Virtuální sítě 1.část VPN



Podobné dokumenty
13. Sítě WAN. Rozlehlé sítě WAN. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme rozlehlé sítě typu WAN. Doba nutná k nastudování

Server. Software serveru. Služby serveru

Návod k obsluze CC&C WA-6212-V2

Praktické úlohy- zaměření specializace

Inovace výuky prostřednictvím šablon pro SŠ

Windows 7 kompletní příručka. Bohdan Cafourek. Vydala Grada Publishing a.s. U Průhonu 22, Praha 7 jako svou publikaci

PŘÍLOHA 1.3 SMLOUVY O PŘÍSTUPU K VEŘEJNÉ PEVNÉ KOMUNIKAČNÍ SÍTI PŘÍSTUP K ŠIROKOPÁSMOVÝM SLUŽBÁM

SPECIFIKACE IP VRSTVY ROZHRANÍ T/S PRO TELEKOMUNIKAČNÍ SLUŽBY ČESKÉHO TELECOMU, A.S., ZALOŽENÉ NA KONEKTIVITĚ ADSL

Stručný průvodce instalací

X36PKO Jiří Smítka

VPN - Virtual private networks

FWA (Fixed Wireless Access) Pevná rádiová přípojka

Bezdrátové připojení (pouze u vybraných modelů) Uživatelská příručka

Vysokorychlostní sítě 2004 Praktická aplikace přenosu hlasu v IP sítích

KX-TDA verze Rozšiřte kapacitu a schopnosti Vašeho systému KX-TDA povýšením na verzi 2.02.

Napájení požárně bezpečnostních zařízení a vypínání elektrické energie při požárech a mimořádných událostech. Ing. Karel Zajíček

4. Počítačová síť. Co je to počítačová síť

Bezdrátové připojení (pouze u vybraných modelů)

Pravidla pro využívání lokální počítačové sítě Slovanského gymnázia v Olomouci. Preambule

ICT plán ZŠ praktické Bochov na rok 2009

Záloha a obnovení Uživatelská příručka

Obchodní podmínky pro spolupráci se společností Iweol EU s.r.o.

Manuál uživatele čipové karty s certifikátem

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM

VI. Finanční gramotnost šablony klíčových aktivit

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

INFORMAČNÍ SYSTÉM O AREÁLU

VERZE: 01 DATUM: 05/2014

VÝZVA K PODÁNÍ NABÍDKY

Přední panel SP3364 SP3367

ICT plán školy 2015/2016

B. INFORMAČNÍ SPOLEČNOST

ORGANIZAČNÍ ŘÁD ŠKOLY

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

STANOVY ASOCIACE NESTÁTNÍCH NEZISKOVÝCH ORGANIZACÍ ČESKÉ REPUBLIKY

Technická specifikace požadovaného řešení

Disaster recovery, zálohování dat a efektivní využití cloudových služeb

Sportovní soukromá základní škola Litvínov s.r.o. Podkrušnohorská 1677, Litvínov,

OBCHODNÍ PODMÍNKY SPOLEČNOSTI harna.cz s.r.o. PRO OBLAST POSKYTOVÁNÍ SLUŽEB ELEKTRONICKÝCH KOMUNIKACÍ

PRAVIDLA soutěže COOP DOBRÉ RECEPTY Jarní probuzení

PŘÍLOHA 1.6 SMLOUVY O PŘÍSTUPU K VEŘEJNÉ PEVNÉ KOMUNIKAČNÍ SÍTI LOGISTIKA KONCOVÝCH ZAŘÍZENÍ

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

PŘÍLOHA 10 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Pravidla a postupy

Generátor sítového provozu

11. Počítačové sítě protokoly, přenosová média, kapacity přenosu. Ethernet

Nastavení telefonu T-Mobile MDA Touch

OCHRANA SOUKROMÍ NA PORTÁLU SALON24

Pracovní návrh. VYHLÁŠKA Ministerstva práce a sociálních věcí. ze dne o hygienických požadavcích na prostory a provoz dětské skupiny do 12 dětí

DATOVÉ SCHRÁNKY. Seminární práce z předmětu Information and communication policy

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

WD Passport TM. Přenosný PEVNÝ DISK. Příručka pro rychlou instalaci

ZADÁVACÍ DOKUMENTACE. Pořízení a provoz konsolidované IT infrastruktury

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

STANDARD 3. JEDNÁNÍ SE ZÁJEMCEM (ŽADATELEM) O SOCIÁLNÍ SLUŽBU

Netis WF popis základního nastavení fw

DODATEK Č. 2 KE SMLOUVĚ O DÍLO MKDS STŘÍBRO Č. 20/HIO/2011

O b s a h : 12. Úřední sdělení České národní banky ze dne 1. října 2001 k využívání outsourcingu bankami

Zabezpečení. Uživatelská příručka

POZMĚŇOVACÍ NÁVRHY 12-21

VÝZVA K PODÁNÍ NABÍDKY. Stavební úpravy turistické ubytovny TJ Valašské Meziříčí dokončení rekonstrukce

Řízení kalibrací provozních měřicích přístrojů

PŘÍLOHY SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

Ú Z E M N Í R O Z H O D N U T Í VEŘEJNÁ VYHLÁŠKA č. 38 / 2007

ZPRÁVA O PRŮBĚHU ŘEŠENÍ PROJEKTU

VÝKLADOVÁ PRAVIDLA K RÁMCOVÉMU PROGRAMU PRO PODPORU TECHNOLOGICKÝCH CENTER A CENTER STRATEGICKÝCH SLUŽEB

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

Smluvní podmínky (KTv)

PUBLICITA v OP VK. Seminář pro příjemce v rámci globálních grantů Olomouckého kraje. Olomouc, 20. a 21. dubna 2009

účetních informací státu při přenosu účetního záznamu,

CENÍK SLUŽBA ETHERNET. Účinnost od Ceny uvedeny bez i s 20% DPH 1. PODMÍNKY

Všeobecné podmínky firmy Libor Vajgl Rywa Software pro poskytování telekomunikačních služeb

Vyhlášení opakované veřejné soutěže 1/6

Návod na zřízení datové schránky právnické osoby nezapsané v obchodním rejstříku

Kritéria zelených veřejných zakázek v EU pro zdravotnětechnické armatury

Sbírka zákonů ČR Předpis č. 473/2012 Sb.

Popis realizace- 41 Tísňová péče ŽIVOT 90.doc

PŘÍLOHA 1.2 SMLOUVY O PŘÍSTUPU K VEŘEJNÉ PEVNÉ KOMUNIKAČNÍ SÍTI. Přístup k veřejně dostupné telefonní službě

1. TECHNICKÉ POŽADAVKY PRODUKTŮ VEMA Klasifikace konfigurací z hlediska podpory... 7

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

Soutěž o návrh. dle ustanovení 103 a násl. zákona č. 137/2006 Sb., o veřejných zakázkách (dále jen ZVZ )

Quido USB 0/ Spínač síťového napětí 230 V ovládaný z PC přes USB rozhraní. 28. února 2011 w w w. p a p o u c h. c o m

Centrum pro flexibilní zpracování plechových polotovarů (II)

Z A D Á V A C Í D O K U M E N T A C E k výzvě k podání nabídek NÁJEM SKLADOVÝCH A MANIPULAČNÍCH PROSTOR A POSKYTNUTÍ SOUVISEJÍCÍCH SLUŢEB

V této části manuálu bude popsán postup jak vytvářet a modifikovat stránky v publikačním systému Moris a jak plně využít všech možností systému.

FAKULTNÍ NEMOCNICE BRNO. Jihlavská 20, Brno tel:

Váš dopis zn./ze dne Naše značka Vyřizuje Linka Vrchlabí dne. KRNAP 07480/2014 OSS/Ing. Steklá/H R O Z H O D N U T Í

LW053 Sweex Wireless LAN USB 2.0 Adapter 54 Mbps

SMLOUVA O POSKYTOVÁNÍ SOCIÁLNÍ SLUŽBY č.../2013

Síťové souborové systémy

Zabezpečení Uživatelská příručka

Využití mobilních dotykových zařízení (tabletů)

Bezpečnost vzdáleného přístupu. Jan Kubr

Hardware počítačových sítí

EXTRAKT z české technické normy

SEKCE J INFORMAČNÍ A KOMUNIKAČNÍ ČINNOSTI

Seriál: Management projektů 7. rámcového programu

ZADÁVACÍ DOKUMENTACE K ZAKÁZCE ZADÁVANÉ DLE PRAVIDEL PRO VÝBĚR DODAVATELŮ OPPI A SUBSIDIÁRNĚ DLE ZÁKONA Č. 137/2006 SB

TECHNICKÁ ZPRÁVA. Rekonstrukce budovy č.p. 2380, ul. Pod Nemocnicí, Louny - PZTS

Nastavení telefonu Samsung S6500 Galaxy Mini 2

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

Transkript:

Virtuální sítě 1.část VPN Cíl kapitoly Cílem této kapitoly je porozumět a umět navrhnout základní schéma virtuálních sítí, vytvořit připojení domácí sítě k Internetu pomocí VPN. Klíčové pojmy: DMZ, encapsulation, extranet, firewall VPN, GRE, IPSec, L2F, NAT, pevná linka, PPTP, remote-access VPN, routek, server VPN, site-to-site VPN, šifrovaná autentizace, tunelování, veřejná datová síť, veřejná telefonní síť, VLAN, VPN, zapouzdření Úvod Virtuální sítě jsou sítě, které se velmi rychle vyvíjí. Tyto sítě umožňují komunikaci v rámci Internetu tak, jako by to byla jen jedna síť LAN, nebo v rámci sítí LAN k virtuálnímu dělení sítě na podsítě. Oba směry se velmi liší a proto je tato kapitola rozdělena do dvou základních kapitol VPN - Virtuálníá privátní sítě a VLAN. Virtuální sítě LAN VPN - Virtuální privátní sítě. Virtuální privátní sítě používají veřejné sítě k simulaci vnitřních nebo soukromých sítí. Umožňují tedy uživatelům privátní komunikace užívat veřejnou nebo sdílenou síťovou infrastrukturu. 18.4.2012 1

Privátní znamená bezpečné oddělení provozu od ostatních uživatelů. Mezi virtuální sítě patří i VPN virtuální privátní sítě. Rozvoj těchto sítí byl závislý na rozšíření protokolu IPSec. Softwaroví klienti jsou nyní dostupní pod všemi OS. Podpora VPN je i u firewalů a drahých routerů. VPN nemůže úplně nahradit WAN. VPN negarantuje šířku pásma a dobu odezvy. VPN se vhodné tam, kde není zapotřebí stálé spojení Organizace používající VPN sítě využívají WAN infrastruktury pro propojení svých poboček, domácích pracovišť, sítí obchodních partnerů a vzdálených pracovníků. Aby provoz zůstal privátním, provoz musí být šifrován. Tyto sítě mohou nahradit drahé dedikované linky vrstvy 2. VPN tedy řeší problém přímého přístupu přes Internet. Každá VPN musí obsahovat tři bezpečnostní prvky Zapouzdření IP (encapsulation ) - IP paket odesílaný z jedné části sítě LAN se zabalí do jiného paketu tento paket putuje po síti WAN až k routeru 2. Části sítě VAN, kde se rozbalí a vznikne původní paket. Šifrováná autentizace Šifrování dat Šifrování dat a autentizace existují i samostatně (SSL Secure socket layer), kdy se šifrují jen data, u přihlašování přes Win se zase šifruje jen autentizace. Pro propojení vzdálených částí sítě LAN nebo preferovaných sítí LAN či uzlů je možné volit tyto technologie: pronajaté pevné telefonní linky. Tento způsob je pro větší provoz velmi drahý a neumožňuje dynamické připojování. Také se většinou nejedná o virtuální síť. Naopak lze ovlivňovat provoz, možnost volby linkového protokolu, možnost implementace QoS. Správce linky má maximální kontrolu nad sítí. veřejné telefonní sítě. Potřebné služby poskytuje telefonní síť v USA. V Evropě není používáno. veřejnou datovou síť (Public Data Network). Veřejná síť je tvořena protokoly X.25, Frame Relay nebo ATM. Pronájem virtuálních datových okruhů, služby providerem umožňují zákazníkovi řídit linkovou vrstvu. Tím si zákazník řídí provoz a lze se tak vyvarovat přetížení linky a zahazování paketů. Provoz je na 18.4.2012 2

dohodnuté kapacitě CIR a lze se domluvit i na využití celé linky EIR, pokud je momentálně volná. Virtuální sítě mohou být dvojího druhu a to Extranety, které se vytváří pomocí intranetů a firewallů. Připojením jednotlivých segmentů na Internet se omezí náklady na lokální telefonní poplatky, resp. pevné propojení. Je nutné přestavět segmenty sítě na Intranet strukturu. Zákazník ovlivňuje provoz na vrstvě síťové a tedy je nebezpečí ztráty paketů. Pro realizaci hlasových spojení je zákazník závislý na provozující společnosti, neboť je neřízené zpoždění. Komprimování hlaviček je závislé na její podpoře společností. Chová se jako full mesh a tedy lze provádět na všech topologiích. vzdálený přístup pomocí tunelů v Internetu. Není vázán na protokol segmentů sítě. Pro vzdálený přístup do LAN se používají zvláštní protokoly. Nutné provozovat pomocí šifrování (DES, RSA AES Advance Encryption Standard pracuje s pevnou délkou bloku 128b a přesně definovanou velikostí klíše a to 128 nebo 192 či 256b. ). Hlavičky paketů nemohou být komprimovány. Tuneling vzrůstá na oblibě, protože není nákladný. Podporuje ho topologie full mesh. Dále se budeme věnovat extranetu a VPN. Extranet Účel a definice Extranet je soustava Intranet sítí propojených přes Internet. K zabezpečení přístupu do interních sítí a zabezpečení soukromých dat jsou na vstupech (výstupech sítí) firewally. Mohou sloužit jedné organizaci nebo několika málo organizacím. Intranet jsou podnikové sítě založené na stejném principu jako je Internet a jsou na Internet jednoduše napojitelné. Na rozdíl od Internetu jsou to sítě uzavřené. Lze tedy stanovit jaký software i hardware intranet bude použit. Tedy jejich úkolem je zpřístupnit lokální sítě globálním uživatelům a klientům LAN a dále umožnit přístup k informacím Internetu. Tím se také lokální sítě zprůhlední. 18.4.2012 3

Připojení lokálních sítí Presentace firmy je obvykle na zaplacené stránce na serveru poskytovatele, nebo na samostatném serveru Stand Alone připojeném přes modem (router a modem nebo jen router) nebo pevnou linku k Internetu. Tento server je umístěn v tzv. demilitarizační zóně (DMZ), která je oddělena jak od Internetu, tak i od LAN firewallem. Tyto firewally chrání jak DMZ tak LAN proti útokům. Software Ve většině případů postačíme s klasickými prohlížeči jako je např. Navigátor firmy Netscape. Význam Extranetu V následujícím jsou shrnuty základní vlastnosti Extranetu. 1. Snadné propojení s Internetem 2. zavedení ověřené Internetovské struktury do podnikových sítí. Jedná se především o jednoduchá distribuce a prezentace dat s možností omezení přístupu vypracované GUI - grafické uživatelské prostředí s velkými možnostmi kompatibilita s různými platformami jak po stránce hardware tak i software snadný upgrade a zavádění nových technologií snadné programování a vyvíjení aplikací (stránek, přístupů) nezávislost umístění uživatelů a serveru (lepší než služby RAS - Remote Access Servis) poskytování novinek, zpráv, VR snadná konfigurace a obsluha 3. Levné propojení vzdálených soukromých sítí nebo segmentů sítě. Přes tyto zřejmé výhody používání extraktu ustupuje sítím VPN pomocí tunelování. VPN Virtuální privátní síť (zkratka VPN, anglicky virtual private network) je tedy prostředek k propojení několika uzlů, sítí LAN nebo jejich částí pomocí (veřejné) nedůvěryhodné počítačové sítě. Účelem je propojit stanice (uzly) mezi sebou tak, aby mohli komunikovat způsobem, jakým vnitřně komunikují uzavřené privátní (a tedy důvěryhodné) sítě. Při navazování spojení je nutné ověřovat totožnost obou stran buď pomocí digitálních certifikátů, nebo jinak šifrovanou autentizací. Stejně tak data musí být šifrována. VPN tedy můžeme považovat za bezpečné. Úpravu paketů pro vyslání ze sítě LAN do nedůvěryhodné lze provést 18.4.2012 4

Na specielním serveru VPN. Poněvadž provoz VPN je určen pro vzdálené cíle, prochází paket stejnou sítí dvakrát a to do serveru pro zapouzdření a ze serveru zapouzdřený na výstupní router. Tento objem provozu je obvykle podstatně menší než objem zbývajícího provozu. Komunikace otvírá hackerům číslo VPN serveru, pokud výstupní router neprovádí PROXY služby nebo alespoň NAT (net address translator), tj. překládání adres. na firewallech. Všechny sítě připojené na Internet potřebují firewall pro oddělení provozu LAN (NetBIOS u NT, NFS, Telnet, nebo X-Windows u Unixu, Apple Talk u Macintoshů či NCP u netware) od provozu na nedůvěryhodných sítích, tedy i Internetu.. Většina firewallů obsahuje software pro podporu VPN a tedy dovedou vytvářet tunely VPN včetně šifrování a autentizace. na směrovačích. Tyto směrovače (routery) se nachází mezi segmenty sítě, tedy přímo na výstupu sítě LAN do nedůvěryhodné sítě. Tyto routery obsahují prostředky pro zapouzdření paketů. Šifrování i autentizace se pak většinou provádí na jiných serverech sítě LAN. Sítě VPN jsou vytvářeny jak pro stálé propojení např. poboček, nebo nestabilně umístěným počítačů se základní sítí nebo pro dočasné spojení s jinou LAN. Proto rozlišujeme Site-to-site (čti: sait-tu-sait) VPNs pro stálá propojení jednotlivých vzdálených segmentů sítě nebo sítí LAN. Vytváří se pevné, trvalé tunely nezi těmito částmi. Na každé straně tunelu musí být VPN gate resp. router, firewall, VPN koncentrátor nebo jiné bezpečnostní zařízení. Remote-access VPNs je určen k dosažení individuálních počítačů, mobilních počítačů a extranetových uživatelů. Tunely se vytváří dynamicky, tj. většinou před každým spojením. Komunikace v sítích VPN Vlastní komunikace VPN mezi jednotlivými segmenty může probíhat následovně: Např u každého zařízení v síti VPN je k dispozici SA- security association směrovací tabulka, ze které se určuje propojení. Je to nejvýhodnější komunikace, ale nevýhodou je, že zabírá u každého zařízení velkou kapacitu paměti (někdy i podstatnou část). Jiný způsob je tzv. hvězdicová struktura, která soustřeďuje veškerá nastavení do jednoho počítače segmentu. Pak ale všechny pakety musí procházet tímto centrálním počítačem. Mohou být i kombinace obou způsobů Příklad průběhu komunikace: 18.4.2012 5

Předpokládejme, že se jedná o VPN, založenou na routerech, která propojuje dvě sítě. Síť 1 s IP 10.1.1.0/16 (brána: vnitřní IP adresa 10.1.1.254 a vnější IP adresa do Inrenetu 250.121.13.12) a síť 2 s IP 10.1.2.0/16 (brána: vnitřní adresa 10.1.2.254 a vnější adresa 110.121.112.34). Komunikace mezi sítěmi (počítači 10.1.1.99 a 10.1.2.22) bude vypadat takto 1. vysílací počítač 10.1.1.99 vyhledá v routovací tabulce, že počítač 10.1.2.22 je nepřímo přístupný přes bránu 2. pošle paket na bránu 10.1.1.254 3. router IPsec 10.1.1.254 přečte obě IP adresy paketu a spustí nadefinovanou bezpečnostní asociaci na směrovač 110.121.112.34 druhé sítě 4. směrovač první sítě pošle na směrovač druhé sítě požadavek o domluvu IKE Internet Key Exchange 5. oba směrovače se domluví na sadě šifrovacích a autentizačních klíčů 6. směrovač IPSec zašifruje paket a zapouzdří ho do jiného paketu 7. směrovač IPSec přes rozhraní 250.121.13.12 zašle zapouzdřený paket na rozhraní 110.121.112.34 druhého IPSec směrovače 8. po doručení tento router přečte zapouzdřený IP paket a dešifruje vložený IP paket 9. je-li vše OK zašle pouze vložený paket na jeho IP destination adresu 10.1.2.22 přes své rozhraní 10.1.2.254 10. cílový počítač paket přečte Šifrovaná autentizace Pro bezpečné ověření totožnosti používá dva druhy šifrování Šifrování pomocí tajného klíče Hodnotu klíče musí znát obě strany. Problémem je výměna klíčů. Doporučeno je pouze jejich přenos pomocí osoby administrátora. Toto šifrování je mnohem rychlejší než pomocí veřejného klíče. Šifrování pomocí veřejného klíče Klíč k dešifrování je uložen jen na straně příjemce a nikdy nedochází k jeho přenosu. Ustanovení šifrování dochází pouze výměnou veřejných klíčů pro obousměrný provoz. Šifrování dat Při šifrování dat není nutné zapouzdřovat celý IP paket. Ale takto provedené šifrování neutajuje hlavičky. Proto je lépe provést šifrování celého IP paketu a zapouzdřit ho včetně hlaviček.. 18.4.2012 6

Technologie VPN VPN využívá veřejnou nebo sdílenou komunikační infrastrukturu. Sítě jsou budovány na 2. a 3. vrstvě OSI. L2 VPN - 2. vrstva - sítě Frame Relay, ATM L3 VPN - 3. vrstva - sítě IP Porovnání vlastností těchto sítí FrameRelay Internet Veřejná síť IP dostupnost Nízká Vysoká střední Cena Střední Nízká Střední Bezpečnost Vysoká Nízká Vysoká Výkon Vysoký Nízký Vysoký QoS Ano Ne Ano Šifrování Nemusí Musí Musí Spojení Dvoubodové Vícebodové Vícebodové Správa U VPN je snadná správa sítě spočívající v nastavení routerů. Nevýhodou je nutná instalace klientů u mobilních stanic. Tunely Tunely neboli kanály, kterými se šíří pakety VPN používají protokoly PPTP, L2F nebo L2TF, které umožňují multiprotokolární přístup k vzdáleným LAN. Komunikace VPN je charakterizována * tunelováním (tuneling) * bezpečností (security) * inteligentním dynamickým přepínáním (Intelligent dynamic switching), nastavujícím cesty mezi jednotlivými routery přenosu. Výhodou tohoto přepínání je možnost nastavení cesty jen přes spolehlivé sítě (routery) a vyloučit z cest nespolehlivé nebo nebezpečné. 18.4.2012 7

Tunelování IP VPN používá tunelování mezi koncovými klientskými sítěmi, kdy tunel představuje dvoubodové spojení (přes rozsáhlé sítě). Tunelování musí podporovat všechny aktivní prvky na cestě směrovače a přepínače. Správce sítě konfigurací těchto prvků specifikuje vlastnosti tunelu, přenášeného protokolu, mechanismu tunelování a adresy koncových uzlů tunelu. Koncové body tunelu zajišťují autentizaci a řízení přístupu. Pro tunelování se používají protokoly * Point-to-Point Tunneling protokol PPTP, který podporují 3com, microsoft, atd., nebo * Layer 2Forwarding L2F protokol podporovaný firmou Cisco. * IPSec režim tunelling Protokol nejvyšších vrstev vytvoří blok dat a ten se přenáší Internetem logickými tunely pomocí IP. Vzdálený přístup se realizuje přes modemy a přes komunikační server. Komunikační server vytváří a ukončuje tunelový protokol a nemusí mít sériový port staticky přiřazený modemům. Podpora těmto protokolům je i u windows od NT 4.x. Vrstvy pro tunelování Tunelování se nejčastěji realizuje na 2. nebo 3.vrstvě ISO-OSI. Tunelování na 2. vrstvě L2 může iniciovat buď sám klient voluntary tunneling nebo je iniciuje přístupový server NAS. Tunel je vytvořen, udržován a ukončen samotným protokolem 2.vrstvy. Tunelování na 3. vrstvě L3 je zapouzdření datagramu do jiného datagramu. Veškerá konfigurace tunelů se děje předem. Tento způsob umožňuje používat i interní (např. 192.168.x.x) adresy v zapouzdřeném protokolu. Mechanismy tunelování GRE generic Routing Encapsulation funguje pro libovolný síťový OS včetně NetBeui. Směrovače zapouzdří data přidáním GRE záhlaví a cílové adresy směrovače na konci tunelu. Podporuje dvoubodové tunely. L2TP Layer 2 tunneling protokol - poskytuje mechanismus logického propojení mezi koncovými uživateli na 2. vrstvě. Je rozšířením protokolu PPP. Tunel L2TP se tedy realizuje mezi přístupovým koncentrátorem jako klientem a síťovým 18.4.2012 8

serverem. Nová verze protokolu má podporovat i ATM, Frame Relay, HDLC a Ethernet do nichž pakety zapouzdřuje. Používá se pro připojení vzdálených klientů. PPTP obdobný od firmy Microsoft funguje jen na TCP/IP - Bezpečnost Zajištění bezpečnosti pro vzdálený přístup se řeší pomocí AAA, což je * Authorisation - kontrola oprávnění uživatele k přístupu, * Authentication - ověření uživatele kontrolou hesla před navázáním spojení (protokol PAP -Password Authentication Protokol). U protokolu CHAP - Challange Handshake Authentication Protokol- server náhodně generuje výzvy klientu se jménem uživatele. Heslo je pak u uživatele zakódováno výzvou a odesláno a u příjemce porovnáno se stejně zakódovaným heslem na jeho straně. * Accounting - zaznamenávání úspěšných i neúspěšných propojení. Vlastní data se přenáší kódovaně. Inteligentní dynamické přepínání Před zřízením tunelu musí být známa IP adresa komunikačního serveru. Tato adresa se automaticky vytváří v komunikačním serveru odesílatele podle jména adresáta. Za IP adresu odesílatele zadá svou adresu. Toto řešení je vhodné pro rozsáhlejší sítě. Stavba domácí VPN Tento odstavec uvádí postup pro aplikaci VPN u domácí sítě. Pro připojení k domácí síti přes Internet z ikonky plochy je nutné mít routek bránu podporující VPN mít připojení k internetu veřejnou statickou IP adresou a na připojovaném počítači mít VPN klienta. Postup připojování: Přihlásit se k dálkovému nastavení routeru přes jeho vnitřní adresu Zalogovat se (defaultně admin heslo admin) Pro windows XP zvolit PPTP tunelovací protokol. Tímto se nainstaluje server na routeru. Vytvořit účet (účty) uživatelů (počet omezen) Na vnějším počítači u Win nastavit Start připojit zobrazit všechna připojení a dále lze pokračovat podle wizardu. 18.4.2012 9

Další prostředky podporující VPN Další protokoly a prostředky pro VPN jsou uvedeny v kurzu bezpečnost sítí a proto je zde nebudeme rozebírat. Jedná se o IPsec (režim tuneling), SSL VPN (ověřoání na autentizačním serveru), MultiProtokol Label Switching MPLS (používá pro VPN protokol MP-iBGP Internal Border Gateway Protocol with multiprotokol extension) Srovnání Porovnání soukromých sítí a virtuálních soukromých sítí 18.4.2012 10

Virtuální sítě Soukromá síť Výhody: * kontrola nad celou sítí * šířka pásma může být určena podle nejnáročnější aplikace Virtuální privátní síť Výhody: * nízké počáteční náklady * není nutný pronájem pevných linek * propojení jen za lokální telefonní poplatky * odpadají náklady na reinstalaci Nevýhody: * pořizovací náklady a náklady na údržbu * rychlé zastarávání technologie * rozšiřování a stěhování firmy vede k reinstalacím Nevýhody: * není garantován výkon s ohledem na šířku přenášeného pásma. Kontrolní otázky Jaký je rozdíl mezi šifrováním a šifrovanou autentizací? Jaký je rozdíl mezi VPN a VLAN? Jaké jsou výhody extranetu? Jaký je rozdíl mezi site-to-site tunely VPN a remote-access tunely? Sítě VLAN a celkové shrnutí jsou uvedeny v druhé části textu Virtuální sítě - VLAN Použitá literatura [1] PC World10/96 [2] Chip 9/97 [3] IT-NET 8/01 [4] network Computing 9/03 [5] Strebe: Firewally a proxy-servery 11

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář