ОСНОВЫ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Содержание

Слайд 2

Виртуальной защищенной сетью (VPN) называется технология объединения локальных сетей и отдельных

Виртуальной защищенной сетью (VPN) называется
технология объединения локальных сетей и отдельных

компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

Виртуальной защищенной сетью (VPN) называется
технология объединения локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

Virtual Private Network -VPN

Слайд 3

Виртуальная защищенная сеть VPN Virtual Private Network -VPN

Виртуальная защищенная сеть VPN


Virtual Private Network -VPN

Слайд 4

Технологии VPN: -туннелирование; -криптографическая защита

Технологии VPN:

-туннелирование;
-криптографическая защита

Слайд 5

Принцип туннелирования

Принцип туннелирования

Слайд 6

Задачи, решаемые в VPN - взаимная аутентификация абонентов при установлении соединения;

Задачи, решаемые в VPN

- взаимная аутентификация абонентов при установлении соединения;
- обеспечение

конфиденциальности и целостности передаваемых данных;
- авторизация и управление доступом;
- обеспечение безопасности периметра сети, обнаружение вторжений;
- управление безопасностью сети, в том числе управление криптографическими ключами.
Слайд 7

Основные схемы VPN

Основные схемы VPN


Слайд 8

Классификация сетей VPN Классификационные признаки Рабочий уровень модели OSI Архитектура технического

Классификация сетей VPN

Классификационные признаки

Рабочий уровень модели OSI

Архитектура
технического
решения

Способ
технической
реализации

VPN

–канального
уровня;
VPN –сетевого
уровня;
VPN –сеансового
уровня;
VPN –прикладного
уровня;

Внутрикорпо-
ративные;
Удаленного
доступа;
Межкорпора-
тивные

На основе:
-маршрутизаторов;
-межсетевых экранов;
-программных решений;
-специализированных
аппаратных средств

Слайд 9

Протоколы защиты на различных уровнях модели ВОС

Протоколы защиты на различных уровнях модели ВОС

Слайд 10

Протоколы защиты на различных уровнях протокола TCP/IP

Протоколы защиты на различных уровнях протокола TCP/IP

Слайд 11

Архитектура IPSec IKE IKE Базы данных: SAD, SPD

Архитектура IPSec

IKE

IKE

Базы данных:
SAD, SPD

Слайд 12

Security Association (SA) Безопасная ассоциация Контекст безопасности SA однонаправленное логическое соединение,

Security Association (SA) Безопасная ассоциация Контекст безопасности

SA однонаправленное логическое соединение,
создаваемое для

обеспечения безопасности.
SA – есть совокупность параметров соединения,
позволяющим сервисам обеспечить безопасный трафик.
SA однозначно определяется тройкой:
-Security Parameter Index (SPI);
IP Destination Address (Адрес назначения);
Протокол безопасности: AH или ESP.
Слайд 13

Установление безопасных ассоциации 3. Создание дочерней SA (CREATE CHILD SA) Хост

Установление безопасных ассоциации

3. Создание дочерней SA (CREATE CHILD SA)

Хост 1

Хост

2

2. Информационный обмен Передача трафика в защищенном режиме

Начальный обмен 1. Создание IKE SA
Согласование параметров:
вид протокола, тип алгоритма,
шифрключи для алгоритмов, их параметры
Аутентификация сторон

Слайд 14

Режимы IPSec Протокол безопасности Внешний заголовок Внутренний (исходный) заголовок Протокол верхнего уровня

Режимы IPSec

Протокол
безопасности

Внешний
заголовок

Внутренний
(исходный)
заголовок

Протокол
верхнего
уровня

Слайд 15

IP-пакет после применения протокола АН в транспортном и туннельном режимах

IP-пакет после применения протокола АН в транспортном и туннельном режимах

Слайд 16

Характеристика протокола АН Применение протокола АН позволяет принимающей стороне убедиться в

Характеристика протокола АН

Применение протокола АН позволяет принимающей стороне убедиться в

следующем:
-содержание пакета не искажено, не изменено в процессе передачи (аутентификация сообщения);
-пакет не является дубликатом пакета переданного ранее
Слайд 17

Структура заголовка IP-пакета

Структура заголовка IP-пакета

Слайд 18

Формат заголовка AH

Формат заголовка AH

Слайд 19

Характеристика протокола ESP Применение протокола ESP обеспечивает: - конфиденциальность передаваемых данных

Характеристика протокола ESP

Применение протокола ESP обеспечивает:
- конфиденциальность передаваемых данных за

счет их шифрования;
-целостность передаваемых данных;
-защиту от повторной передачи пакетов.
Слайд 20

IP-пакет до и после применения протокола ESP

IP-пакет до и после применения протокола ESP  

Слайд 21

Формат заголовка ESP

Формат заголовка ESP

Слайд 22

Хэширующие функции в АН Хэширующие функции: MD5-HMAC Длина ключа 128 бит,

Хэширующие функции в АН

Хэширующие функции:
MD5-HMAC Длина ключа 128 бит, Хэш-код

96 бит.
SHA1-HMAC Длина ключа 160 бит, Хэш-код 96 бит.
Слайд 23

Хэширующие функции MD2, MD5 MD5 (улучшенная версия MD4) : -хэшируемое сообщение

Хэширующие функции MD2, MD5

MD5 (улучшенная версия MD4) :
-хэшируемое сообщение – блоки

длиной 512 бит
- хэш-код- 128 бит,
число раундов хэширования – 4.
ориентирован на 32-разрядный процессор
MD2 :
-хэшируемое сообщение – блоки длиной 512 бит
- хэш-код- 128 бит,
ориентирован на 8-разрядный процессор
Слайд 24

Хэширующие функция SHA (Secure Hash Algorithm) -хэшируемое сообщение – блоки длиной

Хэширующие функция SHA (Secure Hash Algorithm)

-хэшируемое сообщение – блоки длиной 512

бит
- хэш-код- 160 бит,
-число раундов хэширования – 4 (по 20 операций).
-ориентирован на 32-разрядный процессор
Слайд 25

Алгоритмы шифрования в ESP DES, 3-DES, CAST-128, RC-5, IDEA, Blowfish, AES

Алгоритмы шифрования в ESP

DES, 3-DES, CAST-128, RC-5, IDEA, Blowfish, AES

Алгоритмы аутентификации

на основе хэш-функций:
MD5-HMAC , SHA1-HMAC.
Слайд 26

Internet Key Exchange (IKE) IKE v1 RFC 2409 ISAKMP RFC 2408

Internet Key Exchange (IKE)

IKE v1
RFC 2409

ISAKMP
RFC 2408

Oakley

IKE v2
RFC 4306

DOI
RFC 2407

Слайд 27

Установление безопасных ассоциации 3. Создание дочерней SA (CREATE CHILD SA) Хост

Установление безопасных ассоциации

3. Создание дочерней SA (CREATE CHILD SA)

Хост 1

Хост

2

2. Информационный обмен Передача трафика в защищенном режиме

Начальный обмен 1. Создание IKE SA
Согласование параметров:
вид протокола, тип алгоритма,
шифрключи для алгоритмов, их параметры
Аутентификация сторон

Слайд 28

Начальный обмен IKE_UNIT_ SA IKE_AUTH

Начальный обмен IKE_UNIT_ SA

IKE_AUTH

Слайд 29

Типы блоков данных

Типы блоков данных

Слайд 30

Обмен IKE_AUTH CHILD_SA (AH,ESP)

Обмен IKE_AUTH

CHILD_SA
(AH,ESP)

Слайд 31

Типы и идентификаторы преобразований

Типы и идентификаторы преобразований

Слайд 32

Содержимое поля Аутентификационные данные при аутентификации с использованием цифровых подписей AUTH

Содержимое поля Аутентификационные данные при аутентификации с использованием цифровых подписей

AUTH =

SIGi{(SAi1,KEi,Ni),Nr,prf(SK_pi,IDi’}

Инициатор - i

Ответчик- r

AUTH = SIGr{(SAr1,KEr,Nr),Ni,prf(SK_pr,IDr’}

Слайд 33

Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа

Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа

AUTH

= prf(prf(Shared Secret, “Key Pad for IKEv2”,

(

Слайд 34

Генерация ключевого материала для IKE_SA Генерация ключевого материала в дополнительном обмене

Генерация ключевого материала для IKE_SA

Генерация ключевого материала в дополнительном обмене
СREATE_CHILD_SA

SK_d

используется для получения новых ключей для CHILD_SA;
SK_ai, SK_ar – ключи аутентификации сообщений в
SK_ei, SK_er - ключи шифрования сообщений
SK_pi, SK_pr - ключи хэширующей функции

Ключи шифрования берутся из первых октетов KEYMAT
ключи аутентификации из следующих октетов

Слайд 35

Алгоритм формирования ключей на основе однонаправленных функций (алгоритм Диффи-Хеллмана)

Алгоритм формирования ключей на основе однонаправленных функций (алгоритм Диффи-Хеллмана)

Слайд 36

Слайд 37

Сравнительная характеристика VPN продуктов отечественного производства

Сравнительная характеристика VPN продуктов отечественного производства

- Предыдущая
Аутентификация сообщений и пользователей компьютерных систем
Следующая -
Межсетевые экраны

Похожие презентации

Спутниковые навигационные системы системы зарубежных стран мира
Сделки. Тема 6
Салон Togas Афимолл
Використання базових інструкцій добре. Які інструкції вміє виконувати наш робот?
Древний Египет
Работа с MsOffice в среде DelphiXE4
Количество адвентистов в Армении
Расчет параметров цифровых следящих систем, реализованных на FPGA
Презентация Ценообразующие факторы российского рубля
Расклад на картах ТАРО
Презентация Договор транспортной экспедиции
ТРУДОВЫЕ ПЕНСИИ ПО СТАРОСТИ Подготовила: студентка 2 курса группы Ю-123б Простакова Вероника
Хламидийная инфекция ЖУКОВА ЛАРИСА ИВАНОВНА
Коробочка
ЭФФЕКТИВНОСТЬ СОВРЕМЕННЫХ МЕТОДОВ ЛЕЧЕНИЯ АМБЛИОПИИ У ДЕТЕЙ В МУНИЦИПАЛЬНОМ СПЕЦИАЛЬНОМ КОРРЕКЦИОННОМ ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕН
Слайд-шоу. ИзоСтудия для группы
Перечень биомедицинских журналов ВАК: качество публикаций и экспертизы
Дидактические игры на уроках математики 1 класс - презентация для начальной школы_
муж пол орг
Шутер. Враги и снаряды
Традиции и обычаи Японии
Діні қуатты елдің – іргесі берік
Алкоголь и сердце
Народы Ямала. Ямало-Ненецкий автономный округ
LUCAS CRANACH the Elder (1472-1559)
Террористические организации
Бесконтактная система зажигания
Web-дизайн
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть