Проектирование защищенного канала
Выбор протоколов для защищенного канала
Для создания, защищенного VPN канала необходимо использовать следующие протоколы:
· L2TP – это один из самых популярных и реализованный на разных операционных системах (в 97% ОС), протокол туннелирования. Интегрирован в большинстве сетевых устройствах по умолчанию. Клиент L2TP может не иметь статического IP адреса;
· IPsec – набор протоколов (транспортного режима работы) обеспечивающих защиты данных по межсетевому протоколу IP. Осуществляет подтверждение подлинности (аутентификация), проверку целостности и шифрование пакетов.
В связке протоколы L2TP и IPsec представляют собой один из самых надежных VPN соединений.
Таблица 3 – Сравнение протоколов IKEv1 и IKEv2[12]
Кол-во фаз работы | Требование к настройки идентификации | Шифрование (синхронное/асинхронное) | Устойчивость к DDoS | Lifetime SSA убран | |
IKEv1 | симметричное | синхронное | - | - | |
IKEv2 | ассиметричное | асинхронное | + | + |
Выбор оборудования
На производстве необходимо использовать сетевое оборудование компании MicroTik.
MicroTik - латвийский производитель сетевого оборудования. Компания разрабатывает и продает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение - операционные системы и вспомогательное ПО. Компания была основана в 1996 году с целью продажи оборудования на развивающихся рынках. [9]
Одним из продуктов MicroTik является RouterOS - сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы MicroTik RouterBoard. Также данная система может быть установлена на ПК, превращая его в маршрутизатор с функциями брандмауэра, VPN-сервера/клиента, QoS, точки доступа и другими.
Операционная система имеет несколько уровней лицензий с возрастающим числом функций. Кроме того, существует программное обеспечение под названием Winbox, которое предоставляет графический интерфейс для настройки RouterOS. Доступ к устройствам под управлением RouterOS возможен также через FTP, Telnet, и SSH. Существует также API, позволяющий создавать специализированные приложения для управления и мониторинга.
RouterOS поддерживает множество сервисов и протоколов, которые могут быть использованы средними или крупными провайдерами - таких, как OSPF, BGP, VPLS/MPLS. RouterOS - достаточно гибкая система, и очень хорошо поддерживается MicroTik, как в рамках форума и предоставления различных Wiki-материалов, так и специализированных примеров конфигураций. [10]
RouterOS обеспечивает поддержку практически всех сетевых интерфейсов на ядре Linux. Из беспроводных чипсетов поддерживаются решения на основе Atheros и Prism (по состоянию RouterOS версии 3.x). MicroTik также работает над модернизацией программного обеспечения, которая обеспечит полную совместимость устройств и ПО MicroTik с набирающими популярность сетевыми технологиями, такими как IPv6.
RouterOS предоставляет системному администратору графический интерфейс (WinBox) для наглядной и быстрой настройки файервола, маршрутизации и управления QoS. В том числе, в интерфейсе WinBox практически полностью реализована функциональность Linux-утилит iptables, iproute2, управление трафиком и QoS на основе алгоритма HTB.
RouterBoard - аппаратная платформа от MicroTik, представляющая собой линейку маршрутизаторов под управлением операционной системы RouterOS. Различные варианты RouterBoard позволяют решать на их основе различные варианты сетевых задач: от простой беспроводной точки доступа и управляемого коммутатора до мощного маршрутизатора с брандмауэром и QoS.
Практически все модели RouterBoard устройств могут питаться с помощью PoE и имеют разъем для подключения внешнего источника питания. [11]
Модели, предназначенные для работы с беспроводными технологиями, имеют слот (miniPCI) для подключения радиомодулей. Большинство моделей также имеет разъем для подключения к COM-порту ПК. В бюджетных моделях или в зависимости от конкретного предназначения модели те или иные элементы могут отсутствовать.
У всего сетевого оборудования компании начиная от железа за 20 долларов, заканчивая железом за 3000 долларов, одинаковая поддержка сетевых технологий.
Для создания полноценного VPN канала, из всей линейки оборудования, был выбран маршрутизатор Hex RB750Gr3, стоимостью 59,95 долларов. [26]
Рисунок 6 - Маршрутизатор Hex RB750Gr3
Таблица 4 – Общая характеристика маршрутизатора
Количество портов Ethernet 1000 Мб /с: | |
Частота процессора: | MT7621A 880 МГц |
Количество ядер процессора: | |
Память: | 256MB |
Версия RouterOS: | Level 4 |
DHCP-сервер: | да |
Межсетевой экран Firewall: | да |
Поддержка MIMO: | нет |
Подключение 3G/4G-модема: | Да |
USB: | да |
Питание: | 8.. 30 В DC (Джек или по технологии PoE), блок питания 24 В, 0.38 А в комплекте |
Рабочая температура: | -40.. +55 °C |
Тип корпуса: | Настольный |
Объём ROM: | |
Встроенная радиокарта: | нет |
Порт microSD: | Да |
Дополнительно: | Array |
Рисунок 7 – Блок-диаграмма
Говоря о NAT, на сайте MediaTek указана цифра в 2 Гбит (IPv4/6 routing, NAT, NAPT+HQoS), в самой документации на процессор значится «Haedware NAT with IPv6 and 2 Gbps wired speed».
Всё дело в том, что вычислительный процессор объединен с аппаратным свичем шиной с пропускной способностью 2 Гбит. Это своего рода «узкое» место. [4]