Криптотрейдинг: прибыльная торговля криптовалютой.
Май 18, 2019
48 Views
Комментарии к записи Интернет-безопасность и проектирование сети VPN отключены

Интернет-безопасность и проектирование сети VPN

Written by
Биткоин: краткое руководство

обзор

В этой статье рассматриваются некоторые основные технические концепции, связанные с сетью VPN. Виртуальная частная сеть (VPN) объединяет удаленных сотрудников, офисы компании и деловых партнеров, использующих Интернет, и защищает зашифрованные туннели между местоположениями. VPN-доступ используется для подключения удаленных пользователей к корпоративной сети. Удаленная рабочая станция или ноутбук будет использовать схему доступа, такую ​​как кабель, DSL или беспроводная сеть, для подключения к вашему местному интернет-провайдеру (ISP). Благодаря модели, инициированной клиентом, программное обеспечение на удаленной рабочей станции создает зашифрованный туннель от ноутбука к поставщику услуг Интернета, используя IPSec, протокол туннелирования уровня 2 (L2TP) или протокол туннелирования точка-точка (PPTP). Пользователь должен аутентифицироваться как авторизованный пользователь VPN в ISP. После завершения ISP строит зашифрованный туннель к VPN-маршрутизатору или концентратору компании. Серверы TACACS, RADIUS или Windows будут аутентифицировать удаленного пользователя как сотрудника, имеющего доступ к корпоративной сети. После этого удаленный пользователь должен пройти аутентификацию на локальном сервере домена Windows, Unix-сервере или мэйнфрейме, в зависимости от того, где находится сетевая учетная запись. Модель, инициированная провайдером, менее безопасна, чем модель, инициированная клиентом, потому что зашифрованный туннель создается только от провайдера до маршрутизатора VPN компании или концентратора VPN. Кроме того, защищенный туннель VPN построен с L2TP или L2F.

Экстрасеть VPN соединит деловых партнеров с корпоративной сетью, создав безопасное VPN-соединение от маршрутизатора делового партнера к маршрутизатору или концентратору VPN компании. Конкретный протокол туннелирования зависит от того, является ли это соединением маршрутизатора или удаленным модемным соединением. Варианты для VPN-маршрутизатора Extranet, подключенного к маршрутизатору: IPSec или Generic Routing Encapsulation (GRE). Для соединений по экстранет-связи используется L2TP или L2F. Интранет VPN соединит офисы компании через безопасное соединение, используя тот же процесс с IPSec или GRE, что и протоколы туннелирования. Важно отметить, что VPN очень эффективен и эффективен, потому что он пропускает существующий Интернет для транспортировки трафика компании. Вот почему многие компании выбирают IPSec в качестве выбранного протокола безопасности, гарантирующего защиту информации при перемещении между маршрутизаторами или ноутбуками и маршрутизаторами. IPSec состоит из шифрования 3DES, аутентификации обмена ключами IKE и аутентификации маршрута MD5, которые обеспечивают аутентификацию, авторизацию и конфиденциальность.

Безопасность интернет-протокола (IPSec)

Стоит обратить внимание на IPSec, потому что это такой проактивный протокол безопасности, который в настоящее время используется в виртуальной частной сети. IPSec определен в RFC 2401 и разработан как открытый стандарт для безопасной передачи IP в общедоступном Интернете. Структура пакета состоит из заголовка IP / IPSec / заголовка Encapsulation Security Payload. IPSec предоставляет услуги шифрования с 3DES и аутентификацию с MD5. Кроме того, есть Internet Key Exchange (IKE) и ISAKMP, которые автоматизируют распределение секретных ключей между узлами IPSec (концентраторами и маршрутизаторами). Эти протоколы необходимы для согласования однонаправленных или двунаправленных ассоциаций безопасности. Связыватели безопасности IPSec состоят из алгоритма шифрования (3DES), алгоритма хеширования (MD5) и метода аутентификации (MD5). Реализации доступа VPN используют 3 ассоциации безопасности (SA) для каждого соединения (передача, прием и IKE). Корпоративная сеть с несколькими равноправными устройствами IPSec будет использовать центр сертификации для масштабирования с процессом аутентификации вместо IKE / предварительно общего ключа.

Портативный компьютер — VPN-концентратор IPSec Peer Connection

1. Переговоры об ассоциации безопасности IKE.

2. Настройте туннель IPSec.

3. Запрос / ответ XAUTH — (аутентификация RADIUS-сервера)

4. Настройка режима ответа / подтверждения (DHCP и DNS)

5. Ассоциация безопасности IPSec

Доступ к VPN Design

Access VPN обеспечит доступность и дешевый доступ в Интернет для подключения к главному офису компании с использованием WiFi, DSL и каналов доступа к сети от местных интернет-провайдеров. Суть в том, что данные компании должны быть защищены при путешествии через Интернет с телекоммуникационного ноутбука в главный офис компании. Будет использоваться модель, инициированная клиентом, которая создает туннель IPSec от ноутбука каждого клиента, который завершается в концентраторе VPN. Каждый ноутбук будет настроен с программным обеспечением клиента VPN, которое будет работать с Windows. Удаленный работник должен сначала набрать локальный номер доступа и пройти аутентификацию у провайдера. Сервер RADIUS будет аутентифицировать каждый телефонный звонок в качестве авторизованного телекоммуникатора. После завершения удаленный пользователь проверяет подлинность и авторизуется в Windows, Solaris или Mainframe перед запуском любых приложений. Существуют два концентратора VPN, которые будут настроены на аварийное переключение с использованием VRRP (протокол виртуальной избыточности маршрутизации), если один из них недоступен.

Каждый концентратор подключен к внешнему маршрутизатору и брандмауэру. Новая функция концентратора VPN предотвращает атаки типа «отказ в обслуживании» (DOS) от внешних хакеров, которые могут повлиять на доступность сети. Межсетевые экраны настроены для разрешения IP-адресов источника и назначения, которые назначаются каждому удаленному сотруднику из заранее определенного диапазона. Кроме того, все порты приложений и протоколы будут разрешены через необходимый брандмауэр.

VPN-дизайн экстранет

Экстрасеть VPN была разработана для обеспечения безопасной связи между офисом каждого делового партнера и главным офисом компании. Безопасность — главная цель, потому что Интернет будет использоваться для передачи всего трафика данных от каждого делового партнера. Он свяжется с любым деловым партнером, который в конечном итоге окажется на VPN-маршрутизаторе в главном офисе компании. Каждый деловой партнер и эквивалентный маршрутизатор VPN в головном офисе будут использовать маршрутизатор с модулем VPN. Этот модуль обеспечивает IPSec и быстрое аппаратное шифрование пакетов перед их передачей через Интернет. VPN-равноправные маршрутизаторы в штаб-квартире компании дважды подключены к различным многоуровневым коммутаторам для различных каналов, если одна из линий недоступна. Важно, чтобы трафик одного делового партнера не направлялся в офис другого делового партнера. Коммутаторы расположены между внешним и внутренним брандмауэрами и используются для подключения общедоступных серверов и внешнего DNS-сервера. Это не проблема безопасности, поскольку внешний брандмауэр фильтрует общедоступный интернет-трафик.

Кроме того, фильтрация может быть реализована на любом сетевом коммутаторе для предотвращения рекламы маршрутов или использования дыр в безопасности в соединениях деловых партнеров в многоуровневых коммутаторах главного офиса компании. Отдельные VLAN будут назначаться на каждом сетевом коммутаторе для каждого делового партнера для повышения безопасности и сегментации трафика подсети. Внешний брандмауэр уровня 2 проверит каждый пакет и позволит тем, кому нужны IP-адреса источника и назначения делового партнера, приложений и протокольных портов, которые им необходимы. Сессии деловых партнеров должны быть аутентифицированы на сервере RADIUS. После завершения они будут аутентифицированы на хостах Windows, Solaris или Mainframe перед запуском каких-либо приложений.

Article Categories:
Криптовалюта
Как устроен блокчейн

Comments are closed.