La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati.

Presentazioni simili


Presentazione sul tema: "Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati."— Transcript della presentazione:

1 Reti Private Virtuali (VPN) Alfio Lombardo

2 VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati dalla sorgente dichiarata –Controllo daccesso: utenti non autorizzati non sono ammessi nella VPN –Confidenzialità: non è possibile leggere i dati che passano sulla VPN –Integrità dei dati: salvaguardia da corruzione dei dati da parte di terzi

3 VPN : Background Reti private fisiche (collegamenti tra siti aziendali: dedicati) –Scarso utilizzo mezzi trasmissivi –Elevati investimenti in tecnologia e gestione Reti private overlay (collegamenti tra siti aziendali: PVC/Tunnel) –Elevati investimenti in gestione Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)

4 Classificazione VPN Modello di comunicazione –Intraaziendale (Intranet ) –Interaziendale (Extranet) –Dial up Modalità di trasporto informazioni –VPN Overlay –VPN Peer to Peer Topologia –stella, doppia stella, magliata

5 Modello di comunicazione: Intranet X Intranet B Intranet A Nessuna possibilità di comunicazione tra le due Intranet

6 Modello di comunicazione: Extraaziendale X Intranet B Intranet A Possibilità di comunicazione tra siti di Aziende diverse

7 Modello di comunicazione: Dial up AC: Access Concentrator (gestito da ISP) NS: Net Server (gestito dal cliente) NS Sito RPV Sessione PPP Rete ISP AC Rete di accesso a comm. circuito (PSTN, ISDN, GSM, ecc.) PVC/Tunnel

8 Dial UP: il protocollo L2TP (Layer 2 Tunnel Protocol) L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F) Rete ISP LNSLAC Rete di accesso (PSTN, ISDN, GSM, ecc.) Sito RPV Sessione PPP Tunnel L2TP Client lsmit Corporate net

9 Dial up: procedure Rete ISP LNSLAC Rete di accesso (PSTN, ISDN, GSM, ecc.) Sito RPV Tunnel L2TP 1 – utente remoto inizia sessione PPP 2 – LAC accetta chiamata e identifica utente 3 – Se lautenticazione OK, LAC inizia tunnel verso LNS 4 – LNS autentica lutente, accetta il tunnel, inizia scambio parametri sessione PPP con utente 5 – inizia scambio dati tra utente remoto e VPN Sv Autenticazione

10 L2PT: architettura di protocolli Rete ISP LNSLAC Sito RPV Tunnel L2TP MAC headerIP headerUDP headerL2TP headerData (PPP)

11 Modalità di trasporto: VPN Overlay PVC/Tunnel IP Sito RPV Connessione Virtuale Router del Cliente Routing di livello 3 Router del Cliente Sito RPV Rete pubblica Switch Frame Relay o ATM, Router IP Introducono un secondo livello di rete Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza) Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel Elevato num. PVC in caso di VPN magliate Elevato livello di sicurezza QoS attraverso il PVC

12 Modalità di trasporto: VPN P2P Informazioni di routing solo con i nodi di accesso Facilità di estensione della VPN Router di accesso Router del Cliente Protocollo di Routing Router del Cliente Sito RPV Rete del fornitore del servizio

13 VPN P2P: router condivisi/dedicati Router di accesso condiviso Sito 1 RPV- A Rete del fornitore del servizio Sito 2 RPV- A Sito RPV-B RA[1] Router di accesso dedicati: Sito 1 RPV-A Rete del fornitore del servizio Sito 2 RPV-A Sito RPV- B RA[1] POP RA[2] RT segregazione attraverso separazione fisica delle tabelle di routing segregazione attraverso tabelle di routing virtuali collegate alle singole interfacce

14 Topologie Intranet: Stella Sito perif. N Rete del fornitore del servizio Sito perif. 2 Sito perif. 1 Centro Stella X Collegamenti virtuali Flusso di traffico Collegamenti di accesso Non permesso lo scambio diretto del traffico tra i siti periferici Sito perif. N Rete del fornitore del servizio Sito perif. 2 Sito perif. 1 Centri Stella X

15 Topologie Intranet : Maglia Topologie Intranet : Mista Regione 1Regione 2 Backbone

16 RPV overlaypeer-to-peer Livello 2Livello 3 X.25F.R.ATMGREIPSec Router condivisi RPV BGP/MPLS Router dedicati IP-in-IP dial-up L2TP Riepilogo

17 VPN BGP/MPLS Adotta una filosofia P2P RPV-A (sito 2) RPV-B (sito 1) RPV-C (sito 2) RPV-A (sito 3) RPV-A (sito 1) RPV-C (sito 1) Sessioni iBGP Tabelle di routing virtuali

18 Ricorda: Architetture di routing BGP/MPLS iBGP iBGPeBGP LSP MPLS RPV-B (sito 1)

19 Security Threats in the Network Environment To know you have security in the network environment, you want to be confident of three things: that the person with whom youre communicating really is that person that no one can eavesdrop on your communication that the communication youve received has not been altered in any way during transmission These three security needs, in industry terms, are: authentication confidentiality integrity

20 Secure Virtual Private Networks: IPSec any communication passing through an IP network, including the Internet, has to use the IP protocol. So, if you secure the IP layer, you secure the network.

21 Protocolli IPsec AH (Authentication Header) autenticazione, integrità ESP (Encapsulating Security Payload) riservatezza, autenticazione, integrità IKE (Internet Key Exchange) scambio delle chiavi

22 Protocollo IKE Per utilizzare AH e/o ESP i due interlocutori devono aver prima negoziato una.security association. (SA). La SA è un contratto che specifica gli algoritmi crittografici e le relative chiavi, e qualsiasi altro parametro necessario alla comunicazione sicura. La negoziazione delle SA è compito del protocollo IKE.

23 ESP (Encapsulating Security Payload) fornisce servizi di riservatezza, integrità, autenticazione e antireplay. ESP agisce su ciò che incapsula, quindi non sullheader IP esterno.

24 ESP header Security Parameters Index (SPI) Sequence number Payload data (variable length) Pad length Next header Authentication data: payload (TCP + variable length data) Padding (0-255 bytes) Encrypted Authenticated

25 Il protocollo AH AH (Authentication Header) fornisce servizi di autenticazione, integrità e antireplay. Lautenticazione copre praticamente lintero pacchetto IP. sono esclusi solo i campi variabili dellheader IP (TTL, checksum...)

26 AH header Pad length Security Parameters Index (SPI) Authentication data (TCP + variable length data) Next headerReserved Sequence number IPAH hdrTCPdata authenticated

27 Modalità Trasporto

28 Sito RPV A Tunnel Mode Rete ISP Tunnel IP


Scaricare ppt "Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati."

Presentazioni simili


Annunci Google