Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

VPN Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre

PublisertKristina Lauritzen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "VPN Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre"— Utskrift av presentasjonen:

1 VPN Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre
Tan van Nguyen Sigbjørn Wikshåland Paul Magnus Lehne

2 Dagsorden Intro Organisering av VPN Lag 2 VPN Lag 3 VPN Sikkerhet
Mobilitet i VPN

3 “Et privat datanettverk som utnytter det offentlige kjernenettet”
Hva er VPN? “Et privat datanettverk som utnytter det offentlige kjernenettet”

4 Hvorfor VPN? Kostnadsbesparende
Internett erstatter leide linjer Oppnår en sikker, skalerbar og fleksibel kommunikasjonsløsning

5 Brukerne oppfatter det som om de er på et privat nett.
VPN Virtuelle Brukerne oppfatter det som om de er på et privat nett. Får tilgang til tjenester som er tilgjengelige i hjemmenettverket til bedriften.

6 VPN Virtuelle Private Oppnår konfidensialitet og integritet av data, samt autentisering av brukerne.

7 Virtuelle Private Nettverk VPN Intranett VPN Ekstranett VPN
Remote Access VPN

8 Ulike typer VPN Intranett VPN
LAN til LAN forbindelse mellom to av bedriftens lokasjoner Kan sette brukerrettigheter for hvilke brukere som har tilgang til hvilke tjenester

9 Ulike typer VPN Intranett VPN Ekstranett VPN
Binder bedriften sammen med samarbeidspartnere, kunder og leverandører Sikrer at sensitiv informasjon kommer fram til mottaker uten å være rørt av uvedkommende

10 Ulike typer VPN Intranett VPN Ekstranett VPN Remote Access VPN
Vanligste form for VPN Ansatte kobler seg opp mot bedriftens hjemmenettverk vha VPN Eksempel: VPN mot NTNU

11 Før VPN? Brukerne ringer opp til bedriftens nettverk via leide linjer
Ei leid linje for kvar link – mange linker Må sette opp aksess-server og modemparker

12 Før VPN? Høg investering Lite effektivt Lite fleksibelt
Skalerer dårlig

13 Med VPN Transportnettet er ”gratis” Fleksibelt og skalerbart.

14 VPN basert på IP nett Bredbånd Bruk av tunnelering gir god sikkerhet.
Billig Stor tilgjengelighet Hastighet Enkelt å ta i bruk Bruk av tunnelering gir god sikkerhet. En av de viktigste forutsetningene for VPN basert på IP nett er tunnelering

15 Tunnelering Punkt til punkt forbindelse
En datapakke pakkes inn i en ny pakke og sendes basert på headeren i den nye pakken Kan kryptere den orginale pakken Nettverket vet ikke om den orginale pakken Internett

16 Infrastruktur Kunde Nettleverandør Kunde
Vi kan dele et nett opp i tre deler: Kjernetettet, P: som består av rutere som sender mot en destinasjon (det vi kjenner som internett) Nettleverandør sine kant rutere, PE: Dette er rutere som binder sammen kjernenettet og kundene, en slik ruter kan ha mange kunder knyttet til seg Kundens kant ruter, CE: Er en ruter som er plasert hos kunden som knytter kundens nettverk opp mot nettleverandøren Kan her sette opp tunnellene på to forskjellige måter, og det fører til to organsieringer av VPN’et VPN-edge device, det utstyret som er forbundet både med nettleverandøren og VPN’et

17 Kundekant VPN Tunneleringen går fra kundekanten og gjennom nettet
Kundekanten er en node som befinner seg hos kunden som ønsker en VPN tjenste Kundekanten kan være levert og administrert av nettleverandør Kundekanten eid og drevet av kunden selv Nettverket uvitende om VPN Fordel: Kan sikre informasjonen helt frem til kunden Ulempe: Krever utstyr hos kunden  dyrt Kryptert hele veien

18 VPN tilbudt av nettleverandør
Tunnelering fra nettleverandør sin kant node og gjennom nettet Nettleverandør eier og administrerer noden Mange VPN deler denne kantnoden Fordeler: Billig Enkelt for bedrifter å bruke Ulempe: Informasjonen går åpent fra kundens kantnode til nettleverandørens kantnode Skal nå se litt på hvordan et VPN kan realiseres på lag 2 og 3 Informasjon ukryptert fra PE til CE

19 Sikkerhet Sikkerhet er hovedfokus på de fleste VPN-løsninger

20 Sikkerhet Sikkerhet er hovedfokus på de fleste VPN-løsninger
VPN må ivareta følgende sikkerhetsfunksjoner: Autentisering Integritet Konfidensialitet

21 Autentisering For å forsikre seg om personen virkelig er den han utgir seg for å være

22 Autentisering For å forsikre seg om personen virkelig er den han utgir seg for å være For å hindre uautoriserte brukere aksess til nettverket

23 Autentisering For å forsikre seg om personen virkelig er den han utgir seg for å være For å hindre uautoriserte brukere aksess til nettverket Eks: Brukernavn og passord, Digitale sertifikater(X.509)

24 Integritet Vil si å forsikre seg om at data som sendes ikke er endret på underveis

25 Integritet Vil si å forsikre seg om at data som sendes ikke er endret på underveis Integritet gjennom: Enveis hash-funksjoner

26 Integritet Vil si å forsikre seg om at data som sendes ikke er endret på underveis Integritet gjennom: Enveis hash-funksjoner Message Authentication Codes (MAC)

27 Integritet Vil si å forsikre seg om at data som sendes ikke er endret på underveis Integritet gjennom: Enveis hash-funksjoner Message Authentication Codes (MAC) Digitale Signaturer Eks: RSA og El Gamal

28 Konfidensialitet Vil si å hindre andre fra å lese eller kopiere data som sendes

29 Konfidensialitet Vil si å hindre andre fra å lese eller kopiere data som sendes Oppnås gjennom kryptering

30 Konfidensialitet Vil si å hindre andre fra å lese eller kopiere data som sendes Oppnås gjennom kryptering Offentlig nøkkel kryptografi Privat nøkkel kryptografi

31 VPN Lag 2 Forwarding basert på innkommende link og lag 2 informasjon i ramme header PPP, FR/ATM, ethernet Integrert med eksisterende aksess teknologier Data sendes kun over bestemte stier QoS. Ingen sikkerhet mot avlytting eller endring av data

32 Layer 2 Forwarding Protocol
Oppretter en sikker tunnel over et åpent nett. Gjør det mulig å tunnelere lag 2 rammer over høyere lag L2F: Layer 2 Forwarding Protocol The Layer 2 Forward protocol (L2F) is used to establish a secure tunnel across a public infrastructure (such as the Internet) that connects an ISP POP to a enterprise home gateway. This tunnel creates a virtual point-to-point connection between the user and the enterprise customer's network. Layer Two Forwarding protocol (L2F) permits the tunneling of the link layer (i.e., HDLC, async HDLC, or SLIP frames) of higher level protocols. Using such tunnels, it is possible to divorce the location of the initial dial-up server from the location at which the dial-up protocol connection is terminated and access to the network provided. L2F allows encapsulation of PPP/SLIP packets within L2F. The ISP NAS and the Home gateway require a common understanding of the encapsulation protocol so that SLIP/PPP packets can be successfully transmitted and received across the Internet.  

33 L2F

34 L2F

35 L2F

36 L2F 4. IP pakkene sendes over PPP.

37 Point to Point Tunneling Protocol
Klient-server arkitektur. Bruker trenger ikke å ha kjenskap til PPTP Fleksibel håndtering av IP adresser Congestion and flow control. PPTP: Point to Point Tunneling ProtocolPoint-to-Point-Tunneling Protocol (PPTP) is a networking technology that supports multiprotocol virtual private networks (VPN), enabling remote users to access corporate networks securely across the Microsoft Windows NT® Workstation, Windows® 95, and Windows 98 operating systems and other point-to-point protocol (PPP)-enabled systems to dial into a local Internet service provider to connect securely to their corporate network through the Internet. Point to Point Tunneling Protocol (PPTP) can also be used to tunnel a PPP session over an IP network. In this configuration the PPTP tunnel and the PPP session runs between the same two machines with the caller acting as a PNS. PPTP uses a client-server architecture to decouple functions which exist in current Network Access Servers and support Virtual Private Networks. PPTP specifies a call-control and management protocol which allows the server to control access for dial-in circuit switched calls originating from a PSTN or ISDN, or to initiate outbound circuit switched connections. PPTP is implemented only by the PAC and PNS. No other systems need to be aware of PPTP. Dial networks may be connected to a PAC without being aware of PPTP. Standard PPP client software should continue to operate on tunneled PPP links. PPTP uses an extended version of GRE to carry user PPP packets. These enhancements allow for low-level congestion and flow control to be provided on the tunnels used to carry user data between PAC and PNS. This mechanism allows for efficient use of the bandwidth available for the tunnels and avoids unnecessary retransmisions and buffer overruns. PPTP does not dictate the particular algorithms to be used for this low level control but it does define the parameters that must be communicated in order to allow such algorithms to work.   

38 PPTP

39 PPTP

40 PPTP .

41 PPTP

42 PPTP

43 Layer 2 Tunneling Protocol
Kombinasjon av L2F og PPTP L2F – Oppkobling og autentisering av klienter PPTP – Innkapslingen av nettverklags protokollene. Kombinasjon med IPsec LAC – L2TP Access Concentrator LNS – L2TP Network Server LAC er den som initierer en tunnel mens LNS er serveren som venter på en ny tunnel. Toveis tunnel og den bruker PPP for å kunne sende høyer lags protokoller over den. The LAC is the initiator of the tunnel while the LNS is the server which waits for new tunnels. Once a tunnel is established the network traffic between the peers is bidirectional. To be useful for computing, higher-level protocols are then run through the L2TP tunnel. To facilite this an L2TP session (or call) is established within the tunnel for each higher-level protocol such as PPP. Either the LAC or LNS may initiate sessions. The traffic for each session is isolated by L2TP, so it is possible to set up multiple virtual networks across a single tunnel. The packets exchanged within an L2TP tunnel are either categorized as control packets or data packets. L2TP provides reliability features for the control packets, but no reliability for data packets. Reliability, if desired, must be provided by the nested protocols running within each session of the L2TP tunnel. L2TP: Layer 2 Tunneling Protocol The L2TP Protocol is used for integrating multi-protocol dial-up services into existing Internet Service Providers Point of Presence. PPP defines an encapsulation mechanism for transporting multiprotocol packets across layer 2 (L2) point-to-point links. Typically, a user obtains a L2 connection to a Network Access Server (NAS) using one of a number of techniques (e.g., dialup POTS, ISDN,ADSL, etc.) and then runs PPP over that connection. In such a configuration, the L2 termination point and PPP session endpoint reside on the same physical device (i.e., the NAS). L2TP extends the PPP model by allowing the L2 and PPP endpoints to reside on different devices interconnected by a packet-switched network. With L2TP, a user has an L2 connection to an access concentrator (e.g., modem bank, ADSL DSLAM, etc.), and the concentrator then tunnels individual PPP frames to the NAS. This allows the actual processing of PPP packets to be divorced from the termination of the L2 circuit. One obvious benefit of such a separation is that instead of requiring the L2 connection terminate at the NAS, the connection may terminate at a (local) circuit concentrator, which then extends the logical PPP session over a shared infrastructure such as frame relay circuit or the Internet. From the user's perspective, there is no functional difference between having the L2 circuit terminate in a NAS directly or using L2TP.  This protocol may also be used to solve the "multilink hunt-group splitting" problem. Multilink PPP, often used to aggregate ISDN B channels, requires that all channels composing a multilink bundle be grouped at a single Network Access Server (NAS). Because L2TP makes a PPP session appear at a location other than the physical point at which the session was physically received, it can be used to make all channels appear at a single NAS, allowing for a multilink operation even when the physical calls are spread across distinct physical NASs. L2TP utilizes two types of messages, control messages and data messages. Control messages are used in the establishment, maintenance and clearing of tunnels and calls. Data messages are used to encapsulate PPP frames being carried over the tunnel. Control messages utilize a reliable Control Channel within L2TP to guarantee delivery (see section 5.1 for details). Data messages are not retransmitted when packet loss occurs.

44 L2TP

45 Lag 2 typer Virtuelle leide linjer (VLL)
Virtuelle private LAN segmenter (VPLS) Virtuelle private oppringte nett (VPDN)

46 Lag 2 Virtuelle leide linjer
Kunden benytter point-to-point linker ATM Frame relay Lag 2 rammer pakkes inn i en IP tunnel Kunden ser lag-2 CPE utstyr Virtuell tunnel må kanskje benytte sekvensering

47 Lag 2 Virtuelle private LAN segmenter
Etterligner LAN segmenter ved hjelp av Internet fasiliteter - Transparent LAN tjeneste ved CPE sammenkoblinger Protokoll transparent

48 Lag 2 Virtuelle private oppringte nett
Tillater brukere å koble seg opp via en ad-hoc tunnel til et annet nett ved hjelp av Oppringt (Dial-up, PSTN eller ISDN) PPP (point-to-point protocol) L2TP Bruker autentisering Brukeren tildeles en IP adresse fra bedriftens nett

49 Lag 2 Virtuelle private oppringte nett

50 Layer 3 Tunnelling Protocols
IP-in-IP MPLS - Multi Protocol Label Switching IPSec – IP Security

51 Layer 3 Tunnelling Protocols
IP-in-IP Krypterer IP-pakken og pakker inn i ny IP-pakke Fordeler: Knytte sammen to nett med samme private IP-adresserom Ulemper Overhead minst 20 bytes

52 Layer 3 Tunnelling Protocols
MPLS Protokoll for å videresende pakke ved å sette en label når pakken når kantruteren. Tilbyr QoS parametere Brukes i PPVPN og PE-basert VPN

53 Layer 3 Tunnelling Protocols
IPSec kombinerer symmetriske og asymmetriske kryptering for å oppnå fortrolighet, integritet og autentisitet av data. IPSec’s sikkerhetsassosiasjoner Nodene besluttet hvilken krypteringsalgoritmer som skal brukes til forbindelsen Eksempler på krypteringsteknologier som kan brukes med IPSec Diffie-Hellman key exchange, Internett Key Exchange (IKE) DES, IDEA Og mange andre..

54 Layer 3 Tunnelling Protocols
IPSec utvider et sett av header til IP-pakker: Authentication Header (AH) Integritet Autentisitet Encapsulating Security Payload (ESP) Fortrolighet/Konfidensialitet

55 Layer 3 Tunnelling Protocols
IPSec Operasjonsmodi : Transport mode ESP Krypterer kun nytteinfo. Tunneling mode AH + ESP Krypterer hele pakken (header + info) Ulemper: større prosesseringstid og mer overhead

56 ISAKMP Internet Security Association and Key Management Protocol
Rammeverk for autentisering og nøkkelutveksling mellom to eller flere hosts Dvs. definerer prosedyrer og pakkeformat for å etablere, modifisere og slette ”Security Associations” Definerer formatet for nøkkelutveksling og autentiseringsdata uavhengig av: Nøkkelgenerator Krypteringsalgoritme Autentiseringsmekanisme Kan brukes av alle sikkerhetsprotokoller (IPSec, L2TP, osv.) og kan implementeres over alle transport protokoller.

57 ISAKMP (2) ISAKMP definerer to faser: Fase1: Oppsett av ISAKMP SA
Fase2: Oppsett av Protokoll SA Selve tunnelen IPSec eller annen tjeneste som trenger forhandling av nøkkel(-materiale) eller andre parametre

58 Internet Key Exchange - IKE
IKE er en nøkkelutvekslingsprotokoll som bygger på rammeverket til ISAKMP og bruker IPSec til oppsett av protokoll SA. IPSec kan bli satt opp uten IKE, men IKE gjør det lettere å sette opp og øker fleksibiliteten. Setter automatisk opp IPSec Security Association Ikke lenger nødvendig å sette opp alle IPSec sikkerhetsparametere manuelt. Lar deg spesifisere levetiden for SA Lar deg endre krypteringsnøkler underveis.

59 VPN og Mobilitet VPN er ikke laget for å tilby mobilitet, men gir likevel mulighet for: Terminalmobilitet Tillater terminalen å bytte lokasjon og fremdeles ha tilgang til sine tjenester. Diskret: Må koble opp på nytt når du bytter lokasjon Underliggende teknologi kan gjøre at VPN kan tilby kontinuerlig mobilitet. (Mobil IP) Personalmobilitet Brukeren kan aksessere tjenestene uavhengig av terminal og nettverk.

60 Spørsmål?

Laste ned ppt "VPN Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre"

Liknende presentasjoner

Www.ctiq.net Generisk nettstruktur inklusive CT-iq Offentlig Nett (ON) Bedriftsinternt Nett (BiN) CTI(opsjon)CT-iq Bedrifts LAN IN lev. LAN InnringerINleverandør(IN)Mobiloperatør(MO)

Generisk nettstruktur inklusive CT-iq Offentlig Nett (ON) Bedriftsinternt Nett (BiN) CTI(opsjon)CT-iq Bedrifts LAN IN lev. LAN InnringerINleverandør(IN)Mobiloperatør(MO)
Support, nye funksjoner og tjenester fra Uni Pluss

Support, nye funksjoner og tjenester fra Uni Pluss
TCP/IP-modellen.

TCP/IP-modellen.
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.

GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen Bruk av en tjenesteorientert arkitektur for å etablere.

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen Bruk av en tjenesteorientert arkitektur for å etablere.
13 Internett og bredbånd Internett

13 Internett og bredbånd Internett
Av oss kan du forvente service og kvalitet Morgendagens løsning i nettskyen.

Av oss kan du forvente service og kvalitet Morgendagens løsning i nettskyen.
Hvordan kan Telenor og din Telenor-forhandler bistå gründere og småbedrifter og gjøre hverdagen din enklere?

Hvordan kan Telenor og din Telenor-forhandler bistå gründere og småbedrifter og gjøre hverdagen din enklere?
Kapittel 8: Nettverk i praksis

Kapittel 8: Nettverk i praksis
Presentasjon av tjenesten

Presentasjon av tjenesten
Det nye mobilmarkedet John Olve Andersen

Det nye mobilmarkedet John Olve Andersen
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Prosjektmedlem Lars-Erik Kindblad, s Prosjektmedlem Lars-Erik Kindblad, s

Prosjektmedlem Lars-Erik Kindblad, s Prosjektmedlem Lars-Erik Kindblad, s
Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.

Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Key Management i trådløse ad hoc nettverk

Key Management i trådløse ad hoc nettverk
Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).

Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).
Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).

Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).
Utført av: Jeppe Flensted HiST Vår 2009

Utført av: Jeppe Flensted HiST Vår 2009
Kryptografi og nettverkssikkerhet

Kryptografi og nettverkssikkerhet

Liknende presentasjoner

Annonser fra Google