- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Цілісність даних vpn
Якщо дані у відкритому вигляді передаються в публічній мережі Інтернет, вони можуть бути перехоплені і прочитані. Для збереження приватної інформації, вона повинна бути зашифрована. VPN-шифрування шифрує дані і робить їх недоступними для перегляду несанкціонованими отримувачами.
Для здійснення шифрування відправник і отримувач повинні знати правила, які використовуються для перетворення вихідного повідомлення в кодований вигляд. Правила VPN шифрування включають алгоритм і ключ. Алгоритм – це математична функція, яка поєднує в собі повідомлення, текст, цифри з ключем. На виході є нерозбірливий шифрований рядок. Розшифрування його надзвичайно складне, або неможливе, без правильного ключа.
Наприклад, відправник хоче відправити фінансовий документ отримувачу через Інтернет. Відправник і отримувач раніше домовилися про таємний ключ. Відправник використовує програмне забезпечення VPN-client, яке об'єднує документ з таємним ключем і передає його через алгоритм шифрування. На виході отримується нерозбірливий шифрований текст. Зашифрований текст буде відправлено по VPN тунелю через Інтернет. На іншому кінці, повідомлення рекомбінують з тим самим загальним секретним ключем і обробляють тим самим алгоритмом шифрування. На виході отримується оригінальний фінансовий документ, доступний для читання отримувачу.
Ступінь безпеки, який забезпечує будь-який алгоритм шифрування залежить від довжини ключа. Для будь-якої довжини ключа час, необхідний для обробки всіх можливих варіантів розшифрування зашифрованого тексту є функцією від обчислювальної потужності комп'ютера. Таким чином, коротший ключ легше зламати, але в той же час, простіше передати повідомлення.
Деякі з найбільш поширених алгоритмів шифрування і довжини ключів, які використовуються:
DES (Data Encryption Standard) – розроблений IBM. DES використовує 56-бітний ключ, забезпечуючи високу продуктивність шифрування. DES є криптосистемою з симетричним ключем.
3DES (Triple DES) – новий варіант DES, який шифрує з одним ключем, розшифровує з іншим ключем, а потім шифрує в останній раз з ще іншим ключем. 3DES забезпечує значно надійніший процес шифрування.
AES (Advanced Encryption Standard) – Національний інститут стандартів і технології США (NIST), прийняв AES, щоб замінити існуючі шифрування DES в криптографічних пристроях. AES забезпечує більш високий рівень безпеки, ніж DES і обчислювально більш ефективний, ніж 3DES. AES пропонує три різних довжини ключа: 128, 192 і 256-бітні ключі.
RSA (Rivest, Shamir, and Adleman) – криптосистема з асиметричним ключем. Використовує ключі довжиною 512, 768, 1024 або більше біт.
Симетричне шифрування
Алгоритми шифрування, такі як DES і 3DES вимагають загальний секретний ключ для шифрування і дешифрування. Кожен з двох комп'ютерів має знати ключ для декодування інформації. За допомогою симетричного ключа шифрування, (секретного ключа шифрування), кожен комп'ютер, шифрує інформацію перед відправкою по мережі на інший комп'ютер. Для шифрування симетричним ключем потрібно знати, які комп'ютери будуть комунікувати один з одним, щоб ключ міг бути налаштований на кожному комп'ютері.
Проблема тільки в тому, як забезпечити загальний секретний ключ для пристроїв шифрування і дешифрування. Для цього можна використати електронну пошту, кур'єрську доставку та ін. Більш простим і безпечнішим є метод асиметричного шифрування.
Асиметричне шифрування
Асиметричне шифрування використовує різні ключі для шифрування і дешифрування. Знання одного з ключів не дозволяє вирахувати другий ключ і декодувати інформацію. Один ключ шифрує повідомлення, а другий ключ розшифровує повідомлення. Не можливо шифрувати і дешифрувати інформацію одним ключем.
Шифрування публічним ключем є варіант асиметричного шифрування, який використовує поєднання закритого і відкритого ключів. Отримувач дає відкритий ключ будь-якому відправникові, з яким одержувач хоче обмінюватись інформацією. Відправник використовує закритий ключ в поєднанні з відкритим ключем отримувача, щоб зашифрувати повідомлення. Крім того, відправник повинен поділитися своїм відкритим ключем з отримувачем. Щоб розшифрувати повідомлення, отримувач буде використовувати відкритий ключ відправника зі своїм закритим ключем.
Хешування
Хешування сприяє цілісності даних і аутентифікації, гарантуючи, що сторонні особи не підробили передані повідомлення. Хеш, або як його ще назвають дайджест повідомлення, це число, згенероване з рядка тексту. Хеш менший, ніж сам текст. Він створений за допомогою формули таким чином, що вкрай малоймовірно, що інший текст буде виробляти те ж хеш значення.
Як показала практика, під час передачі VPN даних через Інтернет існує потенційна загроза перехоплення та зміни даних. Відправник створює хеш повідомлення і відправляє його разом з самим повідомленням. Отримувач розшифровує повідомлення та хеш, виробляє інший хеш з отриманого повідомлення і порівнює два хеші. Якщо вони збігаються, отримувач може бути впевненим, що цілісність повідомлення не порушена.
VPN використовують коди перевірки автентичності повідомлення для перевірки цілісності та автентичності повідомлення, не використовуючи ніяких додаткових механізмів. Ключем хешованного коду перевірки автентичності повідомлення (hashed message authentication code, HMAC) є алгоритм цілісності даних, що гарантує цілісність повідомлення.
HMAC має два параметри: вхідне повідомлення і секретний ключ, відомий тільки відправнику повідомлення і прогнозованим отримувачам. Відправник повідомлення використовує функції HMAC для отримання значення (код аутентифікації повідомлення), утвореного шляхом конденсації секретного ключа та введеного повідомлення. Код аутентифікації повідомлення відправляється разом з повідомленням. Отримувач обчислює код перевірки автентичності повідомлення на отримані повідомлення, використовуючи той же ключ і HMAC функції, які використав відправник, і порівнює результат обчислення з отриманим кодом перевірки автентичності повідомлення. Якщо два значення збігаються, повідомлення було правильно прийняте і отримувач впевнений, що відправник є автентичним. Криптографічна міцність HMAC залежить від криптографічної міцності основної хеш-функції, розміру та якості ключа, і розміру отриманого вихідного хешу у бітах.
Існує два найбільш розповсюджені алгоритми HMAC:
HMAC-Message Dіgest 5 (MD5) – в даному алгоритмі використовується 128-бітний спільний секретний ключ. Повідомлення змінної довжини і 128-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-MD5. В результаті створюється 128-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.
HMAC-Secure Hash Algorіthm 1 (HMAC-SHA-1) – в даному алгоритмі використовується 160-бітний секретний ключ. Повідомлення змінної довжини і 160-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-SHA-1. В результаті створюється 160-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.
VPN аутентифікація
При передачі інформації через мережу VPN, пристрій на іншому кінці VPN тунелю повинен пройти перевірку справжності (аутентифікацію), перш ніж канал зв'язку вважатиметься безпечним. Є два методи аутентифікації:
PSK (Pre-shared key - Спільний ключ) – секретний ключ, який спільно використовується двома сторонами і який потрібно передати по захищеному каналу перед його використанням. PSK використовує криптографічні алгоритми з симетричним ключем. PSK вводиться в кожен вузол вручну і використовується для перевірки автентичності.
RSA signature (RSA підпис) – для аутентифікації використовує обмін цифровими сертифікатами. Локальний пристрій хешує та шифрує його приватним ключем. Зашифрований хеш (цифровий підпис) додається до повідомлення і передається на віддалений вузол. На віддаленому вузлі, зашифрований хеш розшифровується за допомогою відкритого ключа отримувача. Якщо розшифрований хеш та перераховуваний хеш співпадають, підпис є справжнім.