virtual private network
DESCRIPTION
Virtual Private Network. Timo Kiviharju. Yleistä. Etäyhteyksiin aikaisemmin käytetty vuokra- ja dial-up yhteyksiä VPN tarjoaa etäyhteyksiin kustannustehokkaan, nopean ja turvallisen ratkaisun Sekä software että hardware toteutuksia. Yleistä. Yhteys toteutetaan tunneloinnilla Läpinäkyvyys - PowerPoint PPT PresentationTRANSCRIPT
Virtual Private NetworkVirtual Private Network
Timo KiviharjuTimo Kiviharju
YleistäYleistä
Etäyhteyksiin aikaisemmin käytetty Etäyhteyksiin aikaisemmin käytetty vuokra- ja dial-up yhteyksiävuokra- ja dial-up yhteyksiä
VPN tarjoaa etäyhteyksiin VPN tarjoaa etäyhteyksiin kustannustehokkaan, nopean ja kustannustehokkaan, nopean ja turvallisen ratkaisunturvallisen ratkaisun
Sekä software että hardware Sekä software että hardware toteutuksiatoteutuksia
YleistäYleistä
Yhteys toteutetaan tunneloinnillaYhteys toteutetaan tunneloinnilla LäpinäkyvyysLäpinäkyvyys
Vaatimuksia Vaatimuksia • AutentikointiAutentikointi• Tiedon salausTiedon salaus• Avainten hallintaAvainten hallinta• Eri protokollien tukiEri protokollien tuki
KäyttökohteetKäyttökohteet
Etäyhteys Etäyhteys Internetin yliInternetin yli
Verkkojen Verkkojen yhdistäminen yhdistäminen Internetin yliInternetin yli
KäyttökohteetKäyttökohteet
Lähiverkon Lähiverkon salaisten salaisten segmenttien segmenttien yhdistäminenyhdistäminen
VPN tyypitVPN tyypit
Trusted VPNTrusted VPN• Vuokrataan ISP:ltä ”piiri”Vuokrataan ISP:ltä ”piiri”• Toimii kuin suora kaapeliyhteys Toimii kuin suora kaapeliyhteys • ISP:n oltava ehdottoman luotettavaISP:n oltava ehdottoman luotettava• KallisKallis• Ei tarjoa todellista tietoturvaaEi tarjoa todellista tietoturvaa
VPN tyypitVPN tyypit
Secure VPNSecure VPN• Salattu yhteysSalattu yhteys• Käyttää julkista verkkoa Käyttää julkista verkkoa
Hybrid VPNHybrid VPN• Secure ja Trusted VPN:n yhdistelmäSecure ja Trusted VPN:n yhdistelmä• Suojattu yhteys vuokratun piirin sisälläSuojattu yhteys vuokratun piirin sisällä• Yleensä vain osa liikenteestä salattuYleensä vain osa liikenteestä salattu
TunnelointiTunnelointi
OSI-malli, tasot 2 (data link) ja 3 OSI-malli, tasot 2 (data link) ja 3 (network)(network)
KapselointiKapselointi• Prokolla A:n paketti kapseloidaan protokolla Prokolla A:n paketti kapseloidaan protokolla
B:n paketiksiB:n paketiksi• Vastaanottaja purkaa kapseloinninVastaanottaja purkaa kapseloinnin
TunnelointiTunnelointi
TunnelointiprotokollatTunnelointiprotokollat• IPSecIPSec• PPTPPPTP• L2TPL2TP• L2TP / IPSecL2TP / IPSec• IPSec tunneling modeIPSec tunneling mode
IPSecIPSec
Internet Protocol SecurityInternet Protocol Security Osa IPv6:sta, toimii myös IPv4:n Osa IPv6:sta, toimii myös IPv4:n
laajennuksenalaajennuksena AutentikointiAutentikointi SalausSalaus Eheyden tarkistusEheyden tarkistus
PPTPPPTP
Point-to-Point Tunneling ProtocolPoint-to-Point Tunneling Protocol Alun perin WinNT-palvelimien Alun perin WinNT-palvelimien
tunnelointiprotokollatunnelointiprotokolla TietoturvaongelmiaTietoturvaongelmia Kehitys lopetettuKehitys lopetettu
PPTPPPTP
Kapseloi PPP-kehykset PPTP GRE-Kapseloi PPP-kehykset PPTP GRE-paketeiksi lisäämällä GRE headerinpaketeiksi lisäämällä GRE headerin
Sisältää kaksi rinnakkaista komponenttia; Sisältää kaksi rinnakkaista komponenttia; kontrolliyhteys ja datayhteyskontrolliyhteys ja datayhteys
PPTPPPTP
KontrolliyhteysKontrolliyhteys• Käyttää TCP:täKäyttää TCP:tä• Muodostetaan ennen datayhteyttä jokaisen Muodostetaan ennen datayhteyttä jokaisen
PAC-PNS parin välillePAC-PNS parin välille• Vastaa tunnelin sessioiden luomisesta, Vastaa tunnelin sessioiden luomisesta,
ylläpidosta ja purkamistaylläpidosta ja purkamista DatayhteysDatayhteys
• Vastaa PPTP-pakettien siirtämisestä IP-Vastaa PPTP-pakettien siirtämisestä IP-tunneliintunneliin
PAC = PPTP Access ConcentratorPAC = PPTP Access ConcentratorPNS = PPTP Network ServerPNS = PPTP Network Server
L2TPL2TP
Layer Two Tunneling ProtocolLayer Two Tunneling Protocol Käytetyin protokollaKäytetyin protokolla Yhdistelmä Ciscon L2F ja Microsoftin Yhdistelmä Ciscon L2F ja Microsoftin
PPTP protokollistaPPTP protokollista Keskittyy tiedon kapselointiinKeskittyy tiedon kapselointiin Tukee useita verkkojaTukee useita verkkoja Käyttää kontrolli- ja dataviestejäKäyttää kontrolli- ja dataviestejä
L2TP – protokollan rakenneL2TP – protokollan rakenne
KontrolliviestitKontrolliviestit• Käyttävät luotettavaa kanavaaKäyttävät luotettavaa kanavaa• Käytetään tunnelin muodostamiseen, ylläpitoon Käytetään tunnelin muodostamiseen, ylläpitoon
ja purkamiseenja purkamiseen DataviestitDataviestit
• Käyttävät epäluotettavaa kanavaaKäyttävät epäluotettavaa kanavaa• Käytetään PPP-kehysten kapselointiin ja Käytetään PPP-kehysten kapselointiin ja
tunneliin siirtämiseentunneliin siirtämiseen• Pakettien numerointi mahdollistaPakettien numerointi mahdollista• Hukkumistapauksissa ei uudelleen lähetystäHukkumistapauksissa ei uudelleen lähetystä
L2TP – protokollan rakenneL2TP – protokollan rakenne
L2TP – protokollan rakenneL2TP – protokollan rakenne
L2TP – protokollan toimintaL2TP – protokollan toiminta
Ennen tunnelin luontiaEnnen tunnelin luontia• Kontrolliyhteyden luontiKontrolliyhteyden luonti• Session luontiSession luonti
Yhden LAC-LNS parin välillä voi olla Yhden LAC-LNS parin välillä voi olla useampi tunneliuseampi tunneli
Yhdessä tunnelissa voi olla useampi sessioYhdessä tunnelissa voi olla useampi sessio
LAC = L2TP Access ConcentratorLAC = L2TP Access Concentrator
LNS = L2TP Network ServerLNS = L2TP Network Server
L2TP – protokollan toimintaL2TP – protokollan toiminta
L2TP / IPSecL2TP / IPSec
L2TP pakettien salaus IPSec:lläL2TP pakettien salaus IPSec:llä Tavoitteena yhdistää molempien Tavoitteena yhdistää molempien
protokollien hyvät puoletprotokollien hyvät puolet Käyttää IPSec ESP:täKäyttää IPSec ESP:tä
• Encapsulated Security PayloadEncapsulated Security Payload• autentikointiautentikointi• eheyden tarkistuseheyden tarkistus• salaussalaus
L2TP / IPSecL2TP / IPSec
IPSec tunnel modeIPSec tunnel mode
Salatun tiedon lähettäminen IP-verkon yliSalatun tiedon lähettäminen IP-verkon yli Kapseloi ja salaa IP-pakettejaKapseloi ja salaa IP-paketteja Salaa myös lähettävän ja vastaanottavan Salaa myös lähettävän ja vastaanottavan
tietokoneen IP-osoitteettietokoneen IP-osoitteet Rajoituksia ja ominaisuuksiaRajoituksia ja ominaisuuksia
• Tukee ainoastaan IP-liikennettäTukee ainoastaan IP-liikennettä• Toimii IP-pinon alimpana, jolloin sovellukset ja Toimii IP-pinon alimpana, jolloin sovellukset ja
ylemmät kerrokset perivät sen käyttäytymisenylemmät kerrokset perivät sen käyttäytymisen
PPTP vs L2TP/IPSecPPTP vs L2TP/IPSec
L2TP/IPSec:ssä salaus alkaa ennen PPP –L2TP/IPSec:ssä salaus alkaa ennen PPP –yhteyden luontia ja autentikointiayhteyden luontia ja autentikointia
PPTP käyttää RSA perustuvaa virtasalaintaPPTP käyttää RSA perustuvaa virtasalainta L2TP/IPSec käyttää DES tai 3DES L2TP/IPSec käyttää DES tai 3DES
lohkosalaintalohkosalainta
PPTP:ssä vain käyttäjäautentikointiPPTP:ssä vain käyttäjäautentikointi L2TP/IPSec:ssä käyttäjä- sekä L2TP/IPSec:ssä käyttäjä- sekä
tietokonetason autentikointitietokonetason autentikointi
PPTP vs L2TP/IPSecPPTP vs L2TP/IPSec
L2TP/IPSec:ssä pakettikohtainen L2TP/IPSec:ssä pakettikohtainen autentikointi, eheyden tarkistus ja autentikointi, eheyden tarkistus ja luottamuksellisuusluottamuksellisuus
PPTP:ssä vain luottamuksellisuusPPTP:ssä vain luottamuksellisuus
PPTP ei vaadi sertifikaattijärjestelmääPPTP ei vaadi sertifikaattijärjestelmää PPTP:llä useamman käyttöjärjestelmän tukiPPTP:llä useamman käyttöjärjestelmän tuki
ToteutuksetToteutukset
OpenVPNOpenVPN• Ohjelmisto-VPNOhjelmisto-VPN• Avoin lähdekoodi, freewareAvoin lähdekoodi, freeware• Salaus OpenSSL-kirjastoa käyttäenSalaus OpenSSL-kirjastoa käyttäen
Nokia VPN tuotteetNokia VPN tuotteet• Hardware-ratkaisuHardware-ratkaisu• PPTP, L2TP ja IPSec tukiPPTP, L2TP ja IPSec tuki• Salaus 3DESSalaus 3DES• Nopeudet 6 – 220 MbpsNopeudet 6 – 220 Mbps
ToteutuksetToteutukset
YhteenvetoYhteenveto
Yhä useampi verkkolaite tukee VPN:ääYhä useampi verkkolaite tukee VPN:ää YhteensopivuusongelmiaYhteensopivuusongelmia
• Vähenevät standardoinnin kehittyessä ja IPv6:n Vähenevät standardoinnin kehittyessä ja IPv6:n yleistyessäyleistyessä
Tehokas ratkaisu joka suhteessa Tehokas ratkaisu joka suhteessa verrattuna vaihtoehtoisiin keinoihinverrattuna vaihtoehtoisiin keinoihin
Monille yrityksille ja yhteisöille Monille yrityksille ja yhteisöille käytännössä ainoa ratkaisu turvalliseen käytännössä ainoa ratkaisu turvalliseen etäkäyttöönetäkäyttöön
TenttikysymyksetTenttikysymykset
VPN:n käyttökohteet?VPN:n käyttökohteet? Tunnelointi?Tunnelointi? VPN:ssä käytettävät protokollat?VPN:ssä käytettävät protokollat? VPN:n eri tietoturvatoteutukset?VPN:n eri tietoturvatoteutukset?