Virtuális magánházlózatok / VPN

Hasonló dokumentumok
Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

Virtuális magánhálózat Virtual Private Network (VPN)

VIRTUÁLIS LAN ÉS VPN

Fábián Zoltán Hálózatok elmélet

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1


Testnevelési Egyetem VPN beállítása és használata

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

IP biztonság 2. rész

IBM i. Szerviz és támogatás 7.1

Biztonság a glite-ban

8. A WAN teszthálózatának elkészítése

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

IP Telefónia és Biztonság

Virtual Private Networks Virtuális magánhálózatok

Fábián Zoltán Hálózatok elmélet

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Virtual Private Network (VPN)

Eduroam Az NIIF tervei

Részletes tantárgyprogram és követelményrendszer

Távközlési informatika II.

13. gyakorlat Deák Kristóf

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Az intézményi hálózathoz való hozzáférés szabályozása

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Gyors Telepítési Útmutató N típusú, Vezeték Nélküli, ADSL2+ Modem DL-4305, DL-4305D

API tervezése mobil környezetbe. gyakorlat

Hálózati biztonság ( ) Kriptográfia ( )

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

S, mint secure. Nagy Attila Gábor Wildom Kft.

Virtuális Magánhálózatok (VPN)

Tájékoztató. Használható segédeszköz: -

Adatbázisok biztonsága. Biztonságtervezési stratégiák Biztonságos kommunikáció. Statisztikai adatok védelme

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

Forgalmi grafikák és statisztika MRTG-vel

Wireless LAN a Műegyetemen. Jákó András jako.andras@eik.bme.hu BME EISzK

Tarantella Secure Global Desktop Enterprise Edition

Internet Protokoll 6-os verzió. Varga Tamás

Számítógépes munkakörnyezet II. Szoftver

Hálózati ismeretek. Az együttműködés szükségessége:

INFORMATIKAI PROJEKTELLENŐR 30 MB DOMBORA SÁNDOR ADATBÁZISOK ÉS STATISZTIKAI ADATOK VÉDELME MMK- Informatikai projektellenőr képzés

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

Vezetéknélküli technológia

III. előadás. Kovács Róbert

BorderManager Enterprise Edition

Új IP fejléc Eredeti IP fejléc IP Payload

Biztonságtechnika alapelemei Adatbiztonság az adatforrások védelméről gondoskodik Hálózatbiztonság az adatok kódolásáról és biztonságos továbbításáról

Számítógépes Hálózatok GY 8.hét

Riverbed Sávszélesség optimalizálás

VPN. VPN Szolgáltatások. Moldován István. Department of Telecommunications and Media Informatics. Budapest University of Technology and Economics

IP multicast routing napjainkban. Jákó András BME EISzK

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Titkosítás NetWare környezetben

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

applikációs protokollok

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Hálózatok építése, konfigurálása és működtetése EAP - RADIUS

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

VMware vsphere. Virtuális Hálózatok Biztonsága. Andrews IT Engineering Kft.

Számítógépes Hálózatok 2011

A Magyar Telekom Nyrt. Általános szerződési feltételei IP Complex Plusz szolgáltatásra...1

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

Újdonságok Nexus Platformon

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

WLAN router telepítési segédlete

WLAN router telepítési segédlete

Alkalmazás rétegbeli protokollok:

Hotspot WLAN hálózatokon belüli hangátvitel

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

A WiFi hálózatok technikai háttere

Jogában áll belépni?!

Tartalom. Történeti áttekintés. Történeti áttekintés Architektúra DCOM vs CORBA. Szoftvertechnológia

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT november 5. HSNLab SINCE 1992

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Számítógép hálózatok

ICE, STUN, TURN. Mészáros Mihály. A jég(ice), a kanyar (TURN), a bódulat (STUN) és a kijózanító tűzfal (Firewall) NIIF Intézet NETWORKSHOP 2016

WLAN router telepítési segédlete

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

Hotspot környezetek gyakorlata

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Átírás:

Virtuális magánházlózatok / VPN

Hálózatok összekapcsolása - tunneling Virtuális magánhálózatok / Virtual Private Network (VPN) Iroda Nem tekintjük biztonságosnak WAN Internet Gyár Távmunkások 2

Virtuális magánhálózatok Telephelyek összekapcsolása WAN (Wide Area Network) Lehet elkülönítve az Internet forgalomtól Kapcsolatminőségi védelem De ettől még védeni kell a forgalmat Nagyvállalati környezetben: WAN Edge Távmunkások bekapcsolása Interneten keresztül lehetséges Nagyvállalati környezetben: Internet Edge 3

Magánhálózat kialakítás Hálózat fizikai elkülönítése Elkülönítésre alkalmas hálózati technológia alkalmazása Bérelt vonal Optikai kábel esetén különböző hullámhossz Adatcsomagok elkülönített irányítása IP hálózatokban, adott szolgáltatón belül Multiprotocol Label Switching MPLS A forgalom meg van címkézve, amint beér a hálózatba A címkék rögzített útvonalon közlekednek Opcionálisan erőforrás-foglalás is (Minőségi garancia) Elkülönítés titkosítással IP szintű titkosítás Adatkapcsolat szintű alagutak Virtuális! Gyakorlatban a legnagyobb biztonság 4

Elkülönítés titkosítással A magánhálózat adata a többi forgalommal együtt halad A titkosítás biztosítja, hogy illetéktelen személy nem férhet hozzá Nem tudhatja meg tartalmát Nem módosíthatja Nem hozhat létre új (valós) csomagokat De törölheti (rombolás) Nincsen prioritásos kezelés, nincs minőségi garancia Best effort Internet Más protokollokkal kiegészíthető Független a hordozó hálózat biztonságától 5

VPN típusok Kliens által indított VPN A VPN kliens a felhasználó gépén L2 tunneling, a felhasználó vállalati IP címet kap A VPN felállításáról a felhasználó dönt 6

VPN típusok NAS által kezdeményezett VPN A NAS a felhasználó számára indít VPN kapcsolatot A hozzáférési rész nem védett! A VPN felállításáról a NAS dönt 7

VPN típusok Intranet / Extranet VPN A VPN egy tunnlet állít fel a két helyszín között A két helyszín egy hálózatba kerül (L2 vagy L3 kapcsolat) 8

Tunneling protokollok - PPTP PPTP Point to Point Tunneling Protocol (RFC2637) Új megoldás Régi megoldás 9

PPTP - Point to Point Tunneling Protocol PPTP PPP: Point to Point Protocol Hitelesítés (PAP, CHAP, MSCHAP, EAP), titkosítás és tömörítés GRE: Generic Routing Encapsulation Multiprotokoll beágyazás. Bármi (L2 és L3) átvihető, az alkalmazás számára teljesen transzparens PPTP Control A PPTP tunnel felállítására szolgál TCP felett. Nincs védelem a protokoll számára. A korai időszakban a legelterjedtebb VPN protokoll a kliens csatlakozására 10

GRE Generic Routing Protocol GRE Tetszőleges protokoll beágyazása Megszűnteti a valami in valami protokollok burjánzását Sorszámok Kis overhead Multicast támogatás Nincs titkosítás NAT-on átjutáshoz segítség kell 11

L2TP - Layer 2 Tunnelling Protocol L2TP - Layer 2 Tunnelling Protocol (RFC2661) End-to-end megoldás Vállalati LNS megoldás 12

L2TP - Layer 2 Tunnelling Protocol L2TP A. Controll protkoll tunnelek felállítására és bontására Megbízható transzport protokoll szükséges hozzá B. Adat beágyazás a tunnelekben Nem szükséges megbízható transzport protokoll 13

L2TP - Layer 2 Tunnelling Protocol L2TP tulajdonságok L2TP bármi felett (nem csak IP) LNS és végpont végpont összeköttetés is Tetszőleges számú összeköttetés két végpont között Egyetlen csomag formátum mind a kontroll, mind az adat számra Felhasználó és tunnel azonosítás is A tunnel az L2TP-vel, a felhasználó a PPP-vel hitelesít Tűzfalon átjutáshoz IP/UDP használat De NINCS teljes titkosítás!!! A PPP titkosít, de csak a payload részt, mást nem Ezért szükséges, hogy más protokoll biztosítsa a védelmet (IPSec) 14

IPSec 15

IPSec IP Security IPSec (RFC2401) Szabványos protokoll az Internetes adatforgalom biztonságára IPSec tulajdonságai Hozzáférés védelem Mások nem láthatják az adatforgalmat Integritásvédelem Az adatforgalmat nem lehet megváltoztatni Hitelesítés Bizonyosság, hogy valóban a küldő fél küldte az adatokat A kapcsolatban lévő felek ismerik egymást Védelem a visszajátszások ellen Az adatforgalmat nem lehet ugyanazokkal az IP csomagokkal megismételni később 16

Security Association SA Security Association Logikai kapcsolat két kommunikáló pont között Leírja a kapcsolat biztonsági szolgáltatásait Üzemmód Algoritmusok Kulcsok Egy SA: egyetlen kapcsolat Duplex esetben két SA szükséges Kombinált üzemmódok esetén szintén több SA 17

SAD SA adatbázis Az aktív SA-k tárolása Külső IP cím, protokoll, Paraméter index (SPI) Paraméterek Hitelesítési algoritmus és kulcs, Titkosító algoritmus és kulcs, élettartam, protokoll üzemmód, visszajátszás elleni sorszámok, biztonsági házirend hivatkozás 18

SPD Biztonsági házirend adatbázis Minden egyes csomagra megvizsgálj a házirendet (szabályok) Csomag és házirend azonosítása Cél IP cím, forrás IP cím, név (falhasználó vagy rendszernév), transzport protokoll, forrás és cél portok. Házirend Csomag eldobás, átengedés, IPSec alkalmazás IPSec esetén Biztonsági protokoll és üzemmód Engedélyezett műveletek (visszajátszás ellen, hitelesítés, titkosítás) Algoritmusok Hivatkozás az SAD-re 19

IPSec protokollok Hitelesítés Authentication Header (AH) Az adat (IP fejléc és magasabb rétegek) eredetének hitelesítése Hash függvény segítségével a továbbítás közben nem változó mezők tartalma Integritás védelem Védelem a visszajátszás ellen Nincs titkosítás Titkosítás Encapsulating Security Payload (ESP) Az adatok titkossága Plusz hitelesítés és integritásvédelem De csak ESP adatok + tartalom, IP fejléc nem hitelesített Visszajátszás elleni védelem IP fejléc IP opciók Titkosítás és hitelesítés AH + ESP Titkosított tartalom és a hitelesítés kiterjed az IP fejlécekre is AH ESP fejléc Felsőbb szintű ESP protokoll kitöltés titkosított ESP hitelesített AH hitelesített ESP hitelesítés 20

IPSec AH Authentication Header IPSec AH Hitelesítésre használják Adat (payload) integritás védelme Sorrend védelme Visszajátszás elleni védelem Nem visszavonható Végpont hitelesítése Külső IP fejlécmezők védelme Csak azok, amelyek nem változnak az átvitel során Zöld: védett Piros: nem védett, mert változik 21

IPSec AH Authentication Header AH fejléc Security Parameter Index Kapcsolat paramétereinek azonosítása Sequence Number Filed Sorszám a védelemhez (sorrend, visszajátszás ellen) 22

IPSec ESP Encapsulating Security Payload IPSec ESP Titkosításra használják Adat integritásának ellenőrzése Visszajátszás elleni védelem NINCS külső IP fejléc hitelesítés Végpont hitelesítése (opcionális) Amennyiben AH-val együtt van, felesleges 23

AH + ESP módok Szerepek elkülönítése AH: hitelesítés ESP: titkosítás Vannak esetek, amikor a hitelesítés elégséges és a titkosítás vagy túl költséges vagy szabályokba ütközik Az ESP is csinál hitelesítés, de vannak különbségek AH: külső mezők hitelesítése is ESP: csak a payload hitelesítése Az AH és ESP tetszőlegesen kombinálható 24

IPSec üzemmódok Szállítási (Transport) üzemmód Védelem az IP réteg feletti protokolloknak IPSec host Alagút (Tunnel) üzemmód Az egész IP csomag védelme IPSec gateway Külső és belső tunnel, általában nem praktikus 25

IPSec Transport és Tunnel AH Transport mód AH Tunnel mód 26

IPSec Transport és Tunnel ESP Transport mód ESP Tunnel mód 27

IPSec Transport és Tunnel AH+ESP Transport AH+ESP Tunnel 28

AH és ESP összehasonlítása 29

IPSec építési szabályok Ha az egyik végpont GW, akkor a tunnel mód előnyösebb Ha mindkét pont végpont, a transzport mód előnyösebb Ha szükséges a teljes védelem, akkor tunnel mód. Ez még az eredeti fejlécet is rejti, védi Ha AH és ESP kombináció van, akkor a külső az AH a belső az ESP protokoll (integritás hiba esetén nem kell ESP-t dekódolni) AH és ESP kombináció esetén mindkét protokoll ugyanabban az üzemmódban (vagy transport vagy tunnel) 30

VPN kombinációk 1. IPSec over L2TP 31

IPSec over L2TP Az IPSec biztosítja a titkosított átvitelt Az L2TP átviszi az IPSec-et a NAT-on Nincs felhasználó azonosítás, de van végpont hitelesítés 32

VPN kombinációk 2. L2TP over IPSec De kliens és LAC lehet egyeben is 33

L2TP over IPSec IPSec (L3) felett van az L2TP (L2) protokoll Először az IPSec épül ki, amely biztonságos átvitelt nyújt. Ez után kerül sor az L2TP kiépítésére NAT átjutáshoz egyéb protokollok szükségesek Végpont és felhasználó hitelesítés 34

VPN kombinációk 3. Multiprotocol over IPSec using GRE 35

VPN kombinációk 4. IPSec over UDP (NAT-T) 36

IPSec over UDP NAT átjáráshoz szükséges Az IPSec AH nem jut át a NAT-on, mert ott a portszámok (és esetleg cím is) megváltoznak Az IPSec ESP átjutna a NAT-on, de ez viszont nem TCP/UDP, így nem tud a NAT mit kezdeni vele Megoldás, hogy UDP-be csomagolják az IPSec-et Ugyanazt a portot használja, mint a kulcs egyeztetés (IKE), így csak egyetlen port szükséges 37

IPSec és kulcsok Az IPSec protokollok működéséhez szükséges a megfelelő kulcsok ismerete a végpontokon Manuális kulcselosztás Félrekonfigurálási hibák, tipikusan gyenge kulcsok, nem jól skálázható Automatikus kulcsmenedzsment Erős kulcsok, dinamikusan új kulcsok, nincs emberi hiba, skálázható Internet Key Exchange (IKE) Működés Titkos csatorna kialakítása Végpontok hitelesítése Jelszó, aláírás (RSA, DSA), tanúsítvány Paraméteregyeztetés Kulcscsere Diffie-Hellman kulcscsere Kerberos (Windows) 38

ISAKMP Oakley SKEME - IKE ISAKMP - Internet Security Association and Key Management Protocol Általános keret kulcscseréhez Nem definiálja, hogy mely protokollt kell használni Oakley Kulcs generálás Felhasználó védelme Hitelesítés SKEME Secure Key Exchange Mechanism Anonimitás Visszavonhatatlan Gyors kulcsfrissítés IKE Internet Key Exchange (IPSec) ISAKMP + Oakley + SKEME Periódikus kulcscsere IPSec protokoll egyeztetésre is (AH vagy ESP) 39

SSL VPN 40

SSL VPN alapok A böngésző, mint univerzális kliens HTML alapú alkalmazások (Application delivery platform) Böngésző bővítmények használata (Java, ActiveX, ) A HTTPS a biztonság alapja IPSec cel azonos biztonsági szint (hasonló mechanizmusok, algoritmusok) De ezt biztonságosabbnak tartják Mindig működik! NAT, proxy problémák kikerülése 41

SSL VPN architektúra Böngészőn keresztül azonosítás, végpont védelem HTTPS (TLS) használata a biztonságos kommunikációhoz L7 VPN Kliens nélküli (böngésző) Web appok Fájl műveletek Web Mail Csapatmunka L4 VPN Vékony kliens (port forward) Előkészített alkalmazások RDP, VNC X Windows Citrix, L3 VPN Bővítmények segítségével Teljes hálózati hozzáférés TLS kapcsolat Könnyű telepítés 42

Költség csökkenés, szolgáltatások VPN fejlődés SSL VPN IPSec VPN Bérelt vonal, ISDN Drága Kis sávszélesség Alacsony biztonság Remote Access Server Kliens alapú Nehezen skálázható Alacsony biztonság Jól skálázható Erős biztonság Kliens nélküli vagy dinamikusan frissülő kliens Web alapú Felhasználó központú portálok Jól skálázható Erős biztonság 90-es évek Napjaink 43

SSL VPN DEMO https://sslvpn.demo.sonicwall.com 44

Más VPN megoldások 45

Más VPN megoldások Secure Shell (SSH) X Windows biztonság Port forwarding megoldások (lokális és távoli) Teljes értékű VPN OpenVPN Nyílt alapokon Felhő VPN Microsoft SSTP (Secure Socket Tunneling Protocol) 46

Felhasznált anaygok Peter R. Egli Virtual Private Networks 47

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés