VPN. Виртуальные частные сети. Защита сетевого трафика

Содержание

Слайд 2

Виртуальные частные сети: IPSec

IPSec (Internet Protocol Security) – это не столько протокол,

Виртуальные частные сети: IPSec IPSec (Internet Protocol Security) – это не столько
сколько целая система открытых стандартов и протоколов, призванная чтобы обеспечить решение по безопасной передачи данных через публичные сети – т.е. для организации VPN.
Система IPSec использует следующие протоколы для своей работы:
Протокол AH (Authentication Header) - обеспечивает целостность и аутентификацию источника данных в передаваемых пакетах, а также защиту от ложного воспроизведения пакетов;
Протокол ESP (Encapsulation Security Payload) - обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов;
Протокол IKE (Internet Key Exchange - обеспечивает способ инициализации защищенного канала, а также процедуры обмена и управления секретными ключами;

Слайд 3

Стек протоколов IPSec

Прикладной

Сетевой (IP)

Канальный

Физический

Транспортный

IPSec

IKE

Internet Key Management -
Управление ключами пользователя на прикладном уровне

Два

Стек протоколов IPSec Прикладной Сетевой (IP) Канальный Физический Транспортный IPSec IKE Internet
протокола:
АН: аутентификация, гарантия целостности данных
ESP: аутентификация и шифрование

В случае использования IPSec в заголовке IP в поле «протокол верхнего уровня» (IPv4) или «следующий заголовок» (IPv6) помечается «IPSec»

Слайд 4

Виртуальные частные сети: IPSec

Для шифрования данных в IPSec может быть применен любой

Виртуальные частные сети: IPSec Для шифрования данных в IPSec может быть применен
симметричный алгоритм шифрования, использующий секретные ключи.
Взаимодействие протоколов IPSec происходит следующим образом:
С помощью протокола IKE между двумя точками устанавливается защищенный канал, называемый «безопасной ассоциацией» - Security Association, SA.
При этом выполняется следующие действия:
аутентификация конечных точек канала
выбираются параметры защиты данных (алгоритм шифрования, сессионный ключ и др.)
согласование объединяемых подсетей

Слайд 5

Виртуальные частные сети: IPSec

Протоколы AH и ESP могут работать в двух режимах:

Виртуальные частные сети: IPSec Протоколы AH и ESP могут работать в двух
транспортном и тоннельном.
В транспортном режиме передача IP-пакета через сеть выполняется с помощью оригинального заголовка этого пакета. При этом не все поля исходного пакета защищаются. Протокол ESP аутентифицирует, проверяет целостность и шифрует только поле данных пакета IP. Протокол AH защищает больше полей: кроме поля данных еще и некоторые поля заголовка, за исключением изменяемых при передаче полей, например, поля TTL.
В тоннельном режиме исходный пакет помещается в новый IP-пакет и передача данных выполняется на основании заголовка нового IP-пакета.

Слайд 8

Виртуальные частные сети: IPSec

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов,

Виртуальные частные сети: IPSec Существуют две основные схемы применения IPSec, отличающиеся ролью
образующих защищенный канал.
В первой схеме защищенный канал образуется между конечными узлами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Слайд 9

Виртуальные частные сети: IPSec

Во второй схеме защищенный канал устанавливается между двумя шлюзами

Виртуальные частные сети: IPSec Во второй схеме защищенный канал устанавливается между двумя
безопасности. Эти шлюзы принимают данные от конечных узлов, подключенных к сетям, расположенным позади шлюзов. Конечные узлы в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть проходит через шлюз безопасности, который выполняет защиту от своего имени.

Слайд 10

Виртуальные частные сети: IPSec

Для хостов, поддерживающих IPSec, разрешается использование как транспортного, так

Виртуальные частные сети: IPSec Для хостов, поддерживающих IPSec, разрешается использование как транспортного,
и тоннельного режимов. Для шлюзов разрешается использование только тоннельного режима.
В качестве устройств, работающих как шлюз IPSec, можно применять Интернет-маршрутизаторы D-Link, например,
DI-804V.

Слайд 11

Определение SA

Internet

шлюз

шлюз

SA1

SA2

От станции к файерволлу

Из конца
в конец

Определение SA Internet шлюз шлюз SA1 SA2 От станции к файерволлу Из конца в конец

Слайд 12

Режимы IPSec

Туннельный режим:
Добавляется новый IP-заголовок
Исходный IP-заголовок инкапсулируется (предварительно шифруется).
Адрес приемника и

Режимы IPSec Туннельный режим: Добавляется новый IP-заголовок Исходный IP-заголовок инкапсулируется (предварительно шифруется).
передатчика может изменяться на адрес граничного шлюза
Инкапсуляция может производиться оконечной станцией или шлюзом VPN
Транспортный режим:
Использует исходный IP-заголовок
Адреса оконечных устройств остаются без изменения
Инкапсуляция производится оконечными устройствами

Слайд 13

Инкапсуляция IPSec для туннельного режима

Данные

ТСР

IP

Данные

ТСР

IP

IPSec

Зашифровано

Данные

ТСР

IP

IPSec

Зашифровано

Новый
IP

Данные

ТСР

IP

IPSec

Зашифровано

Новый
IP

PPP

PPP

Сетевой уровень

Уровень IPSec

Сетевой уровень

Канальный уровень

Инкапсуляция IPSec для туннельного режима Данные ТСР IP Данные ТСР IP IPSec

Слайд 14

Инкапсуляция IPSec для транспортного режима

Данные

ТСР

Данные

ТСР

IPSec

Зашифровано

IP

Данные

ТСР

IP

Зашифровано

PPP

PPP

Данные

ТСР

IPSec

Зашифровано

IPSec

Транспортный уровень

Уровень IPSec

Сетевой уровень

Канальный уровень

Инкапсуляция IPSec для транспортного режима Данные ТСР Данные ТСР IPSec Зашифровано IP

Слайд 15

Инкапсуляция с аутентификацией (ESP)

Данные

ТСР

IP

Данные

ТСР

IP

ESP

Трейлер
ESP

Аутентиф.
ESP

Транспортный режим (АН аутентификация):

Туннельный режим (АН аутентификация):

Зашифровано

Аутентифицировано

Данные

ТСР

IP

ESP

Трейлер
ESP

Аутентиф.
ESP

Зашифровано

Аутентифицировано

Новый
заг. IP

Инкапсуляция с аутентификацией (ESP) Данные ТСР IP Данные ТСР IP ESP Трейлер

Слайд 16

Управление ключом IKE

Функции IKE:
Установление SA (Security Association)
Определение параметров безопасности
Обмен ключами

Управление ключом IKE Функции IKE: Установление SA (Security Association) Определение параметров безопасности
(UDP, порт 500)
Фазы работы IKE:
Фаза I:
Аутентификация (из конца в конец, из конца к файерволлу)
Определение параметров безопасности для Фазы II
Фаза II:
Установление параметров безопасности для соединения
Выбор аутентификации (HMAC-MD5, HMAC-SHA)
Выбор алгоритма шифрования (DES, RC5, IDEA, Blowfish, CAST-128)

Слайд 17

Общая процедура IPSec

Фаза I для узла А, аутентификация
Фаза II для узлов A

Общая процедура IPSec Фаза I для узла А, аутентификация Фаза II для
и В, обмен ключами
Установление туннеля
Контроль состояния туннеля минимум каждые 10 с.

Интернет

туннель

А

В

Слайд 18

Правила безопасности

Правила безопасности определяют способы защиты, пропуска и сброса трафика.
Основным условием работы

Правила безопасности Правила безопасности определяют способы защиты, пропуска и сброса трафика. Основным
правил безопасности является зеркальность трафика в соединении
В случае ошибочного прописывания правил безопасности могут возникать конфликты, приводящие к потере трафика:
Скрывание
Конфликт в типе туннелей
Зацикливание
Асимметрия

Слайд 19

Пример реализации правил безопасности

1.1.1.1

2.2.2.2

5.5.5.5

6.6.6.6

ТСР 1.1.*.*: any 2.2.*.*: any protect
ТСР 1.1.1.1: any 2.2.2.2:

Пример реализации правил безопасности 1.1.1.1 2.2.2.2 5.5.5.5 6.6.6.6 ТСР 1.1.*.*: any 2.2.*.*:
any AH transport

ТСР 1.1.*.*: any 2.2.*.*: any protect
ТСР 1.1.1.*: any 2.2.2.*: any ESP tunnel 6.6.6.6

ТСР 2.2.*.*: any 1.1.*.*: any protect
ТСР 2.2.2.*: any 1.1.1.*: any ESP tunnel 5.5.5.5

ТСР 2.2.*.*: any 1.1.*.*: any protect
ТСР 2.2.2.2: any 1.1.1.1: any AH transport

Слайд 20

Протоколы транспортного уровня

SSL – Secure Sockets Layer. SSLv3, 1996 год.
TLS – Transport

Протоколы транспортного уровня SSL – Secure Sockets Layer. SSLv3, 1996 год. TLS
Layer Security. Стандарт IETF, RFC 2246.
В настоящее время объединены в общий стек протоколов SSL/TLS
Стек протоколов SSL/TLS

IP

TCP

SSL Record Protocol

SSL
Handshake
Protocol

SSL Change
Cipher
Protocol

SSL Alert
Protocol

HTTP

FTP

И др. протоколы
прикладного
уровня

Слайд 21

Все браузеры поддерживают SSL/TLC.
SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между транспортным

Все браузеры поддерживают SSL/TLC. SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между
и прикладным уровнем. Не поддерживает приложения UDP (отсутствует квитирование)
Стек протоколов SSL/TLS:
SSL Record Protocol: защита передаваемых данных
SSL Handshake Protocol: установление сессии (соглашение о используемых алгоритмах, параметры безопасности)
SSL Change Cipher Protocol (смена шифра)
SSL Alert Protocol (сообщения об ошибках)

Слайд 22

Организация VPN/MPLS

VPN/MPLS – хорошо масштабируемое решение.
Рекомендация RFC 2547bis (модель IETF):
Р узлы: должны

Организация VPN/MPLS VPN/MPLS – хорошо масштабируемое решение. Рекомендация RFC 2547bis (модель IETF):
поддерживать маршруты к другим Р и РЕ узлам, а не VPN-маршруты
РЕ узлы: поддерживают только непосредственно подсоединенные VPN-маршруты
VPN могут иметь перекрывающиеся адреса

Слайд 23

Модель взаимодействия с сетью

Узлы провайдера

Р узел

Р узел

РЕ узел

РЕ узел

Пограничный
узел провайдера

Пограничный
узел провайдера

Пограничный
узел пользователя

Пограничный
узел

Модель взаимодействия с сетью Узлы провайдера Р узел Р узел РЕ узел
пользователя

VPN1

VPN2

VPN21

VPN2

Слайд 24

Адресация VPN

Сеть провайдера

Маршрутизатор 1

Маршрутизатор 2

Маршрутизатор 4

Маршрутизатор 3

10.2/16

10.1/16

10.1/16

10.2/16

Внутренняя адресация должна быть
уникальна для провайдера!

RD1:10.1/16

Адресация VPN Сеть провайдера Маршрутизатор 1 Маршрутизатор 2 Маршрутизатор 4 Маршрутизатор 3
зеленый маршрут
RD1: 10.2/16 зеленый маршрут
RD2: 10.1/16 желтый маршрут
RD2: 10.2/16 желтый маршрут

Принимать только желтых!

Слайд 25

RD – Route Distinguisher – признак маршрута. Используется для определения конкретных маршрутов.

RD – Route Distinguisher – признак маршрута. Используется для определения конкретных маршрутов.
Это новый тип адреса.
Основная идея – сделать неуникальные адреса уникальными, заменив группы IP-адресов на RD.
Способ: совмещение IP-адреса и некоторого уникального идентификатора. Таким образом, для каждого маршрута в рамках одной VPN будут разные RD.
Комьюнити – сообщества – используются для фильтрации трафика. Обозначаются «цветом».
Трансляция комьюнити происходит только в узлах PE.
Комьюнити используются только в сети провайдера и только для управления и трансляции.

Слайд 26

Определение VPN

Маршрутизатор 1

Маршрутизатор 2

Маршрутизатор 4

Маршрутизатор 3

10.1/16

10.1/16

10.2/16

10.2/16

PE1

PE2

Определение VPN Маршрутизатор 1 Маршрутизатор 2 Маршрутизатор 4 Маршрутизатор 3 10.1/16 10.1/16 10.2/16 10.2/16 PE1 PE2

Слайд 27

Использование метки VPN

Маршрутизатор 1

Маршрутизатор 2

Маршрутизатор 4

Маршрутизатор 3

10.1/16

10.1/16

10.2/16

10.2/16

PE1

PE2

Метка LSP

Метка VPN

Использование метки VPN Маршрутизатор 1 Маршрутизатор 2 Маршрутизатор 4 Маршрутизатор 3 10.1/16

Слайд 28

Варианты решений:

VPWS – для организации виртуальных частных каналов и решений точка-точка (все

Варианты решений: VPWS – для организации виртуальных частных каналов и решений точка-точка
пакеты являются широковещательными). Самая примитивная версия. Легок в настройке и использовании (как односторонняя, так и двусторонняя конфигурация), поддерживает трафик альтернативных сетей, но недостаточно эффективно использует ресурс.
VPLS – для организации виртуальных LAN и решений точка-многоточие (широковещательные пакеты отсылаются только на этапе установления соединения). Позволяет эмулировать VLAN на основе MPLS. Поддерживает интерфейсы Ethernet (низкая стоимость оконечного оборудования), эффективно управляет полосой пропускания. Существуют некоторые проблемы масштабирования.

Слайд 29

HVPLS – иерархический VPLS, поддерживает несколько уровней MPLS. Является следующей стадией развития

HVPLS – иерархический VPLS, поддерживает несколько уровней MPLS. Является следующей стадией развития
VPLS. Решает проблему ограничения на количество узлов введением дополнительного пользовательского РЕ узла (U-PE). Для уменьшения таблицы коммутации передает часть функций U-PE узлам.

U-PE

PE1

PE3

PE2

Логические каналы

Агрегированные
каналы

- Предыдущая
Национальная газовая компания
Следующая -
Компьютерное зрение

Похожие презентации

Пятое поколение ЭВМ
Трехмерная модель обечайки. Задание 2
Основы программирования на языке Python. Школа::Кода (занятие 2)
Поиск элементов с заданными свойствами. Структура программы для поиска элементов
Конструирование из кубиков
Любительская локализация
Понятие ИТ и ИС
Java - приложения с различными системами управления базами данных (СУБД)
Топология компьютерных сетей
Создание книги
Моделирование как метод познания
Создание компьютерных игр
Avast Antivirus для операционных систем Windows, Mac OS, Android и iOS
Локальная компьютерная сеть
Autocad - универсальная среда проектирования
Особенности защиты информации в компьютерных сетях
Формы для ввода и редактирования данных
Основные этапы реализации проекта
Средства PHP для работы с MySQL
Организация информационно-досугового и культурного пространства школы
Правила безопасного поведения в Интернете
Студенческое телевидение ВятГУ
Аналитика в геймдизайне
Как зарегистрировать программу
Организация работы отдела связей с общественностью
Алгоритмическая конструкция. Повторение. Основные алгоритмические конструкции
Инструкция для учеников школы астрологии Яны Вагановой по работе на платформе
Заголовок презентации. Подготовка к показу презентации (Виды компьютерной графики)
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть