Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

1 Virtuelle Private Nettverk  Lars Kr. Hallingstad  Jon Kolstad  Bjørn Næss  Christian A. Nøkleby  Tommy Rafos  Øyvind S. Aasbrenn.

Liknende presentasjoner


Presentasjon om: "1 Virtuelle Private Nettverk  Lars Kr. Hallingstad  Jon Kolstad  Bjørn Næss  Christian A. Nøkleby  Tommy Rafos  Øyvind S. Aasbrenn."— Utskrift av presentasjonen:

1 1 Virtuelle Private Nettverk  Lars Kr. Hallingstad  Jon Kolstad  Bjørn Næss  Christian A. Nøkleby  Tommy Rafos  Øyvind S. Aasbrenn

2 2 Dagsorden 1)Generell intro (definisjoner og terminologi) 2)VPN teknologier 1) Sikkerhet 2) Lag 2 3) Lag 3 3)VPN og mobilitet 4)VPN i praksis - eksempel fra VPN løsningen ved NTNU

3 3 VPN Et privat datanettverk ved bruk av offentlig infrastruktur Hva?

4 4 VPN Senke kostnadene for private nettverk SPLEISE Hvorfor ?

5 5 VPN V irtuelle Brukeren ”ser” et lokalt nettverk

6 6 VPN P rivate Konfidensialitet og integritet av data og autentisering av brukere

7 7 VPN N ettverk Intranett VPN - Geografisk spredte noder Ekstranett VPN - Business-to-business Aksess VPN - Roadwarriors

8 8 Fjern aksess før VPN Oppringing for mobile brukere til ikke-lokal takst Oppsett av aksess server/modemparker ©2001 ADTRAN, Inc.

9 9 Fjern aksess med VPN ©2001 ADTRAN, Inc.

10 10 Intra/Ekstra nett før VPN Leide linjer – høy investering,lite efffektivt Lite fleksibel/skalerbart ©2001 ADTRAN, Inc.

11 11 VPN Full mesh - leide linjer

12 12 VPN Full mesh - leide linjer

13 13 VPN Full mesh - leide linjer (n)x(n - 1)/2 10 noder = 45 linjer

14 14 Intra-/Ekstranett med VPN Transportnettet er ”gratis” Skalerbart/Fleksibelt ©2001 ADTRAN, Inc.

15 15 VPN - Terminologi Tunnelering – Hjertet i et VPN  Oppretter en punkt-til-punkt forbindelse  ”Innpakking” skjuler opprinnelige avsender/mottaker adresser som ikke vil være gyldige på backbone-nettet  Kryptering av data (inkludert addresser)  Signaleringsprotokoller oppkobling og vedlikehold

16 16 VPN - Terminologi ©OpenReach, Inc.

17 17 VPN Lav kostnad Enkel implementasjon Skreddersøm Fleksibelt Skalerbart

18 18 Typer av VPN Tiltrodd VPN  Kunden stoler på at tilbyderen sørger for integritet på sambandssløyfen, og at han sikrer nettverkstrafikken mot spionering Sikker VPN  Sikrer trafikken ved å kryptere dataene ved kanten av nettverket eller ved avsenderens datamaskin, en spion kan ikke lese eller endre dataene uten at mottakeren merker det Hybrid VPN  Et sikkert VPN som kjøres over et tiltrodd VPN  Kunden kan ha kontroll over sikkerheten eller overlate dette til en tiltrodd nettleverandør Kilde: VPN Consortium

19 19 Generelle krav til et VPN For alle  Administratoren må vite omfanget av VPN’et Sikkert VPN  All trafikk over et sikkert VPN må være kryptert og autentisert  Sikkerhetsegenskapene må være besluttet av alle partene i VPN  Ingen utenfor VPN kan påvirke sikkerhetsegenskapene til VPN Tiltrodd VPN  Ingen andre enn den tiltrodde VPN tilbyderen kan påvirke opprettelsen eller endringen av stier i VPN’et  Ingen andre enn den tiltrodde VPN tilbyderen kan endre, sette inn eller slette data langs stien i VPN’et  Ruting og adressering må være etablert før VPN opprettes Hybrid VPN  Adressegrensene for et sikkert VPN, innefor et tiltrodd VPN, må være bestemt

20 20 Bare VPN eller IP VPN ? Private nettverk har generelt vært  Dedikerte WAN Leide linjer eller dedikerte kretser, som FrameRelay, ATM  Opprings nettverk Ved behov; forbindelse gjennom PSTN til Nettverk Aksess Tjenere Bedre og billigere tilgang til Internett har gitt økt interesse for privat kommunikasjon over Internett  Først i det siste har vi fått mekanismer i IP-nettet som møter kundenes krav

21 21 Kravene til IP VPN Skjult pakketransport  Trafikken innen et VPN har ingen relasjon til trafikken i IP-nettet (multiprotokoll, adressering) Datasikkerhet  Tiltrodd nettverk  Ikke-tiltrodd (brannmurer, kryptering) Garantier om tjenestekvalitet  Grad av tjenestekvalitet for hvert VPN eller innen et VPN  Avhengig av underliggende teknologi og bruken av denne  I dag: ATM virtuell krets eller MPLS blir ofte brukt for å tilby QoS nivå til det enkelte VPN Mekanismer for tunnelering

22 22 Generelle VPN begrep Utstyr på kundens flanke Grense mellom kunde og leverandør Utstyr på leverandørens flanke

23 23 Ordforklaring Utstyr på kundens flanke  utstyr som er plassert innenfor kundens domene  de fleste VPN implementasjoner er basert på utstyr av denne typen eks.: brannmurer, WAN kantrutere, spesialiserte termineringsenheter for VPN Utstyr på leverandørens flanke  utstyr som er plassert i tjenesteleverandørens domene Utstyr på kanten av VPN  enhet som er plassert både i VPN ryggradsnettet og kundens nettverk. Utstyret utfører VPN-spesifikke funksjoner  for et nettverksbasert VPN er dette utstyr på leverandørens flanke  for et kundestyrt VPN er dette utstyr på kundens flanke Utstyr på kundens flanke Grense mellom kunde og leverandør Utstyr på leverandørens flanke

24 24 Kundestyrt VPN Nettverket vet ikke om VPN Alt. 1: Kunden skaffer VPN utstyr selv  IP ruting gjøres via kundens rutere og håndteres av private nettverks administratorer  Tilyders kant vet ikke noe om kundens nettverk Alt. 2:Tilbyder anskaffer og fjernstyrer kundens enheter  Krever mye pass fra tjeneste leverandør installering, testing, integrasjon, vedlikehold og teknisk støtte

25 25 VPN styrt av nettleverandøren Nettverksnoder støtter en VPN tjeneste som blir aktivt styrt av nettleverandør Nettleverandør drifter VPN tjenesten Fellesutstyr og drifts støtte blir avskrevet på et stort antall kunder

26 26 Sammendrag IP VPN IP VPN’s Layer 2 Dial Client initiated Server initiated Dedicated Virtual leased line Virtual private LAN segmen Layer 3 Provider edge Virtual router BGP/MPLS Customer edge Provider provisioned Customer provisioned Kilde: Kjersti Moldeklev

27 27 Sikkerhet (1) VPNer må kunne tilby følgende fire kritiske funksjoner for å ivareta sikkerheten for data. Autentisering – forsikring om at data originerer fra kilden som det hevdes. Aksess Kontroll – Å hindre uatoriserte brukere adgang til nettverket. Konfidensialitet – Å hindre noen fra å lese eller kopiere data under transport. Data Integritet – Forsikre seg om at ingen endrer data under transport.

28 28 Sikkerhet (2) VPN nettverk sørger for at informasjon forblir konfidensielt gjennom bruk av kryptering. Klar-tekst blir dermed kryptert til cipher tekst. Sendt over nettet, og dekryptert hos mottaker igjen. Brukte krypteringsmetoder er bl.a Data Encryption Standard (DES), Triple DES (3DES) og Blowfish. Siden alle disse krypteringsalgoritmene er videns kjent og godt utprøvd brukes de med kryptonøkler for å kunne produsere unike cipher tekster. Graden av sikkerhet avhenger mye av lengden på nøkkelen, og tidsintervallene, Re-Keying Intervals, mellom utskifting av nøkler. Nye nøkler kan f.eks bli brukt hver gang en VPN tunnell settes opp, og igjen automatisk regenerert etter et par timer.

29 29 Sikkerhet (3) Kryptering garanterer for sikring av innholdet under transport over internett. Autentiseringsteknologien garanterer identiteten til VPN deltakerne, samt at informasjonen som kommer frem har integritet (dvs ikke har blitt endret under veis). Den vanligste autentiseringsmåten er brukernavn og passord. Mens bruk av digitale sertifikater lar mennesker og systemer autentifisere og identifisere hverandre uten memorisering av brukernavn og passord. I VPN blir sertifikater brukt som et pass for å identifisere personen eller systemet som prøver å koble seg til VPN’et, og som et middel for distribusjon av offentlige nøkler. For å hindre forfalskning benyttes digitale signaturer. Dette er en to trinns prosess hvor en melding krypteres ved hjelp av en enveis krypto- algoritme kjent som en hash funksjon og videre ved bruk av ens private nøkkel. Digitale sertifikater tilbyr den beste formen for autentisering man har i dag.

30 30 Sikkerhet (4) Kryptering, nøkler, sertifikater og digitale signaturer er alle sikkerhets mekanismer som tilbyr ”P”en i VPN. Men fordi man bl.a ønsker å sende informasjon mellom private adresser benyttes en mekanisme kalt tunnellering.

31 31 VPN lag 2 tjenester Forwarding basert på innkommende link og lag 2 informasjon i ramme header PPP, FR/ATM, ethernet Integrert med eksisterende aksess teknologier

32 32 Lag 2 typer Virtuelle leide linjer (VLL) Virtuelle private LAN segmenter (VPLS) Virtuelle private oppringte nett (VPDN)

33 33 Lag 2 Virtuelle leide linjer Kunden benytter point-to-point linker  ATM  Frame relay Lag 2 rammer pakkes inn i en IP tunnel  Kunden ser lag-2 CPE utstyr Virtuell tunnel må kanskje benytte sekvensering

34 34 Lag 2 Virtuelle private LAN segmenter Emulering av LAN segmenter ved hjelp av Internet fasiliteter - Transparent LAN tjeneste ved CPE sammenkoblinger - Benytter broadcast, som for eksempel ARP Protokoll transparent - VPLS ende nodene implementerer link lag bridging (ikke routing)

35 35 Lag 2 Virtuelle private oppringte nett Tillater brukere å koble seg opp via en ad- hoc tunnel til et annet nett ved hjelp av  Oppringt (Dial-up, PSTN eller ISDN)  PPP (point-to-point protocol)  L2TP Bruker autentisering Brukeren tildeles en IP adresse fra bedriftens nett

36 36 Lag 2 Virtuelle private oppringte nett

37 37 Tunneling PPP over IP L2TP Er en kontrollprotokoll for å sette opp, vedlikeholde og ta ned flere lag 2-tunneller mellom to logiske endepunkter.  PPP endepunkter kan finnes på ulike enheter som er koblet sammen av et pakkesvitsjet nett.  Pakker kan leveres i sekvens PPP definerer en innkapslingsmekanisme for å transportere multiprotokoll-pakker over punkt til punkt forbindelser på lag 2 En innkapslingsmetode for å tunnelere PPP rammer mellom endepunkter. Dette inkluderer mulitpleksing av flere PPP strømmer.

38 38 Lag 3 Teknologier IP/IP IPsec  Transport mode  Tunneling mode Spesifisert ruting MPLS (Ligger mellom lag 2 og lag 3)

39 39 IP/IP Innkapsulerer en ip-pakke i en annen Kan brukes til å knytte to private ip-nett sammen IP over IP er en tunnellerings måte som krever at IP pakker er kryptert, og så innkapsulert i ny ip-pakke

40 40 IPsec To modi:  “Transport Mode”  Encapsulated Security Payload (ESP)  Krypterer kun informasjonsfeltet i pakken. Dette kan dekrypteres hos “gateway” eller hos bruker  Fordeler: Hindrer at noen leser informasjonen.  “Tunneling Mode”  Authentication Header (AH ) og (ESP)  Krypterer hele pakken, og setter på en ekstra ip-header som er adressert til “gateway” på mottakende side. Denne har en checksum som mottakeren kan kontrollere ved mottak  Fordeler: Skjuler avsender og mottakers identiet Skjuler informasjonen (Konfidensialietet) Hindrer endring (Integritet) Hindrer spoofing (autentifikasjon)  Ulemper: Mer overhead og prosessering

41 41 IPsec – Transport Mode PayloadHeader PayloadHeader Internet PayloadHeader Plaintext: Encrypted:

42 42 IPsec – Tunneling Mode PayloadHeader PayloadHdr1Hdr2 Internet PayloadHeader Plaintext: Encrypted:

43 43 Spesifiert Ruting Muliggjør en form for VPN Brukere kan på denne måten bruke betrodde nett og rutere Tiltrodd Tilbyder

44 44 Spesifisert ruting IPv4 To typer:  Loose Source Routing  Strict Source Routing Settes i “options”-feltet i header på IP-pakken. Konstant lengde gjennom alle noder.  Pointer inkrementeres med fire, og kilderute erstattes med faktisk rute // | | length | pointer| route data | // Type=131 /137

45 45 Spesifisert Ruting i IPv Next Header 2 Hdr Ext Length 3 Routing Type = 0 4 Segments left 5 Reserved 6 Address[1] 7 Address[2] 8 Address[n] Version 2 Traffic Class 3 Flowlabel 4 Payload Length 5 Next Header 6 Hop Limit 7 Source Address 8 Destination Address

46 46 MPLS – Multi Protocol Label Switching Videresending og kontroll Eksplisitt ruting Er en skalerbar støtte for VPN Støtter forskjellige QoS klasser FEC – Forwarding Equivalence Class Settes kun når pakken kommer inn i nettet

47 47

48 48 VPN og Mobilitet VPN tilbyr ikke mobilitet direkte Dagens løsninger er lite fleksible Terminalmobilitet  VPN tilbyr mobilitet på diskret form Underliggende teknologier legger føringer for hvilke typer mobilitet som er oppnåelig  Oppgradering til kontinuerlig terminalmobilitet

49 49 VPN i praksis (1) Implementert ved NTNU gjennom  Cisco VPN Klient  Movade Du trenger  Gruppeinformasjon Dette er informasjon som identifiserer IPSec-gruppen du er fordelt til. Avhengig av gruppetilhørighet styres oppsett av feks aksessretter, autentiseringsmetode og IPSec-algoritmer som skal brukes. Dette er brukernavn:alle passord:passord  Bruker på stud

50 50 VPN i praksis (2) Oppsett av tunnelen  Tunnelen kan settes opp på to måter IPSec over UDP  Bedre egenskaper ved NAT IPSec over TCP  Bedre egenskaper ved tilstandsbaserte brannmurer  IPSec settes opp basert på gruppeinformasjon Benytter Internet Security Association and Key Management Protocol, ISAKMP  Rammeverk for autentisering og nøkkelutveksling uavhengig av de respektives typer

51 51 ISAKMP (1) ISAKMP har definert 2 forskjellige faser  Fase 1 Oppsett av ISAKMP SA, sikker, autentisert kanal. Benyttes videre i fase2  Fase 2 Oppsett av Protokoll SA, selve tunnelen IPSec eller annen tjeneste som trenger forhandling av nøkkel(-materiale) eller andre parametre.

52 52 ISAKMP (2) Anti-Clogging (Denial of Service)  Bruk av cookie for hver SA Initiator Cookie / Responder Cookie Keep-alive funksjon for opprettholdelse av forbindelse  Informational Exchange sendes fra klient hvert 20. sek. Exchange Types used  Fase 1 Agressive Informational  Fase 2 Transaction (Config Mode) Quick Mode

53 53 ISAKMP (3) Agressive  Utveksling av relevant sikkerhetsinfo for fase 1. Nøkkelutveksling og autentisering. Ingen Message ID, Ingen god sikkerhet, kun temporær kanal Informational  Utveksling av kontrollmeldinger og feilmeldinger, feks lastdeling og videresending

54 54 ISAKMP (4) Transaction (Config Mode)  Utveksling av informasjon for leverandør spesifikt oppsett Quick Mode  Utveksling av informasjon og sluttføring av fase 2, bytte til Protokoll SA

55 55 ISAKMP Header INITIATOR COOKIE RESPONDER COOKIE NEXT PAYLOADVERSIONEXCHANGE TYPEFLAGS MESSAGE ID LENGTH

56 56 ISAKMP Aggressive Mode

57 57 Spørsmål ?

58 58 Referanser ISAKMP  IKE  Internet Key Exchange (IKEv2) Protocol  ietf-ipsec-ikev2-03.txt Proposed Configuration payload for IKEv2  archive/msg00016.html Virtual Private Networks, Coping with Complexity. Andreas Steffen 

59 59 IEFT, IPv6 Spesification: ftp://ftp.rfc- editor.org/in-notes/rfc2460.txt IEFT, IPv6 Spesification: ftp://ftp.rfc- editor.org/in-notes/rfc2460.txt


Laste ned ppt "1 Virtuelle Private Nettverk  Lars Kr. Hallingstad  Jon Kolstad  Bjørn Næss  Christian A. Nøkleby  Tommy Rafos  Øyvind S. Aasbrenn."

Liknende presentasjoner


Annonser fra Google