Мережа VPN

Мережа VPN та принцип її роботи

Мережа VPN - загальна назва віртуальних приватних мереж, що створюються поверх інших мереж, які мають менший рівень довіри. VPN-тунель, який створюється між двома вузлами, дозволяє приєднаному клієнту бути повноцінним учасником віддаленої мережі і користуватись її сервісами — внутрішніми сайтами, базами, принтерами, політиками виходу в Інтернет. Безпека передавання інформації через загальнодоступні мережі реалізується за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією. Технологія VPN дозволяє об'єднати декілька географічно віддалених мереж (або окремих клієнтів) в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів. Залежно від застосовуваних протоколів і призначення, VPN може бути трьох видів:

• Комутовані мережі. Така мережа VPN пов'язує надомних працівників, мобільних користувачів і навіть невеликі віддалені підрозділи компанії (інтенсивність трафіку яких невисока) з глобальною мережею підприємства і корпоративними обчислювальними ресурсами.

• Інтрамережі. Інтрамережа VPN з'єднує фіксовані підрозділи, філії та домашні офіси в рамках глобальної мережі підприємства.

• Екстрамережі. Така мережа дозволяє обмежений доступ до обчислювальних ресурсів підприємства діловим партнерам (наприклад, постачальникам або клієнтам) з метою спільного використання інформації, що становить спільний інтерес.

Структура VPN

VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути кілька, і «зовнішня» мережу, через яку проходить інкапсульоване з'єднання. Можливо також підключення до віртуальної мережі окремого комп'ютера. Підключення віддаленого користувача до VPN проводиться за допомогою сервера доступу, який підключений як до внутрішньої, так і зовнішньої (загальнодоступною) мережі. При підключенні віддаленого користувача (або під час активного з'єднання з іншого захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації.

Регламенти VPN

Для реалізації кожного із зазначених типів мереж VPN використовуються набори відповідних протоколів. Нижче перераховані найбільш популярні протоколи, використовувані для створення мереж VPN.

• Протокол GRE (Generic Routing Encapsulation - загальна інкапсуляція для маршрутизації). Розроблений Cisco тунельний протокол, що забезпечує інкапсуляцію багатьох типів протокольних пакетів в тунелі IP, створює віртуальну двоточкову зв'язок з маршрутизаторами Cisco в віддалених точках IP-мережі.
• Протокол L2F (Layer 2 Forwarding - протокол пересилки рівня 2). Розроблений Cisco тунельний протокол, який дозволяє створити мережу VPDN (Virtual Private Dialup Network - віртуальна приватна коммутируемая мережу) - систему, що забезпечує існування комутованих мереж, що поширюються на віддалені домашні офіси, які здаються при цьому безпосередньою частиною мережі підприємства.
• Протокол РРТР (Point-to-Point Tunneling Protocol - протокол тунелювання двухточечного з'єднання). Розроблений Microsoft мережевий протокол, що забезпечує захищену передачу даних від віддаленого клієнта до приватного сервера підприємства за допомогою створення мережі VPN над IP-мережами. Протокол РРТР підтримує маршрутизацію на вимогу, мультипротокольний обмін і віртуальні приватні мережі у відкритих мережах типу Internet.
• Протокол L2TP (Layer 2 Tunnel Protocol - протокол тунелювання РРР з'єднання рівня 2). Розроблений Cisco і Microsoft тунельний протокол, що дозволяє створювати мережі VPDN.
• Протокол L2TP є розширенням протоколу РРР (Point-to-Point Protocol - протокол передачі від точки до точки), що використовується для мереж VPN, і об'єднує кращі можливості тунельних протоколів РРТР і L2F.

Побудова VPN мережі за допомогою IPSec протоколу

Транспортний режим роботи

У транспортному режимі шифрується лише інформативна частина IP-пакета. Маршрутизація не зачіпається, так як заголовок IP-пакета не змінюється. Транспортний режим, як правило, використовується для встановлення з'єднання між хостами.

IPSec використовується для шифрування всього трафіку між мережами PC0 і Server0 на роутерах 1 і 2

Задаємо IP-адресацію і маску мережі для PC0, Server0 і Server1.

Налаштування Router0:
На вкладці Config вибираємо порт FastEthernet0 / 0 і впісуем ip-адреса і маску.

Таку ж процедуру повторюємо для порту FastEthernet0/1

Настройка Router1:

Активація та створення політик IKE

Задаємо політику IKE з рівнем пріоритету 10

Router(config)#crypto isakmp policy 10

Задаємо алгоритм шифрування повідомлень

Router(config-isakmp)#encryption aes 256

Визначаємо метод аутентифікації сторін із заздалегідь узгодженими ключами

Router(config-isakmp)#authentication pre-share

Вказуємо ідентифікатор групи 5 з 1 536-бітовим ключем шифрування

Router(config-isakmp)#group 5

Межа часу існування асоціації захисту IKE в секундах

Router(config-isakmp)#lifetime 900

Протокол IKE (обмен Internet-ключами) це гібридний протокол, що забезпечує спеціальний сервіс для IPSec, а саме аутентифікація сторон IPSec, узгодження параметрів асоціацій захисту IKE та IPSec, а також вибір ключів для шифрування алгоритмів, що використовуються в рамках IPSec. Протокол IKE опирається на протоколи ISAKMP (Асоціація інтернет-безпеки та протокол управління ключами - протокол управління асоціаціями і ключами захисту в мережі Інтернет) і Oakley, які застосовуються для управління процесом створення та обробки ключів шифрування, що використовуються в перетвореннях IPSec. Протокол IKE також застосовується для формування асоціацій захисту між потенційними сторонами IPSec.

Узгодження загальних ключів

Установка значення загального ключа і ip-адреси віддаленої сторони

Router(config)#crypto isakmp key ourkey address 10.2.0.2

Визначення набору перетворень

Задаємо набір перетворення під ім'ям "50" із зазначенням двох перетворень, що визначають протоколи і алгоритми захисту IPSec

Router(config)#crypto ipsec transform-set 50 ah-sha-hmac esp-3des

Створення та налагодження криптографічного карти

Створюємо крипто-карту під ім'ям ourmap і порядковим номером 10 ipsec-isakmpуказиваем на вимогу використання IKE при створенні асоціацій захисту

Router(config)#crypto map ourmap 10 ipsec-isakmp

Ідентифікуємо IPSec-партнера

Router(config-crypto-map)#set peer 10.2.0.2

Вказуємо час життя створюваних асоціацій

Router(config-crypto-map)#set security-association lifetime seconds 1800

Встановлюємо раніше створений набір перетворень

Router(config-crypto-map)#set transform-set 50

Посилається на список доступу, який визначає вибір трафіку, що підлягає захисту засобами IPSec

Router(config-crypto-map)#match address 101

Router(config)#access-list 101 permit ip 10.0.0.0 0.0.0.255 10.4.0.0 0.0.0.255

Застосування криптографічного карти до інтерфейсу

Router(config-if)#crypto map ourmap

Router(config-if)#no shutdown

Так само налаштовуємо Router2:

Router(config)#crypto isakmp policy 10

Router(config-isakmp)#encryption aes 256

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#group 5

Router(config-isakmp)#lifetime 900

Router(config)#crypto isakmp key ourkey address 10.1.0.1

Router(config)#crypto ipsec transform-set 50 ah-sha-hmac esp-3des

Router(config)#crypto map ourmap 10 ipsec-isakmp

Router(config-crypto-map)#set peer 10.3.0.3

Router(config-crypto-map)#set security-association lifetime seconds 1800

Router(config-crypto-map)#set transform-set 50

Router(config-crypto-map)#match address 101

Router(config)#access-list 101 permit ip 10.4.0.0 0.0.0.255 10.0.0.0 0.0.0.255

Router(config-if)#crypto map ourmap