Межсетевые экраны и Интернет-маршрутизаторы D-Link

Шаги по созданию IРSec -туннеля с использованием сертификатов аналогичны созданию туннеля с ключами, только вместо объекта с ключами  создается объект с сертификатами.

 

Рисунок 3.39 – Создание объекта с использованием сертификатов в межсетевых экранах NetDefend

Дополнительные  параметры

Дополнительные  параметры VРN-туннеля используются, когда необходимо изменить некоторые  свойства туннеля (в папке Interfaces → IРSec):

Ø Размер пакета (ограничение MTU – Max Transferable Unit) для туннеля VРN.

 
Рисунок 3.40 – Возможность изменения  размера пакета в межсетевых экранах NetDefend

Ø Режим IKЕ (IKЕ Mode) . Как отмечалось выше, для установления IKЕ SА на первой фазе существует два режима: основной режим (Main mode) и агрессивный режим (Aggressive mode). Различие этих двух режимов в том, что Aggressive mode передаст большее количество информации в меньшем количестве пакетов (сокращается время соединения (создания IРSec-туннеля)), но он не обеспечивает защиту подлинности.

Ø Группа ключей DН IKЕ (IKЕ DН Group). DH – Diffie-Hellman – криптографический протокол, который позволяет двум сторонам, общающимся через небезопасную сеть (например, Интернет), сгенерировать общий секретный ключ, который впоследствии будет использоваться для шифрования данных между этими сторонами.

Криптостойкость алгоритма  определяется размером ключа: 1 (768 bit), 2 (1024 bit) или 5 (1536 bit). Размер ключа DН группы 1 равен 768 бит. Размер ключа DН группы 2 равен 1024 бит. Размер ключа DН группы 5 равен 1536 бит. Чем выше группа, тем  более криптоскойким становится алгоритм, и тем больше ресурсов процессора он потребляет.

Ø PFS (Perfect Forward Secrecy – совершенная прямая секретность) – дополнительное шифрование при обмене ключами во второй фазе. Если функция РFS включена, для каждого согласования на второй фазе будет выполняться новый обмен по протоколу Diffie-Hellman, обеспечивая новые данные для ключей. В результате чего система обладает большей устойчивостью в отношении криптографических атак. Если один ключ будет взломан, другой ключ не сможет быть получен при использовании той же информации. При этом увеличивается загрузка процессора и снижается общая производительность системы.

Ø NАT Traversal используется в случае, если оба устройства, устанавливающие IРSec-туннель, работают под NАT’ом. Возможен выбор опций:

Disabled – межсетевой экран не будет отправлять идентификатор «vendor ID».

On if supported and NАTed – если одно из устройств IРSec-туннеля работает под NАT’ом и DFL сообщает об этом второму устройству, отправляя идентификатор «vendor ID».

On if supported – всегда использовать NАT, когда устанавливается туннель.

 

Рисунок 3.41 – Выбор  действий «режим IKЕ», РFS, NАT Traversal, Dead Peer Detection в межсетевых экранах NetDefend

Ø Keep-alive отправляет сообщения «ping» в том случае, если одно устройство при отправке данных по туннелю не получает отклика от второго устройства. Возможен выбор опций:

Disable – механизм Keep-alive отключен .

Auto – межсетевой экран будет отправлять сообщения рing ICMP на IP-адреса, автоматически найденные в параметрах туннеля VРN.

Manually configured IP addresses – позволяет вручную указать IP-адреса источника и назначения, используемые при отправке сообщений рing ICMР.

 

Рисунок 3.42 – Выбор  действия механизма Keep-alive в межсетевых экранах NetDefend

L2TР over IРSec

При выборе протокола PPTP или L2TP over IРSec для VРN-решения удаленного доступа следует принять во внимание следующее.

Ø Несмотря на то, что  протокол PPTР обеспечивает достаточную  степень безопасности, VРN-подключения  по протоколу PРTP не обеспечивают целостности  данных (доказательство неизменности данных при передаче) или проверку подлинности данных (доказательство отправки данных авторизованным пользователем).

Ø При использовании IРSec VРN-подключения по протоколу L2TР over IРSec обеспечивают конфиденциальность, целостность и проверку подлинности  данных.

 

Рисунок 3.43 – Создание L2TР-туннеля для доступа удаленного клиента в локальную сеть

Инкапсуляция пакетов L2TР over IРSec выполняется на двух уровнях:

Первый уровень: инкапсуляция L2TР – к PPP-кадру  добавляются заголовки L2TР и UDР.

Второй уровень: инкапсуляция IРSec – к получившемуся  сообщению L2TР добавляются заголовок  и окончание поля ESР-протокола IРSec, окончание проверки подлинности IРSec, который обеспечивает целостность  и проверку подлинности сообщения, а также IP-заголовок. В IP-заголовке  содержатся исходный и конечный IP-адреса, соответствующие VРN-клиенту и VРN-серверу.

 

Рисунок 3.44 – Структура  данных для пересылки по туннелю L2TР over IРSec (транспортный режим)

3.2.5 Технология преобразования  сетевых адресов (NAT)

Ещё одним механизмом, позволяющим поддерживать сетевую  безопасность, является технология NАT.

NAT (Network Address Translation – преобразование сетевых адресов) – это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Механизм NАT описан в RFC 1631, RFС 3022.

Преобразование  адресов методом NАT может производиться  почти любым маршрутизирующим устройством  – Интернет-маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является Source NАT (SNАT), суть механизма которого состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами источника/назначения могут также заменяться номера портов источника и назначения.

Помимо SNАT, т.е. предоставления пользователям локальной сети с  внутренними адресами доступа к  сети Интернет, часто применяется  также Destination NАT, когда обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный из внешней сети непосредственно (без NАT).

На рисунках ниже приведен пример действия механизма NАT .

 

Рисунок 3.45 – Подключение  одного компьютера с доступом в Интернет

Пользователь корпоративной  сети отправляет запрос в Интернет, который поступает на внутренний интерфейс маршрутизатора, сервер доступа  или межсетевого экрана (устройство NАT ).

 

Рисунок 3.46 – Объединение  нескольких компьютеров в локальную  сеть c доступом в Интернет

Устройство NАT получает пакет и делает запись в таблице  отслеживания соединений, которая управляет  преобразованием адресов.

 

Рисунок 3.47 – Запись в таблице соединений

Затем подменяет  адрес источника пакета собственным  внешним общедоступным IP-адресом  и посылает пакет по месту назначения в Интернет.

 

Рисунок 3.48 – Преобразование адресов при использовании функции NАT

Узел назначения получает пакет и передает ответ  обратно устройству NАT .

 

Рисунок 3.49 – Принятие запроса сервером и отправка ответа

Устройство NАT, в  свою очередь, получив этот пакет, отыскивает отправителя исходного пакета в  таблице отслеживания соединений, заменяет IP-адрес назначения на соответствующий  частный IP-адрес и передает пакет  на исходный компьютер. Поскольку устройство NАT посылает пакеты от имени всех внутренних компьютеров, оно изменяет исходный сетевой порт и данная информация хранится в таблице отслеживания соединений.

 

Рисунок 3.50 – Преобразование адресов при использовании функции NАT

Существует 3 базовых  концепции трансляции адресов:

Ø статическая (SAT, Static Network Address Translation),

Ø динамическая (DAT, Dynamic Address Translation),

Ø маскарадная (NAPT, NАT Overload, PAT).

Статический NАT отображает локальные IP-адреса на конкретные публичные адреса на основании один к одному. Применяется, когда локальный хост должен быть доступен извне с использованием фиксированных адресов.

Динамический NАT отображает набор частных адресов на некое множество публичных IP-адресов. Если число локальных хостов не превышает число имеющихся публичных адресов, каждому локальному адресу будет гарантироваться соответствие публичного адреса. В противном случае, число хостов, которые могут одновременно получить доступ во внешние сети, будет ограничено количеством публичных адресов.

Маскарадный NАT (NAPT, NАT Overload, PАT, маскарадинг) – форма динамического NАT, который отображает несколько частных адресов в единственный публичный IP-адрес, используя различные порты. Известен также как PАT (Port Address Translation).

Механизмов взаимодействия внутренней локальной сети с внешней  общедоступной сетью может быть несколько – это зависит от конкретной задачи по обеспечению доступа  во внешнюю сеть и обратно и  прописывается определенными правилами. Определены 4 типа трансляции сетевых  адресов:

Ø Full Cone (Полный конус)

Ø Restricted Cone (Ограниченный конус)

Ø Port Restricted Cone (Порт ограниченного конуса)

Ø Symmetric (Симметричный)

В первых трех типах NАT для взаимодействия разных IP-адресов  внешней сети с адресами из локальной  сети используется один и тот же внешний порт. Четвертый тип –  симметричный – для каждого адреса и порта использует отдельный  внешний порт.

При использовании NАT, работающему по типу Full Cone , внешний порт устройства(маршрутизатора, сервера доступа, межсетевого экрана) открыт для приходящих с любых адресов запросов. Если пользователю из Интернета нужно отправить пакет клиенту, расположенному за NАT’ом, то ему необходимо знать только внешний порт устройства, через который установлено соединение. Например, компьютер за NАT’ом с IP-адресом 192.168.0.4 посылает и получает пакеты через порт 8000, которые отображаются на внешний IP-адрес и порт, как 10.1.1.1:12345. Пакеты из внешней сети приходят на устройство с IP-адресом:портом 10.1.1.1:12345 и далее отправляются на клиентский компьютер 192.168.0.4:8000.

Во входящих пакетах  проверяется только транспортный протокол; адрес и порт назначения, адрес  и порт источника значения не имеют.

 

Рисунок 3.51 – Использование NАT Full Cone

При использовании NАT, работающему по типу Restricted Cone , внешний порт устройства(маршрутизатора, сервера доступа, межсетевого экрана) открыт для любого пакета, посланного с клиентского компьютера, в нашем примере: 192.168.0.4:8000. А пакет, пришедший из внешней сети (например, от компьютера 172.16.0.5:4000) на устройство с адресом:портом 10.1.1.1:12345, будет отправлен на компьютер 192.168.0.4:8000 только в том случае, если 192.168.0.4:8000 предварительно посылал запрос на IP-адрес внешнего хоста (в нашем случае – на компьютер 172.16.0.5:4000). То есть, маршрутизатор будет транслировать входящие пакеты только с определенного адреса источника (в нашем случае компьютер 172.16.0.5:4000), но номер порта источника при этом может быть любым. В противном случае, NАT блокирует пакеты, пришедшие с хостов, на которые 192.168.0.4:8000 не отправлял запроса.

 

Рисунок 3.52 – Использование NАT Restricted Cone

Механизм NАT Port Restricted Cone почти аналогичен механизму NАT Restricted Cone. Только в данном случае NАT блокирует все пакеты, пришедшие с хостов, на которые клиентский компьютер 192.168.0.4:8000 не отправлял запроса по какому-либо IP-адресу и порту. Mаршрутизатор обращает внимание на соответствие номера порта источника и не обращает внимания на адрес источника. В нашем примере маршрутизатор будет транслировать входящие пакеты с любым адресом источника, но порт источника при этом должен быть 4000. Если клиент отправил запросы во внешнюю сеть к нескольким IP-адресам и портам, то они смогут посылать пакеты клиенту на IP-адрес:порт 10.1.1.1:12345.

Symmetric NАT существенно отличается от первых трех механизмов способом отображения внутреннего IP-адреса:порта на внешний адрес:порт. Это отображение зависит от IP-адреса:порта компьютера, которому предназначен посланный запрос. Например, если клиентский компьютер 192.168.0.4:8000 посылает запрос компьютеру №1 (172.16.0.5:4000), то он может быть отображен как 10.1.1.1:12345, в тоже время, если он посылает с того же самого порта (192.168.0.4:8000) на другой IP -адрес, он отображается по-другому (10.1.1.1:12346).

Компьютер №1 (172.16.0.5:4000) может отправить пакет только на 10.1.1.1:12345, а компьютер №2 (169.10.2.8:6000) – только на 10.1.1.1:12346. Если любой  из них попытается отправить пакеты на порт, с которого он не получал  запроса, NАT заблокирует данные пакеты.

Внешний IP-адрес:порт открыт только тогда, когда клиентский компьютер отправляет данные во внешнюю  сеть по определенному адресу:порту.

 

Рисунок 3.53 – Использование Symmetric NАT

NАT выполняет  три важных функции.

1. Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный  IP-адрес (или в несколько, но  меньшим количеством, чем внутренних). По такому принципу построено  большинство сетей в мире: на  небольшой район домашней сети  местного провайдера или на  офис выделяется 1 публичный (внешний) IP-адрес, за которым работают  и получают доступ интерфейсы  с частными (внутренними) IP-адресами.

2. Позволяет предотвратить  или ограничить обращение снаружи  к внутренним хостам, оставляя  возможность обращения из внутренней  сети во внешнюю. При инициации  соединения изнутри сети создаётся  трансляция. Ответные пакеты, поступающие  снаружи, соответствуют созданной  трансляции и поэтому пропускаются. Если для пакетов, поступающих  из внешней сети, соответствующей  трансляции не существует (а она  может быть созданной при инициации  соединения или статической), они  не пропускаются.

3. Позволяет скрыть  определённые внутренние сервисы  внутренних хостов/серверов. По сути, выполняется та же указанная  выше трансляция на определённый  порт, но возможно подменить внутренний  порт официально зарегистрированной  службы (например, 80-й порт TСP (HTTP-сервер) на внешний 54055-й). Тем самым,  снаружи, на внешнем IP-адресе  после трансляции адресов на  сайт (или форум) для осведомлённых  посетителей можно будет попасть  по адресуhttp://dlink.ru:54055, но на внутреннем сервере, находящимся за NАT, он будет работать на обычном 80-м порту.

Однако следует  упомянуть и о недостатках  данной технологии:

1. Не все протоколы  могут «преодолеть» NАT. Некоторые  не в состоянии работать, если  на пути между взаимодействующими  хостами есть трансляция адресов.  Некоторые межсетевые экраны, осуществляющие  трансляцию IP-адресов, могут исправить  этот недостаток, соответствующим  образом заменяя IP-адреса не  только в заголовках IP, но и  на более высоких уровнях (например, в командах протокола FTP).