- •Введение
- •Глава 1. Теоретические аспекты проектирования и разработки организации безопасной передачи данных в сети интернет по средствам vpn соединений
- •1.1. Анализ методов и подходов к структуре, методам и средствам разработки программного обеспечения безопасной передачи данных в сети интернет по средствам vpn соединений
- •1.2. Обоснование выбора средств реализации программного обеспечения организация безопасной передачи данных в сети интернет по средствам vpn соединений
- •Глава 2. Особенности создания и организации безопасной передачи, данных в сети интернет по средствам vpn соединений
- •2.1. Проектирование программного обеспечения организации безопасной передачи данных в сети интернет по средствам vpn соединений
- •2.2. Описание бд: схема данных, описание таблиц и связей между ними
- •2.3. Особенности разработки пользовательских форм заключение
- •Организация безопасной передачи данных в сети интернет по средствам vpn соединений.
- •Глава 1. Теоретические аспекты проектирования и разработки …
- •Производительность и доступность
- •Глава 2. Особенности создания … Глоссарий vpn и безопасности Контроль доступа acl
- •Шлюз Application Firewall
- •Chap (Challenge-Рукопожатие протокол аутентификации)
- •Контрольная сумма или хэш
- •Шлюзы сеансового уровня
- •CoS (Класс обслуживания)
- •Криптография
- •Отказ в обслуживании нападения
- •Протокол Diffie-Hellman (Диффи-Хеллмана)
- •Differentiated Service - DiffServ (дифференцированные услуги)
- •Цифровой сертификат
- •Цифровая подпись
- •Demilitarized Zone - dmz (демилитаризованной зоны)
- •Domain Name System - dns (система доменных имен)
- •Cервер доменных имен
- •Брандмауэр
- •Брандмауэр отказ обслуживания
- •Https представляет собой коммуникационный протокол, предназначенный для передачи зашифрованной информации между компьютерами через World Wide Web.
- •Icsa (Международная ассоциация компьютерной безопасности)
- •Инсайдерская атака
- •Обнаружения вторжений
- •Ip угон
- •Протокол Kerberos
- •Ключевой менеджмент
- •Область управления
- •Мониторинг
- •Nar (Network Address Удержание)
- •Политика Network Service Access
- •Неотказуемость
- •Политика Насильственные сети (pen)
- •Точки принудительного применения политики (пэп)
- •Группы политики
- •Управление Зона политики (пмз)
- •Правила политики
- •Секретный ключ
- •Протокол
- •Протокол Атаки
- •Доверенное лицо
- •Прокси-сервер
- •Открытый ключ
- •QoS (качество обслуживания)
- •Rijndael Алгоритм
- •Маршрутизация Агент
- •Rsa (Ривест-Шамира-Адлеман)
- •RsaCi (Консультативный совет Места программного обеспечения в Интернете)
- •Правила
- •Скрининг маршрутизатор
- •Ассоциация безопасности (sa)
- •Самоподписанный сертификат
- •Общий секрет
- •Симметричное шифрование
- •Туннельный маршрутизатор
- •Vpn (виртуальная частная сеть)
- •Wap (Протокол беспроводных приложений)
- •Беспроводные протоколы (802.11x)
- •Wlan (беспроводная локальная сеть)
- •Топология сети.
- •Cцо имеет в своем составе:
- •Сф имеет в своем составе:
- •Настраиваем OpenVpn сервер.
- •Генерируем основной сертификат са и са ключ:
- •Генерируем сертификат (server.Crt) и ключ (server.Key) сервера.
- •Генерируем сертификат (office1.Crt) и ключ (office1.Key) для клиента.
- •Генерация параметров DiffieHellman (dh1024.Pem).
- •Генерация ключа tls-auth (ta.Key) для аутентификации пакетов
- •Настройка клиента.
- •Настройка брандмауэра и маршрутизация.
Глава 1. Теоретические аспекты проектирования и разработки …
Анализ методов и подходов к структуре, методам и средствам разработки ПО в соответствии с темой ВКР.
Желание использовать Интернет для бизнеса и факторы риска, связанные с этим способом, привели к новой технологической нише: виртуальные частные сети (VPN). Виртуальные частные сети, как правило, представляют собой сети IP на основе (как правило, Интернет общего пользования), которые используют шифрование и туннелирование для достижения одной или нескольких из следующих целей:
подключения пользователей надежно их собственной корпоративной сети (удаленный доступ)
ссылка филиалов к корпоративной сети (интранет)
расширить существующие организации "вычислительную инфраструктуру для включения партнеров,
поставщиками и клиентами (экстранет).
Идея заключается в том, чтобы расширить доверительные отношения между экономической общественной сетью без ущерба для безопасности. В идеале VPN должны вести себя подобно частной сети. Она должна быть безопасной, с высокой доступностью и иметь предсказуемую производительность. Аутентификация обеспечивает идентичность всех взаимодействующих сторон. Возможно, видели мультфильм, который появился в The New Yorker несколько лет назад. Собака сидит перед компьютером, повернулась к своему собачьему другу и сказал : "В Интернете никто не знает, что ты собака." Для того, чтобы правильно определить индивидуальный или вычислительный ресурс, виртуальные частные сети, как правило, используют один или несколько форм аутентификации.
Эти методы, как правило, основаны на проверке подлинности пароля (общие секреты) или цифровых сертификатов. Аутентификация пароля является наиболее распространенной формой аутентификации пользователей, используемых в компьютерных системах сегодня, но она также является одной из самых слабых форм, поскольку пароли могут быть угаданы или украдены. Многофакторная аутентификация, как правило, более сильная форма аутентификации и основана на сочетании ваших знаний о чем-либо. Этот процесс аналогичен тому , как используются большинство банковских карт ATM (Automatic Teller Machine), пользователь обладающий физической картой "разблокирует" её с помощью пароля.
Например, многие виртуальные частные сети используют защищенную технологию безопасной передачи данных SecurID, которая содержит в себе разовый ключ с шифрованием данных. Пароль автоматически генерируется путем шифрования метки времени с помощью секретного ключа. Это одноразовый пароль будет действителен в течение короткого промежутка времени, как правило, от 30 до 60 секунд.
Цифровые сертификаты также становятся все более распространенными в качестве механизма проверки подлинности для виртуальных частных сетей. Цифровой сертификат, представляет собой электронный документ, который выдается физическому лицу "Центром Сертификации", который может ручаться за идентификацию пользователя. Это по существу связывает идентичность пользователя с открытым ключом. Цифровой сертификат содержит открытый ключ, информацию, относящуюся к пользователю (имя, название компании и т.д.), информацию, относящуюся к эмитенту, со сроком действия и дополнительной управленческой информацией. Эта информация будет использоваться для создания сообщения профиля, которое зашифровано с использованием секретного ключа центра сертификации в номере сертификата.
VPN-протоколы
Как показывает практика, отдельные технологии, используемые для обеспечения конфиденциальности, целостности и подлинности в данной реализации сгруппированы в широком протоколе VPN. Три широко используемых протокола: Internet Protocol Security (IPsec), Tunneling и SOCKet Security (SOCKS5).
Internet Protocol Security
Протокол, которому похоже суждено стать стандартом де - факто для сетей VPN является IPSec. IPSec представляет собой набор аутентификации и шифрования протоколов, разработанных Engineering Task Force (IETF) и предназначенных для решения проблем, присущих на технологиях IP. Он предназначен для решения конфиденциальности данных, целостности, аутентификации и управления ключами, в дополнение к туннелированию.
Протокол IPSec обычно работает в пределе домена безопасности.Можно сказать, что IPSec инкапсулирует пакеты данных. Затем он шифрует весь пакет. Этот зашифрованный поток трафика формирует защищенный туннель незащищенной сети.
Большинство поставщиков VPN используют IPSec в своих решениях. Комплексный характер протокола делают его идеальным для сайтов с VPN, хотя все еще существуют проблемы взаимодействия, которые связаны с различными производителями. IPSec представляет собой двунаправленный протокол, что означает, что экстранет конфигурации должны быть тщательно разработаны и реализованы. При настройке экстранет VPN, вы не можете дать вашим партнерам доступ ко всей сети или разрешить им доступ к еще один партнер по сети.
Точка-точка Tunneling Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP)
PPTP является туннельный протокол, который обеспечивает удаленным пользователям зашифрованный, многопротокольный доступ к корпоративной сети через Интернет. Протоколы сетевого уровня, такие как Internetwork Packet Exchange (IPX) и NetBIOS Extended User Interface (NetBEUI), инкапсулируются протоколом PPTP для транспорта через Интернет. В отличие от IPSec, PPTP не был первоначально предназначен для обеспечения ЛВС-Lan туннелирования.
PPTP встроен в Windows New Technology 4.0, а клиент является бесплатным дополнением к Windows95. Было обнаружено, внедрение Microsoft по PPTP имеет несколько проблем , которые делают его уязвимым для атак, и это также не хватает масштабности в том, что он поддерживает только 255 одновременных соединений на одном сервере. Низкая стоимость интеграции New Technology и Windows 95, однако, делает PPTP жизнеспособным решением удаленного доступа, где необходим доступ к нескольким протоколам, а сверхпрочное шифрование и аутентификации не требуется, тогда Microsoft это единственное целесообразное решение.
PPTP может поддерживать только один туннель за один раз для каждого пользователя. Тем не менее, его преемник предложил, Layer 2 Tunneling Protocol (L2TP) (гибрид PPTP и другого протокола, Layer 2 Forwarding (L2F)) может поддерживать несколько одновременных туннелей для каждого пользователя. L2TP включен в Windows 2000 и может поддерживать IPSec для шифрования и целостности данных.
SOCKet Security (SOCKS5)
SOCKS версии 5 представляет собой протокол прокси сеансового уровня, который был первоначально разработан, чтобы облегчить прохождение брандмауэра с проверкой подлинности. Это обеспечивает безопасное, прокси - архитектура с чрезвычайно детальный контроль доступа, что делает его отличным выбором для конфигураций экстрасети.
SOCKS v5 поддерживает широкий спектр аутентификации, шифрования, туннелирования и схемы управления ключами, а также ряд функций, которые не могут быть возможным с помощью IPSec, PPTP или другие технологии VPN.SOCKS v5 предоставляет расширяемую архитектуру, которая позволяет разработчикам создавать системные плагины, такие как фильтрация контента (запрещающее доступ к Java-апплетов или элементов управления ActiveX, например), а также обширные лесозаготовки и аудита пользователей. Иногда SOCKS используется в сочетании с другими технологиями VPN, чтобы получить более полное решение безопасности, чем может обеспечить любая индивидуальная технология. Пользователь может, например, включать IPSec и SOCKS вместе. IPSec, может использоваться для обеспечения основной сетевой транспорт, в то время как Sock можно использовать для обеспечения пользовательского уровня, и управление доступом на уровне приложений.