Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 4
Текст из файла (страница 4)
БауманаКафедра ИУ-615Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Рисунок 12Инкапсуляция L2TPИзначальные полезные данные РРР инкапсулируются с использованием РРР- иL2TP-заголовков.Инкапсуляция UDPПакет, инкапсулированный L2TP, инкапсулируется в сообщение с UDP-заголовком,а порты отправителя и получателя устанавливаются как 1701.Инкапсуляция IPSecUDP-сообщение зашифровывается на основе политики IP-безопасности иинкапсулируется в пакет с заголовком и концевой частью ESP (Encapsulating SecurityPayload); кроме того, добавляется концевая часть ESP Authentication, необходимаядля аутентификации по IPSec-протоколу ESP.Инкапсуляция IPIPSec-пакет инкапсулируется в IP-дейтаграмму с IP-заголовком, который содержитIP-адреса отправителя и получателя, соответствующие VPN-клиенту и серверу.Инкапсуляция канального уровняДля передачи по локальной сети или WAN-каналу созданная на предыдущем этапеIP-дейтаграмма инкапсулируется в пакет с заголовком и концевой частьюканального уровня, применяемого на данном физическом интерфейсе.
Например, припередаче через Ethernet-интерфейс IP-дейтаграмма инкапсулируется в пакет с Ethernetзаголовком и концевой частью, а при передаче по WAN-каналу типа «точка-точка»(аналоговой телефонной линии или ISDN) — в пакет с РРР-заголовком и концевойчастью.1.2.3.4.5.6.7.Обработка данных, туннелированных L2TP поверх IPSecПолучив данные, туннелированные средствами L2TP поверх IPSec, L2TP-клиентили сервер выполняет следующие операции:Обрабатывает и удаляет заголовок и концевую часть канального уровня;Обрабатывает и удаляет IP-заголовок;Используя концевую часть ESP Authentication, проверяет подлинность полезныхданных IP и ESP-заголовка;Используя ESP-заголовок, расшифровывает зашифрованную часть пакета;Обрабатывает UDP-заголовок и передает L2TP-пакет протоколу L2TP;L2TP считывает содержимое полей идентификатора туннеля и идентификатора вызовав L2TP-заголовке, чтобы определить конкретный L2TP-туннель;Идентифицирует по РРР-заголовку полезные данные РРР и передает их драйверусоответствующего протокола для обработки.МГТУ им.
БауманаКафедра ИУ-616Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Пакеты L2TP поверх IPSec и сетевая архитектура Windows 2008Рисунок 13 иллюстрирует путь, который проходят туннелированные данные (отVPN-клиента по VPN-соединению удаленного доступа, установленному с помощьюаналогового модема) через компоненты сетевой архитектуры Windows 2008.1. IP- или IPX-дейтаграмма либо NetBEUI-кадр передается соответствующимпротоколом через NDIS на виртуальный интерфейс, представляющий VPNсоединение;2. NDIS передает пакет NDISWAN, который декомпрессирует данные (принеобходимости) и предоставляет РРР-заголовок, включающий только полеидентификатора РРР-протокола.
Поля флагов и FCS не добавляются;3. NDISWAN передает РРР-кадр драйверу протокола L2TP, который инкапсулирует этоткадр в пакет с L2TP-заголовком. В поля идентификаторов туннеля и вызова в L2TPзаголовке записываются значения, идентифицирующие туннель и вызов;4. Полученный пакет драйвер протокола L2TP передает драйверу протоколов TCP/IP иуведомляет его о том, что данный L2TP-пакет следует отправить как UDP-сообщение сUDP-порта 1701 клиента в UDP-порт 1701 сервера (при этом указываются IP-адресаклиента и сервера);5. Драйвер протоколов TCP/IP формирует IP-пакет, добавляя необходимые IP- и UDPзаголовки. Далее этот IP-пакет анализируется IPSec и приводится в соответствие стекущей политикой IP-безопасности.
В зависимости от параметров политики IPSecшифрует UDP-часть IP-пакета и добавляет требуемые заголовок и концевые частиESP. Перед началом ESP-пакета добавляется исходный IP-заголовок со значением вполе протокола, равным 50. Затем драйвер протоколов TCP/IP передает полученныйпакет через NDIS интерфейсу, представляющему соединение удаленного доступа сместным ISP;6. NDIS передает пакет NDISWAN, который добавляет РРР-заголовок и концевую часть;7. NDISWAN передает полученный РРР-кадр минипорт-драйверу WAN,представляющему аппаратные средства удаленного доступа.Рисунок 13МожносогласоватьиспользованиешифруемогоРРР-соединенияпокоммутируемому соединению с ISP.
Но следует помнить, что туннелированные данныеуже зашифрованы.МГТУ им. БауманаКафедра ИУ-617Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Защита виртуальных частных сетейЗащита — важный элемент VPN. Далее описываютсяподдерживаемые РРТР и L2TP поверх IPSec для VPN-соединений.средствазащиты,РРТР обеспечивает: аутентификацию пользователей; шифрование данных.«L2TP поверх IPSec» обеспечивает:аутентификацию пользователей;взаимную аутентификацию компьютеров;шифрование данных;аутентификацию данных и проверку их целостности.РРТРсоединенияСоединения L2TP поверх IPSecПользователь,запрашивающийАРРТР-соединение,у аутентифицируется пот одномуизРРРе протоколовн аутентификации: ЕАР,CHAP,т MS-CHAP,SPAP или PAP.
Дляи РРТР-соединенийф настоятельнои рекомендуетсяEAPк использоватьTLSвсочетаниисоасмарт-картами либоц MS-CHAPv2,и посколькуония поддерживаютвзаимнуюаутентификациюиявляютсясамымибезопаснымиметодамиобменаудостоверениями.Аутентификация VPN-клиента осуществляется на двух уровнях: сначалапроверяется подлинность компьютера, затем - пользователяIPSec аутентификация компьютеровВзаимная аутентификация выполняется путем обмена машиннымисертификатами при создании IPSec-протоколом ESP сопоставлениябезопасности (security association, SA).
IPSec SA устанавливается на второмэтапе процесса IPSec-согласования; к этому времени стороны также выбираюталгоритмы шифрования и хэширования и договариваются о шифровальныхключах. Для использования L2TP поверх IIPSec у VPN-клиента и серверадолжны быть машинные сертификаты. Получать их можно автоматически (вGroup Policy галка автоматический запрос сертификатов) или, или вручную через оснастку Certificates (Сертификаты).L2TP-аутентификация на уровне пользователейПользователь, запрашивающий L2TP -соединение, аутентифицируетсяпо одному из РРР-протоколов аутентификации: ЕАР, MS-CHAP, CHAP, SPAPили PAP. Поскольку процесс установления РРР-соединения защищаетсясредствами шифрования IPSec, можно использовать любой метод РРРаутентификации.
Взаимная аутентификация на уровне пользователей возможнатолько при выборе MS-CHAPv2 или EAP-TLS.Аутентификация L2TP -туннеляВ процессе установления L2TP-туннеля протокол L2TP позволяетаутентифицировать конечные точки этого туннеля. По умолчанию Windows2008 ее не выполняет.Аутентификация и проверка целостности данных реализуется одним изследующих алгоритмов:• НМАС (Hash Message Authentication Code) MD5 (Message Digest 5) генерирует 128-битный хэш аутентифицированных полезных данных;• НМАС SHA (Secure Hash Algorithm) - генерирует 160-битный хэшаутентифицированных полезных данных.РРТР-соединениеРРТР поддерживает шифрование методом МРРЕ,которыйоснован на алгоритме RSA (Rivest-ShamirШAdleman) RC4.
МРРЕ доступен только приМГТУ им. БауманаСоединения L2TP поверх IPSecМетод шифрования выбирается приустановлении IPSec SA. Доступные методыКафедра ИУ-618Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNифрованиев сетевой среде Windows Server 2008/2003» Rev. 2010использовании EAP-TLS или MS-CHAP (версии 1 илишифрования включают:2). МРРЕ оперирует с 40-, 56- или 128-битными• DES с 56-битным ключом;шифровальными ключами. По умолчанию VPN-клиенти сервер договариваются о применении самого• 3DES (Triple DES),стойкого ключа из числа поддерживаемых. Если VPNКаждый IPSec-пакет зашифровываетсясервертребуетболеестойкогоключа,ненезависимо от других IP Sec-пакетов.поддерживаемого VPN-клиентом, запрос на соединениеотклоняется.
МРРЕ для VPN-соединении используетИсходныешифровальныеключиотдельный шифровальный ключ для каждого пакета. В генерируютсявпроцессеIPSeccвключаетсяномер аутентификации.МРРЕ-заголовокПрисоединенияхспоследовательности. Шифровальные ключи меняются в шифрованием по методу DES новыесоответствии с этим номером последовательности.шифровальные ключи генерируются черезкаждые 5 мин/250 Мб, а по методу 3DES —каждый 1час/2 Гб переданной информации.Для соединений, защищаемых АН, новыехэш-ключи генерируются каждый 1час/2 Гб.VPN-сервер на основе РРТР обычно снабжендвумяфизическими интерфейсами: один подключен кФобщедоступной сети (например, к Интернету), другойи — к частной интрасети.
Кроме того, у него имеетсял виртуальный интерфейс, соединяющий его со всемиь VPN-клиентами. Чтобы VPN-сервер мог пересылатьт трафик между VPN-клиентами, на всех его интерфейсахр нужно включить поддержку IР-пересылки. Однаковключение поддержки пересылки между двумяа физическими интерфейсами приводит к тому, что VPNц серверперенаправляетвесьIP-трафикизи общедоступной сети в интрасеть. Для защитыя интрасети от постороннего трафика Вы должнып настроить фильтрацию пакетов в РРТР так, чтобы VPNсервер передавал данные только между VPN-клиентамиа и интрасетью и блокировал обмен пакетами междук интрасетью и потенциально опасными пользователямие общедоступной сети.
Фильтрацию пакетов средствамит РРТР можно настроить либо на VPN-сервере, либо нао промежуточном брандмауэре.Как и в случае VPN-соединений наосновеРРТР,включениеподдержкипересылкимеждуинтерфейсамиобщедоступной сети и интрасети приводит ктому, что VPN-сервер перенаправляет весь IPтрафик из общедоступной сети в интрасеть.Для защиты интрасети от постороннеготрафика Вы должны настроить фильтрациюпакетов средствами L2TP поверх IPSec так,чтобы VPN-сервер передавал данные толькомежду VPN-клиентами и интрасетью иблокировалобменпакетамимеждуинтрасетью и потенциально опаснымипользователямиобщедоступнойсети.Фильтрацию пакетов средствами L2TP поверхIPSec можно настроить либо на VPN-сервере,либо на промежуточном брандмауэре.вМГТУ им.
БауманаКафедра ИУ-619Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Адресация и маршрутизация при использованиивиртуальных частных сетейVPN-соединение образует виртуальный интерфейс, которому нужно назначитьсоответствующий IP-адрес; кроме того, следует изменить или добавить маршруты, чтобытребуемый трафик передавался по защищенному VPN-соединению, а не по транзитноймежсетевой среде.VPN-соединения удаленного доступаПри VPN-соединении удаленного доступа компьютер подключается к VPN-серверу.В процессе установления соединения VPN-сервер назначает VPN-клиенту IP-адрес иизменяет маршрут по умолчанию на удаленном клиенте, чтобы соответствующий трафикпередавался по виртуальному интерфейсу.VPN-клиент удаленного доступа перед созданием VPN-соединения с VPN-серверомсначала подключается к Интернету и из-за этого получает два IP-адреса: при установлении РРР-соединения NAS-сервер ISP присваивает клиенту общий IPадрес (в IPCP-процессе согласования); при создании VPN-соединения VPN-сервер (в IРСР-процессе согласования) назначаетклиенту IP-адрес из диапазона адресов своей интрасети.
Этот IР-адрес может бытьобщим (видимым в Интернете) или частным (невидимым в Интернете) в зависимостиот того, какие адреса используются в данной интрасети — общие или частные.В любом случае IP-адрес, выделенный VPN-клиенту, должен быть достижим дляхостов в интрасети и наоборот. В таблице маршрутизации на VPN-сервере должны бытьзаписи, позволяющие связаться с любыми хостами в интрасети, а в аналогичных таблицахна маршрутизаторах — записи, необходимые для взаимодействия с VPN-клиентами.В IP-заголовке туннелированных данных, посылаемых через VPN, указываютсяадрес, выделенный клиенту VPN-сервером, и адрес интрасети, а во внешнем IP-заголовке— IP-адрес, выделенный клиенту провайдером, и общий адрес VPN-сервера.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
