Β. Μάγκλαρης 07/12/2015.

Σχετικά έγγραφα
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS

Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή: Το Internet, Μοντέλο Διαχείρισης FCAPS, Ανασκόπηση TCP/IP, Στατιστικές, Ονοματοδοσία στο Internet Β.

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή Πρότυπο τριών Διαστάσεων Λειτουργίας Μοντέλο Διαχείρισης FCAPS Το Δίκτυο του Ε.Μ.Π. Περιβάλλον Εργαστηριακών Ασκήσεων

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

Β. Μάγκλαρης 14/12/2015.

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Β. Μάγκλαρης. Multi-Protocol Label Switching (MPLS)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 5: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs)

Β. Μάγκλαρης.

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΔΙΚΤΥΩΝ

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στο πως λειτουργεί το διαδίκτυο

Εθνικό Δίκτυο Έρευνας και Τεχνολογίας - ΕΔΕΤ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΥΦΥΗ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΑ ΔΙΚΤΥΑ Β.

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

Δημιουργία υπηρεσίας VPN για το Τμήμα Πληροφορικής

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

Β. Μάγκλαρης 9/11/2015

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

Cryptography and Network Security Chapter 19

Δίκτυα Επικοινωνιών ΙΙ : Τεχνολογία MPLS

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΛΑΜΙΑΣ

Προχωρημένα Θέματα Προγραμματισμού Δικτύων Ενότητα 12: Διαφοροποιημένες Υπηρεσίες διαδικτύου MPLS Φώτης Βαρζιώτης

Σχεδιασμός Εικονικών Δικτύων Ενότητα 1: Εισαγωγή - Ιστορική Αναδρομή Τα πρώτα ιδιωτικά δίκτυα

Τεχνολογίες & Εφαρμογές Πληροφορικής Ενότητα 7: Τοπικά δίκτυα

ΟΝΟΜΑ:ΧΡΥΣΑΝΘΗ ΕΠΙΘΕΤΟ:ΚΟΛΟΚΟΥΡΑ Α.Μ 10749

Β. Μάγκλαρης 30/11/2015

Β. Μάγκλαρης.

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 9: MPLS

Σχεδιασμός Εικονικών Δικτύων Ενότητα 3: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Δικτύου (Layer 3 MPLS VPNs)

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας Βιβλιοθηκονοµίας. Μοντέλο TCP/IP. Ενότητα E. Συστήµατα Επικοινωνίας

Κάθε δικτυακός κόµβος έχει δικό του: 1. ΛΣ (OS) 2. επίπεδο προώθησης δεδοµένων (forwarding plane) 3. επίπεδο ελέγχου

ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Δρομολόγηση στο Internet (II) Αλγόριθμοι Distance Vector (Bellman) Αλγόριθμοι Link State (Dijkstra)

Εισαγωγή στην Πληροφορική

Εισαγωγή στην Πληροφορική

ΒΟΗΘΗΤΙΚΕΣ ΣΗΜΕΙΩΣΕΙΣ

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

Δίκτυα Υπολογιστών I

Βασικές έννοιες δρομολόγησης και χρήση εργαλείων παρακολούθησης της δρομολόγησης του Διαδικτύου (2 η άσκηση)

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Β. Μάγκλαρης. Multi-Protocol Label Switching (MPLS)

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 5ο ΚΕΦΑΛΑΙΟ

Μελέτη και υλοποίηση προσομοίωσης Εικονικού Ιδιωτικού ικτύου IPSec με το πρωτόκολλο Mobility and Multihomed IKEv2 (MOBIKE)

As a VPN Server. Παναγιώτθσ Θεοχάρθσ panos@netspot.gr

Σχολή Προγραµµατιστών Ηλεκτρονικών Υπολογιστών (ΣΠΗΥ) Τµήµα Προγραµµατιστών Σειρά 112

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙII) Συστήματα Ανίχνευσης Επιθέσεων IDS Παθητική Παρακολούθηση (Passive Monitoring) Δικτυακής Κίνησης

Κεφάλαιο 22. Πρωτόκολλα και πρότυπα ασφαλείας του Διαδικτύου

Τι είναι ένα δίκτυο υπολογιστών; Αρχιτεκτονική επιπέδων πρωτοκόλλων. Δικτυακά πρωτόκολλα

Χρήση βασικών εργαλείων συλλογής πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Κεφάλαιο 10. Εικονικά Ιδιωτικά Δίκτυα - VPN

Ασφάλεια Υπολογιστικών Συστημάτων

Β. Μάγκλαρης.

Β. Μάγκλαρης.

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

ΕΛΕΥΘΕΡΙΑΔΟΥ ΕΥΜΟΡΦΥΛΗ. Μαϊος Virtual Private Networks

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: 2 - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ:

Διαχείριση Δικτύων με τη χρήση SNMP (5η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

IPv6. Ιατρέλλης Όμηρος Καθηγητής Εφαρμογών

Τεχνολογία Πολυμέσων. Ενότητα # 17: Πρωτόκολλα μετάδοσης Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Network Address Translation (NAT)

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές Διαχείρισης Δικτύων (ΙI) SNMP MIB - Αντικείμενα & Ορισμοί Πινάκων NETCONF (Network Configuration Protocol)

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Ιόνιο Πανεπιστήµιο Τµήµα Πληροφορικής Συστήµατα Επικοινωνίας. Μοντέλο TCP/IP. Ενότητα E. Πόσοι εµπλέκονται σε ένα Σύστηµα Επικοινωνίας

ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕ ΟΝΙΑΣ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΣΧΟΛΗ ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

Πρόότυπο Αναφοράάς Open Systems Interconnection/OSI. 1. Τεχνολογία Δικτύων Επικοινωνιών, Βιβλίο Α τάξης 2 ου Κύκλου ΤΕΕ, ΥΠΕΠΘ

Δίκτυα Επικοινωνιών ΙΙ : Εισαγωγή στην IPv6 τεχνολογία

ίκτυα ίκτυο υπολογιστών: Ένα σύνολο από υπολογιστικές συσκευές που συνδέονται µεταξύ τους για σκοπούς επικοινωνίας και χρήσης πόρων. Συνήθως, οι συσκε

10 Data Network Πινακες Συμμορφωσης ΠΙΝΑΚΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΤΕΥΧΟΣ 10 ΑΠΟ 13

Επικοινωνία. Χάρης Μανιφάβας Τμήμα Εφ. Πληροφορικής & Πολυμέσων ΤΕΙ Κρήτης. Κατανεμημένα Συστήματα (E) Επικοινωνία 1

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αλγόριθμοι Δρομολόγησης στο Internet (I)

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Ειδικά Θέματα Δικτύων Ι

Παραδείγµατα δικτυακών τεχνολογιών. Ethernet Internet ATM

Β. Μάγκλαρης.

Εφαρμογή Υπολογιστικών Τεχνικών στην Γεωργία

Εισαγωγή στην επιστήμη των υπολογιστών. Υλικό Υπολογιστών Κεφάλαιο 6ο ίκτυα υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων Ι

Διπλωματική Εργασία. Γεώργιου Γκίτσα

Προχωρημένα Θέματα Προγραμματισμού Δικτύων Ενότητα 13: QoS Policy, Παραδείγματα QoS, Επισκόπηση μαθήματος Φώτης Βαρζιώτης

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ονοματοδοσία στο Internet, Border Gateway Protocol (BGP), Πάροχοι Υπηρεσιών

Προγραμματισμός Ηλεκτρονικών Υπολογιστών 1

ΣΥΣΤΗΜΑΤΑ ΑΝΑΜΟΝΗΣ Queuing Systems

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET:

Σχεδιασμός Εικονικών Δικτύων Ενότητα 7: Μεταγλώττιση διευθύνσεων (ΝΑΤ)

Τεχνολογία Πολυμέσων. Ενότητα # 19: Τηλεδιάσκεψη Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Αριστοµένης Μακρής Εργαστήρια Η/Υ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Δρομολόγηση Επιπέδου 3 στο Internet (IGP, BGP) Β. Μάγκλαρης

Δίκτυα Υπολογιστών Το επίπεδο δικτύου (network layer)

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές Διαχείρισης Δικτύων (Ι) Υλοποιήσεις Client Server Το Πρωτόκολλο SNMP Δομή SNMP Agent - MIB

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #6: MPLS Τεχνολογία

Επίπεδο δικτύου IP διευθυνσιοδότηση

Transcript:

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ευφυή Δίκτυα (Ι) Εικονικά Ιδιωτικά Δίκτυα - Virtual Private Networks (VPN) Πρωτόκολλα Tunneling, GRE & IPsec Ανωνυµία, Πρωτόκολλα Tor (The Onion Router), Dark Web Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 07/12/2015

Άδεια Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άδεια χρήσης άλλου τύπου, αυτή πρέπει να αναφέρεται ρητώς.

ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ Virtual Private Networks - VPNs https://en.wikipedia.org/wiki/virtual_private_network Με τα VPNs χρήστες κοινών κατανεµηµένων πόρων διαµοιράζονται δηµόσια δίκτυα µεγάλης αποστάσεως (public wide area networks WANs) όπως το Internet ή δίκτυο IP/MPLS, διασφαλίζοντας: Αποµόνωση από άλλες κοινότητες π.χ. µέσω ενθυλάκωσης πακέτων του VPN (µαζί µε τους ιδιωτικούς headers) σε πακέτα συµβατά µε πρωτόκολλα Δηµοσίου Δικτύου (tunneling) Διαχείριση δικτυακών πόρων & υπηρεσιών ανά VPN: o Επέκταση πεδίου διευθύνσεων VLAN tags ή IP σε αποµακρυσµένες νησίδες ενός VPN o Δροµολόγηση µε περιορισµούς ασφαλείας και διαµοιρασµού φορτίου traffic engineering o Ασφαλής µετάδοση και σηµατοδοσία όπως σε ελεγχόµενο τοπικό δίκτυο (Local Area Network LAN)

ΕΙΔΗ VPNs & Tunneling Protocols Layer 2 VPN (L2VPN): Επέκταση L2/VLAN over Provider WAN π.χ. o Point-to-point L2TP (Layer 2 Tunneling Protocol) πάνω από IP/MPLS Provider Network o Point-to-point Επεκτάσεις PW (Pseudo-Wire) πάνω από IP/MPLS Provider Network o Multipoint VPLS (Virtual Private LAN Service) πάνω από MPLS Provider Network o Επέκταση Mac-in-Mac (IEEE 802.1ah) πάνω από L2 Provider Bridge Network Layer 3 VPN (L3VPN): Επέκταση IP Intranet σε Extranet µέσω Provider WAN π.χ. o IP ή MPLS tunnels µεταξύ εικονικών δροµολογητών (Virtual Routing & Forwarding, VRF) ορισµένων στους PE Nodes (Routers) ανά VPN o Διαδικασία Ασφαλούς Επικοινωνίας IPsec Tunnels µεταξύ PE s BGP/IP Provider Network(s) o Generic Routing Encapsulation GRE Tunnels µεταξύ PE s BGP/IP Provider Network(s) o Διαδικασία Ασφαλούς Επικοινωνίας OpenVPN Tunnels µεταξύ τερµατικών συσκευών χρηστών client - server, hosted σε διαφορετικά διαχειριστικά περιβάλλοντα µέσω SSL/TLS (συνήθως προτιµάται η χρήση πρωτοκόλλων UDP και η προ-εγκατάσταση certificates στον client) 4

IPsec TUNNELING ECE 454/CS 594, Jinyuan (Stella) Sun, Univ. of Tennessee, Fall 2011 IPsec: Ανεξάρτητο Εφαρµογών ενώ TLS: για Web SSH: για Remote Login Transport Mode Ασφάλεια Περιεχοµένου IP header (real dest) IPsec header TCP/UDP header + data Tunnel Mode Ασφάλεια Πακέτου (µε το αρχικό IP header) IP header (gateway) IPsec header IP header (real dest) TCP/UDP header + data SA: Security Associations (one way) SPI: Security Parameter Index (Cryptographic algorithms, keys, lifetimes, sequence numbers, mode - transport or tunnel) Εναλλακτικές SA, αποθηκευµένες σε IPsec nodes, ενεργοποιούνται µε επιλογή του πακέτου AH: Authentication Header Επιβεβαίωση ταυτότητας αποστολέα (Sender Authentication) & µη παραποίησης µηνύµατος (Message Integrity) ESP: Encapsulating Security Payload εµπιστευτικότητα, Confidentiality) IKE: Internet Key Exchange (handshaking protocol για συµφωνία SA) 5

GENERIC ROUTING ENCAPSULATION (GRE) http://www.juniper.net/documentation/en_us/junos13.2/topics/concept/firewallfilter-tunneling-ipv4-gre-components.html ΔΙΑΔΙΑΚΑΣΙΑ ΕΝΘΥΛΑΚΩΣΗΣ - GRE Tunneling Το payload packet πρέπει να µεταφερθεί από C1 σε C2 όπως σε ευθείας µονοκατευθυντική σύνδεση Το encapsulation filter εισάγει GRE header µε µοναδικό κλειδί για πακέτα C1 à C2 (δεν ισχύει για C2 à C1) Το αποτέλεσµα ενθυλακώνεται µε IPv4 header και προωθείται σαν IP datagram από τον encapsulator στον de-encapsulator Το de-encapsulation filter ανακτά το payload packet και το προωθεί στον C2 6

VPNs ΣΕ ΟΜΟΣΠΟΝΔΙΑ ΔΙΑΧΕΙΡΙΣΤΙΚΩΝ ΠΕΡΙΟΧΩΝ Κοινοτικό Έργο NOVI (Networking innovations Over Virtualized Infrastructures) Συνύπαρξη σε διασυνδεόµενα δίκτυα πολλαπλών VPNs µέσω αποµονωµένων εικονικών υποδοµών µε ασφαλή πρόσβαση τελικών χρηστών Οι εξουσιοδοτηµένοι χρήστες δηµιουργούν εικονικές φέτες - slices από «αφιερωµένα» στοιχεία - slivers: Virtual Machines (VMs), Virtual (Logical) Routers, Ethernet switches Μη κρυπτογραφηµένες συνδέσεις WAN: GRE over IP tunnels στο Internet & layer 2 VLANs Πειραµατική υλοποίηση: Δηµιουργία & λειτουργία αποµονωµένων virtual slices µε VM s στις εικονικές πειραµατικές υποδοµές PlanetLab (πάνω από το Internet) και FEDERICA (µε Ethernet/VLANs των Ευρωπαϊκών ΑΕΙ & Ερευνητικών Κέντρων, των Εθνικών Ερευνητικών - Ακαδηµαϊκών Δικτύων NRENs και του Πανευρωπαϊκού τους Διαδικτύου GÉANT) Κύρια Αναφορά: V. Maglaris, C. Papagianni, G. Androulidakis, M. Grammatikou, P. Grosso, J. van der Ham, C. de Laat, B. Pietrzak, B. Belter, J. Steger, S. Laki, M. Campanella & S. Sallent, "Toward a Holistic Federated Future Internet Experimentation Environment: The Experience of NOVI Research & Experimentation", IEEE Communications Magazine, Vol. 53, No. 7, pp. 136-147, July 2015 7

Anonymity Network - The Onion Router (Tor) http://fossbytes.com/everything-tor-tor-tor-works/ Tor Project: Δεκαετία του 1990! Απαιτείται ειδικός browser στον client Βασίζεται σε υπερκείµενο (overlay) δίκτυο από Tor relays συνδεµένα σε public Internet routers Ο browser του χρήστη ανοίγει encrypted TLS session µε Entry Node δηµιουργώντας Session Key 1 Το session επεκτείνεται σε Middle Node µέσω Node-to-Node Key και δηµιουργείται Session Key 2 Ο Exit Node ανοίγει session µε τον Server και µεσολαβεί για Session Key 3 χωρίς να γνωρίζει το IP του χρήστη (anonymity) Η ανταλλαγή data µεταξύ user browser και server περνά από διαδοχικά στρώµατα κρυπτογράφησης (εξ ου και onion router) 8

Tor Encrypted Overlay: The Dark Web https://www.quora.com/what-is-the-deep-web-andhow-do-you-access-it Deep Web: Sites µη ανοικτής πρόσβασης (not indexed by search engines, π.χ. Google) Dark Web: Υποσύνολο του Deep Web µε προστασία ανωνυµίας sites & users µέσω Tor 9

Χρηµατοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδηµαϊκά Μαθήµατα» του ΕΜΠ έχει χρηµατοδοτήσει µόνο την αναδιαµόρφωση του υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράµµατος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηµατοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταµείο) και από εθνικούς πόρους. 10

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια