Презентация Виртуальные частные сети VPN. (Лекция 7) онлайн

Содержание слайда: VPN Виртуальные частные сети

Содержание слайда:

Содержание слайда: 1998 год – разработка приложений VPN, позволяющих осуществлять централизованный контроль со стороны пользователей. 1998 год – разработка приложений VPN, позволяющих осуществлять централизованный контроль со стороны пользователей. 1999 год – модель аутентификации, дополнительные средства для конфигурирования клиентов 2000 год – включение средств VPN в Windows2000 В настоящее время технология вошла в фазу расцвета. Используются различные технологии и архитектуры с учетом потребностей конкретной сети. Использование общедоступной IP-сети для предоставления удаленного доступа к информации может (!) являться безопасным.

Содержание слайда:

Содержание слайда:

Содержание слайда: Классификация VPN

Содержание слайда: Базовые архитектуры VPN Шлюз-шлюз Шлюз-хост Хост-хост Комбинированная – через промежуточный шлюз (IPSG)

Содержание слайда: Основные компоненты VPN VPN-шлюз – сетевое устройство, подключенное к нескольким сетям, выполняет функции шифрования, идентификации, аутентификации, авторизации и туннелирования. Может быть решен как программно, так и аппаратно. VPN-клиент (хост) решается программно. Выполняет функции шифрования и аутентификации. Сеть может быть построена без использования VPN-клиентов.

Содержание слайда: Туннель – логическая связь между клиентом и сервером. В процессе реализации туннеля используются методы защиты информации. Туннель – логическая связь между клиентом и сервером. В процессе реализации туннеля используются методы защиты информации. Граничный сервер – это сервер, являющийся внешним для корпоративной сети. В качестве такого сервера может выступать, например, брендмауэр или система NAT. Обеспечение безопасности информации VPN – ряд мероприятий по защите трафика корпоративной сети при прохождении по туннелю от внешних и внутренних угроз.

Содержание слайда: Схемы взаимодействия провайдера и клиента Пользовательская схема – оборудование размещается на территории клиента, методы защиты информации и обеспечения QoS организуются самостоятельно. Провайдерская схема – средства VPN размещаются в сети провайдера, методы защиты информации и обеспечения QoS организуются провайдером. Смешанная схема – используется при взаимодействии клиента с несколькими провайдерами.

Содержание слайда: Схема соединения филиалов с центральным офисом

Содержание слайда: Связь удаленного пользователя с корпоративной сетью

Содержание слайда: Организация туннеля через провайдера Internet, поддерживающего службу VPN

Содержание слайда: VPN-соединение защищенных сетей внутри корпоративной сети

Содержание слайда: VPN-соединение корпоративного клиента с защищенной сетью внутри корпоративной сети

Содержание слайда:

Содержание слайда: Защита данных в VPN Требования к защищенному каналу: Конфиденциальность Целостность Доступность легальным пользователям (аутентификация) Методы организации защищенного канала: Шифрование. Аутентификация – позволяет организовать доступ к сети только легальных пользователей. Авторизация – контролирует доступ легальных пользователей к ресурсам в объемах, соответствующих предоставленными им правами. Туннелирование – позволяет зашифровать пакет вместе со служебной информацией.

Содержание слайда: Поддержка VPN на различных уровнях модели OSI Канальный уровень: L2TP, PPTP и др. (авторизация и аутентификация) Технология MPLS (установление туннеля) Сетевой уровень: IPSec (архитектура «хост-шлюз» и «шлюз-шлюз», поддержка шифрования, авторизации и аутентификации, проблемы с реализацией NAT) Транспортный уровень: SSL/TLS (архитектура «хост-хост» соединение из конца в конец, поддержка шифрования и аутентификации, реализован только для поддержки TCP-трафика)

Содержание слайда: Протоколы канального уровня: PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР и инкапсулирует их в IP пакеты (1996 год, разработка Microsoft, Ascend, 3Con и US Robotics) L2F (Layer to Forwarding). Прототип L2TP (1996 год, разработка Cisco) L2TP (Layer to Tunneling Protocol). Инкапсулирует кадры РРР в протокол сетевого уровня, предварительно проведя аутентификацию пользователя (1997 год, разработка Cisco и IETF)

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда: Стек протоколов IPSec

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда: Определение SA

Содержание слайда: Режимы IPSec Туннельный режим: Добавляется новый IP-заголовок Исходный IP-заголовок инкапсулируется (предварительно шифруется). Адрес приемника и передатчика может изменяться на адрес граничного шлюза Инкапсуляция может производиться оконечной станцией или шлюзом VPN Транспортный режим: Использует исходный IP-заголовок Адреса оконечных устройств остаются без изменения Инкапсуляция производится оконечными устройствами

Содержание слайда: Инкапсуляция IPSec для туннельного режима

Содержание слайда: Инкапсуляция IPSec для транспортного режима

Содержание слайда: Инкапсуляция с аутентификацией (ESP)

Содержание слайда: Управление ключом IKE Функции IKE: Установление SA (Security Association) Определение параметров безопасности Обмен ключами (UDP, порт 500) Фазы работы IKE: Фаза I: Аутентификация (из конца в конец, из конца к файерволлу) Определение параметров безопасности для Фазы II Фаза II: Установление параметров безопасности для соединения Выбор аутентификации (HMAC-MD5, HMAC-SHA) Выбор алгоритма шифрования (DES, RC5, IDEA, Blowfish, CAST-128)

Содержание слайда: Общая процедура IPSec Фаза I для узла А, аутентификация Фаза II для узлов A и В, обмен ключами Установление туннеля Контроль состояния туннеля минимум каждые 10 с.

Содержание слайда: Правила безопасности Правила безопасности определяют способы защиты, пропуска и сброса трафика. Основным условием работы правил безопасности является зеркальность трафика в соединении В случае ошибочного прописывания правил безопасности могут возникать конфликты, приводящие к потере трафика: Скрывание Конфликт в типе туннелей Зацикливание Асимметрия

Содержание слайда: Пример реализации правил безопасности

Содержание слайда: Протоколы транспортного уровня SSL – Secure Sockets Layer. SSLv3, 1996 год. TLS – Transport Layer Security. Стандарт IETF, RFC 2246. В настоящее время объединены в общий стек протоколов SSL/TLS Стек протоколов SSL/TLS

Содержание слайда: Все браузеры поддерживают SSL/TLC. Все браузеры поддерживают SSL/TLC. SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между транспортным и прикладным уровнем. Не поддерживает приложения UDP (отсутствует квитирование) Стек протоколов SSL/TLS: SSL Record Protocol: защита передаваемых данных SSL Handshake Protocol: установление сессии (соглашение о используемых алгоритмах, параметры безопасности) SSL Change Cipher Protocol (смена шифра) SSL Alert Protocol (сообщения об ошибках)

Содержание слайда: Организация VPN/MPLS VPN/MPLS – хорошо масштабируемое решение. Рекомендация RFC 2547bis (модель IETF): Р узлы: должны поддерживать маршруты к другим Р и РЕ узлам, а не VPN-маршруты РЕ узлы: поддерживают только непосредственно подсоединенные VPN-маршруты VPN могут иметь перекрывающиеся адреса

Содержание слайда: Модель взаимодействия с сетью

Содержание слайда: Адресация VPN

Содержание слайда: RD – Route Distinguisher – признак маршрута. Используется для определения конкретных маршрутов. Это новый тип адреса. RD – Route Distinguisher – признак маршрута. Используется для определения конкретных маршрутов. Это новый тип адреса. Основная идея – сделать неуникальные адреса уникальными, заменив группы IP-адресов на RD. Способ: совмещение IP-адреса и некоторого уникального идентификатора. Таким образом, для каждого маршрута в рамках одной VPN будут разные RD. Комьюнити – сообщества – используются для фильтрации трафика. Обозначаются «цветом». Трансляция комьюнити происходит только в узлах PE. Комьюнити используются только в сети провайдера и только для управления и трансляции.

Содержание слайда: Определение VPN

Содержание слайда: Использование метки VPN

Содержание слайда: Варианты решений: VPWS – для организации виртуальных частных каналов и решений точка-точка (все пакеты являются широковещательными). Самая примитивная версия. Легок в настройке и использовании (как односторонняя, так и двусторонняя конфигурация), поддерживает трафик альтернативных сетей, но недостаточно эффективно использует ресурс. VPLS – для организации виртуальных LAN и решений точка-многоточие (широковещательные пакеты отсылаются только на этапе установления соединения). Позволяет эмулировать VLAN на основе MPLS. Поддерживает интерфейсы Ethernet (низкая стоимость оконечного оборудования), эффективно управляет полосой пропускания. Существуют некоторые проблемы масштабирования.

Содержание слайда: HVPLS – иерархический VPLS, поддерживает несколько уровней MPLS. Является следующей стадией развития VPLS. Решает проблему ограничения на количество узлов введением дополнительного пользовательского РЕ узла (U-PE). Для уменьшения таблицы коммутации передает часть функций U-PE узлам. HVPLS – иерархический VPLS, поддерживает несколько уровней MPLS. Является следующей стадией развития VPLS. Решает проблему ограничения на количество узлов введением дополнительного пользовательского РЕ узла (U-PE). Для уменьшения таблицы коммутации передает часть функций U-PE узлам.

Содержание слайда: Интернет-маршрутизаторы D-Link

Содержание слайда: Широкополосный шлюз: DI-524up

Содержание слайда:

Содержание слайда: Характеристики DI-524up Обеспечение доступа в интернет всем компьютерам сети Оборудован 4-портовым коммутатором Fast Ethernet Поддержка VPN в режиме Path Trough: PPTP, L2TP, IPSec Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с провайдером иди центральным офисом Встроенный принт-сервер Межсетевой экран Беспроводная точка доступа Поддержка виртуального сервера с демилитаризованной зоной – DMZ Удобное управление через Web-интерфейс Поддержка Multicast

Содержание слайда: Широкополосный шлюз: DI-624

Содержание слайда:

Содержание слайда: Возможности DI-624 Обеспечение доступа в интернет всем компьютерам сети Оборудован 4- х портовым коммутатором Fast Ethernet Поддержка VPN в режиме Path Trough: PPTP, L2TP, IPSec Встроенный принт-сервер Межсетевой экран Беспроводная точка доступа Поддержка контроля доступа Поддержка виртуального сервера с демилитаризованной зоной – DMZ Удобное управление через Web-интерфейс

Содержание слайда: Широкополосный шлюз: DI-624s

Содержание слайда:

Содержание слайда: Возможности DI-624s Доступ в Интернет как для проводных, так и для беспроводных клиентов Встроенный 4- х портовый коммутатор Fast Ethernet Поддержка VPN-клиентов(PPTP/PPPoE/L2TP) Межсетевой экран Беспроводная точка доступа Поддержка контроля доступа с возможностью задания расписания действия правил доступа Поддержка виртуального сервера с демилитаризованной зоной – DMZ WebServer,FTPServer,SMBServer – FAT32 Удобное управление через Web-интерфейс

Содержание слайда: Интернет маршрутизатор: DI-634M

Содержание слайда:

Содержание слайда: Возможности DI-634m Обеспечение доступа в интернет всем компьютерам сети Оборудован 4-х портовым коммутатором Fast Ethernet Поддержка VPN в режиме Path Trough: PPTP, L2TP, IPSec Межсетевой экран Имеет встроенную беспроводную точку доступа по технологии MIMO Поддержка виртуального сервера с демилитаризованной зоной – DMZ Удобное управление через Web-интерфейс

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда: Характеристики DI-804HV WAN - порт 10/100 Мбит/с для подключения к глобальной сети посредством кабельного или ADSL-модема 4-портовый коммутатор 10/100Мбит/с Fast Ethernet для подключения к локальной сети PPTP/L2TP Сервер Встроенный межсетевой экран Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с провайдером иди центральным офисом Поддержка IPSec: до 40 туннелей Встроенный DHCP-сервер Порт RS-232 для подключения внешнего аналогового модема или мобильного телефона(AT comp.) Управление посредством Web-браузера

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда: Характеристики DI-824vup+ WAN - порт 10/100 Мбит/с для подключения к глобальной сети посредством кабельного, ADSL-модема или Ethernet 4-портовый коммутатор 10/100Мбит/с Fast Ethernet для подключения к локальной сети Беспроводная точка доступа Встроенный межсетевой экран Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с провайдером иди центральным офисом Поддержка IPSec: до 40 туннелей Встроенный PrintServer(USB/LTP) Встроенный DHCP-сервер Порт RS-232 для подключения внешнего аналогового модема Управление посредством Web-браузера

Содержание слайда: Маршрутизаторы для сетевых игр GamerLounge с технологией GameFuel

Содержание слайда:

Содержание слайда: Применение DGL-4100

Содержание слайда:

Содержание слайда:

Содержание слайда: Применение DGL-4300

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда:

Содержание слайда: