VPN - Virtual private networks

Rozměr: px

Začít zobrazení ze stránky:

Download "VPN - Virtual private networks"

Vlastimil Malý
před 9 lety
Počet zobrazení:

1 VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks

2 Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální privátní sítě používají veřejný Internet VPN Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť host. Bezpečnost VPN Bezpečnost VPN Authentication (ověřování pravosti) zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) omezování neautorizovaných uživatelů kontrola práv uživatelů Confidentality (důvěrnost) ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami Data Integrity (integrita dat) zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet

Bezpečnost VPN Bezpečnost VPN Authentication (ověřování pravosti) zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) omezování

3 VPN - komponenty VPN používané komponenty, principy Obranné valy (Firewalls) povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) Ověřování používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA,.... Zajišťují také integritu dat. Šifrování zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem) VPN - komponenty VPN používané komponenty, principy Tunelování přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) Překlad adres použití privátních adres (RFC 1918) /8, /12, /16 Nedostatek IP adres Časté změny poskytovatele

Šifrování zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem) VPN - komponenty VPN používané komponenty, principy Tunelování přizpůsobení

4 Architektura VPN VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích Architektura VPN varianta 1 Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské stanici Ověřování probíhá ve dvou krocích ISP ověřování přístup do Internetu (ISP RADIUS server) VPN ověřování přístup do VPN

1 Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské

5 Architektura VPN varianta 2 Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být Může být i šifrováno ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server) Architektura VPN varianta 3 Varianta 3 (a další) VPN typu LAN LAN

Service Provider) ověřuje uživatele pro přístup do Internetu i VPN

6 Úrovně realizace VPN Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly Secure Shell (6 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň) Přehled VPN tunelovacích protokolů GRE RFC 1701, RFC 1702 Generic Routing Encapsulation PPTP Point-to-point Tunneling Protocol L2F Layer 2 forwarding L2TP Layer 2 Tunneling Protocol ATMP Ascend Tunnel Management Protocol DLSW Data Link Switching (SNA over IP) IPSec Secure IP Mobil IP IP pro mobilní hosty

5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň) Přehled VPN tunelovacích protokolů GRE RFC 1701, RFC 1702 Generic

7 PPTP Point-to-point Tunneling Protocol Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 vytváření IP datagramu (protokol ID v IP záhlaví 47) L2TP Layer 2 Tunneling Protocol L2F Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku dat Použitelný i nad ne-ip sítěmi (ATM, FrameRelay, X.25) Nespecifikuje ověřování a šifrování

šifrovány, PPP pakety komprimovány GREv2 vytváření IP datagramu (protokol ID v IP záhlaví 47) L2TP Layer 2 Tunneling Protocol L2F Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit

IPSec (RFC 2401 RFC 2406) Zajišťuje ověřování a integritu dat AH Authentication Header pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat ESP Encapsulating Security Payload

8 IPSec (RFC 2401 RFC 2406) Zajišťuje ověřování a integritu dat AH Authentication Header pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat ESP Encapsulating Security Payload zapouzdření paketu a šifrování jeho obsahu Pracuje v režimu Transportním přenos paketu mezi koncovými uživateli. Používá originální IP adresy. Tunelovacím přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu. Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP IPsec transportní režim

koncovými uživateli. Používá originální IP adresy. Tunelovacím přenos paketu mezi konci tunelu.

9 IPsec tunelovací režim IPsec a VPN

Podobné dokumenty

Bezpečnost vzdáleného přístupu. Jan Kubr

Bezpečnost vzdáleného přístupu Jan Kubr Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security