Presentation is loading. Please wait.

Presentation is loading. Please wait.

Virtual Private Networks

Published byBetty Julia Holt Modified over 5 years ago

Similar presentations

Presentation on theme: "Virtual Private Networks"— Presentation transcript:

1 Virtual Private Networks

2 Cuprins Introducere Tipuri de VPN-uri Componentele VPN
Caracteristicile Secure VPN-urilor VPN Tunneling Integritatea datelor in VPN IPsec Studiu de caz

3 Introducere VPN Permite organizatiilor sa creeze retele private peste Internet Asigura confidentialitatea si securitatea Traficul este criptat Foloseste conexiuni virtuale care sunt rutate prin Internet Scalabilitate Cost redus

4 Tipuri de VPN-uri Site-to-site VPN Conecteaza locatii dispersate
Hosturile transmit si receptioneaza trafic TCP/IP printr-un VPN gateway

5 Site-to-site VPN VPN gateway
Incapsuleaza si cripteaza traficul de iesire si il trimite printr-un VPN tunnel prin Internet la un peer VPN gateway aflat la locatia destinatie La receptie elimina headerele, decripteaza continutul si transmite pachetul hostului destinatie din reteaua sa privata

6 Remote access VPN Fiecare host are un VPN client software
Cand un host incearca sa transmita trafic, VPN client software incapsuleaza si cripteaza respectivul trafic inainte de a-l transmite prin Internet la VPN gateway-ul de la granita retelei destinatie La receptie, VPN gateway-ul prelucreaza datele in acelasi mod ca in cazul site-to-site VPN

7 Componentele VPN Retea cu servere si statii Conexiune la Internet
VPN gateway-uri (rutere, firewall-uri, concentratoareVPN, ASA-uri) care actioneaza ca puncte de capat pentru stabilirea, managementul si controlul conexiunilor VPN Software pentru crearea si managementul VPN tunnel-urilor

8 VPN-urile securizeaza datele prin incapsularea si/sau criptarea datelor
Incapsularea (tunneling) transmite datele transparent din retea in retea printr-o infrastructura de retea partajata Criptarea codifica datele intr-un format diferit folosind o cheie secreta Decriptarea decodifica datele criptate in formatul necriptat original

9 Caracteristicile Secure VPN-urilor
Confidentialitatea datelor: protejarea datelor impotriva interceptarii acestora de catre surse neautentificate sau neautorizate. Realizata prin incapsulare si criptare. Integritatea datelor: garanteaza faptul ca asupra datelor nu au fost manipulate sau modificate pe ruta dintre sursa si destinatie. Realizata prin hash.

10 Autentificare: asigura faptul ca mesajele vin de la o sursa autentica si merg la o destinatie autentica. Identificarea utilizatorilor se poate realiza prin parole, certificate digitale, smart card-uri sau date biometrice. Protectie Anti-Replay: detecteaza si rejecteaza pachetele rejucate (replayed) si ajuta la prevenirea falsificarii (spoofing). Verifica fiecare pachet sa fie unic si nu duplicat. Compara numarul de secventa a pachetelor receptionate cu o fereastra glisanta de la destinatie sau security gateway. Pachetele cu un numar de secventa care este inaintea ferestrei glisante sunt considerate intarziate sau duplicate si sunt eliminate.

11 VPN Tunneling Incapsuleaza un pachet intr-un alt pachet si transmite noul pachet peste o retea

12 Passenger protocol: protocolul peste care au fost transportate (IPX, AppleTalk, IPv4, IPv6) protocolul care este incapsulat

13 Encapsulating protocol
protocolul care este infasurat peste datele originale (GRE, IPSec, L2F, PPTP, L2TP)

14 Carrier protocol: transport protocol
protocolul peste care circula informatia (Frame Relay, ATM, MPLS) protocolul folosit pentru a transporta protocolul incapsulat

15 Integritatea datelor in VPN
Criptarea datelor face imposibila citirea acestora pentru receptorii neautorizati Pentru ca sa functioneze criptarea, atat transmitatorul cat si receptorul trebuie sa cunoasca regulile folosite la transformarea mesajului original in forma sa codata Regulile de criptare VPN includ un algoritm si o cheie Un algoritm este o functie matematica care combina un mesaj, text, digiti, sau toate trei cu o cheie Gradul de securitate furnizat de un algoritm de criptare depinde de lungimea cheii

16 Criptarea simetrica Symmetric key encryption sau secret key encryption
Necesita o shared secret key pentru a efectua criptarea si decriptarea Fiecare din cele doua calculatoare trebuie sa cunoasca cheia pentru a decodifica informatia Fiecare calculator cripteaza informatia inainte de a o trimite peste retea celuilalt calculator Necesita cunoasterea calculatoarelor care comunica astfel incat aceeasi cheie sa fie configurata pe fiecare calculator Exemple: Data Encryption Standard (DES), Triple DES (3DES), Advanced Encryption Standard (AES)

17 Criptarea asimetrica Foloseste chei diferite pentru criptare si decriptare Public key encryption este o varianta de criptare asimetrica care foloseste o combinatie de o cheie privata si o cheie publica Receptorul da o cheie publica oricarui transmitator cu care doreste sa comunice Transmitatorul foloseste o cheie privata combinata cu cheia publica a receptorului pentru a cripta mesajul Transmitatorul trebuie sa ofere cheia publica proprie receptorului Pentru a decripta mesajul receptorul va folosi cheia publica a transmitatorului cu propria cheie privata Exemplu: Rivest, Shamir, and Adleman (RSA)

18 Hash sau message digest
Hash-urile contribuie la integritatea datelor si autentificare asigurand ca persoanele neautorizate nu manipuleaza mesajele transmise Este un numar generat dintr-un sir de text Transmitatorul original genereaza un hash al mesajului si il trimite impreuna cu mesajul Receptorul decripteaza mesajul si hash-ul, produce un alt hash din mesajul receptionat si compara cele doua hash-uri. Daca sunt identice receptorul poate fi suficient de sigur asupra faptului ca integritatea mesajului nu a fost afectata

19 VPN-urile folosesc un cod de autentificare a mesajelor pentru a verifica integritatea si autenticitatea unui mesaj, fara a folosi vreun mecanism suplimentar - hashed message authentication code (HMAC) HMAC are doi parametri: un mesaj de intrare si o cheie secreta cunoscuta doar transmitatorului si receptorilor destinati Algoritmi HMAC Message Digest 5 (MD5) Secure Hash Algorithm 1 (SHA-1)

20 Sunt doua metode de autentificare:
Dispozitivul de la capatul tunelului VPN trebuie sa fie autentificat inainte de a fi considerata securizata calea de comunicatie Sunt doua metode de autentificare: Pre-shared key (PSK) RSA signature

21 IPsec Introducere Protocoale de securitate Internet Key Exchange

22 Introducere Suita de protocoale pentru securizarea comunicatiilor IP
Framework de standarde deschise Lucreaza la nivel retea Protejeaza tot traficul la nivel aplicatie Header de nivel 3 plaintext, nu ridica probleme la rutare Functioneaza peste toate protocoalele de nivel 2

23 Format din 5 blocuri: Protocolul IPsec: Encapsulating Security Payload (ESP) sau Authentication Header (AH) Confidentialitate: DES, 3DES, AES sau Software-Optimized Encryption Algorithm (SEAL) Integritate: MD5 sau SHA Modul in care este stabilita shared secret key: pre-shared (PSK) sau digitally signed folosind RSA Grupul algoritmului DH: DH1, DH2, DH5 sau DH7

24 Poate securiza o cale intre:
Permite alegerea algoritmilor folositi pentru implementarea seviciilor de securitate Nu este legat de algoritmi specifici, permite implementarea altor algoritmi Poate securiza o cale intre: doua gateway-uri doua host-uri un gateway si un host

25 Functii de securitate furnizate:
Confidentialitate – prin criptare Integritate – prin algoritmi hash Autentificare – foloseste Internet Key Exchange (IKE) pentru autentificare. IKE foloseste username si password, one-time password, biometrics, pre-shared keys (PSKs) si certificate digitale Schimb securizat de chei – prin algoritmul DH

26 Protocoale de securitate
Protocoalele framework-ului IPsec sunt Authentication Header (AH) si Encapsulating Security Payload (ESP) AH Asigura autentificare si integritate Nu asigura confidentialitate, datele nu sunt criptate ESP Asigura confidentialitate, datele sunt criptate

27 ESP si AH pot fi aplicate in mod transport sau mod tunnel
Modul transport Securitatea este asigurata de la nivelul transport pana la nivelul aplicatie Headerul IP ramane plaintext si este folosit pentru rutarea pachetului

28 Modul tunnel Securitatea este asigurata pentru intregul pachet IP
Pachetul IP este incapsulat intr-un alt pachet IP (IP-in-IP encryption) Noul header IP este folosit pentru rutarea pachetului

29 Internet Key Exchange IPsec VPN negociaza parametri schimbului cheilor, stabileste o cheie shared, autentifica perechea si negociaza parametri criptarii Parametri negociati intre doua dispozitive sunt cunoscuti ca security association (SA) IPsec foloseste protocolul Internet Key Exchange (IKE) pentru a stabili procesul de schimb al cheilor IKE foloseste protocolul UDP, portul 500 IKE combina Internet Security Association and Key Management Protocol (ISAKMP) si metodele de schimb al cheilor Oakley si Skeme

30 Oakley si Skeme au definite cinci grupuri de chei
ISAKMP defineste formatul mesajului, mecanica protocolului de schimb al cheilor si procesul de negociere pentru a construi un SA pentru IPsec ISAKMP nu defineste modul in care cheile sunt administrate sau partajate Oakley si Skeme au definite cinci grupuri de chei Pentru a stabili un canal de comunicatie securizat IKE executa doua faze Faza 1 – Negocierea initiala a SA-urilor. Negocierea seturilor de politici IKE, autentificarea perechilor si setarea unui canal securizat intre perechi Faza 2 – SA-urile sunt negociate de ISAKMP

31 Pasii IPsec Pas 1 Host A transmite trafic interesant destinat Host-ului B. Pas 2 IKE Phase 1 autentifica perechile IPsec si negociaza IKE SA-urile pentru a crea un canal de comunicatii securizat pentru negocierea IPsec SA-urilor in Faza 2. Pas 3 IKE Phase 2 negociaza parametrii IPsec SA si creaza IPsec SA-uri potrivite in perechi pentru a proteja datele si mesajele schimbate intre punctele finale. Pas 4 Are loc transferul de date intre perechile IPsec pe baza parametrilor IPsec si a cheilor stocate in baza de date SA. Pas 5 Terminarea tunelului IPsec este realizata de SA-uri prin stergere sau expirare.

32 Studiu de caz Configurarea unui Site-to-Site VPN
IPsec VPN tunnel intre R1 si R3

33 Verificarea conectivitatii intre LAN R1 si LAN R3

34 Activarea politicilor IKE pe R1 si R3
Definirea parametrilor din politica IKE IKE foloseste acesti parametri in timpul negocierii pentru a stabili perechi ISAKMP intre doua puncte IPsec R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 R3(config)# crypto isakmp enable R3(config)# crypto isakmp policy 10

35 Configurarea parametrilor politicilor ISAKMP pe R1 si R3
R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# hash sha R1(config-isakmp)# group 5 R1(config-isakmp)# lifetime 3600 R3(config)# crypto isakmp policy 10 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# hash sha R3(config-isakmp)# group 5 R3(config-isakmp)# lifetime 3600

36 Configurarea cheilor pre-shared
Cheia trebuie configurata daca authentication pre-share a fost configurata in ISAKMP policy R1(config)# crypto isakmp key cisco123 address R3(config)# crypto isakmp key cisco123 address

37 Configurarea IPsec transform set si life times
Un set de transformari este o combinatie de transformari IPsec individuale (transformare AH, transformare ESP, mod IPsec – tunnel sau transport) R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R1(config)# crypto ipsec security-association lifetime seconds 1800 R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R3(config)# crypto ipsec security-association lifetime seconds 1800

38 Definirea traficului interesant
Identifica traficul care va fi protejat R1(config)# access-list 101 permit ip R3(config)# access-list 101 permit ip

39 Crearea si aplicarea crypto map
Intrarile crypto map combina parametri de configurare ai IPsec SA-urilor Crypto map se aplica interfetei de iesire a VPN-ului R1(config)# crypto map CMAP 10 ipsec-isakmp R1(config-crypto-map)# match address 101 R1(config-crypto-map)# set peer R1(config-crypto-map)# set pfs group5 R1(config-crypto-map)# set transform-set 50 R1(config-crypto-map)# set security-association lifetime seconds 900 R1(config-crypto-map)# exit R1(config)# interface fastEthernet 0/1 R1(config-if)# crypto map CMAP R3(config)# crypto map CMAP 10 ipsec-isakmp R3(config-crypto-map)# match address 101 R3(config-crypto-map)# set peer R3(config-crypto-map)# set pfs group5 R3(config-crypto-map)# set transform-set 50 R3(config-crypto-map)# set security-association lifetime seconds 900 R3(config-crypto-map)# exit R3(config)# interface fastEthernet 0/1 R3(config-if)# crypto map CMAP

40 Verificarea operarii IPsec VPN

Download ppt "Virtual Private Networks"

Similar presentations

Virtual Private Networks. Cuprins Introducere Tipuri de VPN-uri Componentele VPN Caracteristicile Secure VPN-urilor VPN Tunneling Integritatea datelor.

Virtual Private Networks. Cuprins Introducere Tipuri de VPN-uri Componentele VPN Caracteristicile Secure VPN-urilor VPN Tunneling Integritatea datelor.
Chapter 13 IPsec. IPsec (IP Security)  A collection of protocols used to create VPNs  A network layer security protocol providing cryptographic security.

Chapter 13 IPsec. IPsec (IP Security)  A collection of protocols used to create VPNs  A network layer security protocol providing cryptographic security.
Curs 6 – IPsec, atacuri cu exploatarea increderii

Curs 6 – IPsec, atacuri cu exploatarea increderii
1 IP VPN Nikolay Scarbnik. 2 Agenda Introduction………………………………………………………….3 VPN concept definition……………………………………………..4 VPN advantages……………...…………………………………….5.

1 IP VPN Nikolay Scarbnik. 2 Agenda Introduction………………………………………………………….3 VPN concept definition……………………………………………..4 VPN advantages……………...…………………………………….5.
Configuration of a Site-to-Site IPsec Virtual Private Network Anuradha Kallury CS 580 Special Project August 23, 2005.

Configuration of a Site-to-Site IPsec Virtual Private Network Anuradha Kallury CS 580 Special Project August 23, 2005.
© 2007 Cisco Systems, Inc. All rights reserved.ISCW-Mod3_L7 1 Network Security 2 Module 6 – Configure Remote Access VPN.

© 2007 Cisco Systems, Inc. All rights reserved.ISCW-Mod3_L7 1 Network Security 2 Module 6 – Configure Remote Access VPN.
Creating an IPsec VPN using IOS command syntax. What is IPSec IPsec, Internet Protocol Security, is a set of protocols defined by the IETF, Internet Engineering.

Creating an IPsec VPN using IOS command syntax. What is IPSec IPsec, Internet Protocol Security, is a set of protocols defined by the IETF, Internet Engineering.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Chapter 7: Securing Site-to-Site Connectivity Connecting Networks.

© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Chapter 7: Securing Site-to-Site Connectivity Connecting Networks.
What Is Needed to Build a VPN? An existing network with servers and workstations Connection to the Internet VPN gateways (i.e., routers, PIX, ASA, VPN.

What Is Needed to Build a VPN? An existing network with servers and workstations Connection to the Internet VPN gateways (i.e., routers, PIX, ASA, VPN.
RE161 111 © 2003, Cisco Systems, Inc. All rights reserved.

RE © 2003, Cisco Systems, Inc. All rights reserved.
© 2006 Cisco Systems, Inc. All rights reserved. Network Security 2 Module 3: VPN and Encryption Technology.

© 2006 Cisco Systems, Inc. All rights reserved. Network Security 2 Module 3: VPN and Encryption Technology.
© 2003, Cisco Systems, Inc. All rights reserved. FNS 1.0—14-1 111 © 2003, Cisco Systems, Inc. All rights reserved.

© 2003, Cisco Systems, Inc. All rights reserved. FNS 1.0— © 2003, Cisco Systems, Inc. All rights reserved.
1 Chapter 8 Copyright 2003 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.

1 Chapter 8 Copyright 2003 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.
Implementing Secure Converged Wide Area Networks (ISCW) Module 3.2.

Implementing Secure Converged Wide Area Networks (ISCW) Module 3.2.
2003-2004 - Information management 1 Groep T Leuven – Information department 1/26 IPSec IP Security (IPSec)

Information management 1 Groep T Leuven – Information department 1/26 IPSec IP Security (IPSec)
1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved. CNIT 221 Security 2 Module 3 City College of San.

1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved. CNIT 221 Security 2 Module 3 City College of San.
Generic Routing Encapsulation GRE  GRE is an OSI Layer 3 tunneling protocol: Encapsulates a wide variety of protocol packet types inside.

Generic Routing Encapsulation GRE  GRE is an OSI Layer 3 tunneling protocol: Encapsulates a wide variety of protocol packet types inside.
© 2006 Cisco Systems, Inc. All rights reserved. Network Security 2 Module 4: Configuring Site to Site VPN with Pre-shared keys.

© 2006 Cisco Systems, Inc. All rights reserved. Network Security 2 Module 4: Configuring Site to Site VPN with Pre-shared keys.
Virtual Private Network. ATHENA Main Function of VPN  Privacy  Authenticating  Data Integrity  Antireplay.

Virtual Private Network. ATHENA Main Function of VPN  Privacy  Authenticating  Data Integrity  Antireplay.
Virtual Private Network Chapter 4. Lecturer : Trần Thị Ngọc Hoa2 Objectives  VPN Overview  Tunneling Protocol  Deployment models  Lab Demo.

Virtual Private Network Chapter 4. Lecturer : Trần Thị Ngọc Hoa2 Objectives  VPN Overview  Tunneling Protocol  Deployment models  Lab Demo.

Similar presentations

Ads by Google