VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Slides:



Advertisements
Podobné prezentace
Mobilně a (ne)bezpečně
Advertisements

SÍŤOVÉ PROTOKOLY.
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
D03 - ORiNOCO RG-based Wireless LANs - Technology
MPLS Multiprotocol Label Switching Projektování distribuovaných systémů Lekce 2 Ing. Jiří Ledvina, CSc.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Přednáška č. 5 Proces návrhu databáze
TELEKOMUNIKACE 8. cvičení VPN, DNS, QoS
VPN sítě Autor: Tomáš PARÍŠEK.
Analýza síťového provozu
Návrh počítačové sítě malé firmy
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
1 Představa komunikačního procesu ve funkčních vrstvách 1.Přístup uživatele k síťové službě prostřednictvím aplikačního programu 2.Vytvoření datové „zprávy“
Co je VPN? Virtuální privátní síť
17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
VRS98 1 Multi-Protocol Over ATM MPOA další ze standardů sítí ATM Antonín Mikát Intercom Systems s.r.o.
Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc.
Počítačové sítě Implementace RM OSI
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc.
Základy informatiky část 6
Tps.amalka.org WIFI technologie v podání AVAYA Zpracovali: Lukáš Trávník Martin Hanke.
EGovernment Struktura služeb a řešení. Obsah 1.Požadavky KIVS a řešené problémy 2.Vývoj koncepcí 3.Stávající KIVS a její rozvoj v souladu s koncepcemi.
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Internet.
Síť a MS Windows.
Internet.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
1 Implementace vrstev RM OSI Služby Pro aplikační program Pro transport dat SW HW OS aplikace User end (servery, PC…) směrovače přepínače.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Transportní úroveň Úvod do počítačových sítí Lekce 10 Ing. Jiří Ledvina, CSc.
1 Seminář 3 Princip směrovače – L3 síťová transportní aplikační směrovač.
Pseudo terminal driver
Protokoly vzdálených terminálů
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-16.
Metro Ethernet Services Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
Internet Key Exchange Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
Počítačové sítě Implementace RM OSI Počítačové sítě - Vrstva datových spojů 1.
VoIP Voice over IP Ing. Jiří Ledvina, CSc. Projektování distribuovaných systémů.
Vrstvy ISO/OSI  Dvě skupiny vrstev  orientované na přenos  fyzická vrstva  linková vrstva  síťová  orientované na aplikace  relační vrstva  prezentační.
Protokoly pro připojení k vzdálenému serveru
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
3. Ochrana dynamických dat
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Remote control, využití v teleKonzultaci
Virtuální privátní sítě
Multiprotocol Label Switching (MPLS)
IPv6 IPv6 (IPng) – budoucí náhrada současné IPv4
Implementace vrstev RM OSI
Představa komunikačního procesu ve funkčních vrstvách
Implementace vrstev RM OSI
TELNET, FTP.
Úvod do počítačových sítí
Ing. Jiří Šilhán IPv4.
Transkript prezentace:

VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Virtual Private Networks

Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný Internet VPN Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.

Bezpečnost VPN Authentication (ověřování pravosti) – zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet

VPN - komponenty VPN – používané komponenty, principy Obranné valy (Firewalls) – povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA,.... Zajišťují také integritu dat. Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)

VPN - komponenty VPN – používané komponenty, principy Tunelování – přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) Překlad adres – použití privátních adres (RFC 1918) /8, /12, /16 Nedostatek IP adres Časté změny poskytovatele

Architektura VPN VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích

Architektura VPN – varianta 1 Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské stanici Ověřování probíhá ve dvou krocích ISP ověřování – přístup do Internetu (ISP RADIUS server) VPN ověřování – přístup do VPN

Architektura VPN – varianta 2 Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být Může být i šifrováno ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server)

Architektura VPN – varianta 3 Varianta 3 (a další) – VPN typu LAN – LAN

Úrovně realizace VPN Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň)

Přehled VPN tunelovacích protokolů GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty

PPTP – Point-to-point Tunneling Protocol Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP záhlaví 47)

L2TP – Layer 2 Tunneling Protocol L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku dat Použitelný i nad ne-IP sítěmi (ATM, FrameRelay, X.25) Nespecifikuje ověřování a šifrování

IPSec (RFC 2401 – RFC 2406) Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu Pracuje v režimu Transportním – přenos paketu mezi koncovými uživateli. Používá originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu. Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP

IPsec – transportní režim

IPsec – tunelovací režim

IPsec a VPN