Пояснительная записка (1209853), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Плюсы:

• клиент PPTP встроен почти во все операционные системы;

• очень простой в настройке;

• работает быстро.

Минусы:

• небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется).

2.1.2 L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

L2TP/IPsec встроен во все современные операционные системы и VPN- совместимые устройства и также легко может быть настроен, как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован фаерволом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.

Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.

Плюсы:

• очень безопасен;

• легко настраивается;

• доступен в современных операционных системах.

Минусы:

• работает медленнее, чем OpenVPN;

• может потребоваться дополнительная настройка роутера.
  
  

2.1.3 OpenVPN

OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN – решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.

Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.

OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.

С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования пред настроенных VPN-клиентов.

Плюсы:

• гибко настраивается;

• очень безопасный;

• может работать сквозь фаерволлы;

• может использовать широкий спектр алгоритмов шифрования;

• бесплатный.

Минусы:

• необходимо стороннее программное обеспечение;

• может быть неудобен в настройке;

• ограниченная поддержка портативными устройствами.

2.1.4 SSTP

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN

Плюсы:

• очень безопасный;

• полностью интегрирован в Windows (начиная с Windows Vista SP1);

• имеет поддержку Microsoft;

• может работать сквозь фаерволлы.

Минусы:

• работает только в Windows-среде.

2.2 Анализ технологии VPN

PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.

L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.

OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.

SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.

Так как данные, которые нужно защищать при передаче по удалённому доступу, не являются Государственной тайной и ПДн, а относятся к коммерческой тайне, то в данной ИС может использоваться не сертифицированные средства защиты. Следовательно, для настройки VPN канала лучше подойдёт OpenVPN, который является наилучшим решением, и распространяется бесплатно, что является большим плюсом для компании, дальше следует ознакомиться с компонентами OpenVPN и его возможными реализациями.

2.3 Компоненты технологии OpenVPN

Удостоверяющий центр CA

Выдает сертификаты по запросу узлов сети VPN, подписанные сертификатом удостоверяющего центра. Предоставляет узлам сети VPN свой собственный сертификат для проверки удостоверяющей стороны. Управляет списком отзыва сертификатов CRL.

Сервер OpenVPN

ПО сервера OpenVPN создает туннель внутри незащищенной сети, например, Интернета. Этот туннель обеспечивает безопасный зашифрованный трафик между узлами – участниками обмена данными в сети OpenVPN.

Клиент OpenVPN

ПО клиента OpenVPN устанавливается на все узлы, которым необходим защищенный канал передачи данный с сервером OpenVPN. При соответствующей настройке сервера OpenVPN возможна защищенная передача данных между клиентами OpenVPN, а не только между клиентами и сервером OpenVPN.

Сертификаты (публичные ключи) X.509

Сертификаты X.509 представляют собой публичные ключи, заверенные удостоверяющим центром CA. Они используются для зашифровывания данных. Факт заверения сертификата удостоверяющим центром CA позволяет идентифицировать сторону, передающую зашифрованные данные. Файл запроса на сертификат создается на узлах сети, затем он переносится на узел удостоверяющего центра и там подписывается. Созданный в результате подписанный сертификат переносится обратно на запросивший его узел сети OpenVPN.

Приватные ключи

Приватные ключи секретные. Они должны создаваться и храниться на каждом узле сети OpenVPN, предназначены для дешифрования данных и никогда не должны передаваться по сети. Приватные ключи создаются на узлах сети OpenVPN одновременно с файлом запроса на получение сертификата.

Список отзыва сертификатов CRL

Содержит список сертификатов, утративших доверие. Он создается и редактируется на узле удостоверяющего центра CA. Чтобы отключить узел от сети, достаточно занести его сертификат в список CRL. После создания и каждого изменения список CRL переносится на серверы OpenVPN.

Файл параметров алгоритма Диффи-Хелмана

Используется, чтобы в случае похищения ключей исключить дешифрование трафика, записанного еще до этого похищения. Создается на сервере OpenVPN.

Статический ключ HMAC

Служит для проверки подлинности передаваемой информации. Обеспечивает защиту от DoS-атак и флуда. Создается на сервере OpenVPN.

Сетевые интерфейсы TUN/TAP

Когда клиент подключается к удаленной сети через VPN типа «мост», ему присваивается IP-адрес, являющийся частью удаленной физической подсети Ethernet, и после этого он может взаимодействовать с другими машинами удаленной сети, как будто они соединены локально. Настройки VPN типа «мост» требуют специального инструмента, зависящего от операционной системы, чтобы связать адаптер подсети Ethernet с виртуальным устройством стиля TAP.

Когда клиент подключается через маршрутизированную VPN, он использует собственную отдельную подсеть, и маршруты устанавливаются и на клиентской машине и на удаленном сегменте, чтобы пакеты данных беспрепятственно проходили через VPN. Здесь клиент - необязательно одна машина, это может быть подсеть из нескольких машин.

2.4 Анализ реализаций OpenVPN

OpenVPN кроссплатформенное, гибкое и удобное решение для организации VPN. Эту технологию поддерживают как операционные системы, так и роутеры. Операционные системы поддерживающе Open VPN:

• Windows;

• Mac;

• Linux (все семейство Unix систем);

• Android;

• IOS.

Роутеры следующих производителей имеют поддержку OpenVPN:

• TP-Link;

• D-Link;

• ASUS;

• Mikrotik;

• ZyXel;

• Cisco.

Клиенты служат только для соединения с сервером OpenVPN, поэтому настройка клиентов OpenVPN отличается только синтаксически, или графическим интерфейсом. Функционал серверов OpenVPN очень сильно отличается от реализации.

Далее приводится анализ преимуществ и недостатков распространённых реализаций и определение наиболее подходящих реализаций OpenVPN сервера в рамках квалификационной работы.

2.4.1 Windows Server 2012 R2

Microsoft Windows – семейство проприетарных операционных систем корпорации Microsoft, ориентированных на применение графического интерфейса при управлении. Windows Server 2012 R2, так же как и Unix подобные системы, чаще всего используют как OpenVPN сервер. Однако на Windows Server тоже отсутствует графическая оболочка для настройки OpenVPN сервера. Графическая оболочка OpenVPN работает только для настройки клиента. Преимущества данного подхода:

• возможность интеграции Active Directory, чего нет у Unix подобных систем;

• более простая работа с передачей сертификатов и ключей по USB-носителю;

• возможность редактировать конфигурационные файлы через блокнот;

• можно настроить графическую оболочку для создания OpenVPN сервера.

Недостатки:

• более сложная настройка, чем Unix-подобных систем, требуется запуск дополнительных служб;

• необходимо устанавливать виртуальный интерфейс TAP-Win32, если требуется настроить VPN как мост;

• сложность с использованием скриптов для дополнительных возможностей OpenVPN;

• дорогие лицензии Windows Server.

2.4.2 Unix подобные ОС

Unix подобные ОС являются самыми распространёнными при построении OpenVPN. Unix подобные ОС распространяются бесплатно и имеют очень гибкую настройку. Чаще всего используют как сервер OPenVPN. Преимущества данной реализации:

• не требует производительной аппаратной части;

• гибкие настройки сервера OpenVPN;

• работает как по TCP так и по UDP;

• возможность использования библиотек для сжатия потока данных;

• возможность использовать скрипты, что позволяет расширить функционал OpenVPN под нужды компании.

• возможность разграничивать доступ пользователей

Недостатки:

• сложность настройки, требуются знания работы с Unix подобными ОС;

• разграничить доступ к информационным ресурсам можно только клиентам Unix подобных систем;

• отсутствие графического интерфейса;

• отсутствие контроля учётных записей Windows;

• для стабильной работы необходимо выделить отдельный физический сервер для OpenVPN.

2.4.3 D-Link

D-Link – мировой производитель сетевого и телекоммуникационного оборудования. OpenVPN сервер на маршрутизаторах D-Link может быть реализован только на серии DSR. Домашние маршрутизаторы не имеют поддержки OpenVPN. Преимущества реализации OpenVPN маршрутизаторе D-Link:

• простота настройки;

• имеется графический интерфейс;

• может работать как по TCP, так и по UDP протоколу;

• имеется консоль Linux, что позволяет расширить функционал настройки;

• возможность смены прошивки;

• низкий ценовой сегмент.

Недостатки:

• отсутствие возможности писать скрипты на заводской прошивке;

• малая функциональность и производительность позволяет использовать данный поход только в малых офисах;

• низкая надёжность оборудования.

2.4.4 Mikrotik

Компания Mikrotik разрабатывает и продает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение – операционные системы и вспомогательное ПО.

Преимущества и недостатки развёртывания OpenVpn сервера на базе маршрутизатора Mikrotik:

Преимущества:

• возможность настроить клиента для подключения по безопасному каналу практически с любого устройства;

• относительная простота настройки, если сравнивать настройку с ОС;

• хорошая функциональность оборудования сопоставима с такими производителями как Cisco, Juniper;

• единая ОС и система конфигурации;

• ценовой сегмент ниже среднего.

Недостатки:

• отсутствует возможность выдавать IP-адреса по DHCP клиентам OpenVPN, адреса может выдавать только сам Mikrotik;

• не поддерживается сжатие заголовков;

• работает только по TCP-протоколу, в то время как для OpenVPN предпочтительнее – протокол UDP;

• проблемы с передачей IP-телефонии.

Из приведённых популярных реализаций OpenVPN сервера можно сделать вывод, что для небольших компаний, которым не требуется высокая степень защиты, могут применить OpenVPN на базе маршрутизаторов представленных производителей. Это даёт им возможность быстро развернуть VPN технологию, и защитить свои данные при передаче данных по сетям общего пользования. Наиболее универсальный и гибкий вариант получим при использовании оборудования Mikrotik. Mikrotik имеет хороший функционал и производительность. Есть поддержка скриптов, что позволит подстроить OpenVPN сервер под нужды компании.

Если смотреть более крупные компании, которым необходим более высокая степень защиты, то предпочтительнее будет использование OpenVPN сервера на базе Unix подобных систем или семейства Windows. Реализация OpenVPN сервера на Windows Server даёт хорошую возможность разграничить права доступа с помощью службы Active Directory, что даёт большое преимущество над другими реализациями. При этом есть и ряд недостатков, например сложность с использованием скриптов. В место этого можно использовать готовые решения сторонних разработчиков, что не безопасно. Unix системы являются самыми универсальными, на них OpenVPN можно настроить под любые нужды и задачи и обеспечить самую высокую степень защиты. Все что нельзя сделать штатными средствами OpenVPN, можно расшить с помощью различных скриптов. Ещё одним отличием является то, что эта реализация абсолютно бесплатна, главное наличие физического сервера для разрешения OpenVPN.

Характеристики

Список файлов ВКР