Leimakytkent - PowerPoint PPT Presentation

About This Presentation
Title:

Leimakytkent

Description:

Leimakytkent isten virtuaaliverkkojen yhteenliitt mistapojen vertailu Sampsamatti Tanner, TeliaSonera Ty n valvoja: Prof. Raimo Kantola Ty n ohjaaja: DI Johan Lax n – PowerPoint PPT presentation

Number of Views:78
Avg rating:3.0/5.0
Slides: 20
Provided by: tkk61
Category:

less

Transcript and Presenter's Notes

Title: Leimakytkent


1
Leimakytkentäisten virtuaaliverkkojen
yhteenliittämistapojen vertailu
  • Sampsamatti Tanner, TeliaSonera
  • Työn valvoja Prof. Raimo Kantola
  • Työn ohjaaja DI Johan Laxén

2
Esitelmän sisältö
  • Tutkimuksen taustaa
  • Tutkimusongelma ja menetelmä
  • Toimintaympäristö
  • MPLS-VPN-palveluiden esittely
  • Yhteenliittämistapojen esittely
  • Vertailun tuloksista
  • Johtopäätökset
  • Jatkotutkittavaa

3
Tutkimuksen taustaa
  • Verkkoteknologian kehitys
  • Konvergenssi monesta verkosta yhteen
  • Pakettiverkkoteknologioiden kustannustehokkuus
  • Leimakytkennän tarjoamat mahdollisuudet
  • MPLSn mahdollistamat virtuaaliverkkopalvelut
  • Toimialan kehitys
  • Operaattorien yhdistyessä yhdellä operaattorilla
    monta verkkoa
  • Dataliikenteen merkityksen ja käytön kasvu
    heijastuu myös MPLS-VPN-palveluihin
  • Kattavuusalueen laajentaminen kumppanien avulla
  • Regulaatio (verkkojen yhteiskäyttö)

4
Tutkimusongelma
  • Millä tavoin operaattorin kannattaa liittää eri
    verkoissa toteutetut leimakytkentäiset
    virtuaaliverkkopalvelut toisiinsa tietoturvan
    näkökulmasta?

5
Tutkimusmenetelmä
  • Vertailu
  • Teoreettinen lähestyminen
  • Käytännön kokemus taustalla

6
Työssä tehdyt rajaukset
  • Operaattorin hallinnoimat
  • Leimakytkentää hyödyntävät
  • Virtuaaliverkkopalvelut.
  • Kolme palvelua
  • Yhteenliittämistavat
  • Neljä tapaa
  • Fokus tietoturva
  • Näkökulma operaattorin

7
Leimakytkentäiset virtuaaliverkotyleinen
arkkitehtuuri
runkoverkko
Asiakaan liityntälaite, CE
Operaattorin palvelun reunalaite, PE
8
MPLS-VPN hallinta- ja kuljetustaso
VPN-hallinta (signalointi)
runkokuljetuksen hallinta (signalointi)
1
1
2
2
kuljetusleima
VPN-leima
9
Tarkasteltavat VPN-palvelut
  • IP-virtuaaliverkko-palvelu (L3-MPLS/BGP-VPN)
  • IETF RFC 4364
  • BGPhen perustuva VPN-signalointi
  • Signalointi ja välitys erotettu toisistaan
  • Sisältää autodiscovery-toiminteen
  • Virtuaalijohdinpalvelu (VPWS)
  • ei standardoitu
  • pisteestä-pisteeseen-yhteys
  • LDP-protokollaan perustuva
  • Signalointi ja välitys sidoksissa toisiinsa
  • Autodiscovery erikseen (esim. BGPllä)
  • Virtuaalinen lähiverk-kopalvelu (VPLS)
  • Kaksi kilpailevaa ehdotusta (RFC 4761 ja RFC
    4762)
  • BGP-ehdotus ja LDP-ehdotus
  • Toinen sisältää autodiscoveryn, toinen ei

10
Toimintaympäristö Useita verkkoja
ACt
ACt
ASBR23
ASBR12
ASBR32
ASBR13
ASBR14
ASBR41
11
Yhteenliittämistavat hallintatasolla
Malli A ketjutus
PE1
P1
ASBR1
ASBR2
P2
PE2
Malli B VPN-tason yhteenliittäminen
PE1
P1
ASBR1
ASBR2
P2
PE2
Malli C kuljetustason yhteenliittäminen
PE1
ASBR1
P1
ASBR2
P2
PE2
Malli D IP-tunnelointi
PE1
PE2
12
Pohdittuja tietoturva-asioita
  • Uhat operaattorin verkolle
  • hallintatasolle
  • suojautuminen virheelliseltä signaloinnin
    toiminnalta (määrä, taajuus, formaatti)
  • signalointikumppanin varmistaminen
  • signalointitiedon alkuperän varmistaminen
  • liikenteen välitykselle
  • liikenteen määrän hallinta
  • liikenne vain sieltä mistä sen kuuluu tulla
  • liikenne vain sinne, minne sen kuuluu mennä
  • Uhat asiakkaalle
  • Heikkeneekö virtuaaliverkon erillisyys, suoja,
    yksityisyys tai eheys
  • Ovatko uhat erilaiset Intra- ja
    Inter-AS-asiakkaille?
  • Strategisen tiedon välittyminen/rajoittaminen
  • operaattorin verkon rakenteesta
  • asiakkuuksista
  • asiakkaan verkon rakenteesta

13
Vertailun tuloksia Malli A
  • tietoturvallisin tietoja verkkojen välillä
    vaihdetaan vain VPN-kontekstin sisällä
  • - reititystiedon alkuperän varmistaminen
  • - toisen operaattorin konfigurointivirheitä
    vaikea havaita
  • -gt Ongelmat liittyvät vain Inter-AS-VPNiin

14
Vertailun tuloksia Malli B
  • VPN-hallintatason yhdistäminen tuo riippuvuuden
    naapuriverkon VPNien operoinnista
  • Pelkästään Inter-AS-VPNiin liittyvää tietoa
    pitää välittää toiseen verkkoon
  • Paperilla tietoturvallisuus lähes Malli An
    tasolla
  • Käytännössä toteutukset eivät ole niin
    tietoturvallisia Rajareititin ei tee älykästä
    suodatusta leimatiedon perusteella
  • -gt Teoriassa ongelmat liittyvät vain
    Inter-AS-VPNiin, käytännössä myös operaattorin
    omaan verkkoon ja Intra-AS-asiakkaisiin

15
Vertailun tuloksia Malli C
  • Sekä VPN- että kuljetustason liittäminen tuo
    riippuvuuden naapuriverkon operoinnista sekä
    VPNien että MPLSn osalta
  • parempi näkyvyys kumppanin verkkoon
  • Oman verkon avaaminen kumppanille sekä
    signaloinnin että liikenteen välityksen tasolla
  • Rajareititin ei voi tehdä suodatusta alempien
    leimojen perusteella -gt monimutkaistaa
    suojautumista (hyökkäykset voivat helpommin tulla
    runkoverkon sisältä)
  • -gt Edellyttää isoa luottamusta kumppaniin tai
    erittäin huolellisia tietoturvakäytäntöjä
    (käytännön toteutettavuus?)

16
Vertailun tuloksia Malli D
  • Tietoturvallisuus riippuu käytetystä
    IP-tunnelointitekniikasta (IPSec suositeltava)
  • Vastapään PEn luotettava tunnistaminen ja sen
    mukaan toimiminen
  • Altis IP-tason häiriöille
  • riippuvuus IP-reitityksestä
  • Internet-liikenteen seassa (esim.
    palvelunestohyökkäys)

17
Johtopäätöksiä 1
  • Vertailun rajaaminen tietoturvaan oli palveli
    työn tarkoitusta, mutta vertailu ei sinällään ole
    riittävä yhteenliittämistapaa valitessa
  • tietoturva ei ole erillinen asia, vaan valinnassa
    vaikuttaa moni muukin asia
  • Tietoturvan painoarvoa mietittäessä olennaista on
    luottamuksen määrä kumppaniin
  • Mikään malli ei ole turvaton, jos kaikki
    operaattorit huolehtivat verkkojen ja palveluiden
    tietoturvallisesta operoinnista
  • Tässä työssä vertailua oleellisempaa oli löytää
    eri yhteenliittämistapojen ja virtuaaliverkkopalve
    luiden tietoturvahaasteet

18
Johtopäätöksiä 2
  • Eri virtuaaliverkkopalvelut toimivat varsin eri
    tavoin
  • ero tulee selkeästi esiin liitettäessä
    autonomisia alueita yhteen
  • erot tulevat valtaosin VPNlle käytetystä
    signalointiprotokollasta (LDP vs. BGP)
  • Virtuaaliverkkopalveluiden toimiminen yli
    AS-rajojen on standardoinnin osalta kesken
  • Erityisesti pätee LDPtä käyttäviin palveluihin

19
Jatkokehitettävää ja -tutkittavaa
  • Implementointi (reititinvalmistajat)
  • leimakytketyn liikenteen suodattaminen AS-rajalla
  • Standardointi
  • erityisesti LDPn (tai jonkin korvaavan
    protokollan) käyttö yli AS-rajan
  • Tietoturvan ohella tulisi tarkastella
  • palvelun laadun varmistamista
  • palvelun hallintaa
  • skaalautuvuutta

20
Kysyttävää / mietteitä
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Leimakytkent" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!