Организация VPN средствами протокола PPTP

5.5.1. Постановка задачи

Предлагается организовать соединение по протоколу PPTP между двумя сетевыми узлами. При этом имитируется соединение, которое пользователь Интернет устанавливает с сервером провайдера в том случае, когда использу- ется подключение по выделенному каналу на основе Ethernet. В результате подключения пользователю выделяется IP-адрес, который может быть извес- тен пользователю заранее либо выделяться динамически. Динамическое вы- деление адресов позволяет затруднить идентификацию узла пользователя из Интернет, сделав его в какой-то степени анонимным. Кроме того, это дает возможность провайдеру более эффективно использовать выделенное ему ад- ресное пространство.

Для имитации предполагается использовать два рабочих места. Первое рабочее место (рис. 5.8) имитирует PPTP-сервер Интернет-провайдера, этим сервером является компьютер под  управлением ОС  Windows 2000/XP. На этом же рабочем месте имитируется пользовательский компьютер, который выполняется в виде виртуальной машины VMWare с установленной Windows

2000.

Рис. 5.8. Схема имитируемой VPN-сети

Второе рабочее место (им может быть любой компьютер в локальной сети) имитирует удаленный web-сервер.

Предполагается, что удаленный web-сервер имеет IP-адрес 192.168.1.1,

основной  компьютер  имеет   два   интерфейса  —   внутренний  с   адресом

192.168.200.1 и внешний с адресом 192.168.1.128. Пользовательский компью- тер  имеет  внутренний адрес  192.168.200.2. Пройдя авторизацию на  PPTP- сервере,    пользовательский    компьютер    получит    адрес    внешней    сети

192.168.1.129. В дальнейшем пользовательский компьютер будет обращаться

к внешнему web-серверу по протоколу HTTP.

Анализ трафика будет осуществляться в локальной сети между пользо-

вательским компьютером и PPTP-сервером.

5.5.2. Установка и настройка VPN

ВЫПОЛНИТЬ!

1.  Настроить виртуальную сеть между основной ОС и виртуальной машиной

Windows 2000. Для этого выполнить следующие действия.

2.  В общих настройках виртуальной сети включить адаптер VMnet1 (опция

«Enable adapter», рис. 5.9).

Рис. 5.9. Активация адаптера VMnet1

3.  В разделе «Host Virtual Network Mapping» настроить свойства адаптера

VMnet1, указав подсеть 192.168.200.0 (рис. 5.10).

Рис. 5.10. Настройка подсети адаптера VMnet1

4.  В настройках загружаемой виртуальной машины указать подключение  к адаптеру VMnet1 (рис. 5.11).

5.  Установить IP-адрес виртуальной машины 192.168.200.2.

6.  Установить  IP-адрес  адаптера  VMnet1  основной  ОС  (VMware  Network

Adapter VMnet1) 192.168.200.1.

7.  Подключение  по  локальной  сети    основной  ОС  настроить  на  IP-адрес

192.168.1.128.

8.  Добавить в основной ОС входящее подключение VPN, для чего в свойст-

вах «Сетевого окружения» запустить «Мастер новых подключений». С по- мощью мастера последовательно установить следующие параметры: «Ус- тановить прямое подключение к другому компьютеру»; «Принимать вхо- дящие  подключения»; «Разрешить виртуальные частные  подключения»; указать учетную запись, которая будет использована для подключения.

9.  Настроить в основной ОС входящее подключение VPN в разделах:

«Общие» ?   «Разрешить  другим  пользователям  устанавливать  частное

подключение к моему компьютеру с помощью туннеля в Интернете или

другой сети» (установлен).

«Пользователи» ? «Все пользователи должны держать в секрете свои па-

роли и данные» (сброшен)

«Сеть» ? «Протокол Интернета (TCP/IP)» ? «Разрешить звонящим дос-

туп к локальной сети» (установлен)

«Сеть» ?  «Протокол Интернета (TCP/IP)» ?  «Указать IP-адреса явным

образом» (192.168.1.128 — 192.168.1.254)

«Сеть» ? «Клиент для сетей Microsoft» (установлен)

«Сеть» ? «Служба доступа к файлам и принтерам сетей Microsoft» (уста-

новлен)

Остальные параметры оставить по умолчанию.

Рис. 5.11. Настройка адаптера виртуальной машины на адаптер VMnet1

10.  Добавить в ОС виртуальной машины подключение к виртуальной частной сети через Интернет со следующими параметрами:

«IP-адрес компьютера, к которому осуществляется подключение» (IP-адрес назначения): 192.168.200.1

«Безопасность» ? «Требуется шифрование данных» (сброшен)

«Сеть» ? «Тип вызываемого сервера VPN» ? «Туннельный протокол точ-

ка-точка (PPTP)»

«Сеть» ? «Тип вызываемого сервера VPN» ? «Настройка» ? «Программ-

ное сжатие данных» (сброшен)

«Сеть» ? «Клиент для сетей Microsoft» (установлен)

«Сеть» ? «Служба доступа к файлам и принтерам сетей Microsoft» (уста-

новлен)

11. Чтобы предотвратить возможность сетевого доступа к файлам и каталогам основной ОС с виртуальной машины в обход туннеля VPN,  необходимо

дополнительно установить следующие параметры для соединения VMnet1

в основной ОС:

«Общие» ?   «Протокол   Интернета   (TCP/IP)» ?   «Дополнительно»  ?

«WINS» ? «Отключить NetBIOS через TCP/IP»

«Общие» ? «Клиент для сетей Microsoft» (сброшен)

«Общие» ?  «Служба  доступа  к  файлам  и  принтерам  сетей  Microsoft»

(сброшен)

Аналогичные параметры должны быть установлены для подключения к локальной сети в ОС виртуальной машины (тоже, фактически, VMnet1):

«Общие» ?   «Протокол   Интернета   (TCP/IP)» ?   «Дополнительно»  ?

«WINS» ? «Отключить NetBIOS через TCP/IP»

«Общие» ? «Клиент для сетей Microsoft» (сброшен)

«Общие» ?  «Служба  доступа  к  файлам  и  принтерам  сетей  Microsoft»

(сброшен)

12. Установить виртуальное частное подключение. Выяснить адрес, выделен-

ный клиенту, а также адрес сервера. При установленном параметре «Раз- решить звонящим доступ к локальной сети» подключившийся таким обра- зом клиент становится узлом локальной сети, но только на сетевом уровне модели OSI и выше.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий