6 семак / 10 лаба
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (OPENVPN)
Отчет по лабораторной работе №10
по дисциплине «Защита информации в компьютерных сетях»
Студент гр. 711-2
_______ А. А. Калинин
_______Е. П. Толстолес
______.2024
Руководитель
Преподаватель каф. КИБЭВС
_______ К. И. Цимбалов
______.2024
Томск 2024
Введение
Цель работы - изучение технологии виртуальных частных сетей для организации защищенных каналов связи через сети общего пользования (Интернет), получение практических навыков настройки виртуальных частных сетей на примере программного продукта OpenVPN.
Задачи:
Изучить теоретический материал;
Настроить клиентскую и серверную машины;
Создать ключи и сертификаты на обоих машинах;
Открыть порты для общения клиента и сервера;
Создать общую папку и проверить её доступность на обоих машинах
Написать и защитить отчёт о проделанной работе.
1 Ход работы
Подготовка виртуальных машин и настройка оборудования
Создаём 2 виртуальных машины (одна является клиентом, вторая сервером), после чего настраиваем подключение (рисунок 1.1). И устанавливаем дополнение гостевой OC (рисунок 1.2).
Рисунок 1.1 – Тип подключения
Рисунок 1.2 – Гостевая ОС
Далее устанавливаем дополнительное ПО в ручном режиме (рисунок 1.3). Проверяем что в системе теперь видны 2 виртуальных адаптера и служба «OpenVPNService» активна (рисунок 1.4-1.5).
Рисунок 1.3 – Выбор функций
Рисунок 1.4 – Интернет адаптеры
Рисунок 1.5 – Активные службы
Скачиваем и устанавливаем OpenSSL и все необходимые пакеты для его работы. Выполняем команды в PowerShell (рисунок 1.6).
Рисунок 1.6 – PowerShell
Заходим в свойства системы и добавляем новую системную переменную (рисунок 1.7).
Рисунок 1.7 – Новая системная переменная
Определяем версию с помощью команд PowerShell (рисунок 1.8).
Рисунок 1.8 – Версия ПО
В папке bin создайте папку с именем «demoCA» (рисунок 1.9). А в ней создаём 2 файла и 2 папки (рисунок 1.10).
Рисунок 1.9 – Созданная папка
Рисунок 1.10 – Наполнение папки demoCA
Далее редактируем файл openssl.cfg (рисунок 1.11).
Рисунок 1.11 – Редактирование файла конфигурации
Создание сертификатов и ключей для сервера и клиента
Переходим в каталог C:\OpenSSL-Win64\bin\demoCA с помощью командной строки (рисунок 1.12). После генерации проверяем его (рисунок 1.14).
Рисунок 1.12 Переход в каталог
Далее генерируем корневой сертификат (рисунок 1.13).
Рисунок 1.13 – Корневой сертификат
Рисунок 1.14 – Проверка корневого сертификата
После создания корневого сертификата, создаем сертификат и ключ для сервера (рисунок 1.15). После чего подписываем созданный сертификат (рисунок 1.16).
Рисунок 1.15 – Создание сертификата и ключа для сервера
Рисунок 1.16 – Подписывание сертификата
После проделанных действий проверяем сертификат сервера (рисунок 1.17) и цепочку доверия (рисунок 1.18).
Рисунок 1.17 – Проверка сертификата сервера
Рисунок 1.18 – Проверка цепочки доверия
Аналогично создаём ключ и сертификат для клиента (рисунок 1.19). Подписываем сертификат (рисунок 1.20).
Рисунок 1.19 – Создание сертификата и ключа клиента
Рисунок 1.20 – Подписывание сертификата клиента
Теперь сгенерируйте параметры Диффи-Хеллмана (рисунок 1.21).
Рисунок 1.21 – Генерация параметров Диффи-Хеллмана
Создаём ключ для TLS-аутентификации (рисунок 1.22).
Рисунок 1.22 - Создание ключа для TLS-аутентификации
Включение NAT на сервере
Добавляем новые роли и компоненты на сервере (рисунок 1.23).
Рисунок 1.23 – Выбор ролей сервера
Выбираем службы и настраиваем удалённый доступ (рисунок 1.24-26).
Рисунок 1.24 – Удалённый доступ
Рисунок 1.25 – настройка удалённого доступа
Рисунок 1.26 – Маршрутизация удалённого доступа
В мастере настроек в разделе «Конфигурация» выберите «Преобразование сетевых адресов (NAT)» (рисунок 1.27).
Рисунок 1.27 – Конфигурация
Далее настраиваем подключение к интернету с помощью NAT (рисунок 1.28-1.29).
Рисунок 1.28 – Подключение к интернету на основе NAT
Рисунок 1.29 – Выбор сетевого соединения
После завершения настройки разворачиваем меню сервера. В нём будет раздел «IPv4», переходим в раздел «NAT» и открываем свойства общедоступного сетевого интерфейса (рисунок 1.30-1.31).
Рисунок 1.30 – Свойства общедоступного сетевого интерфейса
Рисунок 1.31 – Адрес в частной сети
Создание конфигурационного файла для Сервера
Копируем конфигурационный файл сервера и указываем пути в нём (рисунок 1.32). Затем указываем расположение параметров Диффи-Хеллмана (рисунок 1.33).
Рисунок 1.32 – Расположение ключей и сертификатов сервера
Рисунок 1.33 - Расположение параметров Диффи-Хеллмана
Редактируем строчки, отвечающие за переадресацию шлюза (рисунок 1.34) и DNS (рисунок 1.35).
Рисунок 1.34 – Переадресация шлюза
Рисунок 1.35 – DNS
Указываем расположение TLS-ключа (рисунок 1.36). И криптографический алгоритм AES 256 GCM (рисунок 1.37).
Рисунок 1.36 – TLS-ключ
Рисунок 1.37 - Включение криптографического алгоритма AES 256 GCM
Последним шагом будет указание расположения лог-файла OpenVPN (рисунок 1.38).
Рисунок 1.38 – Расположение лог-файла
Далее через PowerShell открываем порт UDP 1194 (рисунок 1.39-1.40).
Рисунок 1.39 – Открытие порта
Рисунок 1.40 – Созданное правило
Теперь подключаемся к серверу через контекстное меню (рисунок 1.41-1.43). Проверка подключения через командную строку показана на рисунке 1.44.
Рисунок 1.41 – Подключение к серверу
Рисунок 1.42 – Статус подключения
Рисунок 1.43 – Успешное подключение
Рисунок 1.44 – Список подключённых интерфейсов сервера
Настройка клиента
Скачиваем и устанавливаем OpenVPN как на сервере копируем нужные сертификаты и ключи в папку config (рисунок 1.45).
Рисунок 1.45 – Папка config
Редактируем файл client1.ovpn (рисунок 1.46).
Рисунок 1.46 - IP-адрес сервера и порт OpenVPN сервера
Затем указываем расположение сертификата клиента, ключа клиента и корневого сертификата (рисунок 1.47).
Рисунок 1.47 – Расположение сертификатов и ключей клиента
Указываем криптографический алгоритм AES256 GCM (рисунок 1.48).
Рисунок 1.48 - Включение криптографического алгоритма AES 256 GCM на клиенте
Также открываем порт UDP-порт 1194 в брандмауэре Windows (рисуноки 1.49-1.50).
Рисунок 1.49 - Статус соединения клиента
Рисунок 1.50 – Успешное подключение клиента
С помощью команды ping убеждаемся, что машины видят друг друга
(рисунки 1.51 – 1.52).
Рисунок 1.51 – Команда ping на сервере
Рисунок 1.52 – Команда ping на клиенте
Создаём папку на сервере и открываем общий доступ к этой папке (рисунок 1.53) отключая парольный доступ к папке.
Рисунок 1.53 – Открытие общего доступа
Проверяем доступность папки (рисунок 1.54).
Рисунок 1.54 – Проверка доступа
Заключение
В результате проделанной работы были созданы и настроены две виртуальные машины для сервера и клиента. Настройка сервера и клиента была произведена в рамках частной сети OPENVPN. Созданы ключи и сертификаты для клиента и сервера, проверена доступность общих папок на сервере и клиенте.
Отчет составлен согласно ОС ТУСУР 2021.