11. REALIZACJA SIECI VPN Wirtualne sieci prywatne mogą być zrealizowane w oparciu o protokoły szyfrujące w różnych warstwach stosu protokołów. Najczęściej.

Slides:



Advertisements
Podobne prezentacje
Procedura instalacji systemu Windows XP
Advertisements

Dostęp do Internetu Frame Relay tp
Sieci komputerowe.
Konwersja klucza z formatu PEM (certyfikaty Gridowe) do PKCS12 Warsztaty promocyjne dla użytkowników usługi Michał Jankowski, PCSS.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
Urządzenia sieciowe Topologie sieci Standardy sieci Koniec.
Zdalny Dostęp VPN.
SSL - protokół bezpiecznych transmisji internetowych
Usługi sieciowe Wykład 5 DHCP- debian Jarosław Kurek WZIM SGGW 1.
Lokalna sieć komputerowa
Obsługa serwera zdalnego przez klienta FTP
Protokoły sieciowe.
Artur Mazurek Piotr Podziemski
Honorata Prokop, Izabela Ubowska
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
Konfiguracja DHCP i dzielenie łącza
Sieci komputerowe: Firewall
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Usługa Windows Server Update Services (WSUS)
Longhorn - Usługi terminalowe
Artur Szmigiel Paweł Zarębski Kl. III i
SAMBA JAKO SERWER PLIKÓW
SPRZĘT W UBUNTU 1. Sterowniki do sprzętu w naszym komputerze? Większość sterowników jest już dostępnych w ramach jądra Linuksa i są zainstalowane wraz.
KONFIGURACJA KOMPUTERA
TOPOLOGIA SIECI LAN.
Konfiguracja kont w programie Adobe Dreamweaver
Protokół Komunikacyjny
MODEL WARSTWOWY PROTOKOŁY TCP/IP
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
BUDOWA I DZIAŁANIE SIECI KOMPUTEROWYCH
Prezentacja Adrian Pyza 4i.
Metody zabezpieczania transmisji w sieci Ethernet
Realizacja prostej sieci komputerowej
Pojęcia związane z siecią
Temat 4: Rodzaje, budowa i funkcje urządzeń sieciowych.
Prezentacja i szkolenie
Sieci komputerowe.
OpenVPN – konfiguracja w systemie Linux i Windows.
Linux w sieci Konfigurowanie interfejsu sieciowego.
Prezentacja Adrian Pyza 4i.
Pulpit zdalny.
SYSTEMY OPERACYJNE Adresowanie IP cz3.
Sieci komputerowe.
Systemy operacyjne i sieci komputerowe
Konfiguracja VPN Klienta – Windows 7
Systemy operacyjne i sieci komputerowe
Jednym z podstawowych celów tworzenia sieci komputerowych jest współdzielenie zasobów, takich jak pliki lub drukarki. Każdy z takich zasobów musi być udostępniony,
Systemy operacyjne i sieci komputerowe
Konfiguracja VPN Serwera – Windows 7
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Sposoby zdalnego sterowania pulpitem
Wykład 7 i 8 Na podstawie CCNA Exploration Moduł 5 i 6 – streszczenie
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
2) Serwery pośredniczące (proxy) Serwery pośredniczące służą nie do wybiórczego przekazywania pakietów IP (jak filtry pakietów), ale do wybiórczego przekazywania.
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Instalacja i konfiguracja kontrolera domeny. Jest to komputer, na którym uruchomiono usługę Active Directory W małej sieci wystarczy jeden kontroler w.
Protokoły używane w sieciach LAN Funkcje sieciowego systemu komputerowego Wykład 5.
Model TCP/IP Wykład 6.
materiały dla uczestników
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Podstawy sieci komputerowych
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
Linux ssh.
AudaPad / AudaShare AudaShare PRO (2.8)
Zapis prezentacji:

11. REALIZACJA SIECI VPN Wirtualne sieci prywatne mogą być zrealizowane w oparciu o protokoły szyfrujące w różnych warstwach stosu protokołów. Najczęściej do tego celu służą protokoły SSL (TLS) lub IPsec. Istnieje wiele protokołów opakowujących (tunelujących), które nie zabezpieczają danych (nie zapewniają szyfrowania, sprawdzania integralności ani uwierzytelniania), a jedynie służą do przenoszenia danych innych protokołów przez opakowanie ich w dodatkowe nagłówki (na przykład GRE – Generic Routing Encapsulation lub MPLS – Multiprotocol Label Switching, czy chociażby tunelowanie ruchu IPv6 w sieciach IPv4). Takie protokoły mogą służyć do tworzenia wirtualnych sieci prywatnych, jeśli współpracują z dodatkowym oprogramowaniem zabezpieczającym. Dla różnych systemów operacyjnych (na przykład Linux, Windows, Cisco IOS, systemy routerów Linksys) zostały opracowane biblioteki oprogramowania umożliwiające tworzenie różnego rodzaju wirtualnych sieci prywatnych. Niektóre z nich (zestandaryzowane) mogą współpracować ze sobą, a niektóre należy traktować jako rodzime dla danego rodzaju systemów operacyjnych.

Wyróżniane są dwa zasadnicze rodzaje wirtualnych sieci prywatnych: - tunelujące cały ruch pomiędzy połączonymi sieciami LAN (Site-to-Site VPNs); - tunelujące poszczególne połączenia przychodzące (Remote-Access VPNs). Sieci VPN pierwszego rodzaju zazwyczaj służą do zabezpieczania całego ruchu pomiędzy różnymi oddziałami firmy lub instytucji, rozproszonymi po większym regionie geograficznym i stanowią alternatywę dla dzierżawienia (lub zakupu) oddzielnych linii telekomunikacyjnych. Sieci VPN drugiego rodzaju zwykle służą do zapewniania doraźnych, bezpiecznych połączeń dla pracowników mobilnych firmy (łączących się z centralą z różnych miejsc przy użyciu komputerów przenośnych i potrzebujących czasowego dostępu do danych firmowych). Mogą też służyć do udostępniania bezpiecznych połączeń z firmą komputerów domowych (mniej zalecane). Uwaga Zazwyczaj interfejs zewnętrzny routera zewnętrznego (bramy) sieci LAN służy zarówno do przekazywania połączeń VPN, jak i połączeń niezabezpieczonych – sprawą bardzo istotną jest w takiej sytuacji właściwe ustawienie reguł filtrowania pakietów w routerze.

Narzędzia służące do tworzenia sieci VPN 1) SSH (Secure Shell) Program SSH zasadniczo został zaprojektowany w celu umożliwienia zdalnych, bezpiecznych połączeń w trybie tekstowym (otwierania terminali tekstowych z przyporządkowanym interpretatorem poleceń). Używa kluczy asymetrycznych RSA w fazie wstępnych negocjacji oraz wybranej przez użytkownika metody szyfrowania z kluczem symetrycznym do przekazywania danych. Nowsze wersje klientów SSH umożliwiają też tworzenie szyfrowanych tuneli VPN chroniących dowolne połączenia TCP. Typowymi przykładami programów klientów SSH są: - program ssh dla systemów linuksowych (działający w trybie tekstowym); - program Putty.exe dla systemów Windows (posiadający graficzny interfejs użytkownika). Przykładem serwera SSH jest linuksowy program sshd.

Przykład [M. Serafin] Jeśli pracujemy na lokalnym systemie linuksowym i chcemy pobrać pocztę przy użyciu protokołu POP3 ze zdalnego systemu linuksowego w bezpieczny sposób, możemy użyć polecenia: ssh użytkownik@host -L port_lokalny:127.0.0.1:110 Powyższe polecenie mówi, że serwer usługi ssh działający pod systemem zdalnym o nazwie/adresie host powinien połączyć się z serwerem usługi POP3 (nasłuchującym na porcie TCP 110) na tym samym hoście (adres pętlowy 127.0.0.1) i przekazać połączenie TCP przez tunel zaszyfrowany do portu TCP o numerze port_lokalny na hoście, na którym zostało podane powyższe polecenie. Wykonanie polecenia rozpocznie się od pobrania hasła użytkownika zarejestrowanego w systemie zdalnego hosta. Wyżej użyta technika nazywana jest przekazywaniem portów (port forwarding). Ogólnie, przekazywanie portów może mieć miejsce zarówno w systemie zdalnym, jak i w systemie lokalnym.

Uwaga W systemach linuksowych użytkownik nie posiadający praw administratora (root) ma możliwość otwierania portów o numerach tylko powyżej 1023 (nie zastrzeżonych dla usług standardowych). W systemach Windows (dla użytkowników indywidualnych) tego rodzaju ograniczenie nie obowiązuje, w związku z czym użytkownik programu Putty.exe pod Windows ma możliwość wpisania standardowego numeru portu 110 również dla systemu lokalnego (pole Source port w opcji Tunnels). Opisaną sytuację ilustruje poniższy rysunek ( [M. Serafin] ): Program Program Internet Serwer Serwer pocztowy Putty.exe SSH POP3 127.0.0.1:110 host:22 127.0.0.1:110

Przykład [M. Serafin] Poniższy przykład pokazuje, jak można wykorzystać program SSH w charakterze SOCKS proxy przekazującego do przeglądarki dane protokołu HTTP otrzymane szyfrowanym kanałem ze zdalnego systemu linuksowego: ssh użytkownik@host -D 8080 W ustawieniach przeglądarki należy podać numer portu 8080 na komputerze lokalnym jako numer portu wykorzystywanego przez proxy protokołu SOCS. Opcja -D oznacza użycie portu dynamicznego (dynamic port), co w praktyce przekłada się na możliwość pobierania stron domowych spod różnych adresów, bez potrzeby otwierania oddzielnego kanału dla każdej z nich. W przypadku użycia jako klienta programu Putty.exe, należy w opcji Tunnels zaznaczyć pozycję Dynamic.

Przykład [M. Serafin] Poniższy przykład ilustruje możliwość przekazywania portu po stronie serwera (remote forward), która przez autora przykładu jest wykorzystana do nawiązania połączenia z komputera w pracy do komputera w domu (i skorzystania z usługi Zdalnego Pulpitu oferowanej przez komputer domowy) przy użyciu kanału szyfrowanego otwartego wcześniej z komputera domowego do pośredniczącego serwera linuksowego. Należy zwrócić uwagę na fakt, że zestawione połączenie działa w sytuacji, kiedy komputer w domu nie ma przydzielonego adresu publicznego, a jedynie adres prywatny IP w obrębie sieci osiedlowej: - w programie Putty.exe na komputerze domowym, w opcji Tunnels należy wpisać numer portu usługi Zdalnego Pulpitu na systemie lokalnym (127.0.0.1:3389) i port_zdalny (niewykorzystywany, powyżej 1023) do wykorzystania przez serwer SSH na pośredniczącym systemie linuksowym, oraz wybrać pozycję Remote. - w programie Putty.exe na komputerze w pracy należy w opcji Tunnels skonfigurować lokalne przekazywanie portu z pośredniczącego serwera SSH do dowolnego niewykorzystywanego portu TCP w komputerze lokalnym.

2) Stunnel Program Stunnel jest dostępny na licencji GNU dla systemów linuksowych. Dostępne są również jego niekomercyjne wersje dla systemów Windows. Działanie tego programu opiera się na pakiecie OpenSSL, który należy wcześniej pobrać i zainstalować. W przypadku wykorzystywania oprogramowania OpenSSL do połączeń z większą liczbą komputerów, należy najpierw skonfigurować własne centrum certyfikacji (Certification Authority – CA), wygenerować klucze i certyfikat dla serwera połączeń i powiadomić o nich klientów. Uwaga Nie ma jednolitego standardu plików zawierających klucze i certyfikaty. W najczęstszym użyciu są standardy PEM, DER i PKCS12. Pliki w systemach Linux zgodne ze standardem PEM mają rozszerzenia .pem lub .crt, a w systemach Windows – .cer . Pliki w systemach Windows zgodne ze standardem DER mają rozszerzenia .der , a zgodne ze standardem PKCS12 – rozszerzenia .pfx . Oprogramowanie OpenSSL ma możliwość konwersji dowolnego z wyżej wymienionych formatów plików na dowolny inny (polecenie openssl z odpowiednimi argumentami).

3) OpenVPN Oprogramowanie OpenVPN jest niekomercyjnym oprogramowaniem dostępnym zarówno dla systemów linuksowych, jak i dla wszystkich nowszych wersji systemów Windows (poza Me). W systemach linuksowych dostępne jest w trybie tekstowym, dla systemów Windows dodatkowo można pobrać nakładkę graficzną, która znacznie ułatwia konfigurację. OpenVPN może służyć zarówno do zastosowań typu Site-to-Site, jak i do zastosowań typu Remote- Access. W obu tych zastosowaniach program działa w tak zwanym trybie rutera. Drugi z dostępnych trybów, tryb mostu, umożliwia przekazywanie również ramek rozgłoszeniowych, dzięki czemu może służyć nie tylko do tunelowania ruchu IP, ale również innych protokołów warstwy trzeciej (na przykład IPX). OpenVPN działa w oparciu o protokół SSL. Rozwiązanie problemu tworzenia i dystrybucji kluczy i certyfikatów wygląda podobnie, jak w przypadku programu Stunnel.

4) OpenSWAN OpenSWAN jest niekomercyjnym programem dla systemów Linux. Jest ulepszoną wersją wcześniejszego (niezbyt udanego) programu FreeSWAN. W działaniu opiera się na protokole IPsec. W przypadku współpracy z implementacjami IPsec dla systemów Windows wymagane jest pobranie i instalacja oprogramowania protokołu warstwy drugiej L2TP (używanego w sieciach WAN). OpenSWAN może być używany zarówno do przyjmowania bezpiecznych połączeń od pracowników mobilnych (zazwyczaj dysponujących komputerami przenośnymi z różnymi wersjami systemów Windows), jak i do tworzenia tunelu szyfrowanego pomiędzy dwoma serwerami linuksowymi pełniącymi rolę bram do sieci LAN. Wszystkie nowsze wersje systemów Windows używane w komputerach przenośnych mają wbudowane klienty IPsec, które wystarczy jedynie odpowiednio skonfigurować (używając ich graficznego interfejsu użytkownika).

5) Systemy Windows Server Wszystkie systemy Windows Server mają możliwość pracowania w charakterze bram VPN – zarówno dla połączeń Site-to-Site, jak i dla przychodzących połączeń Remote-Access. Sieci VPN są tworzone w oparciu o protokół PPTP (mogącego tunelować ramki protokołu warstwy drugiej PPP) lub w oparciu o IPsec (współpracujący z L2TP). Cała konfiguracja bramy VPN odbywa się przy użyciu graficznego interfejsu użytkownika (usługa Routing i dostęp zdalny w menu Narzędzia administracyjne). Protokół PPTP stanowi zmodyfikowaną wersję protokołu GRE. Ponieważ pozwala tunelować ramki, może przenosić nie tylko ruch IP, ale również inne protokoły warstwy trzeciej. Do uwierzytelniania stosuje jeden z rodzimych protokołów Windows lub standard EAP-TLS (do wyboru). Zapewnia również szyfrowanie. Uwaga Dostęp użytkowników do VPN może być definiowany „ręcznie” lub na podstawie przynależności do grup wyróżnianych przez usługę Active Directory.

6) Systemy Cisco IOS i systemy routerów Linksys