600 likes | 911 Views
VPN. Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre Tan van Nguyen Sigbjørn Wikshåland Paul Magnus Lehne. Dagsorden. Intro Organisering av VPN Lag 2 VPN Lag 3 VPN Sikkerhet Mobilitet i VPN. Hva er VPN?. “Et privat datanettverk som utnytter det offentlige kjernenettet”.
E N D
VPN Gruppe 5: Erik Hodne Lars Johnsrud Tore Lyftingsmo Øwre Tan van Nguyen Sigbjørn Wikshåland Paul Magnus Lehne
Dagsorden • Intro • Organisering av VPN • Lag 2 VPN • Lag 3 VPN • Sikkerhet • Mobilitet i VPN
Hva er VPN? “Et privat datanettverk som utnytter det offentlige kjernenettet”
Hvorfor VPN? • Kostnadsbesparende • Internett erstatter leide linjer • Oppnår en sikker, skalerbar og fleksibel kommunikasjonsløsning
VPN • Virtuelle • Brukerne oppfatter det som om de er på et privat nett. • Får tilgang til tjenester som er tilgjengelige i hjemmenettverket til bedriften.
VPN • Virtuelle • Private • Oppnår konfidensialitet og integritet av data, samt autentisering av brukerne.
VPN • Virtuelle • Private • Nettverk • Intranett VPN • Ekstranett VPN • Remote Access VPN
Ulike typer VPN • Intranett VPN • LAN til LAN forbindelse mellom to av bedriftens lokasjoner • Kan sette brukerrettigheter for hvilke brukere som har tilgang til hvilke tjenester
Ulike typer VPN • Intranett VPN • Ekstranett VPN • Binder bedriften sammen med samarbeidspartnere, kunder og leverandører • Sikrer at sensitiv informasjon kommer fram til mottaker uten å være rørt av uvedkommende
Ulike typer VPN • Intranett VPN • Ekstranett VPN • Remote Access VPN • Vanligste form for VPN • Ansatte kobler seg opp mot bedriftens hjemmenettverk vha VPN • Eksempel: VPN mot NTNU
Før VPN? • Brukerne ringer opp til bedriftens nettverk via leide linjer • Ei leid linje for kvar link – mange linker • Må sette opp aksess-server og modemparker
Før VPN? • Høg investering • Lite effektivt • Lite fleksibelt • Skalerer dårlig
Med VPN • Transportnettet er ”gratis” • Fleksibelt og skalerbart.
VPN basert på IP nett • Bredbånd • Billig • Stor tilgjengelighet • Hastighet • Enkelt å ta i bruk • Bruk av tunnelering gir god sikkerhet.
Tunnelering • Punkt til punkt forbindelse • En datapakke pakkes inn i en ny pakke og sendes basert på headeren i den nye pakken • Kan kryptere den orginale pakken • Nettverket vet ikke om den orginale pakken Internett
Infrastruktur Kunde Nettleverandør Kunde
Kundekant VPN • Tunneleringen går fra kundekanten og gjennom nettet • Kundekanten er en node som befinner seg hos kunden som ønsker en VPN tjenste • Kundekanten kan være levert og administrert av nettleverandør • Kundekanten eid og drevet av kunden selv • Nettverket uvitende om VPN Fordel: • Kan sikre informasjonen helt frem til kunden Ulempe: • Krever utstyr hos kunden dyrt
VPN tilbudt av nettleverandør • Tunnelering fra nettleverandør sin kant node og gjennom nettet • Nettleverandør eier og administrerer noden • Mange VPN deler denne kantnoden • Fordeler: Billig Enkelt for bedrifter å bruke • Ulempe: Informasjonen går åpent fra kundens kantnode til nettleverandørens kantnode
Sikkerhet • Sikkerhet er hovedfokus på de fleste VPN-løsninger
Sikkerhet • Sikkerhet er hovedfokus på de fleste VPN-løsninger • VPN må ivareta følgende sikkerhetsfunksjoner: • Autentisering • Integritet • Konfidensialitet
Autentisering • For å forsikre seg om personen virkelig er den han utgir seg for å være
Autentisering • For å forsikre seg om personen virkelig er den han utgir seg for å være • For å hindre uautoriserte brukere aksess til nettverket
Autentisering • For å forsikre seg om personen virkelig er den han utgir seg for å være • For å hindre uautoriserte brukere aksess til nettverket • Eks: Brukernavn og passord, Digitale sertifikater(X.509)
Integritet • Vil si å forsikre seg om at data som sendes ikke er endret på underveis
Integritet • Vil si å forsikre seg om at data som sendes ikke er endret på underveis • Integritet gjennom: • Enveis hash-funksjoner
Integritet • Vil si å forsikre seg om at data som sendes ikke er endret på underveis • Integritet gjennom: • Enveis hash-funksjoner • Message Authentication Codes (MAC)
Integritet • Vil si å forsikre seg om at data som sendes ikke er endret på underveis • Integritet gjennom: • Enveis hash-funksjoner • Message Authentication Codes (MAC) • Digitale Signaturer • Eks: RSA og El Gamal
Konfidensialitet • Vil si å hindre andre fra å lese eller kopiere data som sendes
Konfidensialitet • Vil si å hindre andre fra å lese eller kopiere data som sendes • Oppnås gjennom kryptering
Konfidensialitet • Vil si å hindre andre fra å lese eller kopiere data som sendes • Oppnås gjennom kryptering • Offentlig nøkkel kryptografi • Privat nøkkel kryptografi
VPN Lag 2 • Forwarding basert på innkommende link og lag 2 informasjon i ramme header • PPP, FR/ATM, ethernet • Integrert med eksisterende aksess teknologier • Data sendes kun over bestemte stier • QoS. • Ingen sikkerhet mot avlytting eller endring av data
Layer 2 Forwarding Protocol • Oppretter en sikker tunnel over et åpent nett. • Gjør det mulig å tunnelere lag 2 rammer over høyere lag
Point to Point Tunneling Protocol • Klient-server arkitektur. • Bruker trenger ikke å ha kjenskap til PPTP • Fleksibel håndtering av IP adresser • Congestion and flow control.
PPTP .
Layer 2 Tunneling Protocol • Kombinasjon av L2F og PPTP • L2F – Oppkobling og autentisering av klienter • PPTP – Innkapslingen av nettverklags protokollene. • Kombinasjon med IPsec • LAC – L2TP Access Concentrator • LNS – L2TP Network Server
Lag 2 typer • Virtuelle leide linjer (VLL) • Virtuelle private LAN segmenter (VPLS) • Virtuelle private oppringte nett (VPDN)
Lag 2 Virtuelle leide linjer • Kunden benytter point-to-point linker • ATM • Frame relay • Lag 2 rammer pakkes inn i en IP tunnel • Kunden ser lag-2 CPE utstyr • Virtuell tunnel må kanskje benytte sekvensering
Lag 2 Virtuelle private LAN segmenter • Etterligner LAN segmenter ved hjelp av Internet fasiliteter - Transparent LAN tjeneste ved CPE sammenkoblinger • Protokoll transparent
Lag 2 Virtuelle private oppringte nett • Tillater brukere å koble seg opp via en ad-hoc tunnel til et annet nett ved hjelp av • Oppringt (Dial-up, PSTN eller ISDN) • PPP (point-to-point protocol) • L2TP • Bruker autentisering • Brukeren tildeles en IP adresse fra bedriftens nett
Layer 3 Tunnelling Protocols • IP-in-IP • MPLS - Multi Protocol Label Switching • IPSec – IP Security