Основы проектирования защищенных телекоммуникационных систем
..pdf
71
Комментарии к схеме:
ПО ViPNet Manager устанавливается в Центральном офисе компании.
ПО ViPNet Coordinator устанавливается в Центральном офисе и Филиалах компании, на входе в локальную сеть, на серверы-маршрутизаторы, и выполняет роль межсетевого экрана и криптошлюза для организации защищенных туннелей между удаленными локальными сетями.
ПО ViPNet Client может быть установлено как внутри локальных сетей (на рабочих станциях сотрудников), так и на мобильные компьютеры для организации защищенного удаленного доступа к ресурсам локальных сетей. ViPNet Client в этом случае выполняет роль персонального сетевого экрана и шифратора IP-трафика.
Одновременно с работой в защищенной сети ViPNet Coordinator и ViPNet Client
могут выполнять фильтрацию обычного, незашифрованного IP-трафика, что позволяет обеспечить необходимую работу серверов и рабочих станций с открытыми ресурсами Интернета (веб-страницами) или локальных сетей (сетевыми принтерами, незащищенными рабочие станции и серверами).
Испытание системы защищенного межсетевого взаимодействия
В качестве объекта испытания будет выступать виртуальная сеть, состоящая из четырех виртуальных машин (далее ВМ), развернутая в среде VMwareWorkstation. На трех ВМ выполняется установка ПО ViPNetOFFICE, обеспечивая, таким образом, защищенное
72
межсетевое взаимодействие в данном сегменте сети. Четвертая ВМ служит интересам предполагаемого злоумышленника и предназначена для захвата циркулирующего в сети трафика с помощью программы-сниффера Wireshark .
Данный макет моделирует межсетевое взаимодействие между компьютерами головного отделения и филиала учреждения посредствам открытых ССОП. Так как ССОП находятся вне контролируемой зоны, возможен перехват ПДн злоумышленником и нарушение их конфиденциальности, целостности и доступности.
ВМ1 |
ВМ2 |
ВМ3 |
ViPNetCoordinator |
VIPNet Manager |
VIPNet Client |
Ethernet
ВМ4 Злоумышленник
Рис. 2.47. Схема макета VIPNet
План испытания
Испытание состоит из нескольких этапов, характерной особенностью которых является исследование открытого и защищенного сетевого взаимодействия:
1)разворачивание виртуальной сети;
2)исследование открытого сетевого взаимодействия:
перехват и анализ текстового файла;
перехват и анализ ping-пакетов;
3)установка ПО ViPNetOFFICE;
4)исследование защищенного сетевого взаимодействия:
|
перехват и анализ текстового файла; |
|
перехват и анализ ping-пакетов. |
Ход испытания
Разворачивание виртуальной сети
После выполнения установки VMwareWorkstationв ней создаются четыре ВМ со следующими основными параметрами:
объем ОЗУ 512 Мбайт;
объем жесткого диска 10 Гбайт;
ОСWindowsXP.
73
Рис. 2.48. ОбщийвидVMwareWorkstation
Виртуальные машины объединяются в виртуальную сеть c адресацией, представленной в таблице 2.4.
|
|
Таблица 2.4. |
Сетевая адресация виртуальных машин |
||
|
|
|
|
|
|
|
ВМ 1 |
ВМ 2 |
|
ВМ 3 |
ВМ 4 |
|
|
|
|
|
|
IPадрес |
192.186.1.1 |
192.186.1.2 |
|
192.186.1.3 |
192.186.1.4 |
|
|
|
|
|
|
Маска |
255.255.255. |
255.255.255. |
|
255.255.255. |
255.255.255.0 |
подсети |
0 |
0 |
|
0 |
|
|
|
||||
|
|
|
|
|
|
На ВМ 4 устанавливается программа-сниффер Wireshark, с помощью которой захватывается и анализируется сетевой трафик. Процесс установки отображен на следующих рисунках.
74
Рис. 2.49. Мастер установки Wireshark
Рис. 2.50. Выбор директории установки
Рис. 2.51. Завершение установки
75
Исследование открытого сетевого взаимодействия
Для исследования открытого сетевого взаимодействия на ВМ 2 создается текстовый файл Test.txt, который передается на ВМ 3 по протоколу SMB (ServerMessageBlock).
Рис. 2.52. Текстовый файл Test.txt
При передаче происходит захват пакетов на ВМ 4, что отображается в окне сниффера
Wireshark. Протокол SMB принадлежит стеку TCP, поэтому при анализе отображается содержимое TCP-пакетов.
76
Рис. 2.53. Процесс отображения TCP-пакетов
На следующем рисунке видно, что среди содержимого пакетов отображается переданный текст файла Test.txt.
Рис. 2.54. Содержимое TCP-пакетов
Так же в программе Wireshark существует возможность работать с SMBтрафиком, то есть непосредственно перехватить передаваемый файл Test.txt. Этот процесс отображается на следующих рисунках.
77
Рис. 2.55. Выбор SMB объекта для экспорта
Рис. 2.56. Отображение захваченного SMB объекта
78
Рис. 2.57. Сохранение перехваченного объекта
Рис. 2.58. Содержимое перехваченного объекта
79
Далее происходит запуск утилиты ping на ВМ 2 для проверки соединения с ВМ 3.
Рис. 2.59. Запуск утилиты ping
В результате в сети появляются ICMP-пакеты (Internet Control Message Protocol), которые захватываются сниффером.
Рис. 2.60. Захваченные ICMP-пакеты
Таким образом, весь передаваемый трафик при передаче в открытом виде представляется неизменным, что подтверждается его анализом в сниффере.
80
Установка ПО ViPNet OFFICE
Для организации защищенного сетевого взаимодействия на ВМ устанавливается специализированное ПО ViPNet.
При этом в качестве менеджера (ViPNetManager) сети ViPNetвыступает ВМ 2, в качестве координатора (ViPNet Coordinator) сети – ВМ 1, и в качестве клиента (ViPNet Client) – ВМ 3.
Процесс установки и конфигурирования ПО отображается на следующих рисунках.
Установка ПО начинается с установки ViPNet Manager и ViPNet Client на ВМ 2.
Рис. 2.61. Первый этап - создание рабочего места администратора сети ViPNet
Рис. 2.62. Установка ViPNetManager