L2TP (Layer 2 Tunneling Protocol)

ВСТУП

Сучасний розвиток інформаційних технологій і, зокрема, мережі Internet, призводить до необхідності захисту інформації, переданої в рамках розподіленої корпоративної мережі, що використовує мережі відкритого доступу. При використанні своїх власних фізичних каналів доступу ця проблема так гостро не стоїть, оскільки в цю мережу не має доступу ніхто зі сторонніх. Однак вартість таких каналів висока, тому не кожна компанія дозволить собі використовувати їх. У зв'язку з цим Internet є найбільш доступним. Internet є незахищеною мережею, тому доводиться винаходити способи захисту конфіденційних даних, переданих по незахищеній мережі.

VPN - це технологія, яка об'єднує довірені мережі, вузли і користувачів через відкриті мережі, яким немає довіри Це найбільш яскравий образ технології, яка набуває все більшого поширення серед не тільки технічних фахівців, а й серед пересічних користувачів, яким також потрібно захищати свою інформацію (наприклад, користувачі Internet-банків або Internet-порталів).

Що ж таке VPN? Існує безліч визначень, однак головною відмінною рисою даної технології є використання мережі Internet як магістралі для передачі корпоративного IP-трафіку. Мережі VPN призначені для вирішення завдань підключення кінцевого користувача до віддаленої мережі і з'єднання декількох локальних мереж. Структура VPN включає в себе канали глобальної мережі, захищені протоколи та маршрутизатори.

Будь-яка організація, будь вона виробничої, торговельної, фінансової компанії або державною установою, обов'язково стикається з питанням передачі інформації між своїми філіями, а також з питанням захисту цієї інформації. Не кожна фірма може собі дозволити мати власні фізичні канали доступу, і тут допомагає технологія VPN, на основі якої і з'єднуються всі підрозділи та філії, що забезпечує достатню гнучкість і одночасно високу безпеку мережі, а також істотну економію витрат.

Віртуальна приватна мережа (VPN - Virtual Private Network) створюється на базі загальнодоступної мережі Інтернет. І якщо зв'язок через Інтернет має свої недоліки, головним з яких є те, що вона схильна потенційним порушень захисту та конфіденційності, то VPN можуть гарантувати, що направляється через Інтернет трафік так само захищений, як і передача всередині локальної мережі. У теж час віртуальні мережі забезпечують істотну економію витрат у порівнянні з вмістом власної мережі глобального масштабу.

У дипломній роботі розглядається настройка VPN з'єднання для студії розробки прикладного ПО «PowerWare».

1. ТЕХНІЧНЕ ЗАВДАННЯ

У дипломній роботі розглядається студія розробки прикладного ПО «PowerWare», яка спеціалізується на розробці замовних програм і сайтів. Відкривається нова філія в орендованому приміщенні на двох поверхах. Мережеве обладнання та робочі станції відсутні. Надалі можливе розширення штату співробітників.

У філії планується організувати WEB сервер для розміщення сторінок клієнтів.

Мета дипломної роботи:

Виконати проект мережі філії і встановити приватна віртуальне з'єднання з основним підприємством.

Вихідні дані:

У філії розташовуються такі відділи і співробітники:

· Директор, секретар, менеджер з розвитку, системний адміністратор

· Бухгалтерія - 4 людини

· Планувальники завдань - 5 осіб

· Відділ розробки JAVA - 10 осіб

· Відділ розробки PHP- 10 осіб

· Відділ верстки - 5 чоловік

· Відділ розробки C # / C ++ - 10 осіб

· Відділ дизайну - 5 людини

· Відділ тестіровкі PHP / JAVA - 8 осіб

· Відділ тестіровкі С # / С ++ - 5 чоловік

· Відділ маркетингу - 4 осіб

· Відділ підтримки продуктів C # / C ++ - 10 осіб

· Відділ підтримки продуктів WEB - 10 осіб

Кількість ПК – 90, комп'ютерної мережі немає. План приміщень наведено у Додатку А

Завдання дипломної роботи:

• Проаналізувати можливості різних видів віддаленого доступу.

• Розробити локальну мережу для філії «PowerWare», включаючи вибір технології, топології, мережевий адресації і підбір обладнання.

• Описати основи організації VPN

• Скласти інструкцію для адміністратора з налаштування мережі і віртуального приватного з'єднання для філії.

• Розробити допустимі норми з охорони праці кабінету тестувальників.

• Розрахувати вартість організації локальної мережі у філії «PowerWare».

Вимоги до виконання дипломної роботи:

• Забезпечити доступ всіх співробітників в інтернет.

• Забезпечити швидкість інтернет з'єднання не менше 1Гб / с для доступу до WEB сервера.

• Забезпечити централізоване зберігання даних філії і доступ до них.

• Забезпечить резервне зберігання даних для WEB сервера

• Потрібно забезпечити зв'язок двох мереж і віддалений доступ окремих працівників з мережі філії.Протоколы удалённого доступа

2. ВИДИ ТА ПРОТОКОЛИ ВІДДАЛЕННОГО ДОСТУПУ

2.1. ПРОТОКОЛИ ВІДДАЛЕНОГО ДОСТУПУ

PPP (Point-to-Point Protocol)

Двоточковий протокол канального рівня мережевої моделі OSI. Зазвичай використовується для встановлення прямого зв'язку між двома вузлами мережі, причому він може забезпечити аутентифікацію з'єднання, шифрування і стиснення даних. Використовується на багатьох типах фізичних мереж: нуль-модемний кабель, телефонна лінія, стільниковий зв'язок...

Часто зустрічаються підвиди протоколу PPP, такі як Point-to-Point Protocol over Ethernet (PPPoE), використовуваний для підключення по Ethernet, і іноді через DSL; і Point-to-Point Protocol over ATM (PPPoA), який використовується для підключення по ATM Adaptation Layer 5 (AAL5), який є основною альтернативою PPPoE для DSL.

PPP являє собою ціле сімейство протоколів: протокол керування лінією зв'язку (LCP), протокол управління мережею (NCP), протоколи аутентифікації (PAP, CHAP), багатоканальний протокол PPP (MLPPP).

Link Control Protocol (LCP) забезпечує автоматичне налаштування інтерфейсів на кожному кінці і опціонально проводить аутентифікацію. Протокол LCP працює поверх PPP, тобто початкова PPP зв'язок має бути до роботи LCP.

PPP дозволяє працювати декільком протоколам мережевого рівня на одному каналі зв'язку. Іншими словами, всередині одного PPP-з'єднання можуть передаватися потоки даних різних мережевих протоколів (IP, Novell IPX і т. Д.), А також дані протоколів канального рівня локальної мережі. Для кожного мережевого протоколу використовується Network Control Protocol (NCP) який його конфигурирует (погоджує деякі параметри протоколу).

PPP виявляє закільцьованих зв'язку, використовуючи особливість, що включає magic numbers. Коли вузол відправляє PPP LCP повідомлення, вони можуть включати в себе магічне число. Якщо лінія закольцована, вузол отримує повідомлення LCP з його власним магічним числом замість отримання повідомлення з магічним числом клієнта.

В комп'ютерних мережах тунельний протокол, що використовується для підтримки віртуальних приватних мереж. Головне достоїнство L2TP полягає в тому, що цей протокол дозволяє створювати тунель не тільки в мережах IP, але і в таких, як ATM, X.25 і Frame Relay.

L2TP використовує два види пакетів: керуючі та інформаційні повідомлення. Керуючі повідомлення використовуються при встановленні, підтримці та анулювання тунелів і викликів. Інформаційні повідомлення використовуються для інкапсуляції PPP-кадрів, що пересилаються по тунелю. Керуючі повідомлення використовують надійний контрольний канал в межах L2TP, щоб гарантувати доставку. Інформаційні повідомлення при втраті не відсилаються повторно.

Керуюче повідомлення має порядковий номер, який використовується в керуючому каналі для забезпечення надійної доставки. Інформаційні повідомлення можуть використовувати порядкові номери, щоб відновити порядок пакетів і детектувати втрату кадрів. Всі коди надсилаються в порядку, прийнятому для мереж.

Протокольні операції - необхідна процедура встановлення PPP-сесії туннелирования L2TP включає в себе два етапи:

1. Встановлення керуючого каналу для тунелю

2. Формування сесії відповідно до запиту вхідного або вихідного дзвінка.

Тунель і відповідний керуючий канал повинні бути сформовані до ініціалізації вхідного або вихідного викликів. L2TP-сесія повинна бути реалізована до того, як L2TP зможе передавати PPP-кадри через тунель. В одному тунелі можуть існувати кілька сесій між одними і тими ж LAC і LNS.

Керуюче з'єднання - є первинним, яке має бути реалізовано між LAC і LNS перед запуском сесії. Встановлення керуючого з'єднання включає в себе безпечну ідентифікацію партнера, а також визначення версії L2TP, можливостей каналу, кадрового обміну... L2TP включає в себе просту, опціонну, CHAP-подібну систему аутентифікації тунелю в процесі встановлення керуючого з'єднання.

Встановлення сесії - після успішного встановлення керуючого з'єднання можуть формуватися індивідуальні сесії. Кожна сесія відповідає одному PPP інформаційного потоку між LAC і LNS. На відміну від встановлення керуючого з'єднання, встановлення сесії є асиметричним відносно LAC і LNS. LAC запрошувати LNS доступ до сесії для вхідних запитів, а LNS запрошувати LAC запустити сесію для роботи з вихідними запросамі.Когда тунель сформований, PPP-кадри від віддаленої системи, одержувані LAC, звільняються від CRC, канальних заголовків і т. П., Інкапсульованих в L2TP, і переадресовуються через відповідний тунель. LNS отримує L2TP-пакет і обробляє інкапсульований PPP-кадр, як якби він був отриманий через локальний інтерфейс PPP. Відправник повідомлення, асоційований з певною сесією і тунелем, поміщає ID сесії і тунелю (специфіковані партнером) у відповідні поля заголовка всіх вихідних повідомлень.

Використання порядкових номерів в каналі даних - порядкові номери, визначені в заголовку L2TP, використовуються для організації надійного транспортування керуючих повідомлень. Кожен партнер підтримує окрему нумерацію для керуючого з'єднання і для кожної інформаційної сесії в межах туннеля.В відміну від каналу управління L2TP, інформаційний канал L2TP використовує нумерацію повідомлень не для повторної пересилки, а для детектування втрат пакетів та / або відновлення початкової послідовності пакетів, перемішаних при транспортіровке.LNS може ініціювати заборону нумерації повідомлень в будь-який час в ході сесії (включаючи перше інформаційне повідомлення).

Механізм keepalive (Hello) - механізм keepalive використовується L2TP для того, щоб розрізняти простої тунелю і тривалі періоди відсутності управління або інформаційної активності в тунелі. Це робиться за допомогою керуючих повідомлень Hello після заданого періоду часу, який минув з моменту останнього одержання керуючого повідомлення через тунель. При недоставку повідомлення Hello тунель оголошується неробочим, і система повертається в початковий стан. Механізм переведення транспортної середовища в початковий стан шляхом введення повідомлень Hello гарантує, що розрив з'єднання між LNS і LAC буде детектувати на обох кінцях тунелю.

Переривання сесії - може бути ініційоване LAC або LNS і виконується шляхом посилки керуючого повідомлення CDN. Після того як остання сесія перервана, керуюче з'єднання може бути також розірвано.

Розрив контрольного з'єднання - може бути ініційований LAC або LNS і виконується шляхом посилки одного керуючого повідомлення StopCCN.

Безпека на кінці тунелю

Кінці тунелю можуть опционно виконувати процедуру аутентифікації один одного при встановленні тунелю. Ця аутентифікація має ті ж атрибути безпеки, що і CHAP, і володіє розумним захистом проти атак відтворення і спотворення в процесі встановлення тунелю. Для реалізації аутентифікації LAC і LNS повинні використовувати загальний секретний ключ.

Безпека пакетного рівня

Забезпечення безпеки L2TP вимагає, щоб транспортна середу могла забезпечити шифрування переданих даних, цілісність повідомлень і аутентифікацію послуг для всього L2TP-трафіку. Сам же L2TP відповідальний за конфіденційність, цілісність і аутентіфіцірованность L2TP-пакетів всередині тунелю.

L2TP і IPsec

При роботі поверх IP, IPsec (безпечний IP) надає безпеку на пакетному рівні. Всі керуючі та інформаційні пакети L2TP в конкретному тунелі виглядають для системи IPsec, як звичайні інформаційні UDP / IP-пакети. Крім транспортної безпеки IP, IPsec визначає режим роботи, який дозволяє туннелировать IP-пакети, а також засоби контролю доступу, які необхідні для додатків, що підтримують IPsec. Ці засоби дозволяють фільтрувати пакети на основі характеристик мережевого і транспортного рівнів. У моделі L2TP-тунелю аналогічна фільтрація виконується на PPP-рівні або мережевому рівні поверх L2TP.

Дата добавления: 2015-06-29; Просмотров: 561; Нарушение авторских прав?; Мы поможем в написании вашей работы!