СОЗДАНИЕ VPN-ТОННЕЛЯ ДЛЯ УДАЛЕННОГО ДОСТУПА К СЕТИ НА РОУТЕРЕ MICROTIK

СОЗДАНИЕ VPN-ТОННЕЛЯ ДЛЯ УДАЛЕННОГО ДОСТУПА К СЕТИ НА РОУТЕРЕ MICROTIK

Теодорович Наталия Николаевна

канд. техн. наук, доц., руководитель основных профессиональных образовательных программ по направлению подготовки «Управление в технических системах», Государственное бюджетное образовательное учреждение высшего образования Московской области «Технологический университет имени дважды Героя Советского Союза, лётчика-космонавта А.А. Леонова»,

РФ, Московская область, г. Королёв

Дровских Николай сергеевич

бакалавр по специальности «Информационные системы и технологии», студент группы ИМО-ПИ-21, Государственное бюджетное образовательное учреждение высшего образования Московской области «Технологический университет имени дважды Героя Советского Союза, лётчика-космонавта А.А. Леонова»,

РФ, Московская область, г. Королёв

CREATING A VPN TUNNEL FOR REMOTE NETWORK ACCESS ON A MICROTIK ROUTER

N. Teodorovich

Candidate of Technical Sciences, Associate Professor, head of the main professional educational programs in the field of training "Management in technical systems", State Budgetary Educational Institution of Higher Education of the Moscow region "Technological University named after twice Hero of the Soviet Union, Cosmonaut A.A. Leonov",

Russia, Moscow region, Korolev

N. Drovskikh

 Bachelor's degree in Information Systems and Technologies, student of IMO-PI-21 group, State Budgetary Educational Institution of Higher Education of the Moscow Region "Technological University named after twice Hero of the Soviet Union, Cosmonaut A.A. Leonov",

Russia, Moscow region, Korolev

АННОТАЦИЯ

В данной статье рассмотрена информационная система предприятия ПАО «ТрансФин-М» и проанализирована область, в которой требуется модернизация, а именно предоставление сотрудникам компании удаленного доступа для работы вне офиса.

ABSTRACT

This article discusses the information system of the enterprise PJSC "TransFin-M" and analyzes the area in which modernization is required, namely the provision of remote access to the company's employees to work outside the office.

Ключевые слова: ИС, удаленный доступ, модернизация, VPN.

Keywords: IP, remote access, modernization, VPN.

Введение.

Сегодня во многих компаниях сотрудникам предоставляют выбор – работать в офисе или удаленно.

Для обеспечения удаленного доступа в компании либо используют подключение к удаленному рабочему столу, либо создают защищенные каналы связи – VPN-туннели, через которые можно безопасно подключаться к корпоративной сети вне офиса.

Удаленный доступ к рабочему устройству позволяет дистанционно пользоваться рабочей станцией, находясь при этом вне офиса. Протокол удаленного рабочего стола (c англ. Remote Desktop Protocol, RDP) – протокол прикладного уровня, обеспечивающий пользователю удаленный доступ к серверу с работающим сервисом терминальных подключений.

Удаленное подключение к рабочему столу имеет ряд уязвимостей, например сессию могут перехватить злоумышленники, даже если сессия уже завершена.

Поэтому в целях обеспечения безопасности второй вариант подходит больше.

Виртуальная частная сеть

VPN (Virtual Private Network) – совокупность технологий, обеспечивающих безопасное соединение путем создания защищенных каналов связи – VPN-туннелей. Защищенные каналы связи строятся между защищенной сетью и пользователем, находящимся вне этой сети. В целях обеспечения информационной безопасности передаваемая по туннелю информация шифруется.

Фундаментом для построения такой сети являются протоколы. Рассмотрим некоторые из них.

SSTP

Протокол туннелирования защищенных сокетов (Secure Socket Tunneling Protocol, SSTP) – протокол прикладного уровня, обеспечивающий синхронный обмен данными между двумя программами. Данный протокол использует энное количество точек доступа к безопасным узлам в рамках одного сетевого соединения.

SSTP устанавливает соединение с сетью через 443 TCP-порт. SSTP-клиент входит в состав ОС Windows, Для этих клиентов есть возможность настроить двухфакторную аутентификацию.

L2TP/IPsec

L2TP/IPsec является комбинацией двух протоколов – туннельного протокола второго уровня и набора протоколов IP security.

Сам по себе протокол L2TP (Layer 2 Tunneling Protocol) шифрует только собственные управляющие пакеты, но не обеспечивает шифрование передаваемой информации, поэтому как правило с ним используется протокол IPsec.

Данный протокол работает на сетевом уровне и за счет того, что он работает со многими операционными системами, его можно использовать, не прибегая к использованию сторонних приложений.

IPsec шифрует пакеты с помощью заголовка проверки подлинности (Authentication Header) и инкапсулирующего протокола безопасности (Encapsulating Security Protocol). Authentication Header (AH) ставит на каждом передаваемом пакете цифровую подпись, Encapsulating Security Protocol (ESP) обеспечивает при передаче пакета его целостность и конфиденциальность.

IKEv2/IPsec

Помимо L2TP IPsec так же комбинируют с протоколом обмена ключами через интернет – Internet Key Exchange.

Данный протокол является одним из протоколов IPsec и используется для взаимной аутентификации, создания и поддержания общих атрибутов безопасности между двумя сегментами сети. Такими атрибутами могут быть криптографические алгоритмы (AES, Blowfish, Camellia) и/или ключи шифрования.

Данный протокол более устойчив к частой смене сети, поэтому больше остальных подходит под наши задачи.

Разберем настройку VPN-сервера на практике.

Настройка VPN-сервера на роутере Mikrotik.

Создание сертификатов.

Для начала необходимо настроить корневой сертификат. Корневой сертификат (Certificate Authority – CA) лежит в основе инфраструктуры открытых ключей (Public Key Infrastructure – PKI), которая позволяет осуществлять контроль доступа путем проверки подлинности ключа субъекта инфраструктуры, не прибегая к привлечению сторонних служб.

Роутер Mikrotik со встроенной системой RouterOS позволяет создать корневой сертификат непосредственно на самом роутере.

Переходим в «System – Sertificate», в открывшемся окне вводим видимое имя сертификата (Name), имя получившего сертификат субъекта (Common Name), указываем размер ключа (Key Size) и срок действия сертификата в днях (Days Valid) (Рис.1).

Примечание – размер ключа должен составлять не менее 2048 байт. Меньшие по размеру ключи не считаются надежными.

Остальные данные – страна, физическое местонахождение, организация – не являются обязательными к заполнению, однако их желательно заполнить в целях уточнения деталей, касающихся данного сертификата.

Рисунок 1. Создание корневого сертификата

Далее переходим на вкладку «Key Usage». На ней проставляем галочки напротив «crl sign» и «key cert. sign», нажимаем «Apply». После применения изменений нажимаем на кнопку «Sign» и в графе «CA CRL Host» укажем IP-адрес роутера, который будет CRL хостом.

Затем выпускаем сертификат для сервера. Выделенный IP-адрес и доменное имя являются обязательными параметрами для сервера. Данные заполняются по аналогии с корневым сертификатом, за исключением двух пунктов – «Common Name» и «Subject Alt.Name» (Рис.2). В этих пунктах мы указываем либо IP-адрес сервера, либо его полное доменное имя.

Рисунок 2. Создание сертификата сервера

При этом при подключении клиента к серверу нужно учесть то, какое значение было указано в строке «Subject Alt. Name». В противном случае подключение невозможно.

Далее во вкладке «Key Usage» ставим галочку на «tls server», нажмем «Sign» и подпишем сертификат сервера ключом корневого сертификата CA.

Теперь, после выпуска корневого сертификата и сертификата сервера, можно приступить к выпуску клиентских сертификатов. В качестве имени сертификата желательно выбирать максимально понятное, например ФИО сотрудника, на которого этот сертификат выписан. Так же не следует выписывать долгосрочные клиентские сертификаты, оптимальным вариантом будет годовой сертификат.

Во вкладке «Key Usage» нужно поставить галочку на «tls client» и подписать его закрытым ключом корневого сертификата CA.

Для использования созданных клиентских сертификатов их нужно экспортировать. Выбираем нужный сертификат, кликаем правой кнопкой мыши и выбираем «Export». В появившемся окне в строке «Type» указываем формат экспортирования. Наиболее подходящий формат – PKCS12. Данный формат создает файл сертификата, содержащий ключ и сертификат клиента, и корневой сертификат CA. В графе «Export Passphrase» рекомендуется указать пароль, состоящий не менее чем из восьми символов. Скачать экспортированные сертификаты можно из раздела «Files».

Теперь приступаем к настройке VPN-сервера.

Настройка VPN-сервера по протоколу IKEv2.

Для того, чтобы создать профиль нужно перейти в раздел «IP – Ipsec - Profiles». Параметры профиля остаются стандартными, изменяем только имя профиля. Далее переходим на вкладку «Proposals», где хранятся параметры криптографии, необходимые подключающимся клиентам для согласования доступа, и формируем новое предложение. Параметры, устанавливаемые по умолчанию, не подходят. Исходя из этого, в блоке «Encr. Algorithms» убираем галочку с пункта «3des», затем ставим галочки на «aes-128 cbc», «aes-192 cbc» и «aes-256 cbc» (Рис.3).

Рисунок 3. Создание предложения

Следующим шагом нужно задать диапазон IP-адресов, которые будут раздаваться пользовательским устройствам. Для этого переходим во вкладку «IP», в ней выбираем «Pool» и там формируем пул адресов, задав ему имя и диапазон IP-адресов, которые DHCP-сервер будет раздавать клиентам. В конкретном случае зададим диапазон от 100 до 199. Данный диапазон является стандартным для большинства DHCP-серверов. Следующим шагом создаем конфигурацию настройки параметров клиента. Переходим в «IP – Ipsec», в открывшемся окне переходим на вкладку «Mode Configs». При задании новой конфигурации ставим галочку на «Responder», затем в графе «Address Pool» указываем имя созданного диапазона, а в графе «Address Prefix Length» указываем префикс 32. В графе «Split Include» вписываем одну или несколько внутренних подсетей, к которым у пользователей должен быть доступ.

Во вкладке «Groups» создаем группу с уникальным именем.

На вкладке «Policies» создаем политику, указывающую тип трафика предназначенного для передачи по туннелю. Графу «Src. Access» оставляем как есть, в графу «Dst. Address» добавляем диапазон VPN-сети – 10.20.0.0/24. Далее устанавливаем галочку на «Template» и указываем созданную группу. На вкладке «Action» указываем в графе «Proposal» набор предложений IKEv2.

Следующим действием будет создание пира для приема подключений. Переходим во вкладку «Peers» и создаем новый пир. Заполняем графу «Address» нулями (Рис.4) – это нужно для предоставления возможности пользователям подключаться из любой сети. В «Profile» указываем созданный ранее профиль, в «Exchange Mode» указываем протокол IKE2. Так же обязательно нужно поставить галочку на «Passive».

Рисунок 4. Создание пира

Теперь на вкладке «Identities» создаем конфигурацию идентификации клиентов. На этом этапе требуется особая внимательность, так как в конфигурации много заполняемых полей. Здесь мы указываем свой пир, в графе «Auth. Method» указываем электронную подпись (digital signature), сертификат сервера. В «Policy Template Group» указываем нашу группу с политиками, в «Mode Configuration» - нашу клиентскую конфигурацию и в «Generate Policy» - указываем «port strict».

Следующим шагом добавляем правила, разрешающие работать с брандмауэром. Переходим в раздел «Firewall» и во вкладке «Filter Rules» следующее правило: графа «Chain» - «input», «Protocol» - «udp», «Dst. Port» - «500,4500», «In. Interface» - внешний интерфейс (по умолчанию ether1) (Рис.5).

Рисунок 5. Создание правила

И в конце для доступа к внутренней сети извне добавляем правило со следующими данными: во вкладке «General» «Chain» - «forward» и внешний интерфейс, во вкладке «Advanced» «IPsec Policy» - «in : ipsec».

Теперь нужно настроить клиентские устройства, чтобы пользователи могли удаленно подключаться к корпоративной сети.

Подключение клиентского устройства

В первую очередь клиенту необходимо импортировать необходимые сертификаты. Для этого открываем импортируемый сертификат и устанавливаем его с помощью мастера импорта сертификатов. Расположением хранилища выбираем локальный компьютер, далее ничего не требуется, так как все последующие параметры принимаются по умолчанию.

После импорта сертификата нужно задать новое подключение с помощью штатных инструментов. Следуем по пунктам: Поставщик услуг встроенный, имя подключения – «IKEv2», имя или адрес сервера – «vpn.interface31.lab» (должно совпадать с «Common Name»), Тип VPN – IKEv2, тип данных для входа – сертификат.

После создания подключения открываем свойства подключения и настраиваем проверку подлинности на использование сертификатов компьютера.

Теперь возможность подключения к корпоративной сети есть и вне офиса, сотрудники получили возможность выйти на «удаленку».

Список литературы:

1. Емельянов С.В. Информационные технологии и вычислительные системы. – Ленанд, 2015, №2.
2. Уваров А.С. Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам, 24.04.2020 [Электронный ресурс]. URL: https://interface31.ru/tech_it/2020/04/nastraivaem-ikev2-vpn-server-na-routerah-mikrotik.html