6.2 Создание сертификата vpn-клиента
Для того, чтобы сгенерировать сертификат для VPN – клиента, необходимо выполнить разовое подключение к корпоративной сети по PPTP и запросить сертификат пользователя у центра сертификации. После того, как сертификат будет получен, подключения по PPTP к корпоративной сети будут запрещены.
В момент создания шаблона сертификата для VPN – сервера был создан шаблон сертификата и для клиента.
Рисунок 33 – Шаблон сертификата клиента
Для генерации запроса на получение сертификата от центра сертификации, создаём во временном каталоге конфигурационный файл с содержимым, представленным на рисунке 34.
Рисунок 34 – Содержимое конфигурационного файла
Параметр Exportable, определяющий возможность экспорта закрытого ключа для всех VPN-клиентов — выключаем. Этим самым ограничиваем вероятность “утечки” сертификата с закрытым ключом с компьютера пользователя. Команды запроса и установки сертификата на VPN-клиенте в ручном режиме аналогичны VPN - серверу. В результате центр сертификации выдаст соответствующий сертификат клиента, который после установки на клиентский компьютер оповестит о наличии закрытого ключа.
Рисунок 35 – Полученный сертификат для VPN – клиента
7 Настройка и проверка подключения vpn – клиента из Интернет по протоколу l2tp/ipSec
На пользовательском компьютере необходимо выполнить настройку сетевых подключений. В «Центре управления сетями и общим доступом» выбираем настройку нового подключения или сети, в появившемся окне выбираем «Подключение к рабочему месту». Вид подключения – «Использовать мое подключение к Интернету (VPN). В поле «Интернет – адрес» указывается ip адрес VPN - сервера или имя DNS. Далее указывается «Пользователь/Пароль». В свойствах подключения во вкладке «Безопасность» указываем тип VPN и устанавливаем подключение.
Рисунок 36 – Свойства подключения
Как видно из свойств подключения, был получен ip – адрес из пула, выделенного для удаленных пользователей.
После осуществления подключения, необходимо проанализировать трафик между сервером T2RU-VPN-SRV и пользователем, а также между серверами T2RU-Server2012 и VPN – сервером.
Рисунок 37– Трафик между сервером T2RU-VPN-SRV и пользователем
Рисунок 38 – Трафик между серверами T2RU-Server2012 и VPN – сервером.
Проанализировав идущий трафик, можно сделать вывод о том, что настройки выполнены верно и подключение осуществлено по протоколу IPSec.
Заключение
В ходе выполнения дипломного проекта удалось выполнить подключение пользователей по защищенному каналу VPN на базе протокола L2TP/IPSec. Выбор протокола был не случайным. Выбранный протокол для построения корпоративной сети VPN удовлетворяет следующим критериям:
обособленным подразделениям необходимо обеспечить полнофункциональное постоянное подключение к корпоративной сети;
пользователи являются сотрудниками компании;
необходимо обеспечить высокий уровень безопасности корпоративной сети;
необходимость обеспечения высокого уровня безопасности данных, передаваемых пользователем, которые составляют коммерческую тайну;
в связи с тем, что компания быстро развивается, количество обособленных подразделений пропорционально увеличивается, ориентируемся на масштабируемость сети VPN.
Удалось выполнить поставленную цель в полном объеме. Об этом свидетельствует анализ трафика между сервером и пользователем - протоколы ISAKMP и ESP. Как ранее упоминалось ESP протокол обеспечивает конфиденциальность данных. Кроме того, он позволяет идентифицировать отправителя данных, а также обеспечить целостность данных и защиту от воспроизведения информации. ISAKMP - протокол управления ассоциациями и ключами защиты в сети.
Подключение по защищенному каналу VPN позволит удаленным пользователям и обособленным подразделениям поддерживать обмен информацией по сети, которая составляет коммерческую тайну компании, а также позволит повысить уровень удовлетворенности работы сети у абонентов, вследствие моментального реагирования на претензии.
Библиографический список
Олифер В., Олифер Н. Компьютерные сети. «Питер», 2013. 918с.
Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей. —СПб.: БХВ-Петербург, 2001.512с.
Денисова Т.Б. Построение виртуальной частной сети . ПГАТИ – Самара, 2006. 100с.
Стивен Браун Виртуальные частные сети. «Лори», 2001. 481с.
Объединение двух офисов через VPN. Часть 1 – обходимся средствами Windows http://www.programbeginner.ru/?p=1111
Обзор Windows Server 2012 https://habrahabr.ru/sandbox/50585/
Лекция 4: Служба каталогов Active Directory http://www.intuit.ru/studies/courses/991/216/lecture/5567
Корпоративные сети передачи данных http://www.ons.ru/systems/4/
Протокол SSL http://www.inssl.com/about-ssl-protocol.html%20
О Tele2 http://ru.tele2.ru/about/
Виды VPN - соединений
https://help.zyxel.ru/hc/ru/articles/214038229
PPTP vs L2TP vs OpenVPN /http://www.cheap-vpn.com/articles/table/
Приложение А
(обязательное)
Уменьшенные копии демонстрационных листов
-
Рисунок А.1 – Функциональная схема корпоративной сети компании и обзор проблемы
-
Рисунок А.2 – Варианты подключения обособленных подразделений к корпоративной сети
-
особенности
L2TP/IPSec
SSL/TLS
защита
IP пакет целиком. Включает защиту для протоколов высших уровней
Только уровень приложений
фильтрация пакетов
Основана на аутентифицированных заголовках, адресах отправителя и получателя. Простая.
Основана на содержимом и семантике высокого уровня. Более интеллектуальная и сложная
производительность
Меньшее число переключений контекста и перемещения данных
Большее число переключений контекста и перемещения данных. Большие блоки данных могут ускорить криптографические операции и обеспечить лучшее сжатие
firewall/VPN
Весь трафик защищен
Защищен только трафик уровня приложений. ICMP,RSVP,QoS и т.п. могут быть не защищены
прозрачность
Для пользователей и приложений
Только для пользователей
Рисунок А.3 – Сравнительная характеристика основных протоколов для организации VPN
-
Рисунок А.4 – Схема реализации
-
Рисунок А.5 – Схема реализации
-
1) Анализ трафика между серверами
2) Анализ трафика между VPN - сервером и VPN - клиентом
Рисунок А.6 – Проверка работы IPSec