5. Содержание отчета

В индивидуальном отчёте должны быть указаны цель, задание, краткое описание лабораторного стенда, представлены необходимые снимки экрана и пояснения к ним. Следует проанализировать полученные данные и дать ответы на контрольные вопросы.

6. Контрольные вопросы

1. Что такое удаленный доступ к сетевому оборудованию? Зачем он нужен и какие функции выполняет?

2. Какие варианты задания пароля бывают? В чем их различие? Какой способ следует использовать?

3. В чем различие между созданием пользователя на сетевом устройстве и на AAA-сервере? Можно ли иметь только базу пользователей на AAA-сервере?

4. Под каким пользователем необходимо заходить на сетевое устройство, если AAA-сервер недоступен?

5. Объясните принцип работы технологии AAA и протокола RADIUS исходя из полученных результатов.

6. Зачем нужна утилита Telnet? В чем ее недостатки?

7. В чем отличие привилегированного режима от пользовательского?

8. Какая команда лучше всего шифрует пароль?

9. Какие уровни привилегий для работы с оборудованием Вы знаете?

10. Опишите преимущества и недостатки рассмотренных вариантов доступа к оборудованию.

Список литературы

1. Деарт В.Ю. Мультисервисные сети связи. Транспортные сети и сети доступа. - М.: Брис-М, 2014. – 189 с., 104 илл.

2. Одом, Уэнделл. Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 100-101 / Уэнделл Одом. - М.: Вильямс, 2015. - 912 c.

3. Аутентификация в Cisco IOS. (дата обращения 12.07.2018) https://habr.com/company/pt/blog/192668/

4. RFC 2866 — Средства учета RADIUS (RADIUS Accounting). (дата обращения 12.07.2018). https://rfc2.ru/2866.rfc

Лабораторная работа № 9 «Изучение виртуальных частных сетей vpn с использованием Cisco Packet Tracer»

1. Цель работы

Изучить и практически освоить процесс настройки виртуальных частных сетей VPN с использованием сетевого симулятора Cisco Packet Tracer. Научиться использовать технологию IPSec для организации VPN-туннеля между центральным офисом и филиалом компании, а также настраивать технологию NAT с использованием стандартных и расширенных списков доступа (access-list) для организации взаимосвязи подразделений компании и обеспечения доступа в Интернет.

2. Задание

• Ознакомиться по литературе [1, 2] с основными функциями по созданию виртуальных частных сетей VPN и технологий IPSec и NAT в частности.

• Запустить Cisco Packet Tracer.

• Собрать необходимую топологию сети, запустить и настроить виртуальное оборудование.

• Согласно пунктам выполнения лабораторной работы, сделать необходимые снимки экрана. Изучить полученную информацию и оформить ее в соответствии с требованиями раздела 5 (Содержание отчета).

3. Краткая теория

VPN (Virtual Private Network — виртуальная частная сеть [3]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть, которая как раз и будет рассматриваться в рамках настоящей лабораторной работы.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Сейчас для организации VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol). Наиболее часто используемой является технология IPSec.

IPSec – это не протокол, это стандарт, включающий в себя целых три протокола, каждый со своими функциями:

1. ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных

2. AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных

3. IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec SA (Security Association), т.е. согласования работы участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга.

Security Association в общем смысле представляет собой набор параметров защищенного соединения (например, алгоритм шифрования, ключ шифрования), который может использоваться обеими сторонами соединения. У каждого соединения есть ассоциированный с ним SA.

Рассмотрим, как создается защищенное соединение в IPSec:

1) Для начала, участникам надо договориться, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения, поэтому используется протокол IKE. Процесс состоит из двух фаз:

• Фаза первая: участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения (тоже защищенного), предназначенного только для обмена информацией о желаемых/поддерживаемых алгоритмах шифрования и прочих деталях будущего IPSec-туннеля. Параметры этого мини-туннеля (правильно он называется ISAKMP Tunnel) определяются политикой ISAKMP, для редактирования которой используют команду crypto isakmp policy номер_политики. Если стороны пришли к соглашению, устанавливается ISAKMP туннель (его наличие можно посмотреть командой show crypto isakmp sa), по которому уже проходит вторая фаза IKE.

• Фаза вторая: уже доверяющие друг другу участники договариваются о том, как строить основной туннель для данных. Они по очереди предлагают друг другу варианты, указанные в команде crypto ipsec transform-set, и, если приходят к согласию, поднимают основной туннель. Необходимо отметить, что после его установления вспомогательный ISAKMP туннель никуда не пропадает – он используется для обновления SA основного. Это объясняется тем, что ключи, выбираемые для шифрования информации в IPSec-туннеле, имеют некоторое “время жизни” (может выражаться как в количестве байт, так и в секундах – что первое достигнет порогового значения), по истечении которого должны быть заменены. Это как пароль, который необходимо менять раз в час (по умолчанию lifetime IPSec SA составляет 4608000 килобайт/3600 секунд).

2) Участники получили шифрованный туннель с параметрами, которые их всех устраивают, и направляют туда потоки данных, подлежащие шифрованию, т.е., подпадающие под указанный в crypto map список доступа.

3) Периодически, в соответствии с настроенным lifetime, обновляются ключи шифрования для основного туннеля: участники вновь связываются по ISAKMP-туннелю, проходят вторую фазу и устанавливают новые SA.

Как будут шифроваться наши данные, идущие через туннель, определяет команда crypto ipsec transform-set имя_сета, после которой идет название протокола, который будет использован (ESP или AH) + алгоритм, по которому будет работать протокол. Например, команда crypto ipsec transform-set SET1 esp-aes даст понять маршрутизатору, что transform-set с именем “SET1”, если он будет применен, будет работать только по протоколу ESP c шифрованием алгоритмом AES. ESP шифрует, т.е. обеспечивает конфиденциальность.

Заголовок AH обеспечивает аутентификацию данных, то есть дает уверенность, что эти данные пришли именно от того, с кем установили связь, и не были изменены по дороге. В каждый пакет между заголовком IP и заголовком транспортного уровня вставляется заголовок AH, в котором присутствует:

• информация, по которой получатель может понять, к какой SA относится данный пакет (в том числе, по какому алгоритму ему считать hash для сравнения – MD5 или SHA)

• ICV (Integrity Check Value), представляющий собой hash от пакета (на самом деле, не всего пакета, а неизменяемых в процессе передачи полей), который позволяет однозначно убедиться получателю, что этот пакет не изменялся по дороге, путем вычисления hash от той же информации и сравнения результата со значением этого поля.

IPsec может функционировать в двух режимах: транспортном и туннельном. В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP). В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети. Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

При организации взаимодействия подразделений компаний необходимо использовать выход в Интернет. Стоит отметить, что в сети Интернет используются публичные IP-адреса, а в компаниях – частные. Частные адреса не маршрутизируются в сети Интернет. Для решения этой проблемы требуется использовать технологию NAT.

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. (Другими словами, пакет, проходя через маршрутизатор, может поменять свой адрес источника и/или назначения).

NAT выполняет три важных функции.

1. Позволяет экономить IP-адреса (только в случае использования NAT в режиме PAT), транслируя несколько внутренних частных IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с частными (внутренними) IP-адресами.

2. Позволяет предотвратить или ограничить обращение снаружи к внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет попасть по адресу http://example.org:54055, но на внутреннем сервере, находящемся за NAT, он будет работать на обычном 80-м порту. Повышение безопасности и сокрытие «непубличных» ресурсов.