию). При этом клиент и сервер должны применять один и тот же протокол туннелирования.

Заказной туннель может прокладываться по уже имеющемуся у клиента сетевому подключению между его рабочей станцией и выбранным сервером туннелирования. Однако чаще рабочей станции приходится сначала связываться по коммутируемому каналу с транспортной сетью – лишь после этого клиент может приступать к организации туннеля.

1.2.2 Принудительное туннелирование

Если нужно проложить туннель через Интернет, но клиент не оснащен средствами ВЧС, он может подключиться к пользовательскому процессору поставщика услуг. Благодаря этому создается так называемый принудительный туннель, для которого клиенту не нужна ни поддержка протоколов PPTP и L2TP, ни вспомогательное ПО. Все это имеется на пользовательском процессоре. Как и при заказном туннелировании, здесь действует условие: ПП и сервер туннелирования должны применять в каждом индивидуальном подключении один и тот же протокол ВЧС (PPTP или L2TP).

Обычно пользователю клиентского компьютера сообщается специальный телефонный номер, открывающий ему доступ к пользовательскому процессору. К примеру, корпорация, владеющая частной сетью, может заключить с поставщиком услуг Интернета соглашение о развертывании ПП на территории определенного района или даже всей страны. Каждый из пользовательских процессоров способен прокладывать ВЧС через Интернет и связываться по нему с сервером туннелирования, установленным в частной сети корпорации. Подобная схема получила название принудительного туннелирования, поскольку здесь клиент просто не может отказаться от использования ВЧС. Как только подключение установлено, все сообщения с клиентского ПК автоматически направляются через туннель.

2 ВЧС на основе туннельного протокола PPTP (Point-to-Point Tunneling Protocol)

Протокол PPTP представляет собой открытый отраслевой стандарт. Создание этого протокола стало результатом объединенных усилий целого ряда известных производителей сетевых компонентов, включая Ascend Communications, 3Com/Primary Access, ECI Telematics, US Robotics и Microsoft. Эти компании основали Форум PPTP, результаты работы которого стали широко известны в 1996 году, когда на рассмотрение Группы целевой технической поддержки Интернета (IETF) был передан проект новой спецификации.

РРТР - протокол, который позволяет выполнять туннелирование РРР-соединений по IP-сети путем создания VPN. Таким образом, удаленный компьютер в сети Х может туннелировать трафик на шлюз в сети У и имитировать подключение, с внутренним IP-адресом, к сети У. Шлюз получает трафик для внутреннего IP-адреса и передает его удаленной машине в сети Х. Существуют два основных способа использования РРТР: по Интернет и по коммутируемым соединениям.

Функционирование РРТР заключается в инкапсулировании пакетов виртуальной сети в пакеты РРР, которые в свою очередь, инкапсулируются в пакеты GRE (Generic Routing Incapsulation), передаваемые по IP от клиента к шлюзу - серверу РРР и обратно. Совместно с каналом инкапсулированных данных существует управляющий сеанс на базе TCP. Пакеты управляющего сеанса позволяют запросить статус и сопровождать сигнальную информацию между клиентом и сервером. Канал управления инициируется клиентом на сервере на ТСР-порте 1723. В большинстве случаев это двунаправленный канал, по которому сервер посылает запросы на сервер и наоборот.