virtual private network

Virtual Private NetworkVirtual Private Network

Sabine VaSabine Va n Canegemn Canegem

Sabine Van Canegem - 3BO - InformaticaSabine Van Canegem - 3BO - Informatica 22

Inleiding : het principe VPNInleiding : het principe VPN

EilandEiland

EilandEiland

EilandEiland EilandEilandEilandEiland

EilandEiland

EilandEiland

EilandEiland

EilandEiland

Het bootje vaart van eiland tot eiland. Iedereen kan zien wat er in het bootje wordt meegenomen.

Internet

LAN: Local Area Network

Connectie

Geen vertrouwelijkheid tussen 2 private netwerken


EilandEiland

EilandEiland

EilandEiland


EilandEilandEilandEiland

EilandEiland

EilandEiland

EilandEiland

EilandEiland

Een brug bouwen en onderhouden is duur

Internet

LAN: Local Area Network

Leased Lines

Er is nood aan een veilige manier om kantoren te verbinden Maar hoe groter de afstand, hoe hoger de kosten.

Daarom is een brug naar een verder gelegen eiland niet realiseerbaar.


EilandEiland

EilandEiland

EilandEiland


EilandEilandEilandEiland

EilandEiland

EilandEiland

EilandEiland

EilandEiland

Elke bewoner krijgt een duikbootje.

Internet

LAN: Local Area NetworkVPN

Dit is het principe van VPN. Een veilige communicatie tussen netwerken zonder dat de geografische afstand daartussen de kosten opdrijft.

Dit duikbootje heeft de volgende eigenschappen :•Snel•Makkelijk mee te nemen•Verbergt passagier en bagage•Vertrouwbaar•Goedkoop aan te kopen na eerste aankoop


Definitie van VPNDefinitie van VPN

Een VPN is een uitbreiding van het LAN (Local Area Network = privaat netwerk) dat een publiek netwerk, doorgaans internet, gebruikt om verschillende sites en gebruikers te verbinden.

VPN gebruikt “virtuele connecties” om van het privaat netwerk van de onderneming door het internet gerout te worden naar de externe site of gebruiker.


Het principe RouterHet principe Router

Wanneer je een email verstuurt naar een collega, hoe komt het dat dit berichtje terecht komt in de mailbox van jouw collega ipv te verschijnen in één van die miljoenen andere mailboxen ?

Dit stukje technologie hebben we te danken aan de router die berichten laten stromen tussen verschillende netwerken door ipv te laten stromen in een netwerk.We leggen dit uit aan de hand van een voorbeeld.


PC

PC

PC

PC

PC

PC

PC

PC

Switch Switch

Internet

Router

Het principe RouterHet principe RouterG

roep

AG

roep

B

Netwerk


Hoe gebeurd verzending ?Hoe gebeurd verzending ?

Bij een telefoongesprek wordt een stabiel circuit gebouwdVerschillende stappen worden gerealiseerdElk van deze stappen blijven constant gedurende gesprekMaar wanneer één van deze stappen een probleem ervaartWordt het gesprek abrupt onderbroken

Bij het versturen van een email wordt een ander systeem toegepast



Verdeeld in packets

Elk packet wordt individueel verstuurdMogelijks elk via een verschillende route


Packet-switched network




Verdeeld in packets

Elk packet wordt individueel verstuurdMogelijks elk via een verschillende route

Bericht wordt gereassembleerd


Verzending : ProtocolsVerzending : Protocols

Protocol

Protocols = aantal regels en afspraken waaraan 2 computers zich moeten houden om met elkaar te kunnen communiceren (vb. IP, HTTP,…)Router = geprogrammeerd om deze protocols te begrijpen :• kent format van de adressen en grootte van het basispacket• weet hoe de packets te reassembleren• laat deze packets op de juiste bestemming aankomen• Via de best mogelijke route


Verzending : BeveiligingVerzending : Beveiliging•Beveiliging van vertrouwelijke informatie : Firewall

Een firewall vormt een soft- of hardwarematige muur tussen het private netwerk en het internet. Verschillende regels kunnen geïmplementeerd worden zoals het aantal open poorten te limiteren, welke types van packets er door zijn gegaan en welke soort protocols er door mogen gaan.


Verzending van berichtenVerzending van berichten•Beveiliging van vertrouwelijke informatie : Encryptie

Dit is het proces waarbij alle data dat van de ene computer verstuurd wordt naar de andere, geëncodeerd wordt in een formaat dat enkel de geadresseerde computer kan decoderen. Hierin onderscheiden we 2 categoriën :

•Symmetric-key encryption : Elke computer heeft een geheime code die hij gebruikt om de data te encoderen vooraleer het over het netwerk verstuurd wordt naar de andere computer. Een vereiste is wel dat de andere computer deze code ook heeft om het bericht opnieuw te decoderen.•Public-key encryption : deze methode gebruikt de combinatie van een private code en een publieke. De private code is enkel gekend door jouw computer terwijl de publieke code door jouw computer verstuurd wordt aan de andere computer waar hij veilig mee wil communiceren. Om dus een geëncodeerd bericht te decoderen moet de computer deze gekregen publieke code gebruiken samen met zijn eigen individuele private code.


Verzending : Beveiliging (Vb.)Verzending : Beveiliging (Vb.)

1. Een file wordt aangemaakt (in dit geval een email)

IOIOIOIOIIIOIOIIOIIOIIOIOOOIOOIIIOIOIOIIIOIOIOIOOOIOIIIOIOIIOIOIIOIIIOIIIOIOOIOIIOOIOOIIIOIOOOIIOIOIOOIIIOIOOOOIOIIOOOIOOIOIOIOIOIOIIOIOOOIOOIOIOIOIOIOIOIOOIOIIOIOOIOIIOIIOIOOIOOOIOIIOIIOIOIOIIOIOIOOIOIOIOIOIOIIOIOOIIIIOIOOOIIOOIOOIOIOIOOIIOIOOOOOIOIOIOIOOOOIOIOOIOIOIOIOIOIOIIIIIIIIIOOOIOOOIOOOIOOIIIIOOIOOOIOOIOOIOIIIOIOOOIOOOIOIOIOIOIOIOIOIOIIOIOIOOIOIOIOIOIOIOII

2. De file wordt gecodeerd (met symmetric key encription)



4. De beide gecodeerde files (file en symm. key) worden verstuurd naar de ontvangende computer

3.De symmetric key is gecodeerd met de public key van de ontvangende computer



5. De ontvangende computer gebruikt zijn private key om de symm. key te decoderen


Verzending : Beveiliging (Vb.)Verzending : Beveiliging (Vb.)6. De ontvangende computer gebruikt daarna de bijgesloten symm. key om de originele file te decoderen.

7. De gebruiker kan nu de inhoud van de file lezen

IOIOIOIOIIIOIOIIOIIOIIOIOOOIOOIIIOIOIOIIIOIOIOIOOOIOIIIOIOIIOIOIIOIIIOIIIOIOOIOIIOOIOOIIIOIOOOIIOIOIOOIIIOIOOOOIOIIOOOIOOIOIOIOIOIOIIOIOOOIOOIOIOIOIOIOIOIOOIOIIOIOOIOIIOIIOIOOIOOOIOIIOIIOIOIOIIOIOIOOIOIOIOIOIOIIOIOOIIIIOIOOOIIOOIOOIOIOIOOIIOIOOOOOIOIOIOIOOOOIOIOOIOIOIOIOIOIOIIIIIIIIIOOOIOOOIOOOIOOIIIIOOIOOOIOOIOOIOIIIOIOOOIOOOIOIOIOIOIOIOIOIOIIOIOIOOIOIOIOIOIOIOII


Verzending van berichtenVerzending van berichten•Beveiliging van vertrouwelijke informatie : IPSec

(Internet Protocol Security Protocol) Heeft 2 verschillende encryptie mogelijkheden : tunnel en transport. Tunneling maakt gebruik van 3 verschillende protocols :

Carrier protocol: het protocol dat gebruikt wordt door het netwerk waarover de data stroomt. Encapsulating protocol: het protocol dat verpakt wordt rond de originele data. Passenger protocol: De originele data dat verstuurd wordt.

Carrier protocol:

Encapsulating protocol:

Passenger protocol:


Soorten VPNSoorten VPNSite-to-Site Remote-access


Soorten VPN : Remote-Soorten VPN : Remote-AccessAccess

Ofwel VPDN (Virtual Private dial-up network)Dit is een user-to-LAN connectie.

ESP (Enterprise Service Provider) zet een NAS op (Network Access Server) en installeert de nodigeSoftware op de computers van de gebruiker.

Deze belt dan via een gratis nummer in op de NAS en gebruikt de VPN software om access te krijgen tot het LAN.


PC

PC

PC

PC

PC

Generic Routing Encapsulation

Soorten VPN : Site-to-siteSoorten VPN : Site-to-siteIntranet : Eén bedrijf heeft meerdere geografische locaties.Hij verenigt deze in één privaat netwerk (intranet VPN voor LAN-to-LAN connectie).

Extranet : Een bedrijf heeft een nauwe samenwerking met leverancier/klant.Hij creëert een extranet VPN die een LAN-to-LAN connectie maakt.


Hardware VPNHardware VPN

Firewall

Router

VPN


Voordelen van VPNVoordelen van VPN

• Uitbreiden van de geografische Uitbreiden van de geografische connectiemogelijkheden ;connectiemogelijkheden ;

• Verbeteren van beveiliging;Verbeteren van beveiliging;• Verlagen van de operationele kosten vs. de Verlagen van de operationele kosten vs. de

traditionele WAN;traditionele WAN;• Verlagen van de verplaatsingskosten van reizende Verlagen van de verplaatsingskosten van reizende

werknemers;werknemers;• Verhogen van de productiviteit;Verhogen van de productiviteit;• Verstrekken van mogelijkheid tot Global Verstrekken van mogelijkheid tot Global

networking.networking.


Nadelen van VPNNadelen van VPN

• Het kan mogelijk zijn dat de huidige Het kan mogelijk zijn dat de huidige netwerkconfiguratie volledig aangepast moet netwerkconfiguratie volledig aangepast moet worden om een LAN to LAN VPN op te zetten.worden om een LAN to LAN VPN op te zetten.

• Indien door technische storing de ADSL/Kabel Indien door technische storing de ADSL/Kabel verbinding uitvalt, valt ook de VPN verbinding weg. verbinding uitvalt, valt ook de VPN verbinding weg.

• Bij Remote-Access wordt er een VPN opgezet met Bij Remote-Access wordt er een VPN opgezet met een laptop die lokaal inbelt. Deze configuratie gaat een laptop die lokaal inbelt. Deze configuratie gaat ervan uit dat er MS W2000 of NT is geïnstalleerd met ervan uit dat er MS W2000 of NT is geïnstalleerd met een ISDN modem. ISDN heeft een max van 128kbs een ISDN modem. ISDN heeft een max van 128kbs wat niet te vergelijken is met een lokaal netwerk van wat niet te vergelijken is met een lokaal netwerk van 100mbps (+/- 1000 keer zo snel!)100mbps (+/- 1000 keer zo snel!)


Hoeveel kost VPN Hoeveel kost VPN (voorbeeld)(voorbeeld)


VPN bij Tyco Thermal ControlsVPN bij Tyco Thermal Controls

Remote-Acces :VPN-server : W2000 server met RRAS (Remote Routing Access Services)Deze server authentificeert de user en laat mensen door tot het (hele) interne netwerkWij gebruiken enkel RAS, de routing wordt overgenomen door Win2000AD.

Site-to-Site:Firewalls : NOKIAFirewall Software : Checkpoint FW1Elke TTC-site heeft een firewall aan het internet. Tussen deze firewalls wordt een VPN-tunnel aangelegd. Het beheer van de VPN gebeurt door Management Station centraal gelegen die de policies verzamelt.

virtual private network

Documents