1 / 28

Virtual Private Network

Virtual Private Network. Timo Kiviharju. Yleistä. Etäyhteyksiin aikaisemmin käytetty vuokra- ja dial-up yhteyksiä VPN tarjoaa etäyhteyksiin kustannustehokkaan, nopean ja turvallisen ratkaisun Sekä software että hardware toteutuksia. Yleistä. Yhteys toteutetaan tunneloinnilla Läpinäkyvyys

kalli
Download Presentation

Virtual Private Network

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Virtual Private Network Timo Kiviharju

  2. Yleistä • Etäyhteyksiin aikaisemmin käytetty vuokra- ja dial-up yhteyksiä • VPN tarjoaa etäyhteyksiin kustannustehokkaan, nopean ja turvallisen ratkaisun • Sekä software että hardware toteutuksia

  3. Yleistä • Yhteys toteutetaan tunneloinnilla • Läpinäkyvyys • Vaatimuksia • Autentikointi • Tiedon salaus • Avainten hallinta • Eri protokollien tuki

  4. Käyttökohteet • Etäyhteys Internetin yli • Verkkojen yhdistäminen Internetin yli

  5. Käyttökohteet • Lähiverkon salaisten segmenttien yhdistäminen

  6. VPN tyypit • Trusted VPN • Vuokrataan ISP:ltä ”piiri” • Toimii kuin suora kaapeliyhteys • ISP:n oltava ehdottoman luotettava • Kallis • Ei tarjoa todellista tietoturvaa

  7. VPN tyypit • Secure VPN • Salattu yhteys • Käyttää julkista verkkoa • Hybrid VPN • Secure ja Trusted VPN:n yhdistelmä • Suojattu yhteys vuokratun piirin sisällä • Yleensä vain osa liikenteestä salattu

  8. Tunnelointi • OSI-malli, tasot 2 (data link) ja 3 (network) • Kapselointi • Prokolla A:n paketti kapseloidaan protokolla B:n paketiksi • Vastaanottaja purkaa kapseloinnin

  9. Tunnelointi • Tunnelointiprotokollat • IPSec • PPTP • L2TP • L2TP / IPSec • IPSec tunneling mode

  10. IPSec • Internet Protocol Security • Osa IPv6:sta, toimii myös IPv4:n laajennuksena • Autentikointi • Salaus • Eheyden tarkistus

  11. PPTP • Point-to-Point Tunneling Protocol • Alun perin WinNT-palvelimien tunnelointiprotokolla • Tietoturvaongelmia • Kehitys lopetettu

  12. PPTP • Kapseloi PPP-kehykset PPTP GRE-paketeiksi lisäämällä GRE headerin • Sisältää kaksi rinnakkaista komponenttia; kontrolliyhteys ja datayhteys

  13. PPTP • Kontrolliyhteys • Käyttää TCP:tä • Muodostetaan ennen datayhteyttä jokaisen PAC-PNS parin välille • Vastaa tunnelin sessioiden luomisesta, ylläpidosta ja purkamista • Datayhteys • Vastaa PPTP-pakettien siirtämisestä IP-tunneliin PAC = PPTP Access Concentrator PNS = PPTP Network Server

  14. L2TP • Layer Two Tunneling Protocol • Käytetyin protokolla • Yhdistelmä Ciscon L2F ja Microsoftin PPTP protokollista • Keskittyy tiedon kapselointiin • Tukee useita verkkoja • Käyttää kontrolli- ja dataviestejä

  15. L2TP – protokollan rakenne • Kontrolliviestit • Käyttävät luotettavaa kanavaa • Käytetään tunnelin muodostamiseen, ylläpitoon ja purkamiseen • Dataviestit • Käyttävät epäluotettavaa kanavaa • Käytetään PPP-kehysten kapselointiin ja tunneliin siirtämiseen • Pakettien numerointi mahdollista • Hukkumistapauksissa ei uudelleen lähetystä

  16. L2TP – protokollan rakenne

  17. L2TP – protokollan rakenne

  18. L2TP – protokollan toiminta • Ennen tunnelin luontia • Kontrolliyhteyden luonti • Session luonti • Yhden LAC-LNS parin välillä voi olla useampi tunneli • Yhdessä tunnelissa voi olla useampi sessio LAC = L2TP Access Concentrator LNS = L2TP Network Server

  19. L2TP – protokollan toiminta

  20. L2TP / IPSec • L2TP pakettien salaus IPSec:llä • Tavoitteena yhdistää molempien protokollien hyvät puolet • Käyttää IPSec ESP:tä • Encapsulated Security Payload • autentikointi • eheyden tarkistus • salaus

  21. L2TP / IPSec

  22. IPSec tunnel mode • Salatun tiedon lähettäminen IP-verkon yli • Kapseloi ja salaa IP-paketteja • Salaa myös lähettävän ja vastaanottavan tietokoneen IP-osoitteet • Rajoituksia ja ominaisuuksia • Tukee ainoastaan IP-liikennettä • Toimii IP-pinon alimpana, jolloin sovellukset ja ylemmät kerrokset perivät sen käyttäytymisen

  23. PPTP vs L2TP/IPSec • L2TP/IPSec:ssä salaus alkaa ennen PPP –yhteyden luontia ja autentikointia • PPTP käyttää RSA perustuvaa virtasalainta • L2TP/IPSec käyttää DES tai 3DES lohkosalainta • PPTP:ssä vain käyttäjäautentikointi • L2TP/IPSec:ssä käyttäjä- sekä tietokonetason autentikointi

  24. PPTP vs L2TP/IPSec • L2TP/IPSec:ssä pakettikohtainen autentikointi, eheyden tarkistus ja luottamuksellisuus • PPTP:ssä vain luottamuksellisuus • PPTP ei vaadi sertifikaattijärjestelmää • PPTP:llä useamman käyttöjärjestelmän tuki

  25. Toteutukset • OpenVPN • Ohjelmisto-VPN • Avoin lähdekoodi, freeware • Salaus OpenSSL-kirjastoa käyttäen • Nokia VPN tuotteet • Hardware-ratkaisu • PPTP, L2TP ja IPSec tuki • Salaus 3DES • Nopeudet 6 – 220 Mbps

  26. Toteutukset

  27. Yhteenveto • Yhä useampi verkkolaite tukee VPN:ää • Yhteensopivuusongelmia • Vähenevät standardoinnin kehittyessä ja IPv6:n yleistyessä • Tehokas ratkaisu joka suhteessa verrattuna vaihtoehtoisiin keinoihin • Monille yrityksille ja yhteisöille käytännössä ainoa ratkaisu turvalliseen etäkäyttöön

  28. Tenttikysymykset • VPN:n käyttökohteet? • Tunnelointi? • VPN:ssä käytettävät protokollat? • VPN:n eri tietoturvatoteutukset?

More Related