НастройкаVPN

Для защиты данных, передаваемых по открытым каналам связи, принято использовать так называемую технологию защищенного канала, в котором должны быть обеспечены: взаимная аутентификация взаимодействующих сторон; конфиденциальность передаваемых данных; целостность передаваемых данных с защитой от повторов.

Защищенный канал может быть реализован путем организации виртуальной частной сети. VPN (англ. Virtual Private Network) — технология объединения нескольких сетевых устройств в единую логическую сеть поверх другой сети. Суть подхода состоит в том, чтобы внутри открытой сети (Интернет), создать собственную среду обмена данными, в которой смогут работать только допущенные пользователи, а для остальных пользователей трафик защищенного канала будет представлен зашифрованным набором данных.

Первоначально необходимо указать IP-адреса, маски подсетей у оборудования, а также настроить маршрутизацию.

Для настройки VPN необходимо проделать следующие шаги. На сервере сетевого доступа (router 0) необходимо активировать модель AAA:

Router5(config)# aaa new-model

После активизации ААА необходимо определить методы аутентификации. Для активизации процесса аутентификации используется команда:

Router5(config)#aaa authentication login VPNAUTH group radius local

Параметр login использует аутентификацию в начале сеанса, далее указывается имя списка аутентификации, метод group проверяет подлинность пользователя на сервере (в примере на RADIUS-сервере).

Для установки параметров, определяющих права пользователя, используется следующая команда:

Router5(config)#aaa authorization network VPNAUTH local

Параметр network определяет метод авторизации для сетевых сервисов. Метод авторизации local использует для авторизации локальную базу данных (с паролями пользователя).

Далее необходимо настроить политику IKE. Для этого необходимо создать модуль шифрования:

Router5(config)#crypto isakmp policy 10

Параметр isakmp позволяет настраивать политику ISAKMP, параметр policy устанавливает ISAKMP политику защиты, число 10 – номер приоритета, который идентифицирует политику IKE. Данная команда открывает режим конфигурации политики IKE, в котором необходимо установить алгоритм шифрования (в примере AES, 256 бит):

Router5(config-isakmp)#encryption aes 256

Затем установить метод аутентификации (в примере pre-shared ключом):

Router5(config-isakmp)#authentication pre-share

И установить криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи (протокол Диффи–Хеллмана):

Router5(config-isakmp)#group 2

Далее необходимо установить политику конфигурации клиента и группу, чтобы назначать адреса серверов VPN-клиентам:

Router5(config)#crypto isakmp client configuration group clientgroup

Далее необходимо установить параметры группы – IKE ключ, имя пула адресов и указать маску подсети:

Router(config-isakmp-group)# key 111

Router(config-isakmp-group)# pool vpnclient

Router(config-isakmp-group)# netmask 255.255.255.0

При настройке необходимо определить совокупность алгоритмов IPSec, с помощью которых реализуется политика защиты. Они определяются с помощью следующей команды:

Router(config)#crypto ipsec transform-set SETTING esp-3des esp-sha-hmac

Параметр transform-set необходим, чтобы определить преобразования и настройки (протоколы и алгоритмы защиты IPSec), далее указывается слово, которое будет определять настройки, затем указываются различные преобразования IPSec. В примере esp-3des — преобразование ESP, использующее шифр 3DES и esp-sha-hmac — преобразование ESP с аутентификацией HMAC-SHA. Далее необходимо создать динамическую криптографическую карту:

Router5(config)#crypto dynamic-map mymap 10

Данная команда открывает режим конфигурирования криптографической карты, в котором необходимо ввести команду, определяющую, какой из наборов преобразований будет выполняться:

Router5(config-crypto-map)#set transform-set SETTING

Router5(config-crypto-map)#reverse-route

Далее необходимо сконфигурировать созданную криптографическую карту. Необходимо указать параметры конфигурации клиента – использовать аутентификацию:

Router5(config)#crypto map mymap client authentication list VPNAUTH

Необходимо указать параметры конфигурации ISAKMP политики:

Router(config)#crypto map mymap isakmp authorization list VPNAUTH

Необходимо указать параметры конфигурации клиента – отвечать на запросы клиента:

Router5(config)#crypto map mymap client configuration address respond

Для создания и изменения криптографических карт используется команда:

Router5(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

Параметр «ipsec-isakmp» означает использование политики IKE при создании ассоциаций защиты IPSec для трафика, определяемого новой записью криптографической карты. Параметр «dynamic» означает, что данная запись ссылается на уже существующую динамическую криптографическую карту.

Далее необходимо применить криптографическую карту к внешнему интерфейсу (FastEthernet0/0):

Router5(config-if)#crypto map mymap

После этого требуется создать пул адресов для раздачи VPN-клиентам (начальный IP-адрес, а затем последний в пуле):

Router(config)# ip local pool vpnclient 6.9.90.10 6.9.90.20

Далее необходимо указать IP-адрес RADIUS-сервера, порт (по умолчанию для аутентификации используется порт 1645) и ключ:

Router(config)# radius-server host 6.9.12.7 auth-port 1645 key radius

Для подключения по VPN с компьютера во вкладке desktop в VPN configuration необходимо ввести приведенные на рисунке 7 параметры и подключиться:

Рисунок 7. Подключение по VPN