La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Reti Private Virtuali (VPN)

PubblicatoDomenico Cristina Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Reti Private Virtuali (VPN)"— Transcript della presentazione:

1 Reti Private Virtuali (VPN)
Alfio Lombardo

2 VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): Autenticazione: i dati sono originati dalla sorgente dichiarata Controllo d’accesso: utenti non autorizzati non sono ammessi nella VPN Confidenzialità: non è possibile leggere i dati che passano sulla VPN Integrità dei dati: salvaguardia da corruzione dei dati da parte di terzi

3 VPN : Background Reti private fisiche (collegamenti tra siti aziendali: dedicati) Scarso utilizzo mezzi trasmissivi Elevati investimenti in tecnologia e gestione Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel) Elevati investimenti in gestione Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)

4 Classificazione VPN Modello di comunicazione
Intraaziendale (Intranet ) Interaziendale (Extranet) Dial up Modalità di trasporto informazioni VPN Overlay VPN Peer to Peer Topologia stella, doppia stella, magliata

5 Modello di comunicazione: Intranet
X Intranet B Intranet A Nessuna possibilità di comunicazione tra le due Intranet

6 Modello di comunicazione: Extraaziendale
Possibilità di comunicazione tra siti di Aziende diverse X Intranet A Intranet B

7 Modello di comunicazione: Dial up
Sessione PPP Rete ISP AC Rete di accesso a comm. circuito (PSTN, ISDN, GSM, ecc.) PVC/Tunnel NS Sito RPV AC: Access Concentrator (gestito da ISP) NS: Net Server (gestito dal cliente)

8 Dial UP: il protocollo L2TP (Layer 2 Tunnel Protocol)
Sessione PPP Rete di accesso (PSTN, ISDN, GSM, ecc.) Tunnel L2TP Client lsmit Sito RPV LAC Rete ISP LNS Corporate net L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F)

9 Dial up: procedure 1 – utente remoto inizia sessione PPP
Sv Autenticazione Tunnel L2TP Rete di accesso (PSTN, ISDN, GSM, ecc.) LAC Rete ISP LNS Sito RPV 1 – utente remoto inizia sessione PPP 2 – LAC accetta chiamata e identifica utente 3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS 4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP con utente 5 – inizia scambio dati tra utente remoto e VPN

10 L2PT: architettura di protocolli
Tunnel L2TP LAC Rete ISP LNS Sito RPV MAC header IP header UDP header L2TP header Data (PPP)

11 Modalità di trasporto: VPN Overlay
PVC/Tunnel IP Sito RPV Connessione Virtuale Router del Cliente Routing di livello 3 Rete pubblica Switch Frame Relay o ATM, Router IP Introducono un secondo livello di rete Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza) Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel Elevato num. PVC in caso di VPN magliate Elevato livello di sicurezza QoS attraverso il PVC

12 Modalità di trasporto: VPN P2P
Router di accesso Router del Cliente Protocollo di Routing Sito RPV Rete del fornitore del servizio Informazioni di routing solo con i nodi di accesso Facilità di estensione della VPN

13 VPN P2P: router condivisi/dedicati
Sito 1 RPV-A segregazione attraverso tabelle di routing “virtuali” collegate alle singole interfacce Router di accesso condiviso Sito 2 RPV-A RA[1] Rete del fornitore del servizio Sito RPV-B Sito 1 RPV-A RA[1] Sito 2 RPV-A segregazione attraverso separazione fisica delle tabelle di routing RT RA[2] Rete del fornitore del servizio Sito RPV-B POP Router di accesso dedicati:

14 Topologie Intranet: Stella
Centro Stella Sito perif. N Rete del fornitore del servizio Sito perif. 2 Sito perif. 1 Centri Stella Rete del fornitore del servizio X Sito perif. 1 Sito perif. N Sito perif. 2 Non permesso lo scambio diretto del traffico tra i siti periferici Collegamenti di accesso Collegamenti virtuali Flusso di traffico X

15 Topologie Intranet : Maglia
Topologie Intranet : Mista Regione 1 Regione 2 Backbone

16 Riepilogo RPV “overlay” “peer-to-peer” “dial-up” RPV BGP/MPLS L2TP
Livello 2 Livello 3 Router dedicati Router condivisi Nel modello “peer-to-peer”, il router della rete dell’ISP a cui si connette il sito della RPV (PE, Provider Edge), scambia le informazioni di routing direttamente con il router del Cliente (CE). L’instradamento del traffico avviene così in modo ottimale all’interno della rete dell’ISP. Anche dal punto di vista del Cliente la soluzione è vantaggiosa in quanto le configurazioni sui propri router sono mantenute al minimo, è sufficiente connettersi alla rete dell’ISP. Altri vantaggi, rispetto al modello “overlay” sono: i router CE devono scambiare le informazioni di routing solo con i router PE, quindi hanno una sola adiacenza; per contro, nel modello “overlay”, il numero delle adiacenze potrebbe essere molto elevato; aggiungere un nuovo sito alla RPV è molto più semplice poiché richiede cambia-menti alla sola configurazione del router PE a cui il nuovo sito si connette; per contro nel modello “overlay” l’attivazione di un nuovo sito richiede l’attivazione di vari collegamenti (fisici o virtuali). Esistono due modalità di realizzazione del modello “peer-to-peer”: - con router dedicati; - con router condivisi. Senza entrare nei dettagli, entrambe le modalità hanno dei problemi in termini di: complessità di configurazione dei PE; segregazione del traffico (che può essere ottenuta a prezzo della implementazione di complesse “liste di accesso” che tra l’altro rallentano le prestazioni dei router); utilizzo degli indirizzi privati (che non sono riconosciuti dai router della rete dell’ISP). X.25 F.R. ATM GRE IP-in-IP IPSec RPV BGP/MPLS

17 Tabelle di routing virtuali
VPN BGP/MPLS Adotta una filosofia P2P RPV-B (sito 1) RPV-A (sito 3) RPV-A (sito 1) La soluzione RPV basata sul modello BGP/MPLS combina i benefici dei modelli “overlay e “peer-to-peer” cercando di evitarne difetti e limiti, soprattutto in termini di sicurezza e scalabilità. L’idea del modello BGP/MPLS è essenzialmente una generalizzazione del concetto di architettura di routing BGP/MPLS visto nel paragrafo “MPLS e BGP” del capitolo “MPLS su Livello 2 di tipo “Frame” “. La generalizzazione consiste nella creazione all’interno dei router (più correttamente, Edge-LSR) PE di più tabelle di routing (VRF, vedi prossimo paragrafo), ciascuna contenente le informazioni di raggiungibilità per le sole destinazioni raggiungibili da una RPV. In un certo senso, ogni PE può essere visto come un insieme di router “virtuali”, ciascuno dedicato ad una certa RPV. La segregazione del traffico viene garantita “fisicamente” associando in fase di configurazione, ciascuna interfaccia fisica del PE ad una particolare VRF. Le VRF vengono popolate da un lato direttamente dai router del Cliente i quali, come nel modello “peer-to-peer”, scambiano le informazioni di routing con gli Edge-LSR, dall’altro dagli altri PE i quali inviano le destinazioni da depositare nelle VRF appropriate. Lo scambio delle informazioni di routing tra PE avviene tramite sessioni BGP (più precisamente, MP-iBGP) tra le varie coppie di PE (NOTA: nelle reti di grandi dimensioni, per ridurre il numero selle sessioni MP-iBGP è possibile far ricorso a “Route Reflectors”). I dettagli della soluzione BGP/MPLS saranno ampia-mente visti nei prossimi paragrafi. Tra i vantaggi del modello BGP/MPLS, oltre ai già citati scalabilità e sicurezza, ricordiamo: Semplicità e flessibilità di realizzazione delle RPV (es. possibilità di realizzare svariate topologie) Possibilità di utilizzo di piani di indirizzamento privati Fornitura di Qualità del Servizio (es. garanzie di banda, differenziazione del traffico, ecc.) Traffic Engineering Architettura standard Per queste ragioni, la soluzione BGP/MPLS è quella che oggi sta guadagnando di più il favore dei vari ISP i quali stanno iniziando ad offrire alla propria Clientela, servizi RPV basati sul modello BGP/MPLS. RPV-C (sito 2) RPV-A (sito 2) RPV-C (sito 1) Tabelle di routing virtuali Sessioni iBGP

18 Ricorda: Architetture di routing BGP/MPLS
iBGP eBGP LSP MPLS RPV-B (sito 1) RPV-B (sito 1)

19 Security Threats in the Network Environment
To know you have security in the network environment, you want to be confident of three things: that the person with whom you’re communicating really is that person that no one can eavesdrop on your communication that the communication you’ve received has not been altered in any way during transmission These three security needs, in industry terms, are: authentication confidentiality integrity

20 Secure Virtual Private Networks: IPSec
any communication passing through an IP network, including the Internet, has to use the IP protocol. So, if you secure the IP layer, you secure the network.

21 Protocolli IPsec AH (Authentication Header) autenticazione, integrità
ESP (Encapsulating Security Payload) riservatezza, autenticazione, integrità IKE (Internet Key Exchange) scambio delle chiavi

22 Protocollo IKE Per utilizzare AH e/o ESP i due interlocutori
devono aver prima negoziato una .security association. (SA). La SA è un “contratto” che specifica gli algoritmi crittografici e le relative chiavi, e qualsiasi altro parametro necessario alla comunicazione sicura. La negoziazione delle SA è compito del protocollo IKE.

23 ESP (Encapsulating Security Payload)
fornisce servizi di riservatezza, integrità, autenticazione e anti−replay. ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.

24 ESP header Security Parameters Index (SPI) Sequence number
Payload data (variable length) Padding (0-255 bytes) Authenticated Pad length Next header Encrypted Authentication data: payload (TCP + variable length data)

25 Il protocollo AH AH (Authentication Header) fornisce servizi
di autenticazione, integrità e anti−replay. L’autenticazione copre praticamente l’intero pacchetto IP. sono esclusi solo i campi variabili dell’header IP (TTL, checksum...)

26 AH header Pad length Next header Reserved
Security Parameters Index (SPI) Sequence number Authentication data (TCP + variable length data) IP AH hdr TCP data authenticated

27 Modalità Trasporto                                                                      

28 Tunnel Mode                                                                       Sito RPV A Tunnel IP Rete ISP

Scaricare ppt "Reti Private Virtuali (VPN)"

Presentazioni simili

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
Laboratorio di Telematica

Laboratorio di Telematica
Informatica e Telecomunicazioni

Informatica e Telecomunicazioni
Elaborazione del Book Informatico

Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
Configuring Network Access

Configuring Network Access
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
Architetture di routing BGP/MPLS

Architetture di routing BGP/MPLS
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.

1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
Reti Informatiche.

Reti Informatiche.
Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema Operativo: Windows 2000 CPU: Intel celeron.

Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema Operativo: Windows 2000 CPU: Intel celeron.
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights.

5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP

I modelli di riferimento OSI e TCP/IP
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights Reserved)

5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
Luglio 2004 Internet1 INTERNET Luglio 2004. Internet2 Qualche numero In questo momento circa 100 milioni di persone sono interconnesse in rete e consultano.

Luglio 2004 Internet1 INTERNET Luglio Internet2 Qualche numero In questo momento circa 100 milioni di persone sono interconnesse in rete e consultano.
Anno Accademico 2001-2002 Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico 2001-2002.

Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
Introduzione nuovi servizi TLC problematiche di progettazione, provisioning e gestione Stefano.Ridolfi@bt.com BT Design - Advanced Engineering & Evolution.

Introduzione nuovi servizi TLC problematiche di progettazione, provisioning e gestione BT Design - Advanced Engineering & Evolution.

Presentazioni simili

Annunci Google