Презентация на тему: Технологии построения виртуальных частных сетей
Виртуальные частные сети
Частная магистральная сеть предприятияФилиал 1Филиал 2Центральный офисЧастная корпоративная сетьПредприятие единолично владеет всей сетевой инфраструктурой
Частные каналы предприятияЧастная сеть с собственными территориальными каналамиСеть 1Сеть 2Сеть 3Центральная сеть
Следствия (независимо от использованной сетевой технологии): Но решение неэкономичноеЧастная сеть – главное свойство – Независимая система адресацииПредсказуемая производительностьМаксимально возможная безопасностьВысокий уровень доступностиизолированность
Организация глобальных связей предприятия через публичную сеть Сеть 1Сеть 2Сеть 3Центральная сетьПотоки данных предприятия через Internet
VPN – это технология позволяющая средствами разделяемой (shared) несколькими предприятиями сетевой инфраструктуры реализовать сервисы, по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов) приближенные к сервисам частной (private) cети.
VPN – компромисс между качеством и стоимостью
Имитация 3 частных сетейРазделяемая магистральная сеть
VPN – это сеть предприятия в которой разнесенные географически филиалы (сайты) объединены магистральной сетью, проложенной через совместно используемую сетевую инфраструктуру
VPN - это услугаТехнология VPN может быть использована самим предприятием для объединения своих филиалов, а может и быть основой для предоставления услуг провайдеромУслуги VPN могут характеризоваться: типом имитируемых сервисов частной сети (выделенные каналы, сети с коммутацией пакетов)качеством имитации сервисов частной сети (высокая безопасность, изолированность адресных пространств, гарантированность пропускной способности)стоимостью, легкостью развертывания и поддержки
Услуга VPN может предоставляться: на базе оборудования установленного на территории заказчика (Customer Premises Equipment, CPE)средствами собственной инфраструктуры провайдера (network-based VPN) – (аутсорсинг услуг VPN, провайдерская схема)Аутсорсинг VPN дает возможность провайдерам, кроме оказания основного набора услуг, предоставление дополнительных централизованных сервисов (контроль за работой сети, аутсорсинг приложений)
VPN на базе оборудования, размещенного в помещении заказчика (Customer Premises Equipment, CPE)Точка присутствия провайдераФилиал корпоративной сетиФилиал корпоративной сетиФилиал корпоративной сетиVPN-шлюз предприятияVPN-клиент
VPN на базе сети провайдера (network-based VPN)VPN-шлюз провайдера
Характеристики технологии VPN:Тип имитируемых сервисовПриближенность предлагаемых сервисов к свойствам сервисов частной сетиМасштабируемостьСтоимость внедрения и обслуживанияУправляемость
Требования к разделяемой сетиМагистральная сеть должна быть хорошо защищенаСеть должна гарантировать клиентской VPN определенный уровень производительностиНакладные расходы на обеспечение частного характера сервисов не должны быть слишком велики
Требования к безопасности разделяемой сетиДолжно существовать разделение адресов и маршрутов – клиенты не должны знать друг о другеМагистральная сеть провайдера скрыта от внешнего мира. Клиенту следует знать только ту информацию, которая ему необходима для получения сервиса Разделяемая сеть должна быть устойчива к атакам отказ в обслуживании DoS
Типы технологий виртуальных частных сетейНа базе арендованных каналов в TDM-сети (вырожденный случай VPN)На базе сети с установлением виртуальных каналов – ATM, Frame Relay На базе публичной IP-сети с использованием протокола IPSecНа базе MPLS
Виртуальная частная сеть на арендованных каналах
Каналы, арендуемые другими предприятиямиВиртуальная частная сеть на арендованных каналахСеть 1Сеть 2Сеть 3Центральная сетьСеть TDMTDM-транкАрендуемые каналы
Сеть, построенная на арендованных каналах, имеет очень сходные характеристики с «истинно» частной сетью:Гарантированная пропускная способностьВысокая степень безопасностиИзолированность адресных пространствНО Высокая стоимостьПлохая масштабируемость
VPN на основе сетей ATM и Frame Relay
Виртуальные каналы имитируют сервис выделенных каналов (гарантированная пропускная способность, изоляция трафика)Трафик не шифруетсяУслуга реализуется средствами 2 Уровня, следовательно нет возможности предложить более развитые централизованные сервисы В VPN на основе сетей ATM и Frame Relay:
Безопасность VPN на базе ATM и Frame RelayТрафик изолируетсяАдресные пространства разделеныМагистраль скрыта от заказчиковМагистраль защищена от атак
Разделение адресных пространств и маршрутов в ATM и Frame RelayТрафик коммутируется на основе меток VPI/VCI или DLCI Информация 3 Уровня никогда не анализируется и не меняетсяВесь трафик в магистральной сети коммутируется, а не маршрутизируется
Сокрытие магистральной сети провайдера в ATM и Frame RelayИнформация, которой провайдер делится с клиентом, это лишь информация о клиентских виртуальных каналах DLCI и VPI/VCIНикаких других знаний о сети провайдера клиент иметь не должен
Что видит клиент?Клиент AКлиент BКлиент AКлиент BFrame-RelayкоммутаторыСистема управленияКлиент не видит: других клиентов коммутаторов магистралисистему управления
Устойчивость к атакам ATM и Frame RelayБез информации Уровня 3 и лишь на основании информации Уровня 2 вряд ли можно атаковать коммутаторы магистральной сетиАтака DoS невозможна – сеть коммутирует все пакеты на другую сторону виртуального каналаАтака вторжения – нет возможностей 3 Уровня
Атака в сети ATM и Frame-RelayКлиент AКлиент BКлиент BУправление сетью провайдераКлиент AНамеривается атаковать местный коммутаторНамеривается атаковать коммутатор другого клиентаУ трафика нет никакого выбора, как только быть скоммутированным через облако
ATM и Frame-Relay безопасны?Адреса и маршруты разделены?Да – анализируется только информация Уровня 2, Уровень 3 игнорируетсяМагистраль провайдера скрыта?Да – клиент обладает только минимальной информацией о магистралиУстойчива к атакам?Да – Никаких реальных возможностей для атак нет
Сеть 1Сеть 2Сеть 3Центральная сетьПотоки данных предприятия через Internet VPN на базе IP-сети
IP VPN на основе протокола IPSecIPSec позволяет строить защищенные логические соединения – туннели. Логическое соединение IPSec: Относится к определенному классу трафика (селектор – IP-адрес отправителя и получателя, порты отправителя и получателя)Определяет процедуру обработки для защиты данного класса трафика (обеспечение целостности или конфиденциальности, туннельный режим или транспортный) и криптографический материалНе фиксирует маршрутТребует предварительного конфигурирования
VPN в Internet на основе IPSec-туннелей- установленный и сконфигурированный протокол IPSecInternet
гибридное решение, в котором VPN-приложение работает на стандартной вычислительной платформе, использующей внешний криптографический процессор для выполнения функций VPN.
Шлюз VPN — сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади негоКлиент VPN - это устройство, подключенное к одной сети, у которого сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации трафика между шлюзами VPN и/или другими VPN-клиентами.
VPN-шлюзы и VPN-клиенты
Услуги VPN на базе IP-сетейНедостаточная степень гарантий пропускной способности и безопасностиГибкость и эффективность в предоставлении дополнительных услуг
Трафик пользователей передается по общей инфраструктуреТрафик разных VPN не изолируется, в таблицах маршрутизации содержится информация о чужих сетяхРазличные VPN не могут иметь независимое адресное пространство (даже при наличии NAT)Магистральная разделяемая сеть не защищена от атак типа DoS Моделирование изолированности трафика отдельных VPN достигается за счет шифрования Степень безопасности IP VPN на основе IPSec
Безопасна ли VPN на базе IP-сети?Адреса и маршруты разделены?Нет, при перемещении пакета анализируется информация Уровня 3, Магистраль провайдера скрыта?Нет – клиент обладает информацией об IP-адресах точек входа в сеть провайдера и другой информацией о магистралиУстойчива к атакам?Нет – возможны атаки типа DoS