1 / 25

VPN

VPN. 1. Pou žitie VPN. organi zácie zvyšovanie možností rozsahu siete znižovanie finančných nákladov umožnujú - videokonferencie, zdieľanie súborov, ...

wilton
Download Presentation

VPN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN

  2. 1.Použitie VPN • organizácie • zvyšovanie možností rozsahu siete • znižovanie finančných nákladov • umožnujú - videokonferencie, zdieľanie súborov, ... • spôsob komunikácie – vytvorenie komunikačného tunela medzi koncovými užívateľmi prostredníctvom verejnej (internet) alebo privátnej siete (intranet) • výhody VPN: • finančné • úspora výdajov na „prenajaté“ linky • úspora výdajov na telefónne spojenia • iné finančné úspory (zariadenia,...)

  3. rozšíriteľnosť VPN: • realizácia vlastého prenajatého sieťového priestoru môže byť rentabilná v prípadoch, ak ide o malé siete (pr. Prepojenie dvoch pobočiek) • v prípade 4 pobočiek bybolo nutné prepojiť ich 6 cestami (6 pobočiek = 15 ciest, atď. ) • VPN využívajú prepojenie prostredeníctvom Internetu => jednoduchá rozšíriteľnosť

  4. limity VPN: • použitie VPN si vyžaduje znalosť sieťovej bezpečnosti (inštalácia sieťových zariadení, ich konfigurácia na zabezpečenie prístupu do VPN v rámci verejnej siete) • spoľahlivosť a pôsobenie „Internet-based VPN“ nie je priamo pod kontrolou, konkrétnej organizácie, ktorá ho využíva, ale zabezpečuje to provider • VPN produkty a riešenie kompatibilné s technológiu (štandardom) nemusia byť kompatibilné medzi sebou

  5. 2.Virtual Private Network • vytvárajú spojenie na veľkú vzdialenosť (podobnosť z WAN) • využívajú verejnú sieť (Internet) resp. lokálnu sieť (intranet) na komunikáciu • t.j. kabeláž, smerovače... • spôsoby vytvorenia spojenia: • Remote access client connections • LAN-to-LAN internetworking • Controlled access within an intranet

  6. 2.1Remote access connection • princíp klient/server komunikácie • Vzdialený host (klient) sa prihláci so verejnej siete (Internet) • Host iniciuje VPN spojenie s firemným VPN serverom • Po úspešnej autentifikácií vytvorené spojenie • Vzdialený host musí mať nainštalovaný VPN cleint software

  7. 2.2LAn to LAN Internetworking • princíp klient/server komunikácie • Vzdialená LAN (klient) sa prihláci so verejnej siete (Internet) • LAN iniciuje VPN spojenie s firemným VPN serverom • Po úspešnej autentifikácií vytvorené spojenie

  8. 2.3Prístup v rámci Intranetu • vytváranie lokálnych subnetov v rámci intranetu • prístup k jednotlivým subnetom bez potreby providera • bezpečnostné benefity (ochrana WIFI lokálnych sietí)

  9. 3.Výhody/nevýhody VPN • The potential problems with the VPN outnumber the advantages and are generally more difficult to understand. The disadvantages do not necessarily outweigh the advantages, however. From security and performance concerns, to coping with a wide range of sometimes incompatible vendor products, the decision of whether or not to use a VPN cannot be made without significant planning and preparation.

  10. 4.Technológie VPN • Metóda: • tunneling • Protokoly (autentifikačné a kryptovacie): • PPTP • L2TP • SOCKS • IPsec

  11. 4.1 Tunelling • vytváranie a udržiavanie logického spojenia (môže zahŕňať prechodné uzly) • pakety tvorené VPN protokolmi • pri prenose sa „zabalia“ do iného prenosového protokolu (IP) a prenášané posieti medzi klientom a serverom • Typy tunelling-u (oba využívané v rovnakej miere): • povinný • dobrovoľný

  12. 4.2 Dobrovoľný tunelling • komunikáciu riadi klientská stanica • klient najprv vytvorí spojenie s providerom prenosového média • potom VPN klientská aplikácia vytvorí tunel k VPN serveru

  13. 4.3 Povinný tunelling • spojenie vytvára provider prenosového média • ak klient vytvorí spojenie s providerom, provider okamžite vytvára spojenie medzi VPN klientom a VPN serverom • z pohľadu klienta je toto spojenie vytvorené v jednom okamihu • povinný tunelling zabezpečuje autentifikáciu klienta prostredníctvom logiky v špeciálnom sprostredkovateľskom zariadení • sprostredkovateľské zar.: • VPN Front End Processor (FEP), • Network Access Server (NAS), • Point of Presence Server (POS). • kontrolné správy sa posielajú medzi klientom a sprostredkovateľským zariadením,

  14. 4.5 PPTP • vznikol za spoluúčasti viacerých organizácií • väčšina MS Windows operačných systémov má zabudovaného PPTP klienta • rozširuje možnosti PPP – štandard pre dial-up spojenie • vhodný pre remote access • využíva sa aj pre LAN internetworking • dáta balí najprv do PPP, potom do IP protokolu • používa sa na prenos info po tzv. „Internet-based VPN tunnel“ • využíva General Routing Encapsulation

  15. Internet-based VPN tunnel vytvorené na zákalde PPTP sú najčastejšie používanou formou VPN spojení • tunelové spojenia sa vytvárajú v dvoch krokoch: • PPTP klient vytvorí spojenie s ISP prostredníctvom PPP dial-up networking (tradičný modem alebo ISDN) • Cez sporostredkovateľské zariadenie, PPTP vytvára TCP control connection medzi VPN klientom a VPN serverom. Týmto spojením sa vytvorí tunel. PPTP používa TCP port 1723. • PPTP podporuje VPN spojenie cez LAN siete. ISP spojenie v tomto prípade nie je potrebné, takže tunel je vytváraný hneď. • Ak je VPN spojenie vytvorené, PPTP podporuje dva typy toku dát: • control messages – spravovanie, eventuálne ukončenieVPN spojenia. Správy sú posielané priemo medzi klientom a serverom. • data packets - sú prenášané k/od klienta cez VPN tunel

  16. Po vytvorení spojenia PPTP používa tzv. „kontrolné správy“ na udržiavanie VPN spojenia

  17. S použitím kontrolných správ používa PPTP tzv. „magic cookie“ • „magic cookie“ je reprezentovaný hexadecimálnym číslom 0x1A2B3C4D • Zabezpečuje prijímateľovi správnu interpretáciu bytového prúdu dát • PPTP Security • Autentifikácia (PAP, CHAP, EAP) • kryptovanie • packet filtering ( na VPN serveroch, firewally, smerovače) • PPTP Pros and Cons • Voľne dostupné s Microsoft Windows (populárnymi verziami) • Voľba autentifikačného a kryptovacieho štandardu – dve rôzne zariadenia, ktoré sú kompatibilné s PPTP, nemusia byť kompatibilné s kryptovacím a autentifikačným štandardom

  18. 4.6 L2TP • L2TP – javí sa ako protokol data link layer pre tunelling. Vytvára spojenie medzi dvoma koncovými uzlami cez existujúcu sieť. • V skutočnosti to je layer 5 protokol (session layer), používa registrovaný UDP port 1701. • Celý L2TP packet, sa posiela ako UDP datagram. • Využíva Point-to-Point Protocol (PPP). • Sám o sebe nezabezpečuje autentifikáciu, využíva skupinu protokolov IPsec na zabezpečenie bezpečnosti. • L2TP tunnel môže vytvárať spojenie cez celú PPP alebo len cez jeden segment dvojsegmentovej relácie.

  19. Používané tunelové modely: • voluntary tunnel – tunel sa vytvára L2TP klientom (LAC), ktorý posiela pakety sprostredkovateľskému zariadeniu (SPZ) providera a ten icj posiela ďalej lokálnemu serveru (LNS). SPZ nemusí podporovať L2TP, len umožňuje prenos údajov medzi klientom a serverom. • compulsory tunnel — incoming call – tunel sa vytvára medzi SPZ a LNS (resp. LNS home gateway). SPZ podporuje L2TP. Klientská stanica je zabezpečená VPN loginom a heslom, vie sa prihlásiž do VPN. Klient posiela PPP pakety SPZ, ktoré ich balí do L2TP a posiela ich LNS. V tomto modeli L2TP zastrešuje len jednu časť PPP relácie. • compulsory tunnel — remote dial – LNS iniciuje vytvorenie tunela k SPZ a usmerňuje SPZ poslať klientovi PPP odpoveď. Príklad použitia: • This model is intended for cases where the remote PPP Answer Client has a permanently established phone number with an ISP. This model is expected to be used when a company with established presence on the Internet needs to establish a connection to a remote office that requires a dial-up link. In this model the tunnel only extends across the segment of the PPP session between the LNS and the ISP.

  20. L2TP multi-hop connection – presmerovanie trafiky medzi viacerými LAC a LNS. Multi-hop spojenie sa vytvára medzi LAC a L2TP Multi-hop gateway-om. Ďalší tunel sa vytvára medzi Multihop-gateway a LNS.

  21. 4.7 IPsec • IPsec – skupina protokolov. Môže sa použiť ako kompletné protokolové riešenie pre VPN alebo ako kryptovacia a autentifikačná schéma s použitím L2TP or PPTP. IPsec - network layer (Layer Three) of the OSI model. • IPsec - vytvára transport mode (end-to-end) bezpečnosť paketov, kde bezpečnosť zabezpečujú koncové PC, alebo vytvára tunnel mode (portal-to-portal) communications security , kde bezpečnosť prenosu je rozdelené medzi viacero uzlov v sieti (even to whole LANs). • Samostatný IP protokol nezabezpečuje „network security. • IPsec zabezpečuje: • Krytptovanie dát – okrem autentifikovaných používateľom tieto dáta nevie čítať nikto iný • Validačnú integritu – zabezpečuje, že dáta nebudú počas prenosu zmenené • Autentifikáciu koncovách staníc • Anti-replay – ochrana proti opätovnému „prehrávaniu“ chránenej relácie

  22. 5. Bezpečnostné modely VPN • Authentication before VPN Connection • použitie služieb sieťového providera • Autentifikovaný používateľ môže pristupovať k zdrojom , ktoré niesu dostupné pre každého. • Rôzne autentifikačné mechanizmi – implementované cez firewall, access gateway, ... • Použitie hesla, biometrických údajov, kryptografických údajov • Kombinácie autentifikačných techník a mechanizmov • Trusted Delivery Networks • Trusted VPNs (tiež APNs - Actual Private Networks) • Využívajú bezpečnostné služby jedného providera • Porovnateľné so sieťou spravovanou jedným administrátorom

  23. 6. VPN software Hamachi is a centrally-managed zero-configurationvirtual private network (VPN) freeware application capable of establishing direct links between computers that are behind NAT firewalls without requiring reconfiguration (in most cases); in other words, it establishes a connection over the Internet, to create conditions very similar to that as if the computers were connected over a local area network. OpenVPN is an open sourcevirtual private network (VPN) software for creating point-to-point encryptedtunnels between host computers. It was written by James Yonan and is published under the GNU GPL. Openswan – pre Linux PacketiX VPN is a Virtual private networking (VPN) software developed by SoftEther Corporation in Japan.

  24. 7. Rozdiel medzi VLAN and VPN A VLAN is a virtual local area network. A VPN is a virtual private network. A VLAN is used on an IOS switch to separate switch ports into separate broadcast domains. A VPN is used to gain private access your network from a remote location through the internet.

  25. Použitý zdroj informácií • http://compnetworking.about.com • Wikipedia.org

More Related