Министерство образования и науки РФ Государственное образовательное учреждение высшего профессионального образования НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ им. Р.Е.АЛЕКСЕЕВА Кафедра "Вычислительные системы и технологии" Отчет по практике №5 по дисциплине: «Программное обеспечение вычислительных сетей» «Виртуальная частная сеть» Выполнил: студент группы 10-В-2 Кульнев А.А. Принял: Кочешков А.А. Нижний Новгород 2013 Цель работы: Изучить средства реализации VPN на базе Windows Server, протоколы аутентификации и шифрования, политики удаленного доступа. Выполнить настройку VPN-сервера и VPN-клиентов, реализовать подключение под управлением политики удаленного доступа. Выполнение: 1. Установить службу «Маршрутизация и удаленный доступ». Выполнить настройку свойств сервера VPN. VPN расшифровывается как Virtual Private Network – “виртуальная частная сеть”. Суть этой технологии заключается в том, что при подключении к VPN серверу поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, который обеспечивает высокую защиту передаваемой по этому каналу информации за счёт специальных алгоритмов шифрования. Другими словами VPN - это объединенные локальные сети или отдельные машины, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации. Технология VPN сейчас чаще всего используется не только для создания частных сетей, но и многими провайдерами для предоставления выхода в Интернет. При правильной реализации и использовании специального ПО сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При грамотной настройке всей технологии, VPN обеспечивает анонимность в Сети. VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации. Итак, сначала нужно установить службу «Маршрутизация и удаленный доступ». Ее мы будем устанавливать на контроллере домена. Она будет выполнять роль VPN-сервера. Регистрируемся в системе под доменной учетной записью администратор с паролем 123456. Заходим в «Мастер установки ролей» и устанавливаем роль «Сервер удаленного доступа или VPN-сервер». Далее запустится мастер установки. В появившемся окне выбираем «Особая конфигурация». В следующем окне выбираем «Доступ к виртуальной частной сети (VPN)». Далее появляется окно с сообщением «служба маршрутизации и удаленного доступа теперь установлена. Хотите запустить службу?». Выбираем «да». Теперь можно запустить службу (рис. 1) и перейти к ее настройке. Рис. 1 Оснастка «Маршрутизация и удаленный доступ» Рассмотрим свойства сервера в оснастке. Вкладка «Безопасность» (рис. 2). Здесь можно указать службу проверки подлинности. Мы оставим сдесь Windows-провека подлинности, т.е. для проверки учетных данных удаленного доступа и подключений по требованию используется база данных локальных учетных записей или база данных учетных записей домена . Другой вариант был бы проверка подлинности Radius, т.е. для проверки учетных данных удаленного доступа или подключения по требованию используется сервер RADIUS (Remote Authentication Dial-In User Service). Службу учета, соответственно оставляем Windows-учет (Сервер заносит сведения о проверке подлинности в файлы журналов, настроенные на странице свойств папки ведения журнала удаленного доступа). Рис. 2 Вкладка безопасность Вкладка «IP» (Рис. 3). Здесь нам нужно произвести некоторую настройку. Сервер может назначать IP-адреса, используя протокол DHCP либо, используя статический пул адресов. Выбираем статический пул адресов и добавляем начальный адрес: 192.168.26.1 и конечный адрес: 192.168.26.5. Рис. 3 Вкладка «IP» Вкладка «PPP» (рис. 4). Здесь мы снимаем галочку напротив «Многоканальные подключения». Если это поле активировано, то клиентам удаленного доступа и маршрутизаторам позволяется по требованию объединять несколько физических подключений в одно логическое. Последня вкладка «Ведение журнала» позволяет управлять настроивать, какая информация должна заноситься в системный журнал просмотра событий. Мы оставим там все по умолчанию. Рис. 4 Вкладка «PPP» Переходим к портам (Рис. 5). VPN-сервер предоставляет каждому соединению порты. Поэтому здесь определятеся количество одновременно работающих клиентов. Рис. 5 Порты Теперь заглянем в политику удаленного доступа (рис.6 ). Рис.6 Политика удаленного доступа Здесь есть две политики: Подключения к серверу маршрутизации и удаленного доступа и Разрешить доступ, если разрешены входящие подключения. Нас здесь интересует политика «Разрешить доступ, если разрешены входящие подключения». В ней например можно настроить ограничения по времени, но нас больше интеречует другое. Нам нужно явно включить право на предоставление удаленного доступа. Теперь нам нужно в свойствах сетевого соединения добавить еще один IP-адрес. Т.к. мы создаем VPN-соединение, а IP-адрес является характеристикой отдельного сетевого соединения. Для этого заходим в сойства сетевого адаптера, далее в свойства TCP/IP, нажимаем на кнопку «дополнительно» и добавляем IP-адрес- 192.168.26.250. Нужно также предусмотреть уч.зап. пользователя, которому будет предоставлено право для подключения к VPN. Поэтому заходим в оснастку Active Directory – пользователи и компьютеры, переходим в папку users и создаем пользователя OS с паролем OS (рис. 7). Рис. 7 Созданный пользователь OS Но если сейчас, данный пользователь попытался бы установить соединение, то ничего бы не вышло. Нужно для него сначало разрешить входящие звонки (рис. 8). Рис. 8 Разрешение входящих звонков для пользователя OS Все. Настройка VPN-сервера завершена. 2. Выполнить настройку VPN-клиента. Теперь нужно создать VPN-соединение на клиенте. Запускаем «Мастер новых подключений». Далее выбираем «Подключить к сети на рабочем месте». Рис. 9 Тип сетевого подключения при настройке VPN-соединения Затем выбираем «Подключение к виртуальной частной сети» (Рис. 10). Рис. 10 Настройка сетевого подключения для VPN-соединения В следующем окне указываем имя для настраиваемого подключения, как VPN_DOM2. Далее требуется указать IP-адрес узла, к которому будет осуществляться подключение (рис. 11). Рис. 11 Указание IP-адреса VPN-сервера. И указываем возможность подключения «Для всех пользователей». Все настройка закончена. По окончанию настройки, нам предлагается подключиться к VPN_DOM2, но мы этого делать не будем, т.к. перед подключением нам нужно сменить пользователя. Выходим из системы и регистрируемся в ней под учетной записью OS с паролем OS. Теперь осуществляем подключение. Щелкаем по созданному VPN-подключению, в результате появляется окно для ввода имени пользователя и пароля. Вводим «os» с паролем «os» и нажимаем «Подключение». Рис. 12 Окно подключения к DOM2_VPN В результате подключение осущетвилось. Проверим работу VPN-соединения. Для этого обратимся к другому узлу, который тоже выполнил подключение к VPN-серверу. C помощью ipconfig /all узнаем IP-адрес VPN-соединения (рис. 13). Рис. 13 Результат команды ipconfig /all Теперь попытаемся обратится к этому узлу с другого узла, используя подключение по локальной сети и подключение через VPN-слединение. Вводим команду ping 192.168.26.218 и ping 192.168.26.3 (рис. 14). Рис. 14 Результат пингования по двум соединениям В результате пингования мы видим, что пакеты отправляются и принимаются. Значит соединение установлено и работатет норамально. Также информация о текущих подключениях к VPN-серверу отображается в оснастке «Маршрутизация и удаленный доступ» в разделе «Клиенты удаленного доступа» (рис. 15). Рис. 15 Клиенты удаленного доступа Рассмотрим свойства VPN-подключения на клиенте. Во вкладке «Общие» (рис. 16) мы можем указать имя компьютера или IP-адрес, с которым устанавливается туннельное соединение. Также здесь можно задать очередность установления подключения. Рис. 16 Вкладка «Общие» в свойствах VPN-подключения на клиенте Во вкладке «Параметры» (рис. 17) мы можем настроить параметры набора номера: «Отображать ход подключения», «запрашивать имя пароль, сертификат и т.д.», «Включать домен входа в Windows». Также здесь можно настроить параметры повторного звонка. Эти параметры нужны в случаенеустойчивого соедеинения. Рис. 17 Вкладка «Параметры» в свойствах VPN-подключения на клиенте Можем попробывать отключить параметр «Запрашивать имя пароль, сертификат и т.д.». Этот признак запроса данных для проверки подлинности перед попыткой соединения. Эти данные могут включать имя пользователя, пароль и сертификат (если применяется смарт-карта). Если используются дополнительные средства зашиты, такие как смарт-карта, и для них подобные сведения не требуются, то они не запрашиваются у пользователя перед соединением. После отключения данного признака, если мы попытаемся выполнить подключение к DOM2_VPN, то нам уже не потребуется ввод имени пользователя и пароля для потключения. Подключение будет произведено, для текущего пользователя зарегистрированного в системе, если для него разрешено подключение. Во вкладке «Сеть» (рис. 18) мы можем настроить тип VPN, а также выполнить установку и конфигурирование компонентов, которые используются данным подключением. Рис. 18 Вкладка «Сеть» в свойствах VPN-подключения на клиенте Возможен выбор трех типов VPN (в зависисмости от протоколов для построения VPN-туннеля): 1) PPTP VPN. PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет). PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. Для защиты данных PPTPтраффика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2 и EAPTLS. 2) L2TP IPSEC VPN. L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации. IPSec (IP Security) - набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).Для подключения к серверу L2TP, хранилище «Доверенные корневые центры сертификации на компьютере должно содержать сертификат корневого центра для центра сертификации, выдавшего сертификат компьютеру, а также сертификат для сервера L2TP. 3) Авто. Для подключения виртуальной частной сети (VPN) следует выбрать вариант Авто (Как в нашем случае). Сначала пробуется вариант РРТР, а затем — L2TP. Выставим данный параметр в значение L2TP IPSEC VPN и попробуем выполнить подключение. Видим, что подключение выполнить не удалось (ошибка 781), т.к. для подключения требуется сертификат (рис. 19). Рис. 19 Ошибка приподключении (используя L2TP IPSEC VPN) Можно сделать вывод, что у нас используется тип VPN : PPTP VPN. Вкладка «дополнительно» не представляет особого интереса, поэтому перейдем к рассмотрению вкладки «Безопасность» (рис. 20). Рис. 20 Вкладка «Безопасность» в свойствах VPN-подключения на клиенте В данной вкладке мы можем настраивать различные параметры безопасности. Если использовать обычные параметры параметры, то здесь предлагается выбор, что использовать при проверке: Безопасный пароль или Смарт-Карту. У меня нет смарт-карты, поэтому сдесь оставляем безопасный пароль. Также здесь можно выбрать «Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует). В этом случае при подключение не придется вводить имя и пароль, подключение будеи производится автоматически. Параметр «Требуется шифрование данных (иначе отключаться)», указывает на то, что сервер, к которому выполняется подключение, должен использовать шифрование данных. В «параметрах IPSec…» мы можем указать использование и задать предварительный ключ для проверки доступа. Это общий секретный ключ, заранее согласованный двумя пользователями. Такой ключ удобен и не требует выполнения на клиенте протокола Kerberos V5 или наличия сертификата открытого ключа. Обе стороны должны вручную настроить IPSec на использование предварительного ключа. Это простой метод проверки подлинности автономных компьютеров или любых компьютеров, не использующих протокол Kerberos V5. Предварительный ключ нужен только для проверки подлинности и не используется для проверки целостности данных или шифрования. Зададим данный ключ, например, 12345 (рис.21). Рис. 21 Задание предварительного ключ в настройках VPN-подключения на клиенте. Необходимо также указать предварительный ключ на сервере,например, 11111 (рис. 22) Рис. 22 Задание неверного предварительного ключа на сервере Но это еще не все. Нужно на клиенте в настройках VPN-соединения указать тип VPN: L2TP IPsec VPN. Теперь пытаемся подключиться. В результате вылезет ошибка 792, «попытка L2TPподключения не удалать» (Рис. 23). Рис. 23 Ошибка установления соединения с DOM2_VPN из-за несогласованности предварительных ключей Теперь зададим предварительный ключ в настройках DOM2_VPN на клиенте такойже как и на сервере(11111). И попытаемся подключиться. В результате подключение пройдет удачно. В сведениях подключения можно увидеть в имени устройства указно значение Минипорт WAN(L2TP) , а также есть строчка Шифрование IPSEC (рис. 24) Рис. 23 Сведения подключения DOM2_VPN после указания типа VPN: L2TP IPsec VPN и использования предварительного ключа Теперь на вкладке «Безопасность» выберем «Дополнительные параметры безопасности» и нажмем кнопку «Параметры». Появится окно «Дополнительные параметры безопасности» (рис. 24). Рис. 24 Окно «Дополнительные параметры безопасности» Здесь мы можем настроить требование к шифрованию данных и соответствующее действие, например, «Необязательное (Подключиться даже без шифрования)». В этом случае даже, если нет шифрования данных, будет происходитьподключение. Также можно выбрать протоколы для проверки пароля. Обязательно должен быть выбран хотябы один протокол, если переключатель установлен напроти «Разрешить следующие протоколы». Привидем их описание: Незашифрованный пароль(PAP) В протоколе PAP используются незашифрованные пароли. Этот протокол является наименее безопасным протоколом проверки подлинности. Поскольку при использовании протокола PAP пароли передаются по сети в виде обычного текста, этот метод рекомендуется использовать только тогда, когда недоступны другие методы. Протокол проверки Shiva(SPAP) Протокол аутентификации SPAP (Shiva Password Authentication Protocol) использует для шифрования паролей реверсивный механизм шифрования Shiva. В среде Windows Server 2003 протокол SPAP может быть использован для организации соединений с Shiva LAN Rover. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS-CHAP. Связано это с тем, что протокол SPAP не предусматривает защиты от перехвата зашифрованных паролей, которые впоследствии могут быть использованы для несанкционированного доступа в систему (один и тот же пароль при выполнении операции шифрования будет давать одну и ту же последовательность). Протокол проверки пароля (CHAP) Протокол CHAP согласовывает безопасную форму зашифрованной проверки подлинности. Протокол CHAP использует метод «запрос-ответ» с односторонним MD5-хэшированием ответа. Таким образом пользователь может доказать серверу свое знание пароля без фактической пересылки его по сети. Протокол проверки пароля MS-CHAP Протокол MS-CHAP (Microsoft Challenge Handshake Protocol) представляет собой реализацию протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования паролей применяется алгоритм MD4. Протокол проверки пароля Microsoft MS-Chap v2 Протокол MS-CHAP-V2 обеспечивает взаимную проверку подлинности и использует более надежные ключи шифрования исходных данных, а также разные ключи шифрования для отправки и приема. Чтобы свести к минимуму риск раскрытия пароля при обмене по протоколу MS-CHAP, в MS-CHAP v2 более не поддерживается изменение пароля MS-CHAP и не выполняется передача зашифрованного пароля. Для VPN-подключений рекомендуется использовать протокол MS-CHAP v2 вместо предыдущей версии MS-CHAP. Клиентские компьютеры Windows принимают протокол MSCHAP v2 при его наличии. На подключения удаленного доступа это не повлияло. Используемую проверку подлинности можно увидеть в сведениях подключения. Например для подключения к DOM2_VPN с настройками по умолчанию, используя протокол PPTP, используется протоколол MS CHAP V2. Рис. 25 Сведения о подключении DOM2_VPN В данной вкладке помимо протоколов описанных выше, можно использовать протокол расширенной проверки подлинности EAP. В этом случае EAP проверяет удаленных пользователей совместно с другими средствами безопасности, такими как смарт-карты и сертификаты. Выполним продключеие к DOM2_VPN с проверкой подлинности на основе сертификатов. На сервере нам нужно установить службу сертификации. Для этого заходим в «Панель управления» > «Установка и удаление программ», заходим в «Установка компонентов windows». Далее у нас появляется мастер компонентов Windows (рис. 26). Находим в списке «Службы сертификации» и ставим напротив галочку. Нажимаем далее. Появится окно в котором указываем тип центра сертификации как «Корневой ЦС предприятия», далее задаем имя ЦС как CENTRE SERVICE DOM2. Рис. 26 Мастер компонентов windows В настройках VPN подключения на клиенте в дополнительных параметрах безопасности выбираем «Протокол расширенной проверки подлинности EAP» и затем «Смарт-карта или иной сертификат». Нажимаем на «Свойтсва». Появляется окно настройки (рис. 27). Здесь ставим переключатель напротив «Использовать сертификат на этом компьютере» и в списке «Доверенные центы сертификации» ставим галочку напротив нашего ЦС. Рис. 27 Окно «Свойства смарт-карты или другого сертификата» Теперь необходимо получить сертификат для учетной записи OS. На клиенте заходим под уч.зап. OS , создаем консоль mmc и добавляем в нее оснастку «Сертификаты».В контейнере «Личное» нужно выполнить операцию запроса сертификата. После ее выполнения появзапускается мастер запроса сертификатов (рис. 28). Рис. 28 Мастер запроса сертификатов Далее выбираем тип сертификата: пользователь., имя os. В результате в контейнере личное появляется папка Сертификаты, которая содержит сертификат OS (рис. 29). Рис. 29 Сертификат OS Щелкнув два раза на сертификате os, можно увидеть для чего он предназначен (рис. 30). Рис. 30 Информация о сертификате os Теперь подключаемся к DOM2_VPN. Идет долгое подключене. Затем вылетает сообщение о подключение к серверу и указывается имя сервера. Нам нужно подтвердить правильный ли это сервер. Можно даже посмотреть сертификат сервера. Данное сообщение появилось, т.к. мы в настройках свойств смарт-карт и сертификатов на клиенте оставили галочку напротив «проверять сертификат сервера». Все собщение и просмотр информации сертификата сервера отображены на рисунке 31. Рис. 31 Подтверждение правильности сервера Нажимаем «Ок». И далее происходит регистрация и подключение выполняется и сведениях подключения указана проверка подлинности EAP.