Виртуальные частные сети. Частная магистральная сеть предприятия Филиал 1 Филиал 2 Центральный офис Частная корпоративная сеть Предприятие единолично.

Презентация:



Advertisements
Похожие презентации
obs_left
Advertisements

Организация Интернет Сети и системы телекоммуникаций Созыкин А.В.
Лекція 13. Віртуальні приватні мережі на основе MPLS. Телекомунікаційні мережі наступного покоління Киев Доцент кафедри телекомунікаційних систем.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
Безопасность в Internet и intranet 1. Основы безопасности 2. Шифрование 3. Протоколы и продукты 4. Виртуальные частные сети.
Единое корпоративное бизнес-пространство ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ - VPN.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
-сеть "точка - точка" -сеть "облако". В сети с технологий "точка - точка" каждым двум узлам выделяется отдельная линия, а для объединения N узлов требуется.
СЕТЕВЫЕ РЕШЕНИЯ ДЛЯ КРУПНЫХ ПРЕДПРИЯТИЙ. Являясь «золотым партнером» компании Cisco Systems и имея партнерские соглашения с рядом производителей высокотехнологичного.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Маршрутизаторы с интегрированными услугами (ISR) класса.
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Стандартизация сетевого взаимодействия СТАНДАРТИЗАЦИЯ ПРОЦЕДУР: - выделения и освобождения ресурсов компьютеров, линий связи и коммуникационного оборудования;
Лекция 6 Сетевые характеристики. Типы характеристик Производительность Надежность Безопасность (security) Характеристики поставщиков услуг.
Опыт построения крупных распределенных VPN сетей с централизованным управлением.
1 Федеральное государственное унитарное предприятие «НАУЧНО-ТЕХНИЧЕСКИЙ ЦЕНТР «АТЛАС»
Разграничение доступа к информационным сетям с помощью групповых политик и IPSec.
A b d c e Топология сетей Физическая топология сети - это конфигурация графа, вершинами которого является активное сетевое оборудование или компьютеры,
ОБЛАЧНЫЕ ТЕХНОЛОГИИ. НОВЫЕ ВОЗМОЖНОСТИ ДЛЯ БИЗНЕСА.
Транксрипт:

Виртуальные частные сети

Частная магистральная сеть предприятия Филиал 1 Филиал 2 Центральный офис Частная корпоративная сеть Предприятие единолично владеет всей сетевой инфраструктурой

Частные каналы предприятия Частная сеть с собственными территориальными каналами Сеть 1 Сеть 2 Сеть 3 Центральная сеть

Следствия (независимо от использованной сетевой технологии): Но решение неэкономичное Частная сеть – главное свойство – Независимая система адресации Предсказуемая производительность Максимально возможная безопасность Высокий уровень доступности изолированность

Организация глобальных связей предприятия через публичную сеть Сеть 1 Сеть 2 Сеть 3 Центральная сеть Потоки данных предприятия через Internet

VPN – это технология позволяющая средствами разделяемой (shared) несколькими предприятиями сетевой инфраструктуры реализовать сервисы, по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов) приближенные к сервисам частной (private) cети.

VPN – компромисс между качеством и стоимостью

Имитация 3 частных сетей Разделяемая магистральная сеть

VPN – это сеть предприятия в которой разнесенные географически филиалы (сайты) объединены магистральной сетью, проложенной через совместно используемую сетевую инфраструктру

VPN - это услуга Технология VPN может быть использована самим предприятием для объединения своих филиалов, а может и быть основой для предоставления услуг провайдером Услуги VPN могут характеризоваться: типом имитируемых сервисов частной сети (выделенные каналы, сети с коммутацией пакетов) качеством имитации сервисов частной сети (высокая безопасность, изолированность адресных пространств, гарантированность пропускной способности) стоимостью, легкостью развертывания и поддержки

Услуга VPN может предоставляться: (Customer Premises Equipment, CPE) на базе оборудования установленного на территории заказчика (Customer Premises Equipment, CPE) (network-based VPN) – средствами собственной инфраструктуры провайдера (network-based VPN) – (аутсорсинг услуг VPN, провайдерская схема) Аутсорсинг VPN дает возможность провайдерам, кроме оказания основного набора услуг, предоставление дополнительных централизованных сервисов (контроль за работой сети, аутсорсинг приложений)

VPN на базе оборудования, размещенного в помещении заказчика (Customer Premises Equipment, CPE) Точка присутствия провайдера Филиал корпоративной сети VPN-шлюз предприятия VPN- клиент

VPN на базе сети провайдера (network-based VPN) VPN-шлюз провайдера

Характеристики технологии VPN Тип имитируемых сервисов Приближенность предлагаемых сервисов к свойствам сервисов частной сети Масштабируемость Стоимость внедрения и обслуживания Управляемость

Требования к разделяемой сети Магистральная сеть должна быть хорошо защищена Сеть должна гарантировать клиентской VPN определенный уровень производительности Накладные расходы на обеспечение частного характера сервисов не должны быть слишком велики

Требования к безопасности разделяемой сети Должно существовать разделение адресов и маршрутов – клиенты не должны знать друг о друге Магистральная сеть провайдера скрыта от внешнего мира. Клиенту следует знать только ту информацию, которая ему необходима для получения сервиса Разделяемая сеть должна быть устойчива к атакам отказ в обслуживании DoS

Типы технологий виртуальных частных сетей На базе арендованных каналов в TDM- сети (вырожденный случай VPN) На базе сети с установлением виртуальных каналов – ATM, Frame Relay На базе публичной IP-сети с использованием протокола IPSec На базе MPLS

Виртуальная частная сеть на арендованных каналах

Каналы, арендуемые другим преприятиями Виртуальная частная сеть на арендованных каналах Сеть 1 Сеть 2 Сеть 3 Центральная сеть Сеть TDM TDM-транк Арендуемые каналы

Сеть, построенная на арендованных каналах, имеет очень сходные характеристики с «истинно» частной сетью: Гарантированная пропускная способность Высокая степень безопасности Изолированность адресных пространств НО Высокая стоимость Плохая масштабируемость

VPN на основе сетей ATM и Frame Relay

Виртуальные каналы имитируют сервис выделенных каналов (гарантированная пропускная способность, изоляция трафика) Трафик не шифруется Услуга реализуется средствами 2 Уровня, следовательно нет возможности предложить более развитые централизованные сервисы В VPN на основе сетей ATM и Frame Relay:

Безопасность VPN на базе ATM и Frame Relay Трафик изолируется Адресные пространства разделены Магистраль скрыта от заказчиков Магистраль защищена от атак

Разделение адресных пространств и маршрутов в ATM и Frame Relay Трафик коммутируется на основе меток VPI/VCI или DLCI Информация 3 Уровня никогда не анализируется и не меняется Весь трафик в магистральной сети коммутируется а не маршрутизируется

Сокрытие магистральной сети провайдера в ATM и Frame Relay Информация, которой провайдер делится с клиентом, это лишь информация о клиентских виртуальных каналах DLCI и VPI/VCI Никаких других знаний о сети провайдера клиент иметь не должен

Что видит клиент? Клиент A Клиент B Клиент A Клиент B Frame-Relay коммутаторы Система управления Клиент не видит: других клиентов коммутаторов магистрали систему управления

Устойчивость к атакам ATM и Frame Relay Без информации Уровня 3 и лишь на основании информации Уровня 2 вряд ли можно атаковать коммутаторы магистральной сети Атака DoS невозможна – сеть коммутирует все пакеты на другую сторону виртуального канала Атака вторжения – нет возможностей 3 Уровня

Атака в сети ATM и Frame- Relay Клиент A Клиент B Управление сетью провайдера Клиент A Намеривается атаковать местный коммутатор Намеривается атаковать коммутатор другого клиента У трафика нет никакого выбора, как только быть скоммутированным через облако

ATM и Frame-Relay безопасны? Адреса и маршруты разделены? Да – анализируется только информация Уровня 2, Уровень 3 игнорируется Магистраль провайдера скрыта? Да – клиент обладает только минимальной информацией о магистрали Устойчива к атакам? Да – Никаких реальных возможностей для атак нет

VPN на базе IP-сети

Сеть 1 Сеть 2 Сеть 3 Центральная сеть Потоки данных предприятия через Internet VPN на базе IP-сети

IP VPN на основе протокола IPSec IPSec позволяет строить защищенные логические соединения – туннели. Логическое соединение IPSec: Относится к определенному классу трафика (селектор – IP-адрес отправителя и получателя, порты отправителя и получателя) Определяет процедуру обработки для защиты данного класса трафика (обеспечение целостности или конфиденциальности, туннельный режим или транспортный) и криптографический материал Не фиксирует маршрут Требует предварительного конфигурирования

VPN в Internet на основе IPSec- туннелей - установленный и сконфигурированн ый протокол IPSec Internet

гибридное решение, в котором VPN -приложение работает на стандартной вычислительной платформе, использующей внешний криптографический процессор для выполнения функций VPN.

(1) Шлюз VPN сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него (2) Клиент VPN - это устройство, подключенное к одной сети, у которого сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации трафика между шлюзами VPN и/или другими VPN-клиентами.

VPN-шлюзы и VPN-клиенты

Услуги VPN на базе IP-сетей Недостаточная степень гарантий пропускной способности и безопасности Гибкость и эффективность в предоставлении дополнительных услуг

Трафик пользователей передается по общей инфраструктуре Трафик разных VPN не изолируется, в таблицах маршрутизации содержится информация о чужих сетях Различные VPN не могут иметь независимое адресное пространство (даже при наличии NAT) Магистральная разделяемая сеть не защищена от атак типа DoS Моделирование изолированности трафика отдельных VPN достигается за счет шифрования Степень безопасности IP VPN на основе IPSec

Безопасна ли VPN на базе IP- сети? Адреса и маршруты разделены? Нет, при перемещении пакета анализируется информация Уровня 3, Магистраль провайдера скрыта? Нет – клиент обладает информацией об IP- адресах точек входа в сеть провайдера и другой информацией о магистрали Устойчива к атакам? Нет – возможны атаки типа DoD