Межсетевые экраны и Интернет-маршрутизаторы D-Link

˗ VLАN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.

˗ VLАN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

В системе NetDefendOS виртуальная локальная сеть может поддерживать один или несколько VLАN-интерфейсов, которые связаны с конкретным физическим интерфейсом. В NetDеfendOS VLАN-интерфейсы рассматриваются как логические интерфейсы и могут обращаться к другим интерфейсам NetdefendOS с помощью наборов правил и таблиц маршрутизации.

VLАN применяется  в нескольких случаях. Обычное  применение – когда один Ethernet-интерфейс представлен как несколько интерфейсов. Это означает, что число физических Еthernet-портов на межсетевых экранах NetDefend не ограничивается числом соединений внешних сетей.

Виртуальные локальные  сети также используются для группировки  отдельных пользователей таким  образом, чтобы их трафик был полностью  отделен от других виртуальных локальных  сетей. Под управлением NetdefendOS трафик может проходить между различными VLАN’ами и фильтроваться с помощью  политик безопасности, предусмотренными правилами системы NetDefend.

Конфигурация виртуальной  локальной сети в системе NetDefend включает в себя комбинацию VLАN-каналов (trunk) от межсетевых экранов NetDefend до коммутаторов, интерфейсы которых настроены, как VLАN на основе портов (port based VLANs). Любой физический интерфейс межсетевого экрана может одновременно пропускать оба трафика – VLАN-трафик для одного или нескольких виртуальных локальных сетей и не- VLАN-трафик.

NetDеfendOS полностью  поддерживает стандарт IEEE 802.1Q для  виртуальных локальных сетей,  которые функционируют, добавляя  к заголовку Ethеrnet-кадра идентификатор  виртуальной локальной сети (VLAN ID). VLАN ID – это число от 0 до 4095, используемое для идентификации виртуальной локальной сети, которой принадлежит каждый фрейм. С применением такого механизма Ethеrnet-фреймы могут принадлежать разным виртуальным локальным сетям и при этом совместно использовать один физический интерфейс. В NetDеfendOS одному физическому интерфейсу может назначаться уникальный VLАN ID и тот же самый VLАN ID может быть назначен другим физическим интерфейсам, т.е. одна и та же виртуальная сеть позволяет объединить компьютеры пользователей, подключенных к разным физическим интерфейсам (на рисунке 3.26 – VLAN1 и VLAN2).

 

Рисунок 3.26 – Подключение VLАN-клиентов

Один или несколько VLАN’ов настроены на физический интерфейс межсетевого экрана NetDefend и соединяются прямо с коммутатором. Это соединение работает как VLАN-канал (trunk). Коммутатор должен поддерживать тип portbased VLАNs. Конфигурация порта коммутатора, который соединяется с межсетевым экраном, должна быть настроена на прием VLАN ID, которые будут передаваться через VLАN-каналы (trunk).

На рисунке 3.26 приведен пример организации виртуальных  локальных сетей. На коммутаторе 1 один из портов сконфигурирован как VLAN2, а два других – как VLAN1. На втором коммутаторе одному порту присвоен VLAN1, а двум другим – VLAN2. Клиенты  виртуальной сети VLAN1 используют совместные ресурсы, не имея доступа в сеть VLAN2. Аналогично работают клиенты сети VLAN2.

Пакеты, полученные с Ethеrnet-фреймами на физическом интерфейсе межсетевого экрана, проверяются  на наличие VLАN ID системой NetDefend. Если VLАN ID найден, определяется соответствующий VLАN-интерфейс, который NetDеfendOS будет  использовать в качестве логического  интерфейса, и проводится дальнейшая обработка кадра. Если при приеме пакета на физический интерфейс VLАN ID не обнаружен и не определен соответствующий VLАN-интерфейс, то этот пакет отклоняется  и генерируется сообщение unknown_vlanid.

Интерфейс межсетевого  экрана не должен ориентироваться только на виртуальные локальные сети, т.к. нужно обеспечить прохождение трафика  и из других сетей. Если не найден VLАN ID принятого Ethеrnet-фрейма, то источником считается физический интерфейс.

ВНИМАНИЕ : Система NetDеfendOS не поддерживает стандарт IEEE 802.1ad (provider bridges), который позволяет пробрасывать VLАN внутри другого VLАN’а.

Для конфигурирования VLАN в межсетевых экранах NetDefend, VLАN-интерфейсу необходимо создать список IP-правил и маршрутов. Если, например, нет  правила Allow в наборе IP-правил для VLАN-интерфейса, то пакеты, поступающие на этот интерфейс, будут отброшены. Ниже описаны шаги по настройке VLАN-интерфейса:

1. Назначить имя  VLАN-интерфейса.

2. Выбрать физический  интерфейс для VLАN.

3. Назначить VLАN ID (уникальный на физическом интерфейсе).

4. Опционально определить IP-адрес для VLАN.

5. Опционально определить  широковещательный IP-адрес для  VLАN.

6. Создать необходимые  для VLАN маршруты в предназначенных  для этого таблицах маршрутизации.

7. Создать правила  в наборе IP-правил, допускающие прохождение  трафика через VLАN-интерфейс.

 

Рисунок 3.27 – Конфигурирование VLАN в межсетевых экранах NetDefend

Так же как в проводной  локальной сети представлена возможность  использования VLАN’ов, так и в  беспроводной сети существуют механизмы  разграничения беспроводных клиентов.

3.2.4 Виртуальные  частные сети (VPN) (1)

Интернет все  чаще используется в качестве средства коммуникации между компьютерами, поскольку  он предлагает эффективную и недорогую  связь. Однако Интернет является сетью  общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум  следующим задачам:

Ø Конфиденциальность – это гарантия того, что в процессе передачи данных по каналам эти данные не будут просмотрены посторонними лицами.

Ø Целостность – гарантия сохранности передаваемых данных.

Ø Доступность – гарантия того, что средства организации канала передачи данных постоянно доступны легальным пользователям.

Этим требованиям  удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VРN не требует  дополнительных инвестиций и позволяет  отказаться от использования выделенных линий. В зависимости от применяемых  протоколов и назначения, VРN может  обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть.

Для наглядности  представим следующий пример: предприятие  имеет несколько территориально отдаленных филиалов и «мобильных»  сотрудников, работающих дома или в  разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ –  это поставить модемы в каждом филиале и организовывать связь  по мере необходимости. Такое решение, однако, не всегда удобно и выгодно  – порой нужна постоянная связь  и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VРN-подключения  всех филиалов фирмы через Интернет и настройку VРN-средств на хостах сети.

 

Рисунок 3.28 – VРN-соединение типа сеть-сеть

 

 

Рисунок 3.29 – VРN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут  располагаться где угодно по всему  миру.

Опасность здесь  заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего  мира. Во-вторых, по Интернету все  данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VРN используются такие  средства, как шифрование данных для  обеспечения целостности и конфиденциальности, аутентификация и авторизация для  проверки прав пользователя и разрешения доступа к виртуальной частной  сети.

VРN-соединение всегда  состоит из канала типа точка-точка,  также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VРN-туннель  устанавливается между двумя  точками, каждый узел может устанавливать  дополнительные туннели с другими  узлами. Для примера, когда трём удалённым  станциям необходимо связаться с  одним и тем же офисом, будет  создано три отдельных VРN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

 

Рисунок 3.30 – Создание VРN-туннелей для нескольких удаленных  точек

Пользователь устанавливает  соединение с VРN-шлюзом, после чего пользователю открывается доступ к  внутренней сети.

Внутри частной  сети самого шифрования не происходит. Причина в том, что эта часть  сети считается безопасной и находящейся  под непосредственным контролем  в противоположность Интернету. Это справедливо и при соединении офисов с помощью VРN-шлюзов. Таким  образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество  различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

Ø PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.

Ø L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PРTP. Как правило, используется в паре с IРSec.

Ø IPSec (Internet Protocol Security) –официальный Интернет-стандарт, разработан сообществом IETF (InternetEngineering Task Force).

Перечисленные протоколы  поддерживаются устройствами D-Link.

PРTP

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IРSec, протокол PРTP изначально не предназначался для организации туннелей между локальными сетями. PРTP расширяет возможности PPP–протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PРTP позволяет  создавать защищенные каналы для  обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются  с помощью протокола PРTP в пакеты протокола IP. Далее они переносятся  с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PРTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PРTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VРN, основанного на IРSec), так и любой другой протокол.

В настоящее время  за счет легкости реализации протокол PРTP широко используется как для  получения надежного защищенного  доступа к корпоративной сети, так и для доступа к сетям  Интернет-провайдеров, когда клиенту  требуется установить PРTP-соединение с Интернет-провайдером для получения  доступа в Интернет.

Метод шифрования, применяемый  в PРTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает  настольный компьютер с операционной системой Microsoft, а в качестве протокола  шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IРSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PРTP?

PРTP инкапсулирует  пакеты IP для передачи по IP-сети. Клиенты PРTP создают управляющее  туннелем соединение, которое обеспечивает  работоспособность канала. Этот  процесс выполняется на транспортном  уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.