1.87M
Similar presentations:
Отчёт по учебной практике УП02
Отчёт по учебной практике УП02
Передача файлов по локальной сети на главный компьютер
Передача файлов по локальной сети на главный компьютер
Kaspersky Unified Monitoring and Analysis Platform
Kaspersky Unified Monitoring and Analysis Platform
ВКР: «Разработка проекта по использованию туннелей для сети предприятия с целью защиты информации для ООО “Бут Групп”»
ВКР: «Разработка проекта по использованию туннелей для сети предприятия с целью защиты информации для ООО “Бут Групп”»
Локальная вычислительная сеть дизайнстудии «Римус»
Локальная вычислительная сеть дизайнстудии «Римус»
Принципы организации VPN
Принципы организации VPN
Организация сегмента локальной сети и его настройка, защита и введение в эксплуатацию для студентов на базе предприятия
Организация сегмента локальной сети и его настройка, защита и введение в эксплуатацию для студентов на базе предприятия
Разработка локальной вычислительной сети филиала по работе с заявлениями ГКУ ВО МФЦ «Мои документы»
Разработка локальной вычислительной сети филиала по работе с заявлениями ГКУ ВО МФЦ «Мои документы»
Отчёт по учебной практике
Отчёт по учебной практике
Классификация виртуальных частных сетей
Классификация виртуальных частных сетей

Семенов - презентация

1.

Выпускная квалификационная работа на тему:
Исследование безопасности
виртуальных частных сетей и
разработка лабораторного стенда на
базе OpenVPN
Студент группы ИВТ-221
Семенов Владислав Дмитриевич

2.

ЦЕЛЬЮ работы является разработка виртуального лабораторного стенда на базе
OpenVPN для исследования атак на инфраструктуру виртуальных частных сетей и
отработки практических методов защиты.
ЗАДАЧИ:
• проанализировать общие понятия, архитектуру и особенности функционирования
виртуальных частных сетей в корпоративной среде;
• рассмотреть технологические основы и ключевые компоненты платформы OpenVPN,
используемой для построения защищённых туннелей;
• исследовать типовые векторы атак на инфраструктуру VPN, включая внешние и
внутренние угрозы, и описать их влияние на доступность и безопасность сервиса;
• спроектировать структуру виртуального лабораторного стенда, определить состав
виртуальных машин, их роли и параметры конфигурации;
• реализовать лабораторный стенд с развёрнутым сервером OpenVPN, клиентом и
машиной атакующего на базе средств виртуализации;
• спроектировать защищенную VPN-сеть;
• подготовить методические рекомендации по использованию лабораторного стенда в
учебном процессе и для практической подготовки специалистов в области
информационной безопасности.

3.

Архитектура виртуального лабораторного стенда
• VM: Атакующий (Attacker) виртуальная машина,
имитирующая злоумышленника.
• VM: VPN Сервер - центральный
элемент стенда.
• VM: Клиент VPN - виртуальная
машина, имитирующая
легитимного пользователя,
подключенного к VPN-серверу.

4.

Конфигурация виртуальных узлов
Узел
Роль
vCPU
RAM
HDD
VM-1
VPN Server
1-2 ядро
1-2 ГБ
15 ГБ
VM-2
VPN Client
1-2 ядро
1-2 ГБ
8 ГБ
VM-3
Attacker
1-2 ядро
1-2 ГБ
8 ГБ
стенда

5.

Конфигурация VPN-сервера OpenVPN
• port 1194 - Стандартный порт OpenVPN, на котором сервер слушает входящие
соединения.
• proto udp - Используется протокол UDP для передачи данных.
• dev tun - Создается TUN - виртуальное устройство которое эмулирует сетевой
интерфейс, работающий с IP-пакетами.
• auth SHA256 - Алгоритм аутентификации для HMAC - SHA256.
• tls-auth ta.key 0 - Статистический ключ для аутентификации контрольных пакетов,
0 означает, что этот ключ используется на сервере.
• server 10.8.0.0 255.255.255.0 - Объявляет виртуальную подсеть VPN и пул
адресов, которые сервер раздает клиентам.
• data-cipher AES-256-GCM - Алгоритм шифрования данных AES-256 в режиме
GCM.
• user nobody и group nogroup - После инициализации и открытия сокетов OpenVPN
переключается на непривилегированного пользователя/группу.

6.

Реализованные внешние атаки
Объемный стресс-тест UDP-пакетами

7.

Реализованные внешние атаки
Атака на механизм рукопожатия

8.

Реализованные внешние атаки
Исчерпание таблицы состояний
А
А
Б
Б

9.

Реализованные внутренние атаки
Атака на истощение CPU
А
А

10.

Реализованные внутренние атаки
Насыщение внутренней полосы пропускания

11.

Реализованные внутренние атаки
Скрытая передача данных

12.

Проектируемая VPN-сеть и согласованные
параметры (фрагмент)
• Метод аутентификации — pre-shared key
• Значение секретного ключа — key12345
• Группа Диффи-Хеллмана — 2
• Алгоритм шифрования фаза 1 — 3DES
• Алгоритм шифрования фаза 2 — 3DES
• Алгоритм хеширования фаза 1 — SHA1
• Алгоритм хеширования фаза 2 — SHA1
• Протокол преобразования — ESP
• Режим работы фазы 1 — Main mode

13.

Проверка работы туннеля на FreeBSD
Установленные защищенные ассоциации

14.

Проверка работы туннеля на FreeBSD
Мониторинг сетевых соединений на интерфейсе em0

15.

Контроль трафика на внешнем интерфейсе
и проверка на D-Link
Мониторинг сетевых соединений на интерфейсе em1

16.

Контроль трафика на внешнем интерфейсе
и проверка на D-Link
Проверка туннеля на устройстве D-link DI-804HV

17.

Проверка туннеля на Mikrotik
Проверка туннеля на устройстве Mikrotik RB750

18.

Итоги разработки
• Разработана и реализована виртуальная лабораторная среда на базе OpenVPN для
исследования атак на инфраструктуру VPN и отработки практических мер защиты.
• Создан стенд из трех виртуальных машин: VPN-сервер, легитимный клиент и узел
злоумышленника, что позволило моделировать внешние и внутренние векторы
угроз.
• Подготовлены и описаны сценарии атак: объемный стресс-тест UDP, атака на
механизм рукопожатия, исчерпание таблицы состояний, истощение CPU малыми
пакетами, насыщение внутренней полосы пропускания и скрытая передача данных.
• Разработанное решение доведено до практического применения: стенд снабжен
скриптами, заданиями, алгоритмами действий и критериями оценки результатов.
• Подтверждено, что даже при корректной криптографической настройке VPNинфраструктура остается уязвимой к атакам на канал связи, вычислительные
ресурсы и внутренний трафик.
• Разработанный стенд пригоден для использования в учебном процессе и
практической подготовке специалистов по информационной безопасности и
English     Русский Rules