Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи. - презентация

1 Виртуальные частные сети

2 Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи

3 Частная сеть на арендованных каналах Центральный офис Филиал Мультиплексор Коммутатор Мультиплексор арендованный канал 2 арендованный канал 1 Сеть другого предприятия

4 Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия

5 Организация VPN через общую сеть Преимущества Недостатки Простота и доступность реализации Низкая стоимость Непредсказуемость пропускной способности Угроза перехвата информации, передаваемой по открытой сети

6 Виды VPN Внутрикорпоративные VPN (Intranet VPN) VPN c удалённым доступом (Remote Access VPN) Межкорпоративные VPN (Extranet VPN) Internet

7 Внутрикорпоративные VPN Центральный офис Филиал 2 Филиал 1 Internet

8 VPN c удалённым доступом Центральный офис Internet Мобильный сотрудник

9 Межкорпоративные VPN Центральный офис Internet Сеть другого предприятия

10 Типы VPN-устройств Отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее 2 или более сетевых интерфейса и аппаратную криптографическую поддержку – так называемый черный ящик Отдельное программное решение, дополняющее стандартную операционную систему функциями VPN Расширение межсетевого экрана за счет дополнительных функций защищенного канала Средства VPN, встроенные в маршрутизатор

11 Шлюзы и клиенты VPN Центральный офис Филиал Internet VPN-клиент VPN-канал сеть-сеть VPN-канал сеть-пользователь VPN-канал пользователь- -пользователь

12 Организация VPN (пользовательская схема) Сеть 1Сеть 2 VPN-канал Intranet VPN-канал удаленного доступа VPN-канал Internet RAS Другое предприятие

13 Организация VPN (провайдерская схема) Сеть 1 Сеть 2 VPN-канал Intranet VPN-канал удаленного доступа VPN-канал Internet RAS Другое предприятие

14 Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ Совмещение функций в одном устройстве

15 Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюзМСЭ Шлюз не защищён

16 Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюзМСЭ Требуется настройка МСЭ для пропуска зашифрованного трафика

17 Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ

18 Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ Трафик с VPN-шлюза не обрабатывается МСЭ

19 Дополнительный материал: Удаленный доступ по протоколу L2TP (RFC 2888)

20 Мобильные сотрудники Удаленный доступ: общая схема NAS Network Access Server RADIUS Идентификация Аутентификация Авторизация Мониторинг статуса подключенных пользователей РРР IP

21 Мобильные сотрудники Удаленный доступ: L2TP LNS LNS в качестве NAS RADIUS Идентификация Аутентификация Авторизация Мониторинг статуса туннеля и подключенных пользователей Присвоение IP-адреса Передача данных между подключенным пользователем и внутренней сетью LAC

22 Если в сети используется IPSec LNS RADIUS SGW Security Gateway Защищенная сеть

23 Недостатки предложенной схемы Независимые базы пользовательских бюджетов для SGW и LNS Необходимость настройки маршрутизации на участке: SGW – LNS – Удаленный пользователь SGW не может контролировать статус туннеля и статус подключившихся пользователей

24 Решение LNS RADIUS SGW Защищенная сеть Объединить

25 Secure Remote Access Server RADIUS SRAS Защищенная сеть SRAS = security gateway + LNS

26 Решения на базе МЭ CheckPoint Internet Шлюз – шлюз (Site-to-site)

27 Решения на базе МЭ CheckPoint Internet Пользователь – шлюз (Client-to-site VPN) Secure Remote User Secure Remote Server

28 Решения на базе МЭ CheckPoint Схемы управления ключами IKE (с поддержкой PKI)

29 Решения на базе МЭ CheckPoint Алгоритмы шифрования DES Triple DES CAST AES (128/256)

30 Решения на базе МЭ CheckPoint Вид VPNТип VPN в CheckPoint Intranet VPNSite-to-site Extranet VPNSite-to-site Remote Access VPNClient-to-site VPN

31 Решение на базе «Континент-К» Заголовок IP Заголовки верхних уровней Данные Сжатие Заголовок IP Шифрование Служебный заголовок Формирование нового IP-заголовка Заголовок IP Новый IP-заголовок Служебный заголовок Заголовок IP Начало обработки исходного пакета Отправка пакета в сеть ULP + данные

32 Заголовок IP Заголовки верхних уровней Данные Новый IP-заголовок Служебный заголовок Заголовок IP Исходный пакет Зашифровано Аутентифицировано 16 байт 20 байт Пакет после преобразования ULP+ данные Решение на базе «Континент-К»