
- •Лабораторная работа №4
- •Практический материал
- •Практическая часть.
- •Создание общедоступного сетевого каталога на vpn-шлюзе
- •Настройка vpn-шлюза на прием входящих vpn-подключений
- •Создание учетной записи пользователя и настройка для нее разрешений на установление vpn-подключений
- •Создание подключения к виртуальной частной сети на vpn−клиенте
- •Открывается сетевая папка
- •Завершение лабораторной работы
- •Список литературы.
- •Компьютерные сети: основные понятия.
Министерство Образования Российской Федерации
Набережночелнинский институт социально педагогических технологий и ресурсов
Лабораторная работа №4
по дисциплине: «Информационные системы, сети и телекоммуникации»
Выполнил:
студент 123 группы
Бурганов И. И.
Руководитель от ВУЗа:
Конюхов М. И.
Набережные Челны
2012
Цель
Целью данного проекта является получение умений построения виртуальных частных сетей на базе операционной системы Windows 2003.
Оглавление
Практический материал 4
Практическая часть. 7
Практический материал
Виртуальная частная сеть (virtual private network, VPN) - логическая сеть, создаваемая поверх другой сети, например через Интернет. В VPN-пакеты с конфиденциальной информацией сначала шифруются, а затем инкапсулируются (упаковываются) в сетевые пакеты, передаваемые по открытым каналам связи на удаленный VPN-сервер. Зашифрованные данные с использованием небезопасных сетевых протоколов проходят через искусственный закрытый канал - "туннель", созданный с использованием алгоритмов шифрования. Получив из VPN-туннеля инкапсулированные данные, VPN-сервер удаляет открытый заголовок и расшифровывает исходную полезную информацию. Обмен данными являются двухсторонним.
Топология
С точки зрения топологии выделяют два типа виртуальных частных сетей.
1. Топология точка-сеть.
Данная топология (рис. 1) используется для обеспечения защищенного взаимодействия удаленных пользователей с ресурсами локальной информационной сети предприятия. Примером такого взаимодействия может служить сотрудник, устанавливающий соединение с офисом, находясь в командировке или дома.
Рис. 1. Топология "точка-сеть"
2. Топология сеть-сеть.
Данная топология (рис. 2) обеспечивает защищенное взаимодействие территориально удаленных локальных вычислительных сетей. Примером такого взаимодействия может служить локальная вычислительная сеть (ЛВС) центрального офиса компании и ЛВС филиала, расположенного в другом городе.
Рис. 2. Топология "сеть-сеть"
Протоколы создания VPN-соединений
Windows Server 2003 поддерживает две разновидности VPN: по протоколу PPTP и L2TP поверх IPSec (IP Security - набор протоколов для обеспечения защиты данных, передаваемых по протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов и выполнять обмен ключами по открытым каналам связи).
L2TP (Layer Two Tunneling Protocol - протокол туннелирования второго уровня) - это туннельный протокол являющийся промышленным стандартом, реализованным в клиентских и серверных операционных системах Windows 2000. В отличие от PPTP, L2TP на серверах под управлением Windows Server 2003 не использует для шифрования пакетов PPP метод MPPE (Microsoft Point-to-Point Encryption - протокол шифрования данных, используемый поверх соединений PPP; использует алгоритм шифрования RSA RC4). L2TP использует средства шифрования, предоставляемые методом IPSec. Комбинацию L2TP и IPSec называется L2TP/IPSec.
PPTP (Point-to-Point Tunneling Protocol - туннельный протокол "точка-точка") - это туннельный протокол, поддержка которого была реализована в операционных системах Windows NT 4.0 и Windows 98. Протокол PPTP является расширением протокола PPP (Point-to-Point Protocol - протокол "точка-точка") и использует механизмы проверки подлинности, сжатия и шифрования этого протокола. Протокол PPTP также используется в программе удаленного доступа Windows XP.
L2TP поверх IPSec является более надежным протоколом создания VPN, однако, более сложным в реализации (требует создания инфраструктуры открытых ключей). В лабораторной работе будет рассматриваться только протокол PPTP. VPN-подключения на основе PPTP обеспечивают конфиденциальность передаваемых данных (практически невозможно, не имея ключа, узнать содержание перехваченных пакетов), но не гарантируют целостность данных (возможно искажение при передаче) и аутентификацию источника (возможна передача данных посторонним пользователем).
При шифровании PPTP-подключений применяется стандарт MPPE, не требующий организации инфраструктуры открытых ключей (Public Key Infrastructure - PKI) и получения сертификатов подтверждения подлинности пользователей и компьютеров на обоих концах виртуального подключения. Однако PPTP можно использовать совместно с инфраструктурой сертификатов, если в качестве протокола аутентификации выбрать EAP-TLS. Extensible Authentication Protocol - Transport Layer Security - протокол двусторонней криптографической аутентификации между удаленным пользователем и сервером аутентификации RADIUS. RADIUS (Remote Authentication in Dial-In User Service) - протокол для проверки подлинности и проверки прав доступа.
Рис. 3 иллюстрирует инкапсуляцию с использованием протокола PPTP. Связь между двумя конечными точками VPN рассматривается как РРР-подключение с шифрованием методом MPPE. К кадру PPP также добавляются заголовки GRE (Generic Routing Encapsulation) и IP.
Рис. 3. Инкапсуляция с использованием PPTP
Лабораторный стенд
Стенд (рис. 4), на котором будет выполняться лабораторная работа, реализует топологию "точка-сеть" и состоит из двух виртуальных машин:
- VPN-Client, выполняющая роль VPN-клиента (клиент);
- VPN-Gateway, выполняющая роль VPN-шлюза (сервер).
Сервер и клиентская машина будут работать в виде виртуальных машин на одной физической машине. Под физической машиной понимается реальный компьютер, за которым работает студент.
VPN-Client имеет один сетевой адаптер, которому назначен IP-адрес 192.168.1.3. VPN-Gateway имеет два сетевых адаптера: внутренний и внешний. Внешний сетевой адаптер имеет IP-адрес 192.168.1.2 (и соединен с сетевым адаптером машины VPN-Client), а внутренний сетевой адаптер имеет IP-адрес 10.10.10.2.
Рис. 4. Стенд для выполнения лабораторной работы
На виртуальных машинах необходимо работать под учетной записью локального администратора. В качестве имени пользователя при входе вводите "Администратор" (в английской версии - Administrator), а в качестве пароля - слово "password".
Примечания по работе с виртуальными машинами
1. Перед выполнением любых действий необходимо устанавливать фокус мыши в виртуальной машине (нажимая левой клавиши мыши в окне виртуальной машины).
2. Если потребуется выключить виртуальную машину, то завершите работу ОС в виртуальной машине с помощью команды ОС "Завершение работы". Если Вы просто закроете программу "VmWare", то все Ваши данные будут потеряны. При выключении виртуальной машины может появиться сообщение о необходимости указания причины выключения; тогда напишите в поле "Comment" любой символ и нажмите кнопку OK.
3. Если виртуальная машина раскрылась на весь экран, то для уменьшения ее размера используйте комбинацию клавиш "Ctrl-Alt".
4. При входе в ОС на виртуальной машине, при необходимости вызова диалога ввода имени и пароля пользователя, нажмите комбинацию клавиш "Ctrl-Alt-Ins" (вместо "Ctrl-Alt-Del").