VIRTUÁLIS LAN ÉS VPN

Átírás

1 VIRTUÁLIS LAN ÉS VPN

2 VLAN (VIRTUAL LOCAL AREA NETWORK) A virtuális helyi hálózat lehetőséget biztosít számunkra, hogy anélkül osszuk független csoportokba a végpontokat, hogy fizikailag külön eszközökkel, külön hálózatokat építenénk. Ennek leggyakoribb megoldása, hogy VLAN-képes switchekkel osztjuk szét a kapcsolódó klienseket, így azok logikailag külön LAN-okként fogják érzékelni a helyi hálózatot, ezzel egyidőben azonban olyan workstation-ök is kapcsolódhatnak a hálózatra amelyek az egészet egy hálózatként képesek kezelni. 2

3 A VLAN ELŐNYEI: Az adminisztrációról és a közönség igényeiről egyetlen hálózat gondoskodik a fenntartás és a menedzsment kevesebb erőforrást igényel Rendkívüli költségtakarékosság a fizikai hardver telepítésében, valamint alacsony teljes működési költség a hálózat fenntartásához szükséges erőforrások csökkentésével Adatbiztonság szempontjából a legelőnyösebb megoldás, hiszen a jogosulatlan hozzáférést nem szoftveresen hanem fizikai szinten korlátozzuk EGY PÉLDA VLAN-RA Tipikus példa lehet erre egy szoftverfejlesztő cég kiépített helyi hálózata, ahol azt szeretnénk, hogy például a fejlesztők és a tesztelők két külön, saját hálózatot használjanak, viszont ne lássák a másikat. Legyen viszont további követelmény, hogy a vezetőség mindkét hálózatot használhassa. Lássunk erre egy megoldási lehetőséget. VIRTUÁLIS HELYI HÁLÓZAT KIALAKÍTÁSA VLAN-KÉPES SWITCH-EL Tegyük fel, hogy szeretnénk létrehozni egy épületen belül két osztályt, melyeket egymástól teljesen el akarunk különíteni. "VLAN1" csoport ne lássa "VLAN2" csoport hálózatát és fordítva. Szeretnénk továbbá, ha pár vezető mindkét hálózatot használhatná. Első lépésben VLAN képes switchekkel kell a hálózatunkat meghajtanunk. Az eszközökön portonként kell kiosztani, hogy ki tartozzon a VLAN1 és ki a VLAN2 csoportba. Ez a legegyszerűbb kiépítés, a VLAN-ok külön hálózatokat képeznek, azaz csak az azonos VLANban lévő gépek tudnak kommunikálni egymással. 3

4 Egy VLAN-ok kezelésére alkalmas switch több VLAN-t is kiszolgálhat, ahogy ezt az ábra is szemlélteti. Portonként beállítható, hogy az adott gép számára "VLAN1" vagy "VLAN2", esetleg mindkét hálózat legyen elérhető (ebben az esetben a számítógép IP címe dönti el, melyik hálózathoz tud kapcsolódni). ADATVÉDELEM A VLAN építés oka sok esetben az adatvédelem, az adathozzáférések korlátozása nem csak szoftveresen hanem fizikailag is. Ha biztosítani szeretnénk a VLAN-ok közötti átjárhatóságot és azt, hogy ezt csak a feljogosított személyek tehessék meg, egy routerre vagy egy Layer-3 tulajdonságokkal rendelkező központi switchre van szükség. Mi a különbség a Layer-2 és a Layer-3 switch között? A Layer-2 switch egy nagy teljesítményű switch, a Layer-2 kapcsolások végrehajtásához, áthidaló kapcsolónak is hívják. A végberendezések egyedi MAC-címei alapján továbbítja a csomagokat. A Layer-3 switch egy nagy teljesítményű router a Layer-3 útvonalválasztások végrehajtásához, beépített Layer-3 kapcsoló domain eszközönként, egyedi alhálózatok sávszélességének meghatározása, továbbá broadcast szolgáltatás. Az IP switch egy Layer-3 switch, a specifikus információ az IP- és a Routing protokollokon alapul. 4

5 A Layer-3 tulajdonságokkal rendelkező központi switch egyesíti magában egy switch és egy router képességeit így új hálózatok esetében használata mindenképpen kifizetődőbb. A Layer-3-as switcheken a portokon folyó adatforgalmat IP-cím és típus alapján szűrhetjük. Routerhez hasonlóan "hozzáférési listákat" (access-list) rendelhetünk a portokhoz - letiltva pl. az internetes adatforgalmat. A példaként szereplõ VLAN-okat kiszolgáló hálózat megvalósításához szükséges, hogy a központi eszközön Layer3 szoftver fusson, és a többi switch képes legyen a VLAN-ok kezelésére. A példában szereplő switch itt csak két külön hálózatot kezel, a gyakorlatban alkalmazott VLAN-switchek jóval több hálózat kezelésére képesek egyidőben. 5

6 VPN (VIRTUAL PRIVATE NETWORK) Napjainkban vállalatok közötti kommunikáció nagy része az Interneten továbbítódik. Sokan nem is gondolnak rá, hogy kódolatlan adatforgalom esetében fennáll a veszély, hogy illetéktelen személy felhasználja az adatokat, hiszen a hozzáférés a publikus hálózaton keresztül ellenőrizhetetlen. Természetesen eddig is számos megoldás született azok számára, akik megbízható, és illetéktelenek számára hozzáférhetetlen kapcsolatot kívántak létesíteni pl. telephelyeik között. A legelterjedtebb megoldás a bérelt vonal, mely jól használható, de az állandóan foglalt sávszélesség a legdrágább dolog a szolgáltatóknak és így nekünk is. A VPN egy olyan Virtuális Magánhálózat, amely az adatok továbbítására a jól bevált globális és nyilvános kommunikációs hálózatokat, leggyakrabban az Internetet veszi igénybe. Így egyetlen hálózatba köthetünk tetszőleges számú, egymástól tetszőleges távolságban lévő pontokat anélkül, hogy fizikai értelemben saját hálózatot kellene építenünk, vagy költséges módon közvetlen vonalakat kellene bérelnünk. 6

7 A VPN KAPCSOLAT BIZTONSÁGA A VPN három szinten védi a kommunikáció titkosságát. Biztosítja, hogy az adatokhoz a hálózat tagjain kívül senki se férhessen hozzá, senki ne tudjon hamis identitással bejelentkezni. Ennek köszönhetően a hálózat pontosan úgy működik, mint egy Internettől teljesen különálló hálózat. A VÉDELEM SZINTJEI: Az IP csatorna dedikálása és adattitkosítás: az adatkommunikáció az Interneten valósul meg, leválasztott, dedikált IP csatornákon keresztül. Ezenfelül az adatok titkosított formában utaznak a világhálón, megakadályozva a jogosulatlan hozzáférést és dekódolást. Az adatcsomag autentikáció: az autentikációs eljárás során minden adatcsomag ún. fejlécet kap, amely garantálja a csomag épségét és integritását. Felhasználó szintű azonosítás: a vállalati erőforrásokhoz csak azon személyek férhetnek hozzá, akiknek erre jogosultságuk van. 7

8 VPN PROTOKOLLOK A nyilvános hálózaton keresztüli biztonságos kommunikáció érdekében a hálózati forgalmat természetesen titkosítani kell. A forgalom titkosítására többféle megoldás, protokoll létezik. A Windows 2000 ügyfelek és kiszolgálók a következő két protokoll használatát támogatják: Point-to-Point Tunneling Protocol (PPTP): Az RFC 2637-ben definiált alagútprotokoll, amely MPPE (Microsoft Point-to-Point Encryption) titkosítással működik. A PPTP protokollt a korábbi Windows ügyfelek (Windows 9x-től napjainkig) is támogatják Layer 2 Tunneling Protocol (L2TP): Az L2TP protokoll specifikációját az RFC 2661-ben találjuk. Maga az L2TP protokoll saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az L2TP over IPSec, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. Az L2TP használatát a Windows 2000 és Windows XP kiszolgálók illetve ügyfelek támogatják. VPN TÍPUSOK A virtuális magánhálózatokat több szempont szerint is csoportosíthatjuk, most nézzük meg a két leggyakoribb csoportosítást. 1, A kapcsolat típusa szerint: Hálózatok összekötése (LAN interconnect VPN service) Betárcsázásos kapcsolat (Dial-up VPN service) Társintézményeket is magában foglaló kapcsolat (Extranet VPN service) 8

9 2, A kommunikáló felek szerint: Kliens-szerver kapcsolat Egyszerű internetes kliens-szerver kapcsolat. A felhasználók akár otthonról a VPN kiszolgálón keresztül csatlakozhatnak a belső hálózatra. Szerver-szerver kapcsolat Két alhálózat összekapcsolása. A fiókiroda átjárója igény szerint automatikusan felépíti a VPN kapcsolatot, és elérhetővé teszi a vállalati hálózatot. 9

10 A VPN KAPCSOLAT ELEMEI VPN szerver: számítógép mely elfogadja a VPN kapcsolódási kérést a klienstől. Majd biztosít egy távoli hozzáférést, vagy router-to-router kapcsolatot. VPN kliens: számítógép mely kezdeményezi a kapcsolatot. VPN kliens lehet egy egyedi számítógép mely egy távoli hozzáférési (remote access) VPN kapcsolatot kezdeményez, illete egy router, ez esetben router-to-router VPN kapcsolatról beszélünk. Csatorna: A bújtatott (újracsomagolt, tömörített és titkosított) csomagokat a rendszer az alagút belsejében továbbítja a hálózaton keresztül. Tunneling protokoll: kommunikációs protokoll mely biztosítja a csomagok beágyazását, az útvonalválasztást és a beágyazás megszüntetését a célállomáson. Az új csomag eltérő címzési és útválasztási információt tartalmazhat, amely lehetővé teszi, hogy átjusson egy hálózaton. A bújtatás és a titkosság együttes használatakor az eredeti csomag adatai (például az eredeti forrás- és célcím) nem láthatók a hálózati forgalmat figyelők számára. Amikor a beágyazott csomag elérte a célját, a beágyazás megszűnik, és a csomag az eredeti fejléccel teszi meg a végcélhoz vezető útvonalat. Átvivő hálózat: osztott vagy nyilvános hálózat mely a titkosított adatcsomagokat továbbítja (leggyakrabban Internet) 10

11 KONKRÉT VPN TERMÉKEK Az alábbiakban néhány népszerű VPN termékről olvashatunk, két neves gyártótól: a Cisco és a 3Com termékei közül. Cisco routerek Megfelelõ szoftver verziót futtató cisco routerek, képesek VPN csatornák kezelésére. Általában szoftveres úton oldják meg a csatornák kialakítását és a titkosítást. Egyes modelleknél lehetõség van VPN modul alkalmazására. Ebben az esetben a VPN kapcsolathoz tartozó titkosítási, tömörítési es egyéb funkciókat ez a modul végzi, tehermentesítve ezze a router központi processzorát. A routeres VPN kapcsolat kialakításának elõnye, hogy a már meglévõ internet kapcsolatot biztosító router szoftver frissítésével megoldható a VPN támogatása, nem kell új eszközt vásárolni a feladatra. Cisco tûzfalak Ezek az eszközök a hálózat védelmi feladatokon felül, a routerekhez hasonlóan alkalmasak VPN csatornák teljes körû kezelésére. (Csatorna áteresztés, kezdeményezés és végzõdtetés.) Az eszközcsalád legnagyobb tagjai egyidõben akár egy-két ezer VPN csatorna kezelésére is alkalmasak. 11

12 Cisco VPN koncentrátorok A legnagyobb teljesítményû Cisco VPN eszközök, hardveres úton kezelik a titkosított csatornákat. Fõleg közepes és nagyméretû vállalatok központi VPN szervereként javasolt alkalmazni. Alkalmasak akár tízezer egyidejû csatorna kezelésére. Ezek a csatornák lehetnek vegyesen telephelyek összekötésére szolgáló csatornák, valamint távoli kliensek VPN összeköttetései. 3Com OfficeConnect DSL Secure Gateway A 3Com cég elsõsorban a kisvállalatok számára készült terméke. Az Internethez ADSL vonalon keresztül csatlakozik, szoftveresen támogatja a VPN csatornák kezelését. Egy idõben maximum 30 VPN csatornát támogat. Teljesítménye nem éri el a Cisco eszközökét, viszont az ára sem. 12

13 Forrás: 8YJksMbdl5zQsFinszy9E