Разработка подсистемы шифрования и аутентификации на базе маршрутизаторов Cisco Systems

Содержание 3
Введение 6
Глава 1. Проектирование подсистемы шифрования и аутентификации 11
1.1 Обзор технологии ВЧС 11
1.1.1 Краткий обзор 11
1.1.2 Структура ВЧС 15
1.1.3 Типы ВЧС 15
1.1.4 Задачи, решаемые с ВЧС 16
1.1.5 Сравнение реализаций ВЧС 17
1.1.6 Разновидности ВЧС по архитектуре 17
1.1.7 Проблемы и перспективы развития 19
1.1.8 Сравнение с аналогами, реализующими защиту вычислительной
сети 20
1.2 Обзор существующих протоколов шифрования и аутентификации и выделение наиболее подходящего для реализации комплекса 22
1.2.1 IPSec 22
1.2.1.1 Краткая информация 22
1.2.1.2 Стандарты 22
1.2.1.3 Техническая информация 22
1.2.1.4 Архитектура IPSec 23
1.2.1.5 Заголовок АН 27
1.2.1.6 Заголовок ESP 29
1.2.1.7 Транспортный режим 30
1.2.1.8 Туннельный режим 30
1.2.1.9 Security Associations 31
1.2.1.10 Политика безопасности 31
1.2.1.11 ISAKMP/Oakley 32
1.2.1.12 IKE 32
1.2.1.13 Атаки на АН, ESP и IKE 33
1.2.1.14 Оценка протокола 35
1.2.1.15 Сравнение IPSec и SSL 36
1.2.2 PPTP 38
1.2.3 L2TP 38
1.2.4 Выбор протокола ВЧС 38
1.3 Выбор оборудования 39
1.3.1 Выбор средства реализации ВЧС 39
1.3.2 Выбор производителя 39
1.3.2.1 Преимущества решений на базе технологий Cisco 39
1.3.2.2 Преимущества систем сетевой безопасности от Cisco 40
1.3.2.3 Преимущества Cisco, которые прежде всего имеют отношение к проекту 40
1.3.2.4 Недостатки оборудования Cisco 40
1.3.3 Выбор маршрутизатора 41
1.3.3.1 Серия маршрутизаторов Cisco SOHO 90 41
1.3.3.2 Серия маршрутизаторов Cisco 800 43
1.3.3.3 Серия маршрутизаторов Cisco 1700 - выбрана для проекта (1760)
45
1.3.3.4 Серия маршрутизаторов Cisco 2600 49
1.3.3.5 Серия маршрутизаторов Cisco 3700 52
1.3.3.6 Итог 54
Глава 2. Реализация подсистемы шифрования и аутентификации 55
2.1 Схема распределенной сети 55
2.2 Первичная установка и настройка базовой конфигурации 56
2.2.1 Пользовательский интерфейс маршрутизатора Cisco 56
2.2.2 Операционная система IOS в маршрутизаторах Cisco 56
2.2.3 Подключение к маршрутизатору Cisco 57
2.2.4 Конфигурация и команды управления 57
2.2.5 Подключение к маршрутизатору 58
2.2.6 Включение маршрутизатора 59
2.2.7 Режим настройки 59
2.2.8 Интерфейс командной строки 60
2.2.9 Регистрация (вход) в маршрутизатор 61
2.2.10 Конфигурирование первоначальной настройки 62
2.3 Обновление IOS для поддержки ВЧС и настройка маршрутизации по умолчанию 65
2.3.1 Обновление IOS 65
2.3.2 Настройка маршрутизации по умолчанию 68
2.4 Разработка конфигурации маршрутизаторов для шифрования и аутентификации между локальными сетями 70
2.4.1 Программирование маршрутизатора Router А 70
2.4.2 Программирование маршрутизатора RouterB 72
2.4.3 Создание списков доступа 73
2.5 Конфигурирование маршрутизаторов для обеспечения информационной безопасности 75
2.5.1 Введение 75
2.5.1.1 Базовые принципы, применяющиеся при конфигурировании 75
2.5.2 Защита паролем 75
2.5.2.1 Пароли и привилегии 76
2.5.2.2 Защита зашифрованным паролем привилегированного доступа 76
2.5.3 Ограничение удаленного доступа 77
2.5.4 SNMP 78
2.5.5 Другие механизмы защиты 79
2.5.5.1 Защита от атак source route 79
2.5.5.2 Отключение ненужных сервисов 79
2.5.5.3 CDP 79
2.5.5.4 Включение по ip unreachables для усложнения взлома, чтобы не открывать другим пользователям, что данный адрес запрещен списками
доступа 80
2.5.6 Уменьшение риска некоторых атак 80
3. Внедрение 82
3.1 Проверка функционирования ВЧС 82
3.1.1 Проверка Security Associations протокола IPSec 82
3.1.2 Команда, показывающая все работающие туннели 84
3.2 Проверка безопасности путем сканирования портов на предмет уязвимостей 85
3.3 Направление развития 86
Заключение 87
Список литературы

Весь текст будет доступен после покупки

В конце шестидесятых годов американское агентство перспективных исследований в обороне DARPA приняло решение о создании экспериментальной сети под названием ARPANet. В семидесятых годах ARPANet стала считаться действующей сетью США, и через эту сеть можно было получить доступ к ведущим университетским и научным центрам США. В начале восьмидесятых годов началась стандартизация языков программирования, а затем и протоколов взаимодействия сетей. Результатом этой работы стала разработка семиуровневой модели сетевого взаимодействия ISO/OSI и семейства протоколов TCP/IP, которое стало основой для построения как локальных, так и глобальных сетей.
Базовые механизмы информационного обмена в сетях TCP/IP были в целом сформированы в начале восьмидесятых годов, и были направлены прежде всего на обеспечение доставки пакетов данных между различными операционными системами с использованием разнородных каналов связи. Несмотря на то, что идея создания сети ARPANet (впоследствии превратившейся в современный Интернет) принадлежала правительственной оборонной организации, фактически сеть зародилась в исследовательском мире, и наследовала традиции открытости академического сообщества. Ещё по коммерциализации Интернета (которая произошла в середине девяностых годов) многие авторитетные исследователи отмечали проблемы, связанные с безопасностью стека протоколов TCP/IP. Основные концепции протоколов TCP/IP не полностью удовлетворяют (а в ряде случаев и противоречат) современным представлениям о компьютерной безопасности.
До недавнего времени сеть Интернет использовалась в основном для обработки информации по относительно простым протоколам: электронная почта, передача файлов, удалённый доступ. Сегодня, благодаря широкому распространению технологий WWW, всё активнее применяются средства распределённой обработки мультимедийной информации. Одновременно с этим растёт объём данных, обрабатываемых в средах клиент/сервер и предназначенных для одновременного коллективного доступа большого тасла абонентов. Разработано несколько протоколов прикладного уровня, обеспечивающих информационную безопасность таких приложений, как электронная почта (РЕМ, PGP и т.п.), WWW (Secure HTTP, SSL и т.п.), cетевое управление (SNMPv2 и т.п.). Однако наличие средств обеспечения безопасности в базовых протоколах семейства TCP/IP позволит осуществлять информационный обмен между широким спектром различных приложений и сервисных служб.

Весь текст будет доступен после покупки

1. Проектирование подсистемы шифрования и аутентификации

1.1 Обзор технологии ВЧС

1.1.1 Краткий обзор

Сети ВЧС (англ. VPN, Virtual Private Network — виртуальная частная сеть) создаются для организации взаимодействия индивидуальных пользователей с удаленной сетью через Internet и для связи нескольких ЛВС. Также с помощью ВЧС может быть реализовано и такое приложение как Extranet, позволяющее через Internet связывать с сетью компании сети ее заказчиков, поставщиков и партнеров.
Главное преимущество виртуальных частных сетей - невысокая стоимость их создания и эксплуатации.
Структура виртуальной сети состоит из каналов глобальной сети, защищенных протоколов и маршрутизаторов.
Для объединения удаленных ЛВС в виртуальную сеть используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе пакеты немаршрутизируемых протоколов) в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Естественно, при подобной передачи требуется решать проблему конфиденциальности и целостности данных, что не обеспечивается простым туннелированием. Конфиденциальность передаваемой корпоративной информации достигается шифрованием.
Основная проблема сетей ВЧС - отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все
еще находятся в процессе разработки и не всегда реализуются в продуктах различных изготовителей; эти продукты не могут устанавливать ВЧС- соединения и автоматически обмениваться ключами друг с другом. Поскольку различные компании не могут пользоваться продукцией одного изготовителя, затрудняется объединение сетей компаний-партнеров в extranet-сети.
Возможность построения ВЧС на оборудовании и ПО различных производителей достигается внедрением некоторого стандартного механизма. Таким механизмом выступает протокол Internet Protocol Security (IPSec), он описывает все стандартные методы ВЧС. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования в конечных точках туннеля и механизмы обмена и управления ключами шифрования между этими точками. Для решения задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами используется протокол IKE (Internet Key Exchange). Протокол IKE, основанный на алгоритме шифрования открытым ключом, автоматизирует обмен ключами и устанавливает безопасное соединение. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.

Весь текст будет доступен после покупки

1. Браун С. Виртуальные частные сети. — М.: Лори, 2011. — 503 с.
2. Лэммл Т. Cisco Certified Network Associate. Учебное руководство. Экзамен 640-801. — М.: Лори, 2014. - 535 с.
3. Корпорация Cisco Systems. Cisco CCNA 1 и 2. Вспомогательное руководство, 3-е изд., с испр.: Пер. с англ. - М.: Вильямс, 2015. — 1168 с.
4. Запечинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей. М: Радио и связь. Год издания: 2003
5. Росляков А. В. Виртуальные частные сети: основы построения и применения. М: Эко-Трендз. Год издания: 2016.
6. Норткат С., Новак Д. Обнаружение нарушений безопасности в сетях. 3-е издание. — М.: Вильямс, 2003. — 448 с.
7. Фортенбери Т. Проектирование виртуальных частных сетей в среде Windows 2000. - М.: Вильямс, 2002. - 320 с.
8. Кэтрин Пакет и Дайана Тир. Создание масштабируемых сетей Cisco. М: Вильямс. Год издания: 2004.

Весь текст будет доступен после покупки