Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.

Презентация:



Advertisements
Похожие презентации
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
Advertisements

Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Криптографический шлюз К -. ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Технологию объединения локальных сетей и отдельных компьютеров через открытую внешнюю.
«Методы защиты межсетевого обмена данными» Вопросы темы: 1. Удаленный доступ. Виды коммутируемых линий. 2. Основные понятия и виды виртуальных частных.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Основы построения VPN. Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя.
Опыт построения крупных распределенных VPN сетей с централизованным управлением.
Лекция 6 Безопасность сети. Средства обеспечения безопасности сети.
Администрирование RAS серверов. RAS (Remote Access Server) сервер – это сервер удаленного доступа. Используется для соединения компьютеров по коммутируемым.
1 Удаленный доступ и виртуальные частные сети. Сетевое администрирование на основе Microsoft Windows Server План лекции Удаленный доступ Виды коммутируемых.
Опыт применения комплекса средств защиты информации ViPNet в банковском секторе Алексей Уривский менеджер по продуктам Тел.: (495)
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Виртуальные частные сети. Частная магистральная сеть предприятия Филиал 1 Филиал 2 Центральный офис Частная корпоративная сеть Предприятие единолично.
Если вы хотите: Сократить расходы на использование Интернет в вашей организации Контролировать использование Интернет трафика Ограничивать доступ к различным.
Интернет Контроль Сервер Интернет Контроль Сервер (ИКС) - это готовый программный Интернет шлюз с огромным набором функций для решения всех задач взаимодействия.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
obs_left
Организация Интернет Сети и системы телекоммуникаций Созыкин А.В.
Протокол IPSec (RFC 2401). Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных.
Транксрипт:

Виртуальные частные сети

Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи

Частная сеть на арендованных каналах Центральный офис Филиал Мультиплексор Коммутатор Мультиплексор арендованный канал 2 арендованный канал 1 Сеть другого предприятия

Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия

Организация VPN через общую сеть Преимущества Недостатки Простота и доступность реализации Низкая стоимость Непредсказуемость пропускной способности Угроза перехвата информации, передаваемой по открытой сети

Виды VPN Внутрикорпоративные VPN (Intranet VPN) VPN c удалённым доступом (Remote Access VPN) Межкорпоративные VPN (Extranet VPN) Internet

Внутрикорпоративные VPN Центральный офис Филиал 2 Филиал 1 Internet

VPN c удалённым доступом Центральный офис Internet Мобильный сотрудник

Межкорпоративные VPN Центральный офис Internet Сеть другого предприятия

Типы VPN-устройств Отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее 2 или более сетевых интерфейса и аппаратную криптографическую поддержку – так называемый черный ящик Отдельное программное решение, дополняющее стандартную операционную систему функциями VPN Расширение межсетевого экрана за счет дополнительных функций защищенного канала Средства VPN, встроенные в маршрутизатор

Шлюзы и клиенты VPN Центральный офис Филиал Internet VPN-клиент VPN-канал сеть-сеть VPN-канал сеть-пользователь VPN-канал пользователь- -пользователь

Организация VPN (пользовательская схема) Сеть 1Сеть 2 VPN-канал Intranet VPN-канал удаленного доступа VPN-канал Internet RAS Другое предприятие

Организация VPN (провайдерская схема) Сеть 1 Сеть 2 VPN-канал Intranet VPN-канал удаленного доступа VPN-канал Internet RAS Другое предприятие

Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ Совмещение функций в одном устройстве

Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюзМСЭ Шлюз не защищён

Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюзМСЭ Требуется настройка МСЭ для пропуска зашифрованного трафика

Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ

Взаимное расположение VPN-шлюза и МСЭ Корпоративная сеть Интернет VPN-шлюз МСЭ Трафик с VPN-шлюза не обрабатывается МСЭ

Дополнительный материал: Удаленный доступ по протоколу L2TP (RFC 2888)

Мобильные сотрудники Удаленный доступ: общая схема NAS Network Access Server RADIUS Идентификация Аутентификация Авторизация Мониторинг статуса подключенных пользователей РРР IP

Мобильные сотрудники Удаленный доступ: L2TP LNS LNS в качестве NAS RADIUS Идентификация Аутентификация Авторизация Мониторинг статуса туннеля и подключенных пользователей Присвоение IP-адреса Передача данных между подключенным пользователем и внутренней сетью LAC

Если в сети используется IPSec LNS RADIUS SGW Security Gateway Защищенная сеть

Недостатки предложенной схемы Независимые базы пользовательских бюджетов для SGW и LNS Необходимость настройки маршрутизации на участке: SGW – LNS – Удаленный пользователь SGW не может контролировать статус туннеля и статус подключившихся пользователей

Решение LNS RADIUS SGW Защищенная сеть Объединить

Secure Remote Access Server RADIUS SRAS Защищенная сеть SRAS = security gateway + LNS

Решения на базе МЭ CheckPoint Internet Шлюз – шлюз (Site-to-site)

Решения на базе МЭ CheckPoint Internet Пользователь – шлюз (Client-to-site VPN) Secure Remote User Secure Remote Server

Решения на базе МЭ CheckPoint Схемы управления ключами IKE (с поддержкой PKI)

Решения на базе МЭ CheckPoint Алгоритмы шифрования DES Triple DES CAST AES (128/256)

Решения на базе МЭ CheckPoint Вид VPNТип VPN в CheckPoint Intranet VPNSite-to-site Extranet VPNSite-to-site Remote Access VPNClient-to-site VPN

Решение на базе «Континент-К» Заголовок IP Заголовки верхних уровней Данные Сжатие Заголовок IP Шифрование Служебный заголовок Формирование нового IP-заголовка Заголовок IP Новый IP-заголовок Служебный заголовок Заголовок IP Начало обработки исходного пакета Отправка пакета в сеть ULP + данные

Заголовок IP Заголовки верхних уровней Данные Новый IP-заголовок Служебный заголовок Заголовок IP Исходный пакет Зашифровано Аутентифицировано 16 байт 20 байт Пакет после преобразования ULP+ данные Решение на базе «Континент-К»