Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

VPN Gruppe 5:  Erik Hodne  Lars Johnsrud  Tore Lyftingsmo Øwre  Tan van Nguyen  Sigbjørn Wikshåland  Paul Magnus Lehne.

Liknende presentasjoner


Presentasjon om: "VPN Gruppe 5:  Erik Hodne  Lars Johnsrud  Tore Lyftingsmo Øwre  Tan van Nguyen  Sigbjørn Wikshåland  Paul Magnus Lehne."— Utskrift av presentasjonen:

1 VPN Gruppe 5:  Erik Hodne  Lars Johnsrud  Tore Lyftingsmo Øwre  Tan van Nguyen  Sigbjørn Wikshåland  Paul Magnus Lehne

2 Dagsorden  Intro  Organisering av VPN  Lag 2 VPN  Lag 3 VPN  Sikkerhet  Mobilitet i VPN

3 Hva er VPN? “Et privat datanettverk som utnytter det offentlige kjernenettet”

4 Hvorfor VPN?  Kostnadsbesparende Internett erstatter leide linjer  Oppnår en sikker, skalerbar og fleksibel kommunikasjonsløsning

5  V irtuelle Brukerne oppfatter det som om de er på et privat nett. Får tilgang til tjenester som er tilgjengelige i hjemmenettverket til bedriften. VPN

6  V irtuelle  P rivate Oppnår konfidensialitet og integritet av data, samt autentisering av brukerne. VPN

7  V irtuelle  P rivate  N ettverk Intranett VPN Ekstranett VPN Remote Access VPN VPN

8 Ulike typer VPN  Intranett VPN LAN til LAN forbindelse mellom to av bedriftens lokasjoner Kan sette brukerrettigheter for hvilke brukere som har tilgang til hvilke tjenester

9 Ulike typer VPN  Intranett VPN  Ekstranett VPN Binder bedriften sammen med samarbeidspartnere, kunder og leverandører Sikrer at sensitiv informasjon kommer fram til mottaker uten å være rørt av uvedkommende

10 Ulike typer VPN  Intranett VPN  Ekstranett VPN  Remote Access VPN Vanligste form for VPN Ansatte kobler seg opp mot bedriftens hjemmenettverk vha VPN Eksempel: VPN mot NTNU

11 Før VPN? Brukerne ringer opp til bedriftens nettverk via leide linjer Ei leid linje for kvar link – mange linker Må sette opp aksess-server og modemparker

12 Før VPN? Høg investering Lite effektivt Lite fleksibelt Skalerer dårlig

13 Med VPN Transportnettet er ”gratis” Fleksibelt og skalerbart.

14 VPN basert på IP nett  Bredbånd Billig Stor tilgjengelighet Hastighet Enkelt å ta i bruk  Bruk av tunnelering gir god sikkerhet.

15 Tunnelering  Punkt til punkt forbindelse  En datapakke pakkes inn i en ny pakke og sendes basert på headeren i den nye pakken  Kan kryptere den orginale pakken  Nettverket vet ikke om den orginale pakken Internett

16 Infrastruktur Kunde NettleverandørKunde

17 Kundekant VPN Tunneleringen går fra kundekanten og gjennom nettet Kundekanten er en node som befinner seg hos kunden som ønsker en VPN tjenste  Kundekanten kan være levert og administrert av nettleverandør  Kundekanten eid og drevet av kunden selv Nettverket uvitende om VPN Fordel:  Kan sikre informasjonen helt frem til kunden Ulempe:  Krever utstyr hos kunden  dyrt

18 VPN tilbudt av nettleverandør  Tunnelering fra nettleverandør sin kant node og gjennom nettet  Nettleverandør eier og administrerer noden  Mange VPN deler denne kantnoden  Fordeler:  Billig  Enkelt for bedrifter å bruke  Ulempe:  Informasjonen går åpent fra kundens kantnode til nettleverandørens kantnode

19 Sikkerhet  Sikkerhet er hovedfokus på de fleste VPN- løsninger

20 Sikkerhet  Sikkerhet er hovedfokus på de fleste VPN- løsninger  VPN må ivareta følgende sikkerhetsfunksjoner: Autentisering Integritet Konfidensialitet

21 Autentisering  For å forsikre seg om personen virkelig er den han utgir seg for å være

22 Autentisering  For å forsikre seg om personen virkelig er den han utgir seg for å være  For å hindre uautoriserte brukere aksess til nettverket

23 Autentisering  For å forsikre seg om personen virkelig er den han utgir seg for å være  For å hindre uautoriserte brukere aksess til nettverket  Eks: Brukernavn og passord, Digitale sertifikater(X.509)

24 Integritet  Vil si å forsikre seg om at data som sendes ikke er endret på underveis

25 Integritet  Vil si å forsikre seg om at data som sendes ikke er endret på underveis  Integritet gjennom: Enveis hash-funksjoner

26 Integritet  Vil si å forsikre seg om at data som sendes ikke er endret på underveis  Integritet gjennom: Enveis hash-funksjoner Message Authentication Codes (MAC)

27 Integritet  Vil si å forsikre seg om at data som sendes ikke er endret på underveis  Integritet gjennom: Enveis hash-funksjoner Message Authentication Codes (MAC) Digitale Signaturer  Eks: RSA og El Gamal

28 Konfidensialitet  Vil si å hindre andre fra å lese eller kopiere data som sendes

29 Konfidensialitet  Vil si å hindre andre fra å lese eller kopiere data som sendes  Oppnås gjennom kryptering

30 Konfidensialitet  Vil si å hindre andre fra å lese eller kopiere data som sendes  Oppnås gjennom kryptering Offentlig nøkkel kryptografi Privat nøkkel kryptografi

31 VPN Lag 2  Forwarding basert på innkommende link og lag 2 informasjon i ramme header  PPP, FR/ATM, ethernet  Integrert med eksisterende aksess teknologier  Data sendes kun over bestemte stier  QoS.  Ingen sikkerhet mot avlytting eller endring av data

32 Layer 2 Forwarding Protocol  Oppretter en sikker tunnel over et åpent nett.  Gjør det mulig å tunnelere lag 2 rammer over høyere lag

33 L2F

34

35

36

37 Point to Point Tunneling Protocol  Klient-server arkitektur.  Bruker trenger ikke å ha kjenskap til PPTP  Fleksibel håndtering av IP adresser  Congestion and flow control.

38 PPTP

39

40 .

41

42

43 Layer 2 Tunneling Protocol  Kombinasjon av L2F og PPTP  L2F – Oppkobling og autentisering av klienter  PPTP – Innkapslingen av nettverklags protokollene.  Kombinasjon med IPsec  LAC – L2TP Access Concentrator  LNS – L2TP Network Server

44 L2TP

45 Lag 2 typer  Virtuelle leide linjer (VLL)  Virtuelle private LAN segmenter (VPLS)  Virtuelle private oppringte nett (VPDN)

46 Lag 2 Virtuelle leide linjer  Kunden benytter point-to-point linker ATM Frame relay  Lag 2 rammer pakkes inn i en IP tunnel Kunden ser lag-2 CPE utstyr  Virtuell tunnel må kanskje benytte sekvensering

47 Lag 2 Virtuelle private LAN segmenter  Etterligner LAN segmenter ved hjelp av Internet fasiliteter - Transparent LAN tjeneste ved CPE sammenkoblinger  Protokoll transparent

48 Lag 2 Virtuelle private oppringte nett  Tillater brukere å koble seg opp via en ad-hoc tunnel til et annet nett ved hjelp av Oppringt (Dial-up, PSTN eller ISDN) PPP (point-to-point protocol) L2TP  Bruker autentisering  Brukeren tildeles en IP adresse fra bedriftens nett

49 Lag 2 Virtuelle private oppringte nett

50 Layer 3 Tunnelling Protocols  IP-in-IP  MPLS - Multi Protocol Label Switching  IPSec – IP Security

51 Layer 3 Tunnelling Protocols  IP-in-IP Krypterer IP-pakken og pakker inn i ny IP-pakke Fordeler:  Knytte sammen to nett med samme private IP-adresserom Ulemper  Overhead minst 20 bytes

52  MPLS Protokoll for å videresende pakke ved å sette en label når pakken når kantruteren. Tilbyr QoS parametere Brukes i PPVPN og PE-basert VPN Layer 3 Tunnelling Protocols

53  IPSec kombinerer symmetriske og asymmetriske kryptering for å oppnå fortrolighet, integritet og autentisitet av data.  IPSec’s sikkerhetsassosiasjoner Nodene besluttet hvilken krypteringsalgoritmer som skal brukes til forbindelsen  Eksempler på krypteringsteknologier som kan brukes med IPSec Diffie-Hellman key exchange, Internett Key Exchange (IKE) DES, IDEA Og mange andre..

54 Layer 3 Tunnelling Protocols  IPSec utvider et sett av header til IP-pakker: Authentication Header (AH)  Integritet  Autentisitet Encapsulating Security Payload (ESP)  Fortrolighet/Konfidensialitet  Integritet  Autentisitet

55 Layer 3 Tunnelling Protocols  IPSec Operasjonsmodi: Transport mode  ESP  Krypterer kun nytteinfo. Tunneling mode  AH + ESP  Krypterer hele pakken (header + info)  Ulemper: større prosesseringstid og mer overhead

56 ISAKMP  Internet Security Association and Key Management Protocol  Rammeverk for autentisering og nøkkelutveksling mellom to eller flere hosts Dvs. definerer prosedyrer og pakkeformat for å etablere, modifisere og slette ”Security Associations”  Definerer formatet for nøkkelutveksling og autentiseringsdata uavhengig av: Nøkkelgenerator Krypteringsalgoritme Autentiseringsmekanisme  Kan brukes av alle sikkerhetsprotokoller (IPSec, L2TP, osv.) og kan implementeres over alle transport protokoller.

57 ISAKMP (2)  ISAKMP definerer to faser: Fase1: Oppsett av ISAKMP SA Fase2: Oppsett av Protokoll SA  Selve tunnelen  IPSec eller annen tjeneste som trenger forhandling av nøkkel(-materiale) eller andre parametre

58 Internet Key Exchange - IKE  IKE er en nøkkelutvekslingsprotokoll som bygger på rammeverket til ISAKMP og bruker IPSec til oppsett av protokoll SA.  IPSec kan bli satt opp uten IKE, men IKE gjør det lettere å sette opp og øker fleksibiliteten. Setter automatisk opp IPSec Security Association Ikke lenger nødvendig å sette opp alle IPSec sikkerhetsparametere manuelt. Lar deg spesifisere levetiden for SA Lar deg endre krypteringsnøkler underveis.

59 VPN og Mobilitet  VPN er ikke laget for å tilby mobilitet, men gir likevel mulighet for:  Terminalmobilitet Tillater terminalen å bytte lokasjon og fremdeles ha tilgang til sine tjenester. Diskret: Må koble opp på nytt når du bytter lokasjon Underliggende teknologi kan gjøre at VPN kan tilby kontinuerlig mobilitet. (Mobil IP)  Personalmobilitet Brukeren kan aksessere tjenestene uavhengig av terminal og nettverk.

60 Spørsmål?


Laste ned ppt "VPN Gruppe 5:  Erik Hodne  Lars Johnsrud  Tore Lyftingsmo Øwre  Tan van Nguyen  Sigbjørn Wikshåland  Paul Magnus Lehne."

Liknende presentasjoner


Annonser fra Google