ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

Государственное учреждение высшего  профессионального  образования

Северо-западный государственный  заочный технический  университет

информационных  систем и вычислительной техники

Кафедра Вычислительных машин, комплексов, систем и сетей 
 
 
 

КОНТРОЛЬНАЯ РАБОТА

По  дисциплине

Информационные  сети

Исследование  методов(программ) организации  безопасного удалённого доступа к корпоративным  ресурсам. 
 
 

Студент:  Неустроев А.П.

  ШИФР: 9405031025

Группа: 230202.65

Проверил:

Гвоздков  И.В.

 

Оглавление

Введение 3

VPN 5

Виртуальная частная сеть VPN(Virtual private network) 5

Безопасность 5

Стоимость 5

PPTP 6

Преимущества протокола PPTP: 7

L2TP 7

Преимущества протокола L2TP: 8

IPSec 9

SSL VPN 12

Способы организации безопасного удалённого доступа 13

Обзор аппаратных роутеров для удалённого доступа 13

D-link DI-804HV 13

D-link DFL-210 13

Приложение 13

Пример настройки сервера удалённого доступа RAS 13

Заключение 19

Литература 19

 

Введение

     В данной работе я рассмотрю методы организации безопасного удалённого доступа к корпоративным ресурсам организации.

     Данная  тема весьма актуальна в коммерческих организациях, особенно в тех, где  есть категория сотрудников,  часто  выезжающих в командировки. Одна из распространённых задач сетевых  администраторов обеспечить таким  сотрудникам минимально  необходимый доступ к локальным ресурсам, информационной базе организации.Будь сотрудник торговый представитель, региональный менеджер или коммерческий директор.

     Безопасный  удалённый доступ также весьма важен  для самих сетевых администраторов. В российских реалиях, когда на большую  организацию  часто может приходиться один сотрудник IT отдела, удалённый доступ является существенным  помощником. На своём опыте убедился, что до 90% проблем можно решить, не выезжая в офис.

     Часто, чтобы снизить свои расходы организация  пользуется услугами заштатных сотрудников или outsource компаний. Ведение бухгалтерии, программирование 1С, администрирование сети – вот некоторые задачи, которые всё чаще можно выполнять удалённо.

     Удалённый доступ, несомненно, удобен для сотрудников, руководства компании, сетевых администраторов, однако сопряжён с некоторыми рисками. Их бы я классифицировал, как:

• Внешние (взлом системы, подбор пароля)
• Внутренние (недовольные/обиженные сотрудники, потеря ноутбуков  и т.д.)

     Внешние риски минимизируются:

     - Установкой сертифицированного RAS(Remote Access Server) сервера со стойкими к подбору алгоритмами шифрования,

     - Фильтрацией по IP,  физическому адресу(MAC), а также рядом других технологий, таких как электронные или биометрические ключи.

     - На стороне сервера  использование настроенного брандмауэра(firewall)

     -  На стороне клиента антивирусного  пакета с актуальными сигнатурами

     Внутренние риски минимизируются:

     - Политикой запрещено всё, что  не разрешено. Т.е минимально  необходимый набор прав для  пользователя;

     - Разъяснением рисков руководству.  Составление списков сотрудников с правами удалённого доступа; заблаговременное оповещение сетевого администратора о кадровых перестановках.

     Данные  решения не являются “панацеей”, однако значительно снизят риск несанкционированного доступа к информационным ресурсам компании.

       

VPN

Виртуальная частная сеть VPN(Virtual private network)

 

     Раньше  для осуществления безопасной передачи данных возникала необходимость  в выделенной линии, связывающей  два пункта.

       Расходы на организацию таких  линий довольно велики. Виртуальная частная сеть дает пользователям безопасный способ доступа к ресурсам корпоративной сети через Интернет или другие общественные или частные сети без необходимости выделения линии.

     Безопасная  частная виртуальная сеть представляет собой совокупность технологий/служб  туннелирования, аутентификации, управления доступом и контроля, используемых для защиты данных и передачи трафика через Интернет.

     Существует  много причин для использования  виртуальных частных сетей. Наиболее типичны следующие из них:

Безопасность

 

 (защита данных). С помощью аутентификации получатель сообщения, являющийся пользователем виртуальной частной сети, может отслеживать источник полученных пакетов и обеспечить целостность данных. С средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

Стоимость

     Cнижение количества линий доступа и уменьшение расходов на междугороднюю телефонную связь). Организация виртуальной частной сети позволяет компании передавать данные через линии доступа к Интернету, таким образом уменьшая необходимость в некоторых из существующих линий.

       При организации виртуальной  частной сети снижаются расходы  на междугороднюю телефонную  связь, поскольку пользователь  обычно получает услуги от  местного Интернет-провайдера, а  не совершает междугородний звонок  для установления прямой связи  с компанией.

     Известно, что сети, использующие протокол IP, имеют "слабое место", обусловленное  самой структурой протокола IP. Разработчики IP не намеревались обеспечивать каких-либо функций безопасности на уровне IP, а  гибкость IP позволяет хитроумно  использовать особенности данного  протокола в целях преодоления  контроля за трафиком, управления доступом и других мер безопасности. Поэтому  данные в сети, использующей протокол IP, могут быть легко подделаны  или перехвачены.  
При туннелировании для передачи по сети протокольных пакетов сети одного типа они вставляются или инкапсулируются в протокольные пакеты другой сети. Это обеспечивает безопасность при передаче данных.

Протоколы для построения VPN-туннеля:

• PPTP
• L2TP
• IPSec
• SSL

PPTP

     PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет).

     PPTP обеспечивает безопасную передачу данных от удаленного клиента к отдельному серверу предприятия путем создания в сети TCP/IP частной виртуальной сети. PPTP может также использоваться для организации тунеля между двумя локальными сетями. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением.

     Для защиты данных PPTP-траффика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2 и EAP-TLS.

     Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут  быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня (TCP/IP, NetBEUI и IPX).

Преимущества  протокола PPTP:

• Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов. 
• Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX. 
• Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа. 
• Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.

 
L2TP

L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.

     Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и  ликвидации туннелей и вызовов. Для  обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.

     Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному  каналу данных, предварительно дополняясь заголовком L2TP, а затем - по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному кправляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.

     Все управляющие сообщения должны содержать  порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов. 

Преимущества  протокола L2TP: