Информационная защита локальных сетей с Proxy-серверами и координаторами внутри сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
создания туннельных VPN-соединений между узлами используется два типа IP-протокола, в который упаковывается любой другой IP-протокол: IP/241 и IP/UDP (с портом 55777 по умолчанию.)
При взаимодействии абонентских пунктов, доступных друг другу напрямую по реальному адресу узла (т.е. когда между ними отсутствуют устройства с NAT), система автоматически использует более экономичный протокол IP/241 (не имеющий дополнительных UDP-заголовков размером12 байт). Этот же протокол используется при взаимодействии любых узлов, находящихся в одной локальной сети и принимающих друг от друга широковещательные пакеты.
Рисунок 4 - Создания туннельных VPN-соединений между узлами с использованием протокола IP/241
При взаимодействии узлов, недоступных друг другу напрямую по реальному адресу узла (т.е. между ними есть устройства, выполняющие NAT, в том числе координаторы), система автоматически использует протокол UDP, для которого легко обеспечивается прохождение IP-пакетов через любые типы Firewall и другие устройства с NAT.
Рисунок 5 - Создания туннельных VPN-соединений между узлами с использованием протокола UDR
Для обеспечения возможности работы сетевых узлов из любых точек сети модуль ViPNet имеет четыре основных режима работы через Firewal:
)Автономная работа (без установки за Firewall c NAT);
2)Работа узла, установленного за ViPNet-координатор (тип Firewall "ViPNet-координатор");
)Работа узла, установленного за Firewall c NAT, на котором возможна настройка статических правил NAT (тип Firewall "Со статическим NAT");
)Работа узла, установленного за Firewall c NAT, на котором настройка статических правил NAT затруднительна или невозможна (тип Firewall "С динамическим NAT").
Принцип выбора режима работы для конкретного сетевого узла вытекает из особенностей реализации в системе ViPNet технологии оповещения и авторегистрации состояния узлов и их местонахождения в сети, заключающихся в следующем:
каждый узел при включении в сеть сообщает на свой сервер IP-адресов или другие координаторы (если этот узел сам является координатором), необходимую информацию о своих адресах и способах доступа к ним;
каждый узел при включении, а также в процессе работы получает от своего сервера IP-адресов или других координаторов (если этот узел сам является координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам.
Следует также отметить, что если узлы находятся в одной локальной сети в области доступности друг другу по широковещательным пакетам, то независимо от выбранного режима работы взаимодействие между ними всегда осуществляется напрямую по IP-адресу узла.
.3 Работа узлов с использованием типа Firewall "ViPNet-координатор"
Если на границе локальной сети установлен ViPNet-координатор, то узлы, имеющие связь с ним, могут встать за этот координатор, то есть выбрать этот координатор в качестве узла, через который и от имени которого будет осуществляться обмен информацией между узлами, находящимися в разных сетях. В этом случае выбирается режим использования типа Firewall "ViPNet-координатор". По умолчанию в качестве Firewall всегда выбирается координатор (если иное не задано в ЦУСе), на котором данный абонентский пункт зарегистрирован в ЦУСе.
При необходимости в качестве такого Firewall пользователем (или по команде из ЦУСа) может быть выбран любой доступный данному узлу по прямому адресу координатор. Это дает возможность мобильным пользователям при приезде в другое место, где есть такой координатор, подключившись к локальной сети и получив там адрес, моментально получить доступ ко всем ресурсам, доступным из его собственной локальной сети. При этом в качестве сервера IP-адресов может оставаться его родной координатор, что позволяет одновременно получить полный объем информации для получения доступа к другим узлам, с которыми связан данный пользователь, поскольку чужой координатор может владеть такой информацией не в полном объеме. Команда о назначении другого координатора в качестве Firewall может быть прислана также из ЦУСа.
Возможность выбора для работы в качестве Firewall различных координаторов полезна, например, в случае выхода из строя отдельного оборудования или каналов связи.
Если узел установлен за координатор, то его трафик, предназначенный для других узлов, недоступных по широковещательным пакетам и:
находящихся со стороны других сетевых интерфейсов координатора;
не установленных за этот координатор, автоматически маршрутизируется на адрес своего координатора (производится подмена IP и MAC-адреса), который, выполнив подмену адресов, направляет эти пакеты дальше от имени своего адреса. Аналогичным образом трафик следует и в обратную сторону.
Рисунок 6 - Схема маршрутизации трафика при использовании режима типа Firewall "ViPNet-координатор"
Автоматическая маршрутизация зашифрованных пакетов на собственный координатор позволяет не устанавливать шлюз по умолчанию на свой координатор, и тем самым обеспечить возможность маршрутизации открытых пакетов, если это необходимо, на другие шлюзы, и не делать дополнительных настроек на компьютере после установки модуля ViPNet.
Технология ViPNet позволяет значительно упростить администрирование большой локальной сети, разделенной на сегменты различного рода маршрутизаторами и коммутаторами, на которых, как правило, в целях безопасности настраиваются допустимые для пропуска адреса и протоколы. Если узел т?/p>