VPN - Virtual Private Network

Similar documents
IT infrastruktuuri teenused. Failiserver. Margus Ernits

NAS, IP-SAN, CAS. Loeng 4

TP-Link TL-WR743ND Juhend

SQL Server 2005 Expressi paigaldamine

MSDE Upgrade platvormile SQL 2005 Server Express SP4

IPv6 harjutused. Aadressi kuju, kirjaviis, osad, liigid Aadressi saamise viisid

Andmebaasid (6EAP) I praktikum

WD My Net N600 juhend:

SQL Serveri paigaldus. Laadimine:

Microsoft DirectAccess ja OpenVPN võrdluses

IDU0080 Veebiteenused ja Interneti-lahenduste arhitektuur Loeng 2 Lahenduste inegratsioon. Enn Õunapuu

ArcGIS mobiilsed lahendused kasutades pilve teenuseid. Raido Valdmaa, AlphaGIS

VPNS BY RICK FREY.

IDU0080 Veebiteenused ja Interneti-lahenduste arhitektuur Loeng 3 Integratsioon. Enn Õunapuu

SIDE (IRT 3930) Infotransport Teema - sõnumid. Avo Ots. telekommunikatsiooni õppetool, TTÜ raadio- ja sidetehnika inst.

Allalaadimiseks. Virtuaalmasinad. Slaidid

on. Interneti aadressid

Tabelid <TABLE> Koostanud: Merike Hein

Pinu põhine puhvri ületäitumine DCE/RPC kontroll mootoris Cisco ASA 5500 seeria ja Cisco Catalyst 6500 seeria seadmetel CVE

SEADISTAMISE JUHEND. Zoiper. Toompuiestee 37, Tallinn;

Lõimed. Lõime mõiste. Lõimede mudelid. Probleemid lõimedega seoses. Pthreads. Solarise lõimed. Windowsi lõimed. FreeBSD lõimed.

Mälu interfeisid Arvutikomponendid Ergo Nõmmiste

SIDE (IRT 3930) Põhipunktid. Loeng 11 Transpordiprotokollid Teema - infotransport. Teenuse (lingi) demultipleks. Infotransport kliendilt serverini

Veebisaidi arendus sisuhaldussüsteemile WordPress Seminaritöö

OpenVPN protocol. Restrictions in Conel routers. Modified on: Thu, 14 Aug, 2014 at 2:29 AM

Comparing TCP performance of tunneled and non-tunneled traffic using OpenVPN. Berry Hoekstra Damir Musulin OS3 Supervisor: Jan Just Keijser Nikhef

Added Features. 1. PPTP (Point-to-Point Tunneling Protocol)

Linuxi võrgutamine IV

11. Transpordikiht. Side IRT3930 Ivo Müürsepp

TARTU ÜLIKOOL Füüsika-keemiateaduskond Eksperimentaalfüüsika ja tehnoloogia instituut. Aapo Prii HP ProCurve Switch 2848 (J4904A) Arvutiriistvara II

(IRT 3930) CPE Settop Box 4-8 Mbit MPEG Mbit MPEG-4 AVC 8-12 Mbit HDTV MPEG-4 AVC Dear Johan, It s over.

IPSec. Dr.Talal Alkharobi. IPsec (IP security)

Tallinna Ülikooli veebipuhvri teenuse kasutamine väljaspool ülikooli arvutivõrku

Nokia E51 kasutamine modemina

XmlHttpRequest asemel võib olla vajalik objekt XDomainRequest

SSL VPN Virtual Private Networks based on Secure Socket Layer

Vea haldus ja logiraamat hajutatud süsteemides Enn Õunapuu.

PPP Tunneling. Step by step explanation and configuration for creating PPP Tunnel

My problem was not understanding that each tunnel had to be on it's own network. I took subnet as; I could assign each tunnel to an address like

YAMAHA RTX??????? L2TPv3???? VPN???? (IPv4, IPv6??)

Bluetooth Software Update Manual for Windows 7. Applicable from 2012 products CDE-13xBT & CDE-W235BT & CDA-137BTi

Spring & AOP. Margus Jäger Lauri Tulmin

Praktikum 3 GROUP POLICY JA ACTIVE DIRECTORY

Protocol Architecture (2) Suguru Yamaguchi Nara Institute of Science and Technology Department of Information Science

AUTHENTICATION WITH MICROSOFT OAUTH2 SERVICE, MICROSOFT OUTLOOK API AND IMPLEMENTED FRAMEWORK

UDPTUN Direct TCP Connection Between NAT behind Hosts

SIDE (IRT 3930) Virtuaalne kanalijaotus. Loeng 11/2008 Juhtmepõhine juurdepääs Teema - juurdepääs. Võrgu füüsiline kiht. Sideressursi kasutus

Turvaauk CVE

Andmebaasi krüpteerimine ja dekrüpteerimine

Virtual Tunnel Interface

Internet ja veebivahendid (HTML,CSS,DHTML) Kursuse konspekt. Autor Jüri PUHANG

Windowsi võrguseaded. My Network Places (Windows XP)

IRT0030 ANDMESIDE LOENG 4. Indrek Rokk

Grandstream Networks, Inc. GWN7000 Multi-WAN Gigabit VPN Router VPN Configuration Guide

EESTI STANDARD EVS-ISO/IEC 27003:2011

ITK 2008 Autor: Siim Adamson 1

Analysis of VPN Protocols

Soovituslik mudel Avalik kohtvõrk ja WiFi Valdkonnakäsitlus, mõisted, nõuded ja soovitused

EESTI STANDARD EVS-ISO 11620:2010

Guide to Vyatta Documentation

Linuxi võrgutamine II

VPN Routers DSR-150/250/500/1000AC. Product Highlights. Features. Overview. Comprehensive Management Capabilities. Web Authentication Capabilities

Works with LES1200, LES1300, and LES1500 Series console servers.

VPN2S. Handbook VPN VPN2S. Default Login Details. Firmware V1.12(ABLN.0)b9 Edition 1, 5/ LAN Port IP Address

MICROSOFT AZURE I KASUTAMINE AVALIKU SEKTORI PILVE LOOMISEL EESTI NÄITEL

Nimeserveri teenuse installeerimiese juhend loodud IT infrastruktuuri teenused õppeaine õppetöö raames ITK 2008

Objekt-orienteeritud programmeerimine MTAT (6 EAP) 5. Loeng. H e l l e H e i n h e l l e. h e i e e

Vodafone MachineLink. PPTP Configuration Guide

L2TP over IPsec. About L2TP over IPsec/IKEv1 VPN

Virtual Private Network

TALLINNA TEHNIKAÜLIKOOL ÄRIKLIENDI ANDMESIDELAHENDUSE ÜLEVIIMINE MPLS VÕRGUTEHNOLOOGIALE

M!DGE/MG102i VPN Configuration

Grandstream Networks, Inc. GWN7000 OpenVPN Site-to-Site VPN Guide

Supported services. 21/tcp FTP File transfer. 22/tcp SSH Secure shell. 23/tcp Telnet Terminal access. 37/tcp Time Time. 80/tcp HTTP WWW pages

GRE Tunnel APPLICATION NOTE

USR-G808 User Manual

SIDE (IRT 3930) Põhipunktid. Loeng 23/2007 Sidevõrkude haldus Teema võrguhaldus. Eeldused võrguhalduseks. Telefonivõrk. Mitmetasemeline andmevõrk

PHP-põhise tarkvaraarenduse abivahendid.

Quick Note. Configure an IPSec VPN tunnel between a Digi TransPort LR router and a Digi Connect gateway. Digi Technical Support 20 September 2016

Network Security. Thierry Sans

Guide to Vyatta Documentation

Soovituslik juhend avalike pilveteenuste turvaliseks kasutamiseks riigisektoris

1. Ultimate Powerful VPN Connectivity

Guide to Vyatta Documentation

Network Security: IPsec. Tuomas Aura

Secure channel, VPN and IPsec. stole some slides from Merike Kaeo

2

Configuring IPSec tunnels on Vocality units

VIRTUAL PRIVATE NETWORK

Deploying the Barracuda Link Balancer with Cisco ASA VPN Tunnels

Androidi rakenduste ligipääsu õigused

Lühike paigaldusjuhend TK-V201S TK-V401S 1.01

Virtual Private Network with Open Source and Vendor Based Systems

PureVPN's OpenVPN Setup Guide for pfsense (2.3.2)

BARRICADE LAIRIBARUUTERI SEADISTUS...6

Distributed Systems. 27. Firewalls and Virtual Private Networks Paul Krzyzanowski. Rutgers University. Fall 2013

How to Configure BGP over IKEv2 IPsec Site-to- Site VPN to an Google Cloud VPN Gateway

How to Configure Forcepoint NGFW Route-Based VPN to AWS with BGP TECHNICAL DOCUMENT

TARTU ÜLIKOOL MATEMAATIKA-INFORMAATIKATEADUSKOND Arvutiteaduse instituut Infotehnoloogia eriala. Bakalaureusetöö (6 EAP)

Juhtmevaba nutipistiku integratsioon olemasoleva nutikodu lahendusega

Transcription:

IT infrastruktuuri teenused VPN - Virtual Private Network Margus Ernits margus.ernits@itcollege.ee 1

Kuidas kasutada sisevõrgus resideeruvaid teenuseid ebaturvalise võrgu kaudu? Teeme teenused igalt poolt ligipääsetavaks... Probleem Turvalisus kannatab, kuna iga teenuse konkreetseid nõrkuseid saab siis üle Interneti kasutada Teeme turvalise kanali oma arvutist (või võrgust) firma sisevõrku Vahel pole ka sisevõrku olemas ja iga arvuti ühendub firma andmekeskustega kasutades turvalist kanalit VPN Virtual Private Network 2

VPN ülevaade Üldine toimimine Kasutaja 1 Kasutaja ühendub Interentti Tulemüür 4 VPN lüüs autendib kasutaja VPN lüüs 2 Kohalik marsruuter annab IP ja DNS aadressid 3 Kasutaja käivitab VPN kliendi Kasutaja arvuti saab uue nimeserveri ja lüüsi/võrgu aadressid Sisevõrgu teenused Kasutaja saab ligi sisevõrgu teenustele 3

Viimasel ajal on VPN järjest olulisem, kuna keelatakse kirjade saatmine suvalistest masinatest SPF Sender Policy Framework SPAM Kirjeldab ära lubatud saatjad (domeeni SMTP serverid) DNS kirjena 4

Lappamine ja viirusetõrje VPN lahendused võimaldavad firma liikuvate masinate üle rangemat kontrolli Et oleks paigad peal Et oleks viimane viirusetõrje peal Tegu on küll represseerimisega, kuid suurtes võrkudes tihti muud moodi ei saa 5

DMZ ja firma sisevõrk DMZ Demilitariseeritud tsoon kahe tulemüüri vahel Kaasajal on parem eeldada, et see on tuletsoon kus käib kõige hullem madin. Firma sisevõrk Võrk, millele rakendatakse reeglina nõrgemaid turvanõudeid See on jama, kuna tihti toimub enamus ründeid sisevõrgust Sisevõrku lastud viirused võivad firma IT süsteemid halvata 6

Üks lahendus Ettevõte ilma sisevõrguta On serveriruum, mis on eraldatud tulemüüriga välismaailmast. Kõik kliendid lähenevad sisevõrgu teenustele kasutades VPN'i Välisvõrgu klient Avalikud teenused Siseteenused Sisevõrgu klient VPN siseteenuste jaoks VPN GW Lapiserver Viirusetõrje uuendused 7

VPN VPN võrke annab realiseerida mitmel moel Kuid üldiselt VPN Kasutab virtuaalseid liideseid, mis ühendavad erinevaid võrke Kõik võrkude vahel liikuvad paketid krüpteeritakse Paketid kapseldatakse reaalsete liideste pakettide sisse (näiteks IP paketid krüpteeritakse ja kapseldatakse UDP pakettide sisse) 8

VPN VPN laadse teenuse saamise võimalusi on palju Näiteks ssh tunnelid SSH Tectia lahendused, kus tunneldatakse, kui saab Erinevaid VPN lahendusi on mitmeid IPSec Levinud ja IPv6 osa OpenVPN Levinud. Aastaid tagasi vaevles krüpto nõrkuse ja muude turvaprobleemide käes Riistvaralised kastid (tegelikult jookseb seal ikkagi tarkvara) Kommenrts VPN lahendused Paljude võimaluste ja rohkearvuliste vigadega 9

IPSec IPSec esimesed realisatsioonid 1995 Krüpto iga IP pakett krüpteeritakse ja autenditakse Kernel space Tegutseb IP ruumis ja seega sobib kõigi kõrgemate ISO tasemete pakettide krüpteerimiseks IPv6 sisaldab IPSec'i alamosana Saab kasutada VPN ühenduste loomisel IKE - Internet key exchange ja IKEv2 (vähem DoS võimalusi) 10

OpenVPN Tasuta ja Open Source VPN lahendus Autendib osapooli sertifikaatide, jagatud võtmete või kasutajanimede/paroolide abil UDP (võib ka TCP) transport Port 1194 LZO pakkimine 11

TUN/TAP TUN virtuaalne võrguliides näib operatsioonisüsteemile nagu punkt-punkt ühendus TAP virtuaalne võrguliides, mis emuleerib etherneti liidest Rakenduste jaoks on tegu failidega, kuhu IP pakette saab kirjutada ja kust saab lugeda TUN/TAP pihta suunatud liiklus kapseldatakse päris liideste abil UDP või TCP liikluseks 12

Kapseldamine ja krüpteerimine Virtuaalsete liideste abil me kapseldama näiteks IP/TCP(TAP) TCP(eth0) sisse Tegu ongi virtuaalse võrguga, kuna rakendus näeb ühes TAP liidesest teises võrgus asuvat TAP liidest TCP kapseldaine TCP sisse pole just kõige mõttekam ja raiskab andemahtu. Levinud on TCP kapseldus UDP sisse Lisaks kapseldamisele on vaja liiklus krüpteerida 13

Kapseldamine OpenVPN puhul Kapseldamine ja virtuaalsed liidesed Rakendus saadab IP paketi virtuaalse liidese suunas TUN/TAP VPN tarkvara VPN krüpteerib paketi ja kapseldab selle reaalse etherneti liidese paketiks TUN/TAP Krüpteeritud ja kapseldatud paketid VPN tarkvara Ethernet liides Ethernet liides 14

PPTP PPTP - Point-to-Point Tunneling Protocol Microsoft VPN, mille kliente ja servereid on implementeerinud ka teised tootjad PPP Point to Point Protocol Kapseldatud GRE - Generic Routing Encapsulation sisse Autentimine - Microsoft MSCHAP-v2 (kuulutatud nõrgaks) või EAP - Extensible Authentication Protocol 15

Linux klient ja Windows Server Meil on kasutusel Exchange 2007 Saatmine on SSL/TSL abil krüpteeritud Saatja autenditakse Windows VPN Windows põhine autentimine 16

Seega... Ubuntu/Kubuntu Installeeri VPN klient sudo apt-get install network-manager-pptp Kui kasutad KDE keskkonda, siis installeeri nm-applet, kuna KDE KNetworkManager ei oska pptp VPN konfi tekitada (väike viga ühes stringis) sudo apt-get install nm-applet Restardi nm-applet killall nm-applet nm-applet 17

Seadista VPN Vali nm-applet ikooni peal VPN Connections Configure VPN Add, Forward Connection Type PPTP Tunnel Sisesta lüüsi aadress Autentimise sakilt 18

DNS DNS on ITK sisevõrgul oma ja sisaldab sisevõrgu aadresse. E-post süsteemi kasutamiseks tuleb VPN konfiguratsioonis määrata, et kasutataks sisevõrgu DNS serverit Use peer DNS x 19

Ketaste kasutamine Ärge kasutage NFS'i Pole turvaline (ei saa kasutada NFSv4, kuna server on Solaris ja klient Linux) Sureb pidevalt Kasutage smb:// fish:// (KDE all) 20

Küsimused? Küsimused? 21

VPN Wikipedia http://en.wikipedia.org/wiki/vpn Terminid http://linas.org/linux/vpn.html NAT traversal http://en.wikipedia.org/wiki/nat_traversal Lisalugemist 22

Tänan! Tänan 23

2024 © technodocbox.com Privacy Policy | Terms of Service | Feedback