Основные сетевые протоколы безопасности серверов

СОДЕРЖАНИЕ

 

АННОТАЦИЯ.. 3

ВВЕДЕНИЕ. 4

ГЛАВА I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ НАСТРОЙКИ СЕТЕВЫХ ПРОТОКОЛОВ БЕЗОПАСНОСТИ СРЕДСТВАМИ WINDOWS SERVER 2016. 6

1.1 Основные сетевые протоколы безопасности серверов. 6

1.2. Основные возможности Windows Server 2016 по установке и настройке сетевых протоколов безопасности. 11

ВЫВОДЫ ПО I ГЛАВЕ. 15

ГЛАВА II. ПРАКТИЧЕСКАЯ РАБОТА ПО УСТАНОВКЕ И НАСТРОЙКЕ СЕТЕВЫХ ПРОТОКОЛОВ БЕЗОПАСНОСТИ СРЕДСТВАМИ WINDOWS SERVER 2016. 16

2.1. Анализ возможных решений и выбор наиболее рационального варианта реализации достижения поставленной цели ВПКР. 16

2.3. Этапы установки и настройки сетевых протоколов безопасности средствами Windows Server 2016 локальной сети организации. 21

ВЫВОДЫ ПО II ГЛАВЕ. 27

ЗАКЛЮЧЕНИЕ. 28

СПИСОК ЛИТЕРАТУРЫ.. 30

 

 

АННОТАЦИЯ

 

Объем работы: 31 страниц.

Количество иллюстраций: 14.

Количество таблиц: 1.

Количество приложений: 1.

Количество использованных источников: 17.

Полученные результаты: описаны основные сетевые протоколы безопасности, изучены возможности ОС Windows Server 2016 по установке и настройке сетевых протоколов безопасности, проведён анализ возможных решений по установке и настройке сетевых протоколов безопасности, выполнено моделирование установки и настройки сетевых протоколов безопасности средствами Windows Server 2016.

Перечень ключевых слов: локальная сеть, рабочая станция, оконечные устройства, коммутатор, роутер, брандмауэр, сервер, сетевой протокол безопасности, Windows Server, DNS, DHCP, VPN, SSH, SSL, SOCKS, TSL, PPTP, L2TP, IpSec.

 

 

ВВЕДЕНИЕ

 

Различные уязвимости системных и сетевых служб, а также протоколов за последние несколько лет стали значимыми в IT сфере. Опасность потерять связь, даже на мгновенье, заставляет администраторов и IT специалистов увеличивать резервирование каналов связи, усложнять защитные механизмы, удорожать защитные системы собственных локальных сетей. Все системы безопасности строятся на основе разнообразных операционных систем, будь то сервер аутентификации, либо обычный аппаратный брандмауэр.

Серверная операционная является наиболее гибкой основой для организации системы безопасности. В неё уже по умолчанию встроено множество функций, которые помогут заблокировать попытки несанкционированного доступа. Сетевому администратору необходимо выполнить настройку защитных функций операционной системы.

Основой любой ОС – является ядро, которое взаимодействует с остальными программами. При работе с сетью ядро одной операционный системы взаимодействует с ядром другой системы при помощи сетевых служб, в соответствии с сетевыми протоколами связи, которые используют один и тот же набор правил.

Именно сетевые протоколы безопасности несут основную нагрузку по защите информации в локальных и глобальных сетях. Настройка сетевых протоколов безопасности в различных операционных системах выполняется по-разному, но везде присутствуют общие черты. Операционные системы обладают различным потенциалом в области защиты данных. Для высококачественной, серьёзной защиты государственных структур, сетей вооружённых сил применяются узкоспециализированные операционные системы, например: ОС KasperskyOS, ОС Kraftway Terminal Linux, ОС RAIDIX, ОС Заря и т.д. Для администраторов и пользователей большинства небольших компаний такие возможности излишни, так как создадут проблемы, связанные с обслуживанием и эксплуатацией специализированной компьютерной техники и необычным, подчас уникальным, программным обеспечением, слабо совместимым с существующими сетями и устройствами. В связи с этим наиболее выгодно использовать в качестве базы системы безопасности - ОС Windows, настройку сетевых протоколов безопасности которой может провести любой системный администратор.

Цель проекта: смоделировать установку и настройку сетевых протоколов безопасности средствами Windows Server 2016.

Объект проекта: протоколы безопасности.

Предмет проекта: установка и настройка протоколов безопасности средствами Windows Server 2016.

Задачи проекта:

1. Рассмотреть учебно-техническую литературу по теме ВПКР.

2. Описать основные сетевые протоколы безопасности серверов на базе ОС Windows Server 2016: PPTP, L2TP, IPSec, SSL и TLS, SOCKS, SSH.

3. Рассмотреть возможности Windows Server 2016 по установке и настройке сетевых протоколов безопасности.

4. Проанализировать возможные решения по установке и настройке сетевых протоколов безопасности средствами Windows Server 2016.

5. Описать этапы установки и настройки сетевых протоколов безопасности средствами Windows Server 2016 локальной сети организации.

ГЛАВА I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УСТАНОВКИ И НАСТРОЙКИ СЕТЕВЫХ ПРОТОКОЛОВ БЕЗОПАСНОСТИ СРЕДСТВАМИ WINDOWS SERVER 2016

 

Основные сетевые протоколы безопасности серверов

 

Сетевой протокол - набор прав или действий (очерёдности действий), позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сети устройствами. Протокол передачи данных - набор соглашений интерфейса логического уровня, которые определяют обмен данными между различными программами [10].

Протоколами безопасности можно назвать такие протоколы, которые обеспечивают безопасную передачу данных между клиентом и сервером. Данные протоколы располагают на различных уровнях сетевой модели OSI. Протоколы защиты канального уровня: PPTP, L2TP и L2f. Протокол защиты на сетевом уровне IPSec. Протоколы защиты на сеансовом уровне SSL и TLS SOCKS. Протокол защиты прикладного уровня SSH [14].

Сетевые протоколы безопасности используются для защиты компьютерных данных при их передаче по сети. Наиболее полную защиту дают методы, включающие в себя: туннелирование, аутентификацию и шифрование.

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними [3].

Аутентификация - процедура проверки подлинности [4].

Криптография использует алгоритмы для шифрования данных, так чтобы они не были прочитаны не авторизованными пользователями. Криптография работает с набором процедур или протоколов, которые управляют обменом данными между устройствами и сетями.

Общая черта протоколов защиты канального уровня проявляется в реализации организации защищенного многопротокольного удаленного доступа к ресурсам сети через открытую сеть. Для передачи конфиденциальной информации из одной точки в другую сначала используется протокол РРР, L2TP и L2f, а затем уже протоколы шифрования [6, с. 89].

Протокол PPTP определяет реализацию криптозащищенного туннеля на канальном уровне OSI. PPTP - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP инкапсулирует кадры PPP в IP-пакеты для передачи по глобальной IP-сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля. Его поддерживают многие межсетевые экраны и VPN [7, с. 202].

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F - старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации [2, с.70,5, с.50].

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения [5, с. 51].

Семейство протоколов защиты на сетевом уровне IPSec. IPsec - это набор протоколов, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне [5, с. 51].

IPSec гарантирует целостность передаваемых данных, их конфиденциальность, а также проверяет аутентичность отправителя [2, с. 70].

Протоколы IPSec можно разделить на два класса – протоколы защиты передаваемых данных (AH, ESP) и протоколы обмена ключами (IKE) [5, с. 52].

Протоколы IPsec:

- Internet Key Exchange (IKE).

- ISAKMP.

- Протокол Oakley.

- SKEME.

Протоколы защиты, работающие преимущественно на сеансовом уровне: SSL и TLS SOCKS.

SSL - криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (Voice over IP - VoIP) [5, с. 54].

Протокол SSL обеспечивает защищённый обмен данными за счёт двух следующих элементов: аутентификация, шифрование. SSL использует асимметричную криптографию для аутентификации ключей обмена, симметричный шифр для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол SSL предоставляет «безопасный канал», который имеет три основных свойства:

1. Канал является частным. Шифрование используется для всех сообщений после простого диалога, который служит для определения секретного ключа [8].

2. Канал аутентифицирован. Серверная сторона диалога всегда аутентифицируется, а клиентская делает это опционально. Канал надёжен. Транспортировка сообщений включает в себя проверку целостности [8].

3. Преимуществом SSL является то, что он независим от прикладного протокола. Протоколы приложений (HTTP, FTP, TELNET и т. д.) могут работать поверх протокола SSL совершенно прозрачно, то есть SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того, как приложение примет или передаст первый байт сообщения [8].

С марта 2011 года, согласно, TLS-клиенты не должны использовать протокол SSL 2.0 при запросе подключения к серверу, и серверы должны отклонять такие запросы [10].

TLS как и его предшественник SSL - это криптографический протокол, обеспечивающие защищённую передачу данных между узлами в сети Интернет. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений [11].

Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP). TLS-протокол основан на спецификации протокола SSL версии 3.0.

TLS даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ. Так как большинство протоколов связи может быть использовано как с, так и без TLS, при установке соединения необходимо явно указать серверу, хочет ли клиент устанавливать TLS. Это может быть достигнуто либо с помощью использования унифицированного номера порта, по которому соединение всегда устанавливается с использованием TLS, либо с использованием произвольного порта и специальной команды серверу со стороны клиента на переключение соединения на TLS с использованием специальных механизмов протокола. Как только клиент и сервер договорились об использовании TLS, им необходимо установить защищённое соединение. Это делается с помощью процедуры подтверждения связи. Во время этого процесса клиент и сервер принимают соглашение относительно различных параметров, необходимых для установки безопасного соединения [6, c.250].

Одной из областей применения TLS-соединения является соединение узлов в виртуальной частной сети. Кроме TLS, также могут использоваться набор протоколов IPSec и SSH-соединение. Каждый из этих подходов к реализации виртуальной частной сети имеет свои преимущества и недостатки. Исходя из этого, у каждого из выше названных семейств сетевых протоколов имеются достоинства и недостатки [9].

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT. С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы [4, c.256].

SSH - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколом Telnet, но, в отличие от него, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем [3, с. 140]

SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол, удалённо работать на компьютере через командную оболочку, передавать по шифрованному каналу звуковой поток или видео даже с веб-камеры. Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно для удалённого запуска клиентов [6, с. 77].

SSH-сервер обычно прослушивает соединения на TCP - порт 22. Спецификация протокола SSH-2 содержится в RFC 4251. Для аутентификации сервера в SSH используется протокол аутентификации сторон на основе алгоритмов электронно-цифровой подписи RSA или DSA, но допускается также аутентификация при помощи пароля (режим обратной совместимости с Telnet) и даже ip-адреса [1, с.243].

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи, производит аутентификацию, после чего начинает обслуживание клиента. SSH-клиент используется для входа на удалённую машину и выполнения команд.

Таблица сравнения сетевых протоколов безопасности расположена в Приложении 1.