Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania przypisania do sieci VLAN zastosowano przyporządkowanie fizyczne portów.. Porty P0, P1 i P4 zostały przypisane do sieci VLAN 1. Porty P2, P3 i P5 należą do sieci VLAN 2 D o m e n a D o m e n a r o z g ł o s z e n i o w a r o z g ł o s z e n i o w V L A N 1 R o u t e r V L A N 2 a I B M C o m p a t i b l e P 0 P 4 P 5 S w i t c h P 1 P 3 P 2 I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e
Sieci wirtualne VLAN cz. II Technologia VLANów polega na grupowaniu portów switchy, MAC adresów stacji lub numerów w podramce IEEE 802.1q na rozdzielne podzbiory. Komunikacja między sieciami VLAN 1 i VLAN 2 może odbywać się tylko za pośrednictwem routera. Dzięki temu ogranicza się rozmiar domeny rozgłoszeniowej i wykorzystuje się router w celu ustalenia, czy sieć VLAN 1 może porozumieć się z siecią VLAN 2.
Sieci wirtualne VLAN cz. III Celem segmentacji sieci lokalnej na VLANy jest: stworzenie w ramach jednej fizycznej sieci obszarów, które nie będą dostępne z pozostałych jej części, dla podniesienia bezpieczeństwa informacji w nich zgromadzonych i przesyłanych, ograniczenie przestrzeni broadcastowych; przy zwiększaniu tych przestrzeni rośnie w całej sieci liczba danych o charakterze technicznym, które w skrajnym wypadku mogą spowodować wzrost obciążenia switchy, gdyż proces replikacji pakietów broadcastowych dla wysłania ich wszystkimi portami jest procesem pochłaniającym znaczne zasoby. P o z i o m 3 P o z i o m 2 R o u t e r P o z i o m 1 H u b H u b H u b S e r w i s H a n d e l K a d r y I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e I B M C o m p a t i b l e
Sieci wirtualne VLAN cz. IV Przy podjęciu decyzji na temat ewentualnego podziału sieci na VLANy, należy wziąć pod uwagę następujące fakty: W sieciach VLAN bazujących na portach przypisujemy każdy port przełącznika do określonej sieci VLAN. Ważne jest, żeby przyporządkowanie portu do sieci VLAN zgadzało się z przypisaniem przyłączonego do niego hosta do określonej podsieci Zastosowanie hubów ogranicza możliwość definiowania VLANów opartych na topologii sieci a nie na MAC adresach. Transmisja danych między VLANami możliwa jest przez routery, które posiadają ograniczoną przepustowość. Próby nadzorowania ruchu między VLANami pociągają za sobą dodatkowe obciążenie tych urządzeń i efektywne zmniejszenie ich przepustowości. Z drugiej strony, zezwolenie na ruch między VLANami bez ograniczeń powoduje rezygnację z jednej z najważniejszych cech VLANów.
Podział sieci LAN na podsieci cz. I Urządzenia warstwy trzeciej (warstwy sieci), takie jak routery, mogą być stosowane w celu tworzenia unikatowych segmentów sieci LAN i umożliwienia komunikacji między segmentami w oparciu o adresowanie warstwy trzeciej, na przykład adresowanie IP. Zastosowanie urządzeń warstwy trzeciej, takich jak routery, pozwala na podzielenie sieci LAN na niezależne sieci fizyczne i logiczne. Routery pozwalają także na nawiązanie połączeń z sieciami rozległymi (WAN ang. Wide Area Network), takimi jak Internet. Cele jakie powinno się postawić przy projektowaniu warstwy trzeciej sieci LAN: utworzyć między segmentami sieci LAN ścieżkę, filtrującą przepływ pakietów danych, odseparować transmisje rozgłoszeniowe, np. protokołu ARP, odseparować kolizje między segmentami.
Podział sieci LAN na podsieci cz. II Liczba bitów Liczba hostów w Format kropkowa dziesiętny Liczba sieci w masce podsieci każdej sieci 0 255.255.255.0 1 254 1 255,255.255.128 2 126 Tworzenie podsieci za pomocą masek podsieci. Przykładowe granice podsieci. 2 255.255.255.192 4 62 3 255.255.255.224 8 30 4 255.255.255.240 16 14 5 255.255.255.248 32 6 R o u t e r S w i t c h S w i t c h S w i t c h 6 255.255.255.252 64 2 S i e ć 1 S i e ć 2 S i e ć 3 Dzielenie sieci na podsieci. Podsieć Adres sieciowy Adres rozpowszechniania Zakres adresów hosta 0 192.157.12.0 192.157.12.31 192.157.12.1 192.157.12.30 1 192.157.12.32 192.157.12.63 192.157.12.33 192.157.12.62 2 192.157.12.64 192.157.12.95 192.157.12.65 192.157.12.94 3 192.157.12.96 192.157.12.127 192.157.12.97. 192.157.12.126 4 192.157.12.128 192.157.12.159 192.157.12.129 192.157.12.158 5 192.157.12.160 192.157.12.191 192.157.12.161 192.157.12.190 6 192.157.12.192 192.157.12.223 192.157.12.193 192.157.12.222 7 192.157.12.224 192.157.12.255 192.157.12.223 192.157.12.254
Zadania protokołów tunelowania Zestawienie połączenia (tunelu) między klientem a serwerem Enkapsulacja oryginalnych pakietów Zastosowanie metod szyfrowania i autentykacji przesyłanych danych Kontrola i sterowanie połączeniem Dekapsulacja przesyłanych pakietów
Podział protokołów tunelowania
Protokół PPP Główne składniki: metody kapsułkowania datagramów wieloprotokołowych protokół LCP (Link Control Protocol) zarządzanie stanami łącza (otwarcie, utrzymanie i zamknięcie) oraz negocjowanie opcji łącza zbiór protokołów NCP (Network Control Protocols) obsługujące protokoły warstwy wyższej
Połączenia PPP 1. Zarządzanie fizycznym połączeniem (LCP) wybór sposobu autoryzacji oraz możliwości kompresji i szyfrowania (1,2). 2. Faza identyfikacji (3). 3. Konfiguracja parametrów ustanowionych w fazie pierwszej (NCP) (4,5). 4. Przesyłanie datagramów otrzymanych z warstwy wyższej (6). 5. Zamykanie połączenia.
Metody autoryzacji PPP cz. I PAP (Password Authentication Protocol) Serwer żąda nazwy użytkownika oraz hasła Hasła przesyłane w sposób nieszyfrowany Niedostateczne bezpieczeństwo danych CHAP (Challange-Handshake Authentication Protocol) Serwer wysyła wezwanie autentykacji o zawartości Session ID i losowego ciągu znaków Klient generuje (MD5 ) wartość skrótu używając Session ID, losowego ciągu znaków i hasła i wraz z User ID odsyła Serwer generuje wartość skrótu na podstawie tych samych danych, porównując z nadesłanymi
Metody autoryzacji PPP cz. II MS-CHAP (Microsoft CHAP) EAP Modyfikacja CHAP Wykorzystanie algorytmu MD4 Klient wysyła w celu autoryzacji jedynie skrót hasła Serwer przechowuje obliczony skrót hasła Zapewnia największy poziom bezpieczeństwa autentykacji Elastyczny Możliwość korzystania z tokenów, haseł jednorazowych, certyfikatów, kluczy publicznych z użyciem kart inteligentnych
Protokół PPTP Rozszerzenie PPP Pozwala wysyłać nie tylko pakiety IP ale również IPX, NetBEUI Szerokie zastosowanie w Internecie jak i prywatnych sieciach korporacyjnych Zawiera mechanizmy szyfrowania oparte o algorytm RSA
Pakiet PPTP Aplikacja kliencka generuje dane przeznaczone do wysłania. Oprogramowanie PPTP szyfruje je i/lub kompresuje, a następnie dopisuje do nich nagłówek PPP. Do powstałej ramki PPTP dopisywany jest jest kolejny nagłówek, tym razem GRE zapewnia transport między dwoma końcami tunelu Pakiet PPTP jest przekazywany pod kontrolę stosu TCP/IP i otrzymuje nagłówek IP. Datagram umieszczany jest w ramce łącza danych, której format określa architektura warstwy fizycznej.
Połączenia PPTP Połączenie i komunikacja z dostawcą usług poprzez PPP, który ustala łącze i szyfruje pakiety przenoszące dane Sterowanie połączeniem PPTP tworzenie drugiego połączenia od klienta PPTP do serwera PPTP przy wykorzystaniu wiadomości sterujących zawartych w segmentach TCP Tunelowanie danych tworzenie datagramów IP, zawierających zaszyfrowane pakiety i przesyłanie ich przez tunel do serwera PPTP
Protokół L2F Standard Cisco Umożliwia przesyłanie ramek PPP między routerami Autentykacja za pomocą CHAP i EAP Umożliwia tworzenie wielu tuneli Tworzy wirtualne połączenia dial-up p2p Obsługuje sieci IP, FR, X.25, ATM
Protokół L2TP Połączenie protokołów PPTP i L2F. Obsługuje nie tylko sieci IP ale również X.25, Frame Relay, ATM. Stosuje dwa typy wiadomości: danych i sterujących. Może obsługiwać wiele tuneli. Umożliwia kompresję nagłówka Korzysta z mechanizmów IPSec do szyfrowania danych
Połączenia L2TP
Budowa pakietu L2TP
Protokół IPSec Podstawowy protokół szyfrujący warstwy 3 OSI używany w VPN Wbudowany w IPv6 Obsługuje jedynie protokół IP Zapewnia integralność i poufność danych Przezroczysty dla protokołów warstw wyższych
Elementy składowe IPSec Internet Key Exchange (IKE) służy do negocjacji parametrów połączenia i obsługuje wymianę kluczy oraz naprawę i zamykanie połączenia. Encapsulated Security Payload (ESP) zapewnia szyfrowanie i ochronę integralności danych (dane warstwy wyższej, bez nagłówka IP), pracuje w dwóch trybach. Authentication Header (AH) zapewnia autentykację danych, zarówno enkapsulowanego protokołu warstwy wyższej, jak i części nagłówka IP, ochroną objęte są te pola nagłówka które nie ulegają zmianie podczas wędrówki przez sieć.
Tryby pracy IPSec Tryb transportowy - chroni protokoły i aplikacje wyższych warstw - używany wyłącznie w sieciach lokalnych Tryb tunelowy - chroni cały datagram IP - przenosi ruch generowany przez wielu klientów
Tryb pracy ESP w IPSec cz. I Tryb transportowy: w datagramie z nagłówkiem ESP umieszczany jest pakiet warstwy transportowej, jest oszczędniejszy, gdyż nie wymaga szyfrowania nagłówka IP
Tryb pracy ESP w IPSec cz. II Tryb tunelowy: odszukuje klucz szyfrowania i zaszyfrowuje nim oryginalny datagram zawierający nagłówek ESP, a następnie umieszcza go w datagramie z jawnym nagłówkiem, odbiorca usuwa jawny nagłówek, odszukuje klucz, a następnie deszyfruje datagram ESP, tryb tunelowania zapewnia przeźroczystość dla użytkownika oraz uniemożliwia postronnemu obserwatorowi stwierdzenia między jakimi adresami IP ustanowiony jest tunel
Tryby pracy AH w IPSec Tryby pracy: Transportowy: nagłówek AH umieszczony pomiędzy nagłówkiem IP a TCP. Pozostaje oryginalny nagłówek IP. Tunelowy: tworzony jest nowy nagłówek IP, chroniony jest cały pakiet łącznie z oryginalnym nagłówkiem IP.
Porównanie protokołów tunelujących
Serwery VPN a sieci LAN cz. I Serwer VPN może znajdować się przed firewallem i mieć bezpośrednie połączenie z Internetem lub między siecią lokalną a ścianą ogniową. Uruchomienie serwera VPN przed firewallem wymaga odpowiedniego skonfigurowania filtrowania pakietów, tak aby przepuszczane były tylko pakiety z i do kanału VPN. Po odszyfrowaniu pakietów serwer VPN przekazuje je do firewalla, który pozwoli na ich transport do wewnętrznej sieci. Ruch przychodzący z serwera VPN jest generowany tylko przez uwierzytelnionych klientów, dlatego filtrowanie na zaporze może być użyte do ochrony przed ich dostępem do niektórych specjalnych zasobów wewnętrznych. Z drugiej strony, ponieważ dowolny ruch z Internetu musi przejść przez serwer VPN, można w ten sposób ograniczyć dostęp do intranetowych usług FTP lub WWW tylko do użytkowników VPN
Serwery VPN a sieci LAN cz. II Znacznie częściej spotykaną konfiguracją jest umieszczenie serwera VPN za ścianą ogniową w tzw. strefie zdemilitaryzowanej (DMZ ang. Demilitarized Zone). W takiej konfiguracji serwer VPN ma jedną kartę sieciową połączoną ze strefą DMZ, a drugą z intranetem. Ponieważ oprogramowanie ściany ogniowej nie używa algorytmów szyfrujących, ani nie zna wykorzystywanych przez VPN kluczy, może jedynie filtrować i przetwarzać zewnętrzne nagłówki tunelowanych pakietów. Oznacza to, że w rzeczywistości wirtualny tunel przebiega również przez firewall. Nie osłabia to jednak bezpieczeństwa, gdyż połączenie VPN wymaga autoryzacji.