Nagybiztonságú, több telephelyes kommunikációs hálózatok



Hasonló dokumentumok
Egy országos IP hálózat telepítésének tapasztalatai Szolgáltató születik

A MAVIR vezénylőtermének hardver eszközei és informatikai költöztetése. Sztráda Gyula MAVIR ZRt. FIO

Lajber Zoltán. Bevezetés. Informatikai Hivatal. Tervezési szempontok: teljesítmény, karbantarthatóság, biztonság.

Lajber Zoltán. Bevezetés

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Radware terhelés-megosztási megoldások a gyakorlatban

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Virtuális magánhálózat Virtual Private Network (VPN)

Everything Over Ethernet

Jogában áll belépni?!

CRA - Cisco Remote Access

IP alapú távközlési hálózatok

VIRTUÁLIS LAN ÉS VPN

A T-Online Adatpark és Dataplex hálózati megoldásai

KÖZPONTI OKOSHÁLÓZATI MINTAPROJEKT

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Windows hálózati adminisztráció

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

Hálózati alapismeretek

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

Hálózati szolgáltatások OpenStack környezetben

Huawei Cisco Interworking Szolgáltatói környezetben

A HBONE évi fejlesztési eredményei

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

A HBONE+ projekt kapcsán megjelent új hálózati lehetıségek

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

A Magyar Telekom Nyrt. Általános szerződési feltételei IP Complex Plusz szolgáltatásra...1

Száguldó versenyautók // Száguldó Gigabitek. Telekommunikációs és információtechnológia Hungaroring + Invitel

Újdonságok Nexus Platformon

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Információs szupersztráda Informatika. Információrobbanás. Információpolitika. Hálózatok ICT (IKT) Kibertér. Információs- és tudás társadalom

Allied Telesis. Szakmai nap 2017 Pásztor András

Antenna Hungária Jövőbe mutató WiFi megoldások

A HBONE+ projekt kapcsán megjelent új hálózati lehetőségek

Testnevelési Egyetem VPN beállítása és használata

III. előadás. Kovács Róbert

Fábián Zoltán Hálózatok elmélet

A HBONE évi fejlesztési eredményei

HÁLÓZATOK I. Készítette: Segédlet a gyakorlati órákhoz. Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév 1.

HBONE aktualitások december

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció


A HBONE évi fejlesztési eredményei

Hálózati ismeretek. Az együttműködés szükségessége:

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Tájékoztató. Használható segédeszköz: -

KÖZB ESZERZÉSEK TANÁCSA. A Közbeszerzési Döntőbizottság (a továbbiakban: Döntőbizottság) a Közbeszerzések Tanácsa nevében meghozta az alábbi

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

T.E.L.L. GPRS Távfelügyeleti Rendszer

Advanced PT activity: Fejlesztési feladatok

Új generációs GSM-R vasútüzemi kommunikáció

Egységes Kommunikáció több telephelyes cégek számára (max. 100 user)

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

ÚTMUTATÓ AZ ÜZLETI INTERNETKAPCSOLATRÓL

HBONE aktualitások február

Számítógép hálózatok

Hálózati alapismeretek

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

címsor Központi erőforrások és szolgáltatások fejlesztése Kecskeméti Főiskolán EU-s forrásokból

HÁLÓZATOK I. Segédlet a gyakorlati órákhoz. Készítette: Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév 1.

BIX Viszonteladói Program (BIXViP)

A SCI-Network és az önkormányzati infokommunikáció

Gyakorlati vizsgatevékenység


Dunaújvárosi Főiskolán

Az IBM megközelítése a végpont védelemhez

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Szolgáltatás leírás, szolgáltatási színvonal

Informatikai Stratégia június

Hálózati lehetőségek a tartalomszolgáltatáshoz


A NETVISOR SZAKÉRTELME ADATKÖZPONTOK KIALAKÍTÁSÁHOZ

(Ethernet) Készítette: Schubert Tamás. LAN kapcsolás /1

Tájékoztató. Értékelés. 100% = 100 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 40%.

8. sz. melléklete Eredetileg a GTS Hungary Kft. által nyújtott szolgáltatásokra vonatkozó feltételek

Symantec Firewall/VPN Appliance

Hálózati hibakezelés menete az NIIF Intézetnél XI.06. XIII. HBONE Workshop Balatongyörök. Mácsai Gábor Szabó Ferenc

Virtual Private Networks Virtuális magánhálózatok

A HBONE évi fejlesztési eredményei

.. számú Egyedi előfizetői szerződés.számú módosítása IP Complex Plusz szolgáltatás IPsound+ opció igénybevételére

A HBONE aktualitások december 6.

Virtuális magánházlózatok / VPN

NIIF program és HBONE+ projekt mit nyújthat a kutatói és felsőoktatási hálózat

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

NIIF IPv6 szolgáltatás: Mikor?

Magyar Telekom Vezetékes nagykereskedelemi értékesítés ügyfélkapcsolati pontjai. Postacím Telefon Fax Magyar Telekom Nyrt.

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

NIIF Sulinet szolgáltatásai

Üdvözlöm Önöket a Konferencián!

Heterogén MPLS hálózat QoS alkalmazásával

Internet használata (internetworking) Készítette: Schubert Tamás

Átírás:

Nagybiztonságú, több telephelyes kommunikációs hálózatok Előadás Marosi János, Marton András, dr. Váradi János OMIKRON Informatika Kft. MEE VÁNDORGYŰLÉS Energetikai informatikai biztonság szekció 2009. szeptember 10.

Hálózatbiztonság a villamosenergia-ipari rendszerirányításban a technológia-közeli rendszerek kommunikációs megoldásai változnak a soros vonali kommunikációt ki fogja váltani az IP alapú hálózati kommunikáció A MAVIR helyi és országos hálózatát komplex informatikai rendszerként kell tekinteni Kihívás: új székház új hálózati struktúra és technológiák komplex hálózati technológiák bevezetése egységes hálózatbiztonsági technológiák telepítése 2

Az informatikai biztonság információvédelem információk sértetlenségét, hitelességét és bizalmasságát hivatott megőrizni megbízható működés az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani 3

A hálózati és kommunikációs rendszerek biztonsága a hálózaton keresztül elérhető adatatok és szolgáltatások mindig elérhetők legyenek eszközök: útvonalak, hálózati eszközök, szolgáltatások, adatok redundanciája az adatokat és szolgáltatásokat a jogosultak érhessék el eszközök: autentikációs rendszerek, adatvédelem a hálózaton keresztül elérhető rendszereket és adatokat védeni kell eszközök: behatolás-védelem, vírusvédelem, önvédő hálózat 4

Az országos Intranet rendszer és alrendszerei TELEFON IRODANET DEDIKÁLT ÜGYFELEK EXTRANET EMS/SCADA KDSZ-ek IR.TECHNIKA ORSZÁGOS HÁLÓZAT TELPAM VÉDELEM VAGYONVÉDELEM EMR TRAF.MON. 5

Hálózattervezési szempontok az elsődleges rendszerirányító központ minden stratégiai szolgáltatása biztosítható legyen a háttérközpontból is kiesés nélkül az elsődleges központban minden stratégiai alkalmazás redundáns legyen egységes országos intranet hálózat biztosítása a telephelyek közötti kommunikáció számára a telephelyek közötti kapcsolatok redundáns útvonalakon és eszközökön biztosítandók minden hálózati hozzáférés ellenőrzött és engedélyezett legyen stratégiai hálózatrészek elválasztása hálózatbiztonsági eszközökkel 6

Integráció: Hálózati integráció, izoláció, virtualizáció szigetszerű hálózatok integrálása egységes hálózatba Virtualizáció: virtuálisan izolált hálózatok kialakítása az egységes országos hálózaton Izoláció: a virtuális hálózatoknak a fizikai szétválasztáshoz hasonló védettséget kell biztosítani Az alhálózatok fizikai szétválasztása nem biztonság! 7

Integrált és biztonságos struktúra RENDSZER- IRÁNYÍTÁS ROUTER MANAGEMENT LAN Munkaállomás LAN 1 Munkaállomás LAN 2 Munkaállomás LAN n VIR ügyviteli alhálózat Ügyvitel központi router SPAN port Cisco IPS 4260 sensor ADATTÁRHÁZ Közös szolgáltatások KÖZPONTI IPS SPAN port ügyviteli központi IPS Ügyviteli hálózat Technológia központi router MPLS központi router SPAN port Rendszerek közötti kapcsolatok KÜLSŐ PARTNER DMZ TŰZFAL NEMZETKÖZI KAPCSOLATOK TECHNOLÓGIA KÜLSŐ KAPCSOLATOK KÖZPONTI TŰZFAL Technológia terhelés elosztó Technológia DMZ EH DMZ TŰZFAL EH KÖZPONTI IPS MPLS / VPN HÁLÓZAT OMSZ TŰZFAL Behívás DMZ központi router Ügyvitel terhelés elosztó INTERNET ROUTER 1 Ügyvitel DMZ EH router 1 SZOLGÁLTATÓ 1 ALÁLLOMÁS Internet Internet tűzfal Cisco 3845 Telephely 1 Telephely 2 Telephely n INTERNET ROUTER 2 SZOLGÁLTATÓ 2 DMZ Zágráb Belgrád Zsolna ÁRAMSZOLGÁLTATÓK Technológia PÉLDA: INTEGRÁCIÓ, VIRTUALIZÁCIÓ, IZOLÁCIÓ 8

Redundáns hálózati struktúra PÉLDA: BIZTONSÁGOS LAN STRUKTÚRA 240 port N+3. szint B gépterem 7. rendező sor 40 port Ügyvitel A LAN MPLS Intranet SERVER Technológia LAN DMZ Internet L3 Irodai munkaállomások 240 port N+2. szint 40 port Ügyvitel B LAN SERVER L3 8. rendező sor 40 port 40 port Ügyvitel A LAN Ügyvitel B LAN SERVER SERVER CORE ROUTER B L3 240 port N+1. szint N. szint A gépterem 240 port 5. rendező sor 40 port Ügyvitel A LAN SERVER L3 40 port Ügyvitel B LAN SERVER 240 port N-1. szint 6. rendező sor 40 port 40 port Ügyvitel A LAN Ügyvitel B LAN SERVER SERVER MPLS Intranet CORE ROUTER A Technológia LAN DMZ Internet L3 Jelmagyarázat: 10 Gigabit Ethernet (optika) 10/100/1000 Mbps Ethernet (réz) L3 switch 9

Szerverek elérésének redundanciája PÉLDA: SZERVEREK REDUNDÁNS HÁLÓZATI ELÉRÉSE n C B A Szinti rendezők Irodai munkaállomások 2. emelet 7. rendező sor Egyszeres bekötés A LAN VLAN x Layer 2 VRF 2 VLAN 2c VLAN y Többszörös bekötés Rendszer X SERVER T T Layer 3 VLAN 2a B gépterem Rendszer Y A B Szerver VLAN-ok VLAN y B LAN SERVER T T T CORE ROUTER B R EIGRP routing R VRF 1 VLAN 2b 1. emelet Rapid pervlan Spanning Tree Protocol + RPVSTP+ HSRP T T + R R VRF 2 VLAN 1c VLAN 1a T n 7. rendező sor C B A A LAN T R VRF 1 VLAN 1b VLAN x T A B Rendszer Y Rendszer X Szerver VLAN-ok VLAN y SERVER VLAN y B LAN SERVER T T CORE ROUTER A Jelmagyarázat: A gépterem 10/100/1000 Mbps Ethernet (réz) L3 switch T R 802.1Q VLAN trunk Routolt kapcsolat 10

Hálózatbiztonsági megoldások telephely Telephely LAN -1 Telephely LAN -2 Telephely LAN -N háttér központ Szerver-3 Rendszeren belüli kapcsolat VRF-1 VRF-2 VRF-N PE (MPLS) végpont MPLS PE (MPLS) végpont Mgmt VRF Access szerver Mgmt LAN Log szerver Extranet VRF Extranet router IPS modullal Ethernet portokkal Minden irányban NAT Extranet VRF Cisco MARS Külső tűzfal Belső tűzfal Access router Partner-1 Partner-2 Partner-N Rendszerek közötti kapcsolat központ PE (MPLS) végpont Internet VRF Szerver-1 DMZ TŰZFAL alkalmazottak Hálózat felügyelet Extranet partnerek Extranet VRF VRF-1 VRF-2 VRF-N Mgmt VRF Access szerver Log szerver KÜLSŐ TŰZFAL Rendszer-1 Rendszer-2 Rendszer-N Szerver-2 Mgmt LAN Cisco MARS DMZ Cisco 3845 Publikus szolgáltatás ok KÜLSŐ TŰZFAL Pantel VPN alkalmazottak Hálózat felügyelet Extranet partnerek Publikus szolgáltatások Access router 8BELSŐ TŰZFAL Access szerver Log szerver Cisco 2850XM Datanet Internet VPN Behívás 11

Önvédő hálózati stratégia Az önvédő hálózat képes azonosítani a veszélyeket és megakadályozni a külső és belső támadásokat. Jellemzői: Integráció: Minden hálózati elem nemcsak külön-külön valósítják meg a biztonságot, hanem együttműködve is egy integrált rendszerben. Együttműködés: Különböző eszközök képesek együttműködni a védelem és biztonság minél hatékonyabb megvalósítása érdekében. Alkalmazkodás: A cég biztonsági szabályzata alapján beállított eszközök és alkalmazások képesek automatikusan beavatkozni egy új támadás vagy vészhelyzet kialakulásakor. 12

Az önvédő hálózat eszközei Végponti berendezések védelme ellenőrzött belépési eljárás (NAC) munkaállomások és szerverek agent alapú központi szabályrendszerre épülő védelme (Security Agent) IPSec és SSL VPN megoldások Hálózati védelem adaptív hálózati tűzfalak betörésvédelmi eszközök (IPS) hálózati beléptető rendszer (Network Admission Control) az access switchek biztonsági szolgáltatásai (TrustSec) biztonsági protokollok, IPSec és SSL VPN megoldások Router Security Biztonsági eszközök menedzsmentje tűzfalak, IPS-ek központi menedzselése (Security Manager) magas szintű log elemző, és incidenskezelő rendszer (MARS) hozzáférés és jogosítvány kezelő szerver (Secure ACS) 13

Biztonságos belépés a hálózatba Felhasználó Hitelesítő szerver CS ACS szoftver Hitelesítő eszköz RSA Authentication Manager Hitelesítési kérelem Hitelesítési kérelemre válasz Hitelesítési kérelem RSA token kártya vagy biometrikus eszközzel Hitelesítési kérelemre válasz RSA token kártya vagy biometrikus eszközzel 14

MPLS virtuális magánhálózati technológia Az MPLS technológián kialakított magánhálózat biztonságot nyújt a legkritikusabb technológiai rendszereknek is. biztonságos virtualizáció a vállalati magánhálózat számára L2, L3 szintű izoláció az egyes rendszerek között minden hálózati protokoll használhatja a pont-pont kapcsolatok kialakításához tetszőleges távközlési (L1, L2) technológia felhasználható (X.21, G.703. ISDN). egymást átfedő IP tartományok is használhatók összetett, bonyolult topológiák is kialakíthatók a redundáns útvonalak terhelésmegosztással használhatók rendkívül gyors konvergencia nagy sebességű csomagkapcsolt működés a gerinchálózaton magas szintű QoS megoldások, priorizálás Extranet szolgáltatás is integrálható 15

MPLS/VPN alapú gerinchálózat központ 2 M bérelt vonalak RAS Szerverek, telephelyi LAN-ok RAS 2 M bérelt vonalak ISDN/anal óg BGP RR 96 x 10/100/1000BaseT 2 x TenGb 96 x 10/100/1000BaseT 2 x TenGb BGP RR ISDN/analóg MPLS P, PE 1 Cisco 65xx VSS stack 10 Gbps MPLS P, PE 2 MPLS optikai gerinc 1 Gbps 1 Gbps ERŐMŰ 1 MPLS optikai gerinc 10 Gbps 10 Gbps MPLS optikai gerinc 1 Gbps 1 Gbps ALÁLLOMÁS 1 Tartalék központ BGP RR RAS 2 M bérelt vonalak MPLS P, PE 3 ISDN/analóg MPLS optikai gerinc MPLS optikai gerinc ERŐMŰ 1 1 Gbps 1 Gbps 96 x 10/100/1000BaseT 2 x TenGb ALÁLLOMÁS 1 MPLS optikai gyűrű GigabitEthernet MPLS TenGigabitEthernet Helyi TenGigabitEthernet Backup bérelt vonalak Szerverek, telephelyi LAN-ok Backup bérelt vonalak n x 10 Mbps EoSDH 16

Összefoglalás Nagy kiterjedésű hálózatok biztonsága biztonságos, gyors, protokoll-független magánhálózati technológia redundáns topológia, redundáns eszközök, redundáns adatok felhasználó azonosítás, hozzáférés szabályozás, jogosultság-kezelés biztonsági rendszerek központi menedzsmentje önvédő, adaptív hálózatbiztonsági technológiák vállalati biztonságpolitika Köszönjük a figyelmet! 17

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés