Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Основы построения VPN

Содержание

Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя существующую инфраструктуру. Особенность VPN – формирование логических связей не зависимо от типа физической среды. Позволяют обойтись без использования
Основы построения  VPN Виртуальные частные сети - VPN	VPN – Virtual Private Network – имитируют возможности 1998 год – разработка приложений VPN, позволяющих осуществлять централизованный контроль со стороны Классификация VPNПо уровню модели OSIПо архитектуретехнического решенияПо способу технической реализацииVPN канального уровня: Базовые архитектуры VPNШлюз-шлюзШлюз-хостХост-хостКомбинированная – через промежуточный шлюз (IPSG)IPSGVPN-шлюзLANIP-сетьIP-сеть VPN-шлюз – сетевое устройство, подключенное к нескольким сетям, выполняет функции шифрования, идентификации, Туннель – логическая связь между клиентом и сервером. В процессе реализации туннеля Схемы взаимодействия провайдера и клиентаПользовательская схема – оборудование размещается на территории клиента, Схема соединения филиалов  с центральным офисом Связь удаленного пользователя с корпоративной сетью Организация туннеля через провайдера Internet, поддерживающего службу VPN VPN-соединение защищенных сетей внутри корпоративной сети VPN-соединение корпоративного клиента с защищенной сетью внутри корпоративной сети Защита данных в VPN	Требования к защищенному каналу:Конфиденциальность ЦелостностьДоступность легальным пользователям (аутентификация)	Методы организации Поддержка VPN на различных уровнях модели OSIКанальный уровень: L2TP, PPTP и др. Протоколы канального уровня:PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР и инкапсулирует их в Инкапсуляция кадров РРР в IPДанныеЗаголовок IPPPPPPPДанныеЗаголовок IPPPPPPPНовыйзаголовок IPДанныеЗаголовок IPPPPPPPНовыйзаголовок IPPPPPPPУровень 2Уровень 3Уровень 2 IPSec (IP Security) – набор протоколов. Организует аутентификацию, шифрование и автоматическое снабжение Стек протоколов IPSecПрикладнойСетевой (IP)КанальныйФизическийТранспортныйIPSecIKEInternet Key Management -Управление ключами пользователя на прикладном уровнеДва Архитектура IPSecIPSecESPAHАлгоритмы аутентификацииАлгоритмы шифрованияIKEDOIЕдиный объект Ассоциация IPSec – SA (Security Association) Параметры SA:Индекс параметра безопасности SPI Адрес Определение SAInternetшлюзшлюзSA1SA2От станции к файерволлуИз конца в конец Режимы IPSecТуннельный режим:Добавляется новый IP-заголовокИсходный IP-заголовок инкапсулируется (предварительно шифруется). Адрес приемника и Инкапсуляция IPSec  для туннельного режимаДанныеТСРIPДанныеТСРIPIPSecЗашифрованоДанныеТСРIPIPSecЗашифрованоНовыйIPДанныеТСРIPIPSecЗашифрованоНовыйIPPPPPPPСетевой уровеньУровень IPSecСетевой уровеньКанальный уровень Инкапсуляция IPSec  для транспортного режимаДанныеТСРДанныеТСРIPSecЗашифрованоIPДанныеТСРIPЗашифрованоPPPPPPДанныеТСРIPSecЗашифрованоIPSecТранспортный уровеньУровень IPSecСетевой уровеньКанальный уровень Инкапсуляция с аутентификацией (ESP)ДанныеТСРIPДанныеТСРIPESPТрейлерESPАутентиф.ESPТранспортный режим (АН аутентификация):Туннельный режим (АН аутентификация):ЗашифрованоАутентифицированоДанныеТСРIPESPТрейлерESPАутентиф.ESPЗашифрованоАутентифицированоНовыйзаг. IP Управление ключом IKEФункции IKE: Установление SA (Security Association) Определение параметров безопасностиОбмен ключами Общая процедура IPSecФаза I для узла А, аутентификацияФаза II для узлов A Правила безопасностиПравила безопасности определяют способы защиты, пропуска и сброса трафика.Основным условием работы Пример реализации правил безопасности1.1.1.12.2.2.25.5.5.56.6.6.6ТСР 1.1.*.*: any 2.2.*.*: any protectТСР 1.1.1.1: any 2.2.2.2: Протоколы транспортного уровняSSL – Secure Sockets Layer. SSLv3, 1996 год.TLS – Transport Все браузеры поддерживают SSL/TLS.SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между транспортным Критерии выбора протокола VPNТип подключения: Постоянное: IPSecВременное: SSL/TLSТип доступа:Пользователь (сотрудник компании): IPSecГость: Сравнительные характеристики протоколов VPN Настройка VPN на платформе  iphone and AndroidAndroidiphoneОткрываем меню Нажмите на Основные или Другие сетиiphoneAndroid Нажимаем на VPNiphoneAndroid Нажмите, чтобы добавить VPNiphoneAndroid Пропишите логин, пароль и сервер потом наживаем на схранитьiphoneAndroid Все, готово.iphoneAndroid Android Android
Слайды презентации

Слайд 2 Виртуальные частные сети - VPN
VPN – Virtual Private

Виртуальные частные сети - VPN	VPN – Virtual Private Network – имитируют

Network – имитируют возможности частной сети в рамках общедоступной,

используя существующую инфраструктуру.
Особенность VPN – формирование логических связей не зависимо от типа физической среды. Позволяют обойтись без использования выделенных каналов.
Задача: обеспечение в общедоступной сети гарантированного качества обслуживания, а также их защита от возможного несанкционированного доступа или повреждения.

Слайд 3 1998 год – разработка приложений VPN, позволяющих осуществлять

1998 год – разработка приложений VPN, позволяющих осуществлять централизованный контроль со

централизованный контроль со стороны пользователей.
1999 год – модель аутентификации,

дополнительные средства для конфигурирования клиентов
2000 год – включение средств VPN в Windows2000
В настоящее время технология вошла в фазу расцвета. Используются различные технологии и архитектуры с учетом потребностей конкретной сети.
Использование сети Интернет для предоставления удаленного доступа к информации может являться безопасным.


Слайд 4 Классификация VPN
По уровню
модели OSI
По архитектуре
технического решения
По способу

Классификация VPNПо уровню модели OSIПо архитектуретехнического решенияПо способу технической реализацииVPN канального


технической реализации
VPN канального
уровня: PPTP, L2TP

VPN сетевого
уровня: IPSec,

MPLS

VPN транспортного
уровня: SSL/TLC

Межкорпоративные
VPN

Внутрикорпоративные
VPN

На основе удаленного
доступа

На основе сетевой
операционной системы

На основе
межсетевого экрана

На основе
маршрутизаторов

На основе
программных решений

На основе
аппаратных решений


Слайд 5 Базовые архитектуры VPN
Шлюз-шлюз
Шлюз-хост
Хост-хост
Комбинированная – через промежуточный шлюз (IPSG)
IPSG
VPN-шлюз
LAN
IP-сеть
IP-сеть

Базовые архитектуры VPNШлюз-шлюзШлюз-хостХост-хостКомбинированная – через промежуточный шлюз (IPSG)IPSGVPN-шлюзLANIP-сетьIP-сеть

Слайд 6 VPN-шлюз – сетевое устройство, подключенное к нескольким сетям,

VPN-шлюз – сетевое устройство, подключенное к нескольким сетям, выполняет функции шифрования,

выполняет функции шифрования, идентификации, аутентификации, авторизации и туннелирования. Может

быть решен как программно, так и аппаратно.
VPN-клиент (хост) решается программно. Выполняет функции шифрования и аутентификации. Сеть может быть построена без использования VPN-клиентов.

Основные компоненты VPN


Слайд 7 Туннель – логическая связь между клиентом и сервером.

Туннель – логическая связь между клиентом и сервером. В процессе реализации

В процессе реализации туннеля используются методы защиты информации.
Граничный сервер

– это сервер, являющийся внешним для корпоративной сети. В качестве такого сервера может выступать, например, брендмауэр или система NAT.
Обеспечение безопасности информации VPN – ряд мероприятий по защите трафика корпоративной сети при прохождении по туннелю от внешних и внутренних угроз.

Слайд 8 Схемы взаимодействия провайдера и клиента
Пользовательская схема – оборудование

Схемы взаимодействия провайдера и клиентаПользовательская схема – оборудование размещается на территории

размещается на территории клиента, методы защиты информации и обеспечения

QoS организуются самостоятельно.
Провайдерская схема – средства VPN размещаются в сети провайдера, методы защиты информации и обеспечения QoS организуются провайдером.
Смешанная схема – используется при взаимодействии клиента с несколькими провайдерами.

Слайд 9 Схема соединения филиалов с центральным офисом

Схема соединения филиалов с центральным офисом

Слайд 10 Связь удаленного пользователя с корпоративной сетью

Связь удаленного пользователя с корпоративной сетью

Слайд 11 Организация туннеля через провайдера Internet, поддерживающего службу VPN

Организация туннеля через провайдера Internet, поддерживающего службу VPN

Слайд 12 VPN-соединение защищенных сетей внутри корпоративной сети

VPN-соединение защищенных сетей внутри корпоративной сети

Слайд 13 VPN-соединение корпоративного клиента с защищенной сетью внутри корпоративной

VPN-соединение корпоративного клиента с защищенной сетью внутри корпоративной сети

сети


Слайд 14 Защита данных в VPN
Требования к защищенному каналу:
Конфиденциальность
Целостность
Доступность

Защита данных в VPN	Требования к защищенному каналу:Конфиденциальность ЦелостностьДоступность легальным пользователям (аутентификация)	Методы

легальным пользователям (аутентификация)
Методы организации защищенного канала:
Шифрование.
Аутентификация – позволяет организовать

доступ к сети только легальных пользователей.
Авторизация – контролирует доступ легальных пользователей к ресурсам в объемах, соответствующих предоставленными им правами.
Туннелирование – позволяет зашифровать пакет вместе со служебной информацией.


Слайд 15 Поддержка VPN на различных уровнях модели OSI
Канальный уровень:

Поддержка VPN на различных уровнях модели OSIКанальный уровень: L2TP, PPTP и


L2TP, PPTP и др. (авторизация и аутентификация)
Технология MPLS (установление

туннеля)
Сетевой уровень:
IPSec (архитектура «хост-шлюз» и «шлюз-шлюз», поддержка шифрования, авторизации и аутентификации, проблемы с реализацией NAT)
Транспортный уровень:
SSL/TLS (архитектура «хост-хост» соединение из конца в конец, поддержка шифрования и аутентификации, реализован только для поддержки TCP-трафика)

Слайд 16 Протоколы канального уровня:
PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР

Протоколы канального уровня:PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР и инкапсулирует их

и инкапсулирует их в IP пакеты (1996 год, разработка

Microsoft, Ascend, 3Con и US Robotics)
L2F (Layer to Forwarding). Прототип L2TP (1996 год, разработка Cisco)
L2TP (Layer to Tunneling Protocol). Инкапсулирует кадры РРР в протокол сетевого уровня, предварительно проведя аутентификацию пользователя (1997 год, разработка Cisco и IETF)

Слайд 17 Инкапсуляция кадров РРР в IP
Данные
Заголовок IP
PPP
PPP
Данные
Заголовок IP
PPP
PPP
Новый
заголовок IP
Данные
Заголовок

Инкапсуляция кадров РРР в IPДанныеЗаголовок IPPPPPPPДанныеЗаголовок IPPPPPPPНовыйзаголовок IPДанныеЗаголовок IPPPPPPPНовыйзаголовок IPPPPPPPУровень 2Уровень 3Уровень 2

IP
PPP
PPP
Новый
заголовок IP
PPP
PPP
Уровень 2
Уровень 3
Уровень 2


Слайд 18 IPSec (IP Security) – набор протоколов. Организует аутентификацию,

IPSec (IP Security) – набор протоколов. Организует аутентификацию, шифрование и автоматическое

шифрование и автоматическое снабжение конечных точек канала секретными ключами

(1997 год, разработка IETF). Определен для IPv4 и IPv6.
Поддерживает два режима:
Транспортный (защита данных в пакете)
Туннельный (защита всего пакета, включая заголовок)
Каждый из участников соединения должен иметь соответствующее программное обеспечение и сконфигурировать параметры туннеля.

Протоколы сетевого уровня


Слайд 19 Стек протоколов IPSec
Прикладной
Сетевой (IP)
Канальный
Физический
Транспортный
IPSec
IKE
Internet Key Management -
Управление ключами

Стек протоколов IPSecПрикладнойСетевой (IP)КанальныйФизическийТранспортныйIPSecIKEInternet Key Management -Управление ключами пользователя на прикладном

пользователя на прикладном уровне
Два протокола:
АН: аутентификация, гарантия целостности данных
ESP:

аутентификация и шифрование

В случае использования IPSec в заголовке IP в поле «протокол верхнего
уровня» (IPv4) или «следующий заголовок» (IPv6) помечается «IPSec»


Слайд 20 Архитектура IPSec
IPSec
ESP
AH
Алгоритмы
аутентификации
Алгоритмы
шифрования
IKE
DOI
Единый объект

Архитектура IPSecIPSecESPAHАлгоритмы аутентификацииАлгоритмы шифрованияIKEDOIЕдиный объект

Слайд 21 Ассоциация IPSec – SA (Security Association)
Параметры SA:
Индекс

Ассоциация IPSec – SA (Security Association) Параметры SA:Индекс параметра безопасности SPI

параметра безопасности SPI
Адрес приемника
Идентификатор протокола безопасности (АН или

ESP)
Используемый алгоритм обеспечения безопасности
Метод обмена ключами
Метод аутентификации
Метод шифрования
Время активности SA
Режим протокола (транспортный или туннельный)
Время жизни туннеля
И.т.п.

Слайд 22 Определение SA
Internet
шлюз
шлюз
SA1
SA2
От станции к файерволлу
Из конца
в конец

Определение SAInternetшлюзшлюзSA1SA2От станции к файерволлуИз конца в конец

Слайд 23 Режимы IPSec
Туннельный режим:
Добавляется новый IP-заголовок
Исходный IP-заголовок инкапсулируется (предварительно

Режимы IPSecТуннельный режим:Добавляется новый IP-заголовокИсходный IP-заголовок инкапсулируется (предварительно шифруется). Адрес приемника

шифруется).
Адрес приемника и передатчика может изменяться на адрес

граничного шлюза
Инкапсуляция может производиться оконечной станцией или шлюзом VPN
Транспортный режим:
Использует исходный IP-заголовок
Адреса оконечных устройств остаются без изменения
Инкапсуляция производится оконечными устройствами

Слайд 24 Инкапсуляция IPSec для туннельного режима
Данные
ТСР
IP
Данные
ТСР
IP
IPSec
Зашифровано
Данные
ТСР
IP
IPSec
Зашифровано
Новый
IP
Данные
ТСР
IP
IPSec
Зашифровано
Новый
IP
PPP
PPP
Сетевой уровень
Уровень IPSec
Сетевой уровень
Канальный

Инкапсуляция IPSec для туннельного режимаДанныеТСРIPДанныеТСРIPIPSecЗашифрованоДанныеТСРIPIPSecЗашифрованоНовыйIPДанныеТСРIPIPSecЗашифрованоНовыйIPPPPPPPСетевой уровеньУровень IPSecСетевой уровеньКанальный уровень

уровень


Слайд 25 Инкапсуляция IPSec для транспортного режима
Данные
ТСР
Данные
ТСР
IPSec
Зашифровано
IP
Данные
ТСР
IP
Зашифровано
PPP
PPP
Данные
ТСР
IPSec
Зашифровано
IPSec
Транспортный уровень
Уровень IPSec
Сетевой уровень
Канальный

Инкапсуляция IPSec для транспортного режимаДанныеТСРДанныеТСРIPSecЗашифрованоIPДанныеТСРIPЗашифрованоPPPPPPДанныеТСРIPSecЗашифрованоIPSecТранспортный уровеньУровень IPSecСетевой уровеньКанальный уровень

уровень


Слайд 26 Инкапсуляция с аутентификацией (ESP)
Данные
ТСР
IP
Данные
ТСР
IP
ESP
Трейлер
ESP
Аутентиф.
ESP
Транспортный режим (АН аутентификация):
Туннельный режим

Инкапсуляция с аутентификацией (ESP)ДанныеТСРIPДанныеТСРIPESPТрейлерESPАутентиф.ESPТранспортный режим (АН аутентификация):Туннельный режим (АН аутентификация):ЗашифрованоАутентифицированоДанныеТСРIPESPТрейлерESPАутентиф.ESPЗашифрованоАутентифицированоНовыйзаг. IP

(АН аутентификация):
Зашифровано
Аутентифицировано
Данные
ТСР
IP
ESP
Трейлер
ESP
Аутентиф.
ESP
Зашифровано
Аутентифицировано
Новый
заг. IP


Слайд 27 Управление ключом IKE
Функции IKE:
Установление SA (Security Association)

Управление ключом IKEФункции IKE: Установление SA (Security Association) Определение параметров безопасностиОбмен


Определение параметров безопасности
Обмен ключами (UDP, порт 500)
Фазы работы IKE:
Фаза

I:
Аутентификация (из конца в конец, из конца к файерволлу)
Определение параметров безопасности для Фазы II
Фаза II:
Установление параметров безопасности для соединения
Выбор аутентификации (HMAC-MD5, HMAC-SHA)
Выбор алгоритма шифрования (DES, RC5, IDEA, Blowfish, CAST-128)

Слайд 28 Общая процедура IPSec
Фаза I для узла А, аутентификация
Фаза

Общая процедура IPSecФаза I для узла А, аутентификацияФаза II для узлов

II для узлов A и В, обмен ключами
Установление туннеля
Контроль

состояния туннеля минимум каждые 10 с.

Интернет

туннель

А

В


Слайд 29 Правила безопасности
Правила безопасности определяют способы защиты, пропуска и

Правила безопасностиПравила безопасности определяют способы защиты, пропуска и сброса трафика.Основным условием

сброса трафика.
Основным условием работы правил безопасности является зеркальность трафика

в соединении
В случае ошибочного прописывания правил безопасности могут возникать конфликты, приводящие к потере трафика:
Скрывание
Конфликт в типе туннелей
Зацикливание
Асимметрия


Слайд 30 Пример реализации правил безопасности
1.1.1.1
2.2.2.2
5.5.5.5
6.6.6.6
ТСР 1.1.*.*: any 2.2.*.*: any

Пример реализации правил безопасности1.1.1.12.2.2.25.5.5.56.6.6.6ТСР 1.1.*.*: any 2.2.*.*: any protectТСР 1.1.1.1: any

protect
ТСР 1.1.1.1: any 2.2.2.2: any AH transport
ТСР 1.1.*.*: any

2.2.*.*: any protect
ТСР 1.1.1.*: any 2.2.2.*: any ESP tunnel 6.6.6.6

ТСР 2.2.*.*: any 1.1.*.*: any protect
ТСР 2.2.2.*: any 1.1.1.*: any ESP tunnel 5.5.5.5

ТСР 2.2.*.*: any 1.1.*.*: any protect
ТСР 2.2.2.2: any 1.1.1.1: any AH transport


Слайд 31 Протоколы транспортного уровня
SSL – Secure Sockets Layer. SSLv3,

Протоколы транспортного уровняSSL – Secure Sockets Layer. SSLv3, 1996 год.TLS –

1996 год.
TLS – Transport Layer Security. Стандарт IETF, RFC

2246.
В настоящее время объединены в общий стек протоколов SSL/TLS

Стек протоколов SSL/TLS

IP

TCP

SSL Record Protocol

SSL
Handshake
Protocol

SSL Change
Cipher
Protocol

SSL Alert
Protocol

HTTP

FTP

И др. протоколы
прикладного
уровня


Слайд 32 Все браузеры поддерживают SSL/TLS.
SSL/TLS реализован поверх TCP (надежность

Все браузеры поддерживают SSL/TLS.SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между

доставки, квитирование), между транспортным и прикладным уровнем. Не поддерживает

приложения UDP (отсутствует квитирование)
Стек протоколов SSL/TLS:
SSL Record Protocol: защита передаваемых данных
SSL Handshake Protocol: установление сессии (соглашение о используемых алгоритмах, параметры безопасности)
SSL Change Cipher Protocol (смена шифра)
SSL Alert Protocol (сообщения об ошибках)

Слайд 33 Критерии выбора протокола VPN
Тип подключения:
Постоянное: IPSec
Временное: SSL/TLS
Тип

Критерии выбора протокола VPNТип подключения: Постоянное: IPSecВременное: SSL/TLSТип доступа:Пользователь (сотрудник компании):

доступа:
Пользователь (сотрудник компании): IPSec
Гость: SSL/TLS
Уровень безопасности корпоративной сети:
Высокий: IPSec
Средний:

SSL/TLS
В зависимости от предоставляемой услуги: IPSec +SSL/TLS
Уровень безопасности данных:
Высокий: IPSec
Средний: SSL/TLS
В зависимости от предоставляемой услуги: IPSec +SSL/TLS
Масштабируемость решения:
Масштабируемость: IPSec
Быстрое развертывание: SSL/TLS

Слайд 34 Сравнительные характеристики протоколов VPN

Сравнительные характеристики протоколов VPN

Слайд 35 Настройка VPN на платформе iphone and Android
Android
iphone
Открываем меню

Настройка VPN на платформе iphone and AndroidAndroidiphoneОткрываем меню

Слайд 36 Нажмите на Основные или Другие сети
iphone
Android

Нажмите на Основные или Другие сетиiphoneAndroid

Слайд 37 Нажимаем на VPN
iphone
Android

Нажимаем на VPNiphoneAndroid

Слайд 38 Нажмите, чтобы добавить VPN
iphone
Android

Нажмите, чтобы добавить VPNiphoneAndroid

Слайд 39 Пропишите логин, пароль и сервер потом наживаем на

Пропишите логин, пароль и сервер потом наживаем на схранитьiphoneAndroid

схранить
iphone
Android


Слайд 40 Все, готово.
iphone
Android

Все, готово.iphoneAndroid

Слайд 41 Android

Android

  • Имя файла: osnovy-postroeniya-vpn.pptx
  • Количество просмотров: 144
  • Количество скачиваний: 2