1 / 18

VPN - Virtual private networks

VPN - Virtual private networks. Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks. Virtual Private Networks. Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný Internet VPN

elton
Download Presentation

VPN - Virtual private networks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

  2. Virtual Private Networks

  3. Virtual Private Networks • Privátní sítě – používají pronajaté linky • Virtuální privátní sítě – používají veřejný Internet • VPN • Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet • Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW • Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.

  4. Bezpečnost VPN • Bezpečnost VPN • Authentication (ověřování pravosti) – zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí • Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů • Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami • Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet

  5. VPN - komponenty • VPN – používané komponenty, principy • Obranné valy (Firewalls) – povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) • Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA, ... . Zajišťují také integritu dat. • Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)

  6. VPN - komponenty • VPN – používané komponenty, principy • Tunelování – přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) • Překlad adres – použití privátních adres (RFC 1918) • 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 • Nedostatek IP adres • Časté změny poskytovatele

  7. Architektura VPN • VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují • Ověřování • Tunelování • Šifrování/dešifrování • Pracovních stanicích

  8. Architektura VPN – varianta 1 • Tunelování je iniciované klientem nad vytáčenou linkou • Funkce VPN (tunelování, šifrování) běží na uživatelské stanici • Ověřování probíhá ve dvou krocích • ISP ověřování – přístup do Internetu (ISP RADIUS server) • VPN ověřování – přístup do VPN

  9. Architektura VPN – varianta 2 • Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být • Může být i šifrováno • ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server)

  10. Architektura VPN – varianta 3 • Varianta 3 (a další) – VPN typu LAN – LAN

  11. Úrovně realizace VPN • Packet oriented VPN (3 úroveň a výše) • Application oriented VPN (5 úroveň a výše) • Protokoly • Secure Shell (6 – 7 úroveň) • Socks v.5 (5 úroveň) • IPSec, SKIP (3 úroveň) • PPTP/L2TP (2 úroveň)

  12. Přehled VPN tunelovacích protokolů • GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation • PPTP Point-to-point Tunneling Protocol • L2F – Layer 2 forwarding • L2TP – Layer 2 Tunneling Protocol • ATMP – Ascend Tunnel Management Protocol • DLSW – Data Link Switching (SNA over IP) • IPSec – Secure IP • Mobil IP – IP pro mobilní hosty

  13. PPTP – Point-to-point Tunneling Protocol • Původně vyvinut pro vzdálený přístup do Internetu • Microsoft, Ascend, USRobotics, 3COM, ECI Telematics • Jednoduchá konstrukce VPN • Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP • Dovoluje tunelování IPX, AppleTalk • Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) • Datové pakety šifrovány, PPP pakety komprimovány • GREv2 – vytváření IP datagramu (protokol ID v IP záhlaví 47)

  14. L2TP – Layer 2 Tunneling Protocol • L2F – Layer 2 Forwarding • L2TP = L2F + PPTP • Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body • Lepší komprese záhlaví, podpora řízení toku dat • Použitelný i nad ne-IP sítěmi (ATM, FrameRelay, X.25) • Nespecifikuje ověřování a šifrování

  15. IPSec (RFC 2401 – RFC 2406) • Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity • Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu • Pracuje v režimu • Transportním – přenos paketu mezi koncovými uživateli. Používá originální IP adresy. • Tunelovacím – přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu. • Transportní režim s AH • Transportní režim s ESP • Tunelovací režim s AH • Tunelovací režim s ESP

  16. IPsec – transportní režim

  17. IPsec – tunelovací režim

  18. IPsec a VPN

More Related