Przemysłowe Sieci Informatyczne Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski
Plan wykładu Definicja tunelowania Powody tunelowania Wirtualne sieci lokalne VLAN Konfiguracja Przemysłowych przełączników EDS- Moxa508 do pracy w VLAN Tunelowanie RS232 w Ethernecie Wirtualne sieci prywatne VPN
Tunelowanie Definicja tunelowania (ang. tunneling) Zestawianie połączenia pomiędzy dwoma (być może, ale niekoniecznie odległymi) hostami dające wrażenie połączenia bezpośredniego.
Tunel wykorzytuje technikę enkapsulacji jednego protokołu w innym, umożliwia zastosowanie mechanizmów szyfrowania lub translacji transmitowanych danych. Zwykle jeden protokół jest nośnikiem innego
Powody tunelowania translacja protokołów i technologii - łączenie ze sobą sieci lokalnych pracujących w różnych technologiach (IPX, TCP/IP,...) za pośrednictwem publicznych sieci rozległych (Frame Relay, ATM, X.25, IP,...), względy bezpieczeństwa - łączenie tunelowania z wykorzystaniem metod kryptograficznych celem utworzenia kanału krytpograficznego.
Techniki tunelowania Techniki datagramowe: L2TP (Layer 2 Tunneling Protocol), GRE (Generic Routing Encapsulation), GTP (GPRS Tunnelling Protocol), PPTP (Point-to-Point Tunneling Protocol), PPPoE (Point-to-Point Protocol over Ethernet), PPPoA (Point-to-Point Protocol over ATM), IP-IP Tunneling, IPsec, IEEE 802.1Q (Ethernet VLANs), Techniki strumieniowe: TLS (Transport Layer Security), SSL (Secure Socket Layer)
Tunelowanie z wykorzystaniem sieci publicznych sieć ogólnodostępna stanowiąca TUNEL Fabryka1 sieć firmowa np. Modbus Biuro i pion ekonomiczny firmy sieć firmowa np. Ethernet Fabryka2 sieć firmowa np. Profibus
Tunelowanie z SSH Tunelowanie w oparciu o SSH polega na przesyłaniu niezabezpieczonych pakietów protokołów TCP przez bezpieczny protokół SSH. W tunelowaniu SSH wyróżnia się dwa rodzaje przekierowania portów: lokalne (wychodzące) - przekierowujące ruch przychodzący na port lokalny na odpowiedni port zdalny, zdalne (przychodzące) - przekierowujące ruch przychodzący na port na serwerze na odpowiedni port lokalny. Tunelowanie w oparciu o SSH może być wykorzystane do umożliwienia dostępu do sieci korporacyjnej, do której nie jest on możliwy w sposób bezpośredni. Posiadając odpowiednie konto SSH na dostępnym serwerze, możliwe jest zestawienie tunelu SSH do usługi na własnym komputerze w korporacji.
Najczęściej tunelowane protokoły POP3, SMTP, HTTP, FTP Rys www.ssh.com
omijania blokowanych portów i usług mhaker.pl Aplikacje http-tunnel
Tunelowanie w Automatyce Tunelowanie w celach łączenia sieci różnego typu różne sieci polowe Profibus Ethernet LON EIB CAN biurowe, korporacyjne Tunelowanie w celu zabezpieczeń Tunelowanie w celu połączeń rozproszonych elementów firmy Tunelowanie w celu uzyskania możliwości zdalnego nadzoru
Przykład tunelowania
Przykład tunelowania
Przykład tunelowania
VLAN (ang Virtual LAN) VLAN to grupa urządzeń ulokowanych gdziekolwek w sieci, ale komunikujących się tak jak gdyby były w sieci LAN. VLAN - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN służy głównie do logicznego podziału sieci fizycznie dołączonych do tego samego urządzenia (switcha)
Powody budowy VLAN Logiczna zamiast sprzętowej organizacja (sieci przemysłowej/korporacyjnej. Dzielenie sieci na grupy użytkowe: Inżynierowie Ekonomiści Zarządzanie Serwis/obsługa IT Tworzenie hierarchii Tworzenie typów użytkowników np. streaming, e-mail, WWW, itd.
VLAN Podstawowe założenie Ethernetu dostęp każdy z każdym Gdy potrzebna jest Separacja wymagałoby to większej liczby urządzeń sieciowych
VLAN
Znakowanie ramek i trunk Aby do pojedynczej sieci VLAN można było przypisać fizyczne porty kilku przełączników, konieczne jest przekazywanie między przełącznikami oprócz ramek,także informację o numerze (ID) Vlanu aby odległy przełącznik przekazał ją do właściwej sieci wirtualnej. Tą funkcję spełnia znakowanie lub tagowanie (tagging) opisane w dokumencie IEEE 802.1Q. Dzięki temu mechanizmowi możliwe jest transmitowanie ramek należących do wielu różnych VLANów poprzez jedno fizyczne połączenie zwane trunk. Ramka znakowana jest po wejściu do portu przełącznika, przekazywana jest między przełącznikami, następnie kierowana jest na port/ porty wyjściowe, gdzie usuwane są znaczniki przed wysłaniem ramki do hosta. W niektórych przypadkach, karty sieciowe hostów potrafią znakować ramki podczas wysyłania do przełącznika, gdzie czynność ta jest omijana.
IEEE 802.1Q Standard IEEE 802.3Q określa metodę znakowania ramek przynależnych do odpowiedniego VLAN. Pole TPID (Tag Protocol Information) jest znacznikiem protokołu. Jednobitowe pole CFI (Canonical Format Indicator) wykorzystane jest dla osiągnięcia zgodności ethernet Token Ring. Urządzenia Ethernet zawsze ustawiają w ramce wartość pola CFI =1. Pole TCI (Tag Control Information) jest informacją kontrolną znacznika. Pierwsze 3 bity występują dla utrzymania zgodności z protokołem 802.1p (QoS) i przenoszą informację o priorytecie ramki. W polu VLAN ID przenoszony jest numer sieci wirtualnej, do której należy dana ramka. Maksymalna liczba VLANów wynosi 212-2 czyli 4096.
Zalety płynące z VLAN Prosta programowa konfiguracja ulokowania urządzeń w sieci, prostota i szybkość rekonfiguracji Podniesienie bezpieczeństwa komunikować się mogą tylko uprawnione podsieci. Np. operator jest logicznie odseparowany od pionu zarządzania Uporządkowanie ruchu sieciowego
Przykład VLAN z MOXA 508
Przykład VLAN z MOXA 508
VPN (ang. Virtual Private Network) VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna), można opisać jako tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki kanał może opcjonalnie kompresować lub szyfrować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych. Określenie "Wirtualna" oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Pomimo takiego mechanizmu działania stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne. Rozwiązania oparte na VPN powinny być stosowane np. w sieciach korporacyjnych firm, których zdalni użytkownicy dosyć często pracują ze swoich domów na niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie).
VPN VPN ma trzy rodzaje zastosowań: sieci dostępowe - łączą zdalnych użytkowników: czyli pracowników mobilnych, konsultantów, sprzedawców, lokalne filie, z siedzibą firmy; intranet - łączy odległe oddziały tej samej firmy; ekstranet - zapewnia ograniczony dostęp do sieci firmowej zaufanym partnerom biznesowym.
Wirtualna sieć prywatna VPN korzysta z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania, szyfrowania i procedur bezpieczeństwa zachowuje poufność danych. Rys. PC World
Najczęściej spotykane protokoły VPN Bezpieczne sieci VPN można tworzyć za pomocą jednego z trzech protokołów: L2TP (Layer 2 Tunneling Protocol), IPSecurity lub SSL/TLS (Secure Sockets Layer/Transport Layer Security). Dominującym obecnie protokołem jest IPSec, ale coraz większą popularnością cieszy się SSL/TLS.
Open VPN darmowa aplikacja do budowy VPN OpenVPN openvpn.net OpenVPN to jedno z najpopularniejszych rozwiązań SSL VPN. Służy do budowy sieci VPN opartych na protokole SSL/TLS. Jest łatwy w obsłudze i ma rozbudowane możliwości konfiguracyjne. Są wersje do kilku systemów operacyjnych, m.in. do: Linuksa, Windows, OpenBSD, FreeBSD, NetBSD, Solarisa. Wersja 2, potrafi obsługiwać wielu klientów w tym samym porcie. Klient różni się od serwera odmiennym plikiem konfiguracyjnym. Załączona pomoc opisuje, w jaki sposób wygenerować pary certyfikatów za pomocą programu OpenSSL - najpierw trzeba zainstalować pakiet OpenSSL oraz bibliotekę LZO, przeprowadzającą kompresję. Konfiguracja OpenVPN jest bardzo prosta nawet dla niedoświadczonego użytkownika systemów VPN i oprócz instalacji niezbędnych pakietów, wymaga ustawienia kilku parametrów w pliku konfiguracyjnym.ovpn.
VPN Wdrażając bezpieczne sieci VPN, należy mieć na uwadze, że: przesył między użytkownikami powinien być szyfrowany i uwierzytelniany; część protokołów wykorzystywanych w VPN przeprowadza uwierzytelnienie, ale nie szyfrowanie; klucze kryptograficzne należy zmieniać w miarę możliwości jak najczęściej i przechowywać bezpiecznie; poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch stronach ustanawianego tunelu; nikt poza administratorem sieci nie może mieć dostępu do parametrów bezpieczeństwa.
Różnica pomiędzy VLAN i VPN Obie sieci mają nazwę sieci virtualnych Ogólnie VLAN pozwala sieć (przeważnie skupioną) dzielić na mniejsze podsieci (wydzielać logicznie) Ogólnie VPNP pozwala łączyć podsieci (przeważnie rozproszone) w większą podsieć
Bibliografia MOXA EtherDevice Switch EDS-508 Series User s Manual Sieci VPN. Zdalna praca i bezpieczeństwo danych, Helion 2008 VPN za darmo, Krystian Ryłko, PC World