Sieci wirtualne VLAN – cz. I

Sieci wirtualne VLAN – cz. I
Dzięki zastosowaniu sieci VLAN można ograniczyć ruch
rozgłoszeniowy do danej sieci VLAN, tworząc tym samym
mniejsze domeny rozgłoszeniowe.
Przykładowo celu zaimplementowania przypisania do sieci VLAN
zastosowano przyporządkowanie fizyczne portów.
. Porty P0, P1 i P4 zostały przypisane do sieci VLAN 1.
Porty P2, P3 i P5 należą do sieci VLAN 2
Dom ena
ro z g ło s z e n io w a
V LAN 1
R o u te r
P 4
I B M C o m p a t ib le
Dom ena
ro z g ło s z e n io w a
V LAN 2
P 2
P 5
P 0
I B M C o m p a t ib le
S w it c h
P 1
I B M C o m p a t ib le
P 3
I B M C o m p a t ib le
Sieci wirtualne VLAN – cz. II
Technologia VLANów polega na grupowaniu portów switchy,
MAC adresów stacji lub numerów w podramce IEEE 802.1q na
rozdzielne podzbiory.
Komunikacja między sieciami VLAN 1 i VLAN 2 może odbywać się
tylko za pośrednictwem routera. Dzięki temu ogranicza się rozmiar
domeny rozgłoszeniowej i wykorzystuje się router w celu ustalenia, czy
sieć VLAN 1 może porozumieć się z siecią VLAN 2.
Sieci wirtualne VLAN – cz. III
Celem segmentacji sieci lokalnej na VLANy jest:
stworzenie w ramach jednej fizycznej sieci obszarów, które nie
będą dostępne z pozostałych jej części, dla podniesienia
bezpieczeństwa informacji w nich zgromadzonych i przesyłanych,
ograniczenie
przestrzeni
broadcastowych;
przy
zwiększaniu tych przestrzeni
rośnie w całej sieci liczba
danych
o
charakterze
technicznym, które w skrajnym
wypadku mogą spowodować
wzrost obciążenia switchy,
gdyż proces replikacji pakietów
broadcastowych dla wysłania
ich wszystkimi portami jest
procesem
pochłaniającym
znaczne zasoby.
S e r w is
H an d el
K ad ry
I B M C o m p a t ib le
P o z io m 3
I B M C o m p a t ib le
H ub
I B M C o m p a t ib le
P o z io m 2
I B M C o m p a t ib le
R o u te r
H ub
I B M C o m p a t ib le
I B M C o m p a t ib le
P o z io m 1
H ub
I B M C o m p a t ib le
I B M C o m p a t ib le
I B M C o m p a t ib le
Sieci wirtualne VLAN – cz. IV
Przy podjęciu decyzji na temat ewentualnego podziału
sieci na VLANy, należy wziąć pod uwagę następujące
fakty:
W sieciach VLAN bazujących na portach przypisujemy każdy port
przełącznika do określonej sieci VLAN. Ważne jest, żeby
przyporządkowanie portu do sieci VLAN zgadzało się z przypisaniem
przyłączonego do niego hosta do określonej podsieci
Zastosowanie hubów ogranicza możliwość definiowania VLANów
opartych na topologii sieci a nie na MAC adresach.
Transmisja danych między VLANami możliwa jest przez routery,
które posiadają ograniczoną przepustowość. Próby nadzorowania
ruchu między VLANami pociągają za sobą dodatkowe obciążenie tych
urządzeń i efektywne zmniejszenie ich przepustowości. Z drugiej
strony, zezwolenie na ruch między VLANami bez ograniczeń
powoduje rezygnację z jednej z najważniejszych cech VLANów.
Podział sieci LAN na podsieci – cz. I
Urządzenia warstwy trzeciej (warstwy sieci), takie jak
routery, mogą być stosowane w celu tworzenia unikatowych
segmentów sieci LAN i umożliwienia komunikacji między
segmentami w oparciu o adresowanie warstwy trzeciej, na
przykład adresowanie IP.
Zastosowanie urządzeń warstwy trzeciej, takich jak routery,
pozwala na podzielenie sieci LAN na niezależne sieci fizyczne i
logiczne.
Routery pozwalają także na nawiązanie połączeń z sieciami
rozległymi (WAN ang. Wide Area Network), takimi jak Internet.
Cele jakie powinno się postawić przy projektowaniu warstwy
trzeciej sieci LAN:
utworzyć między segmentami sieci LAN ścieżkę, filtrującą przepływ
pakietów danych,
odseparować transmisje rozgłoszeniowe, np. protokołu ARP,
odseparować kolizje między segmentami.
Podział sieci LAN na podsieci – cz. II
Liczba bitów
Liczba hostów w
Format kropkowa dziesiętny
Liczba sieci
0
255.255.255.0
1
254
1
255,255.255.128
2
126
2
255.255.255.192
4
62
3
255.255.255.224
8
30
4
255.255.255.240
16
14
5
255.255.255.248
32
6
6
255.255.255.252
64
2
w masce podsieci
Dzielenie sieci na
podsieci.
każdej sieci
Tworzenie podsieci za pomocą
masek podsieci.
Przykładowe granice podsieci.
R o u te r
S w it c h
S w it c h
S w it c h
S ie ć 1
S ie ć 2
S ie ć 3
Podsieć
Adres sieciowy
Adres rozpowszechniania
Zakres adresów hosta
0
192.157.12.0
192.157.12.31
192.157.12.1 – 192.157.12.30
1
192.157.12.32
192.157.12.63
192.157.12.33 – 192.157.12.62
2
192.157.12.64
192.157.12.95
192.157.12.65 – 192.157.12.94
3
192.157.12.96
192.157.12.127
192.157.12.97. – 192.157.12.126
4
192.157.12.128
192.157.12.159
192.157.12.129 – 192.157.12.158
5
192.157.12.160
192.157.12.191
192.157.12.161 – 192.157.12.190
6
192.157.12.192
192.157.12.223
192.157.12.193 – 192.157.12.222
7
192.157.12.224
192.157.12.255
192.157.12.223 – 192.157.12.254
Zadania protokołów tunelowania
• Zestawienie połączenia (tunelu) między klientem a serwerem
• Enkapsulacja oryginalnych pakietów
• Zastosowanie metod szyfrowania i autentykacji przesyłanych
danych
• Kontrola i sterowanie połączeniem
• Dekapsulacja przesyłanych pakietów
Podział protokołów tunelowania
Protokół PPP
Główne składniki:
●
●
●
metody kapsułkowania datagramów wieloprotokołowych
protokół LCP (Link Control Protocol) – zarządzanie stanami
łącza (otwarcie, utrzymanie i zamknięcie) oraz negocjowanie
opcji łącza
zbiór protokołów NCP (Network Control Protocols)
obsługujące protokoły warstwy wyższej
Połączenia PPP
1. Zarządzanie fizycznym
połączeniem (LCP) – wybór sposobu
autoryzacji oraz możliwości
kompresji i szyfrowania (1,2).
2. Faza identyfikacji (3).
3. Konfiguracja parametrów
ustanowionych w fazie pierwszej
(NCP) (4,5).
4. Przesyłanie datagramów
otrzymanych z warstwy wyższej (6).
5. Zamykanie połączenia.
Metody autoryzacji PPP – cz. I
•
PAP (Password Authentication Protocol)
– Serwer żąda nazwy użytkownika oraz hasła
– Hasła przesyłane w sposób nieszyfrowany
– Niedostateczne bezpieczeństwo danych
•
CHAP (Challange-Handshake Authentication Protocol)
– Serwer wysyła wezwanie autentykacji o zawartości Session
ID i losowego ciągu znaków
– Klient generuje (MD5 ) wartość skrótu używając Session ID,
losowego ciągu znaków i hasła i wraz z User ID odsyła
– Serwer generuje wartość skrótu na podstawie tych samych
danych, porównując z nadesłanymi
Metody autoryzacji PPP – cz. II
•
MS-CHAP (Microsoft CHAP)
•
– Modyfikacja CHAP
– Wykorzystanie algorytmu MD4
– Klient wysyła w celu autoryzacji jedynie skrót hasła
– Serwer przechowuje obliczony skrót hasła
EAP
– Zapewnia największy poziom bezpieczeństwa autentykacji
– Elastyczny
– Możliwość korzystania z tokenów, haseł jednorazowych,
certyfikatów, kluczy publicznych z użyciem kart
inteligentnych
Protokół PPTP
• Rozszerzenie PPP
• Pozwala wysyłać nie tylko pakiety IP ale również IPX,
NetBEUI
• Szerokie zastosowanie w Internecie jak i prywatnych sieciach
korporacyjnych
• Zawiera mechanizmy szyfrowania oparte o algorytm RSA
Pakiet PPTP
•
•
•
•
•
Aplikacja kliencka generuje dane
przeznaczone do wysłania.
Oprogramowanie PPTP szyfruje je
i/lub kompresuje, a następnie dopisuje
do nich nagłówek PPP.
Do powstałej ramki PPTP dopisywany
jest jest kolejny nagłówek, tym razem
GRE – zapewnia transport między
dwoma końcami tunelu
Pakiet PPTP jest przekazywany pod
kontrolę stosu TCP/IP i otrzymuje
nagłówek IP.
Datagram umieszczany jest w ramce
łącza danych, której format określa
architektura warstwy fizycznej.
Połączenia PPTP
• Połączenie i komunikacja z
dostawcą usług poprzez
PPP, który ustala łącze i
szyfruje pakiety przenoszące
dane
• Sterowanie połączeniem
PPTP – tworzenie drugiego
połączenia od klienta PPTP
do serwera PPTP przy
wykorzystaniu wiadomości
sterujących zawartych w
segmentach TCP
• Tunelowanie danych –
tworzenie datagramów IP,
zawierających zaszyfrowane
pakiety i przesyłanie ich
przez tunel do serwera PPTP
Protokół L2F
•
•
•
•
•
•
Standard Cisco
Umożliwia przesyłanie ramek PPP między routerami
Autentykacja za pomocą CHAP i EAP
Umożliwia tworzenie wielu tuneli
Tworzy wirtualne połączenia dial-up p2p
Obsługuje sieci IP, FR, X.25, ATM
Protokół L2TP
• Połączenie protokołów PPTP i L2F.
• Obsługuje nie tylko sieci IP ale również X.25, Frame
Relay, ATM.
• Stosuje dwa typy wiadomości: danych i sterujących.
• Może obsługiwać wiele tuneli.
• Umożliwia kompresję nagłówka
• Korzysta z mechanizmów IPSec do szyfrowania danych
Połączenia L2TP
Budowa pakietu L2TP
Protokół IPSec
• Podstawowy protokół szyfrujący warstwy 3 OSI
używany w VPN
• Wbudowany w IPv6
• Obsługuje jedynie protokół IP
• Zapewnia integralność i poufność danych
• Przezroczysty dla protokołów warstw wyższych
Elementy składowe IPSec
•
Internet Key Exchange (IKE) – służy do negocjacji
parametrów połączenia i obsługuje wymianę kluczy oraz
naprawę i zamykanie połączenia.
•
Encapsulated Security Payload (ESP) – zapewnia szyfrowanie
i ochronę integralności danych (dane warstwy wyższej, bez
nagłówka IP), pracuje w dwóch trybach.
•
Authentication Header (AH) – zapewnia autentykację danych,
zarówno enkapsulowanego protokołu warstwy wyższej, jak i
części nagłówka IP, ochroną objęte są te pola nagłówka które
nie ulegają zmianie podczas wędrówki przez sieć.
Tryby pracy IPSec
Tryb transportowy
- chroni protokoły i aplikacje
wyższych warstw
- używany wyłącznie w
sieciach lokalnych
Tryb tunelowy
- chroni cały datagram IP
- przenosi ruch generowany
przez wielu klientów
Tryb pracy ESP w IPSec – cz. I
–
Tryb transportowy:
●
w datagramie z nagłówkiem ESP umieszczany jest pakiet
warstwy transportowej,
●
jest oszczędniejszy, gdyż nie wymaga szyfrowania
nagłówka IP
Tryb pracy ESP w IPSec – cz. II
–
Tryb tunelowy:
●
●
●
odszukuje klucz szyfrowania i zaszyfrowuje nim oryginalny datagram
zawierający nagłówek ESP, a następnie umieszcza go w datagramie z
jawnym nagłówkiem,
odbiorca usuwa jawny nagłówek, odszukuje klucz, a następnie deszyfruje
datagram ESP,
tryb tunelowania zapewnia przeźroczystość dla użytkownika oraz
uniemożliwia postronnemu obserwatorowi stwierdzenia między jakimi
adresami IP ustanowiony jest tunel
Tryby pracy AH w IPSec
Tryby pracy:
– Transportowy: nagłówek AH umieszczony pomiędzy nagłówkiem
IP a TCP. Pozostaje oryginalny nagłówek IP.
– Tunelowy: tworzony jest nowy nagłówek IP, chroniony jest cały
pakiet łącznie z oryginalnym nagłówkiem IP.
Porównanie protokołów tunelujących
Serwery VPN a sieci LAN – cz. I
Serwer VPN może znajdować się przed firewallem i mieć bezpośrednie
połączenie z Internetem lub między siecią lokalną a „ścianą ogniową”.
Uruchomienie serwera VPN przed firewallem wymaga
odpowiedniego skonfigurowania filtrowania pakietów, tak
aby przepuszczane były tylko pakiety z i do kanału VPN.
Po odszyfrowaniu pakietów serwer VPN przekazuje je do
firewalla, który pozwoli na ich transport do wewnętrznej
sieci. Ruch przychodzący z serwera VPN jest generowany
tylko przez uwierzytelnionych klientów, dlatego filtrowanie
na zaporze może być użyte do ochrony przed ich
dostępem
do
niektórych
specjalnych
zasobów
wewnętrznych. Z drugiej strony, ponieważ dowolny ruch z
Internetu musi przejść przez serwer VPN, można w ten
sposób ograniczyć dostęp do intranetowych usług FTP lub
WWW tylko do użytkowników VPN
Serwery VPN a sieci LAN – cz. II
Znacznie częściej spotykaną konfiguracją jest umieszczenie
serwera
VPN
za ścianą ogniową w tzw. strefie
zdemilitaryzowanej (DMZ – ang. Demilitarized Zone). W takiej
konfiguracji serwer VPN ma jedną kartę sieciową połączoną ze
strefą DMZ, a drugą z intranetem. Ponieważ oprogramowanie
ściany ogniowej nie używa algorytmów szyfrujących, ani nie zna
wykorzystywanych przez VPN kluczy, może jedynie filtrować i
przetwarzać zewnętrzne nagłówki tunelowanych pakietów.
Oznacza to, że w rzeczywistości wirtualny tunel przebiega
również przez firewall. Nie osłabia to jednak bezpieczeństwa,
gdyż połączenie VPN wymaga autoryzacji.