Christian Book - RFC 791

rfc791.de

Christian Book - RFC 791

Christian Book

MPLS LAYER-2-VPN MIT PWE3

24.01.2009

Virtuelle Private Netze & IT-Sicherheit


Agenda

2

Exkurs: OSI-Referenzmodell

Motivation

VPN-Verfahren

Einführung MPLS & PWE3

IT-Sicherheit

Fazit & Ausblick

Christian Book 24.01.2009


3

Exkurs

OSI-Referenzmodell

Christian Book 24.01.2009


OSI-Referenzmodell

4

Anwendung

Darstellung

Sitzung

Transport

Vermittlung

Sicherung

Bitübertragung

• HTTP, DNS, SMTP

• ASCII, GIF, JPG

• RADIUS

• UDP, TCP

• IP, IPX

• PPP, Ethernet

• X.21, G.703

Christian Book 24.01.2009


5

Motivation

Einsatzgebiete von Virtuellen Privaten

Netzen (VPN)

Christian Book 24.01.2009


Anforderungen

6

Übertragung vertraulicher

Daten über öffentliche Netze

Mögliche Realisierung

Datenfestverbindung (ugs.

„Standleitung“)

Virtuelle Private Netze (VPN)

• virtuell – Daten eines privaten Netzes

wird über öffentliche Netze übertragen

• privat – Daten werden i. d. R. verschlüsselt um

Vertraulichkeit zu gewährleisten

Christian Book 24.01.2009


Anforderungen

7

Datenfestverbindung




sehr teuer

Abrechnung nach

Datenmenge und

Entfernung

statisch


dauerhafte Schaltung

von Leitungswegen

sehr sicher

VPN




relativ günstig

gewöhnliche Internetanbindung,

Abrechnung

nach Datenmenge

skalierbar

neue Standorte & mobile

Anwender sind einfach

einzubinden

möglicherweise weniger

sicher

Christian Book 24.01.2009


Fallbeispiel

8

Christian Book 24.01.2009


Fallbeispiel

9

Christian Book 24.01.2009


Fallbeispiel

10

Christian Book 24.01.2009


Fallbeispiel

11

Christian Book 24.01.2009


12

VPN-Verfahren

Traditionelle VPN-Verfahren

Christian Book 24.01.2009


VPN-Verfahren: L2TP

13

Name

Tunnel Schicht

Vorteile

Nachteile

Layer 2 Tunneling Protocol

Anwendungsschicht

- mehrere parallele Tunnel

- Nutzung von NAT möglich

- keine Verschlüsselung

Christian Book 24.01.2009


VPN-Verfahren: IPsec

15

Name

Tunnel Schicht

Vorteile

Nachteile

IP Security Protocol

Netzwerk

- transparent gegenüber Applikationen

- leicht in bestehende Netze zu integrieren

- unabhängige Protokolle zur Authentifizierung

und Verschlüsselung

- hohe Anforderungen an Hardware-

Ressourcen

- nur nutzbar für IP-basierte Dienste

Christian Book 24.01.2009


VPN-Verfahren: IPsec

16

Schachtelung von IP in IPsec

Christian Book 24.01.2009


17

Einführung MPLS & PWE3

Multiprotocol Label Switching

Pseudowire Emulation Edge-to-Edge

Christian Book 24.01.2009


MPLS

18

Multiprotocol Label Switching (MPLS)

verbindungsorientierte

Datenübertragung in

verbindungslosen Netzen

entlang eines zuvor aufgebauten

Pfades

Paketen wird ein Label vorangestellt,

dass den Pfad

vorgibt

Christian Book 24.01.2009


MPLS

19

Label ist lokal eindeutig und mit einem Pfad

verknüpft

Switching ist wesentlich schneller und benötigt

weniger Ressourcen als Routing

Christian Book 24.01.2009


PWE3

20

Pseudowire Emulation Edge-to-Edge

simulierte Direktverbindung zwischen zwei

Standorten innerhalb des öffentlichen Netzes

Christian Book 24.01.2009


21

IT-Sicherheit

Bezug zwischen VPN und IT-Sicherheit

Christian Book 24.01.2009


Grundsätze der IT-Sicherheit

22

Integretität

Vertraulichkeit

Verfügbarkeit

in virtuellen privaten Netzen

Christian Book 24.01.2009


Integrität

23

Ende-zu-Ende-Verschlüsselung

„Man-in-the-Middle“ damit

ausgeschlossen

Schutz vor Datenmanipulation

durch Hash-Verfahren

Absender-Identifikation durch

digitale Signaturen, Zertifikate

Christian Book 24.01.2009


Vertraulichkeit

24

Daten können verschlüsselt

übertragen werden

Verschlüsselung erfolgt von

Ende zu Ende

auch Provider hat keine Einsicht

in den Datenverkehr

Verschlüsselung wird durch

die Administration der Außenstellen definiert

Christian Book 24.01.2009


Verfügbarkeit

25

dynamische Verbindung mit

niedriger Konvergenz

redundante Anbindung möglich

Verfügbarkeit im Service Level

Agreement mit Providern

festzulegen

Christian Book 24.01.2009


26

Fazit & Ausblick

Literaturhinweise

Christian Book 24.01.2009


Fazit

27

VPN-Technologien entsprechen

aktuellen Kundenanforderungen

IT-Sicherheit wird gewährleistet

Umfang des Schutzes und der

Funktionalität sind maßgebend

für Kosten und Aufwand

Christian Book 24.01.2009


Ausblick

28

Outsourcing der Server-Infrastruktur

sowie Globalisierung

erfordern verstärkten Einsatz

von VPN-Lösungen

PWE3 ist eine sehr flexible VPN-Technologie,

da Protokolle auf Sicherungsschicht getunnelt

werden

Christian Book 24.01.2009


Literatur

29

Beasley, Jeffrey S.: Networking, Pearson Education, 2009.


Carmouche, James H.: IPsec Virtual Network Fundamentals,

Cisco Press, 2006.

David, Bruce S.: MPLS Next Steps, Kaufmann, 2008.

Ghein, Luc de: MPLS Fundamentals, Cisco Press, 2006.


Guicha, Jim: Definitive MPLS Network Designs, Cisco Press,

2005.

Huawei Technologies: Technical White Paper for PWE3, 2007.

Lou, Wei: Layer 2 VPN Architectures, Cisco Press, 2005.

Christian Book 24.01.2009


Vielen Dank!

30

Fragen

Anregungen

Kommentare

Christian Book 24.01.2009

Weitere Magazine dieses Users
Ähnliche Magazine