Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu

JulkaistuRisto Korhonen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu"— Esityksen transkriptio:

1 Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu
Sampsamatti Tanner, TeliaSonera Työn valvoja: Prof. Raimo Kantola Työn ohjaaja: DI Johan Laxén

2 Esitelmän sisältö Tutkimuksen taustaa Tutkimusongelma ja menetelmä
Toimintaympäristö MPLS-VPN-palveluiden esittely Yhteenliittämistapojen esittely Vertailun tuloksista Johtopäätökset Jatkotutkittavaa

3 Tutkimuksen taustaa Verkkoteknologian kehitys Toimialan kehitys
Konvergenssi: monesta verkosta yhteen Pakettiverkkoteknologioiden kustannustehokkuus Leimakytkennän tarjoamat mahdollisuudet MPLS:n mahdollistamat virtuaaliverkkopalvelut Toimialan kehitys Operaattorien yhdistyessä yhdellä operaattorilla monta verkkoa Dataliikenteen merkityksen ja käytön kasvu heijastuu myös MPLS-VPN-palveluihin Kattavuusalueen laajentaminen kumppanien avulla Regulaatio (verkkojen yhteiskäyttö)

4 Tutkimusongelma Millä tavoin operaattorin kannattaa liittää eri verkoissa toteutetut leimakytkentäiset virtuaaliverkkopalvelut toisiinsa tietoturvan näkökulmasta?

5 Tutkimusmenetelmä Vertailu Teoreettinen lähestyminen
Käytännön kokemus taustalla

6 Työssä tehdyt rajaukset
Operaattorin hallinnoimat Leimakytkentää hyödyntävät Virtuaaliverkkopalvelut. Kolme palvelua Yhteenliittämistavat Neljä tapaa Fokus: tietoturva Näkökulma: operaattorin

7 Leimakytkentäiset virtuaaliverkot: yleinen arkkitehtuuri
toimipiste A2 liityntäverkko 2 CEA2 PE2 toimipiste A1 liityntäverkko 1 CEA1 PE1 runkoverkko liityntäverkko 3 PE3 toimipiste A3 CEA3 Asiakaan liityntälaite, CE Operaattorin palvelun reunalaite, PE

8 MPLS-VPN: hallinta- ja kuljetustaso
VPN-hallinta (signalointi) CEA1 CEA2 PE1 PE2 CEB2 P1 ”runkokuljetuksen” hallinta (signalointi) CEA1 A_data A_data CEA2 PE1 B A P1 B A PE2 1 1 2 2 CEB1 B_data B_data CEB2 kuljetusleima VPN-leima

9 Tarkasteltavat VPN-palvelut
IP-virtuaaliverkko-palvelu (L3-MPLS/BGP-VPN) IETF RFC 4364 BGP:hen perustuva VPN-signalointi Signalointi ja välitys erotettu toisistaan Sisältää autodiscovery-toiminteen Virtuaalijohdinpalvelu (VPWS) ei standardoitu pisteestä-pisteeseen-yhteys LDP-protokollaan perustuva Signalointi ja välitys sidoksissa toisiinsa Autodiscovery erikseen (esim. BGP:llä) Virtuaalinen lähiverk-kopalvelu (VPLS) Kaksi kilpailevaa ehdotusta (RFC 4761 ja RFC 4762) BGP-ehdotus ja LDP-ehdotus Toinen sisältää autodiscoveryn, toinen ei

10 Toimintaympäristö: Useita verkkoja
AC:t AS2 CEA2 ASBR21 PE2 CEB2 AC:t AS1 ASBR23 CEA1 ASBR12 PE1 ASBR32 AS3 CEB1 CEA3 ASBR13 ASBR14 PE3 ASBR31 ASBR41 CEB3 AS4 PE4 CEA4

11 Yhteenliittämistavat hallintatasolla
Malli A: ”ketjutus” PE1 P1 ASBR1 ASBR2 P2 PE2 Malli B: VPN-tason yhteenliittäminen PE1 P1 ASBR1 ASBR2 P2 PE2 Malli C: kuljetustason yhteenliittäminen PE1 P1 ASBR1 ASBR2 P2 PE2 Malli D: IP-tunnelointi PE1 PE2

12 Pohdittuja tietoturva-asioita
Uhat operaattorin verkolle hallintatasolle suojautuminen virheelliseltä signaloinnin toiminnalta (määrä, taajuus, formaatti) signalointikumppanin varmistaminen signalointitiedon alkuperän varmistaminen liikenteen välitykselle liikenteen määrän hallinta liikenne vain sieltä mistä sen kuuluu tulla liikenne vain sinne, minne sen kuuluu mennä Uhat asiakkaalle Heikkeneekö virtuaaliverkon: erillisyys, suoja, yksityisyys tai eheys Ovatko uhat erilaiset Intra- ja Inter-AS-asiakkaille? Strategisen tiedon välittyminen/rajoittaminen operaattorin verkon rakenteesta asiakkuuksista asiakkaan verkon rakenteesta

13 Vertailun tuloksia: Malli A
+ tietoturvallisin: tietoja verkkojen välillä vaihdetaan vain VPN-kontekstin sisällä - reititystiedon alkuperän varmistaminen - toisen operaattorin konfigurointivirheitä vaikea havaita -> Ongelmat liittyvät vain Inter-AS-VPN:iin

14 Vertailun tuloksia: Malli B
VPN-hallintatason yhdistäminen tuo riippuvuuden naapuriverkon VPN:ien operoinnista + Pelkästään Inter-AS-VPN:iin liittyvää tietoa pitää välittää toiseen verkkoon + ”Paperilla” tietoturvallisuus lähes Malli A:n tasolla Käytännössä toteutukset eivät ole niin tietoturvallisia: Rajareititin ei tee älykästä suodatusta leimatiedon perusteella -> Teoriassa ongelmat liittyvät vain Inter-AS-VPN:iin, käytännössä myös operaattorin omaan verkkoon ja Intra-AS-asiakkaisiin

15 Vertailun tuloksia: Malli C
Sekä VPN- että kuljetustason liittäminen tuo riippuvuuden naapuriverkon operoinnista sekä VPN:ien että MPLS:n osalta + parempi näkyvyys kumppanin verkkoon Oman verkon avaaminen kumppanille sekä signaloinnin että liikenteen välityksen tasolla Rajareititin ei voi tehdä suodatusta alempien leimojen perusteella -> monimutkaistaa suojautumista (hyökkäykset voivat helpommin tulla ”runkoverkon sisältä”) -> Edellyttää isoa luottamusta kumppaniin tai erittäin huolellisia tietoturvakäytäntöjä (käytännön toteutettavuus?)

16 Vertailun tuloksia: Malli D
Tietoturvallisuus riippuu käytetystä IP-tunnelointitekniikasta (IPSec suositeltava) + Vastapään PE:n luotettava tunnistaminen ja sen mukaan toimiminen Altis IP-tason häiriöille riippuvuus IP-reitityksestä ”Internet-liikenteen” seassa (esim. palvelunestohyökkäys)

17 Johtopäätöksiä 1 Vertailun rajaaminen tietoturvaan oli palveli työn tarkoitusta, mutta vertailu ei sinällään ole riittävä yhteenliittämistapaa valitessa tietoturva ei ole erillinen asia, vaan valinnassa vaikuttaa moni muukin asia Tietoturvan painoarvoa mietittäessä olennaista on luottamuksen määrä kumppaniin Mikään malli ei ole turvaton, jos kaikki operaattorit huolehtivat verkkojen ja palveluiden tietoturvallisesta operoinnista Tässä työssä vertailua oleellisempaa oli löytää eri yhteenliittämistapojen ja virtuaaliverkkopalveluiden tietoturvahaasteet

18 Johtopäätöksiä 2 Eri virtuaaliverkkopalvelut toimivat varsin eri tavoin ero tulee selkeästi esiin liitettäessä autonomisia alueita yhteen erot tulevat valtaosin VPN:lle käytetystä signalointiprotokollasta (LDP vs. BGP) Virtuaaliverkkopalveluiden toimiminen yli AS-rajojen on standardoinnin osalta kesken Erityisesti pätee LDP:tä käyttäviin palveluihin

19 Jatkokehitettävää ja -tutkittavaa
Implementointi (reititinvalmistajat): leimakytketyn liikenteen suodattaminen AS-rajalla Standardointi erityisesti LDP:n (tai jonkin korvaavan protokollan) käyttö yli AS-rajan Tietoturvan ohella tulisi tarkastella palvelun laadun varmistamista palvelun hallintaa skaalautuvuutta

20 Kysyttävää / mietteitä

Lataa ppt "Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu"

Samankaltaiset esitykset

Vihreän liiton kesäpäivät 2006 Panu Laturi

Vihreän liiton kesäpäivät 2006 Panu Laturi
Tekijänoikeusfoorumi 2011 Markku Lamminluoto 16.11.2011 Kommenttipuheenvuoro operaattoreihin kohdistuvasta kieltotuomiomenettelystä.

Tekijänoikeusfoorumi 2011 Markku Lamminluoto Kommenttipuheenvuoro operaattoreihin kohdistuvasta kieltotuomiomenettelystä.
TAPAUS 1 • Joukkueen A pelaaja kuljettaa renkaan siniviivan yli keskialueelta omalle hyökkäysalueelleen. Mitä tuomari tekee?

TAPAUS 1 • Joukkueen A pelaaja kuljettaa renkaan siniviivan yli keskialueelta omalle hyökkäysalueelleen. Mitä tuomari tekee?
Moniasiakasympäristön etäyhteysratkaisujen vertailu

Moniasiakasympäristön etäyhteysratkaisujen vertailu
Moniverkkoliityntä asiakkaan näkökulmasta

Moniverkkoliityntä asiakkaan näkökulmasta
Miksi yksi yritys menestyy**, toinen ei?

Miksi yksi yritys menestyy**, toinen ei?
Kaisa Koskinen Gradunteon eväät

Kaisa Koskinen Gradunteon eväät
1 Heli Lepomäki 24.2.2010. Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.

1 Heli Lepomäki Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.
Header: Relation Diplomityöseminaari / Kalle Muhonen

Header: Relation Diplomityöseminaari / Kalle Muhonen
S ysteemianalyysin Laboratorio Teknillinen korkeakoulu Kimmo Berg Optimointiopin seminaari - Kevät 2005 / 1 Sähköinen kaupankäynti Kimmo Berg.

S ysteemianalyysin Laboratorio Teknillinen korkeakoulu Kimmo Berg Optimointiopin seminaari - Kevät 2005 / 1 Sähköinen kaupankäynti Kimmo Berg.
Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)

Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)
Internet -television mahdollisuudet

Internet -television mahdollisuudet
Tietoturva, 2 ov jukka.harju@ksao.fi.

Tietoturva, 2 ov
Ohjaaja: Ville Hentilä, Elisa Oyj Valvoja: Prof. Jukka Manner

Ohjaaja: Ville Hentilä, Elisa Oyj Valvoja: Prof. Jukka Manner
1 WiMAX-tekniikan rooli Suomessa Lasse Aslamaa Diplomityöseminaari 22.5.2007 Valvoja: Prof. Heikki Hämmäinen Ohjaaja: DI Timo Smura.

1 WiMAX-tekniikan rooli Suomessa Lasse Aslamaa Diplomityöseminaari Valvoja: Prof. Heikki Hämmäinen Ohjaaja: DI Timo Smura.
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Tutkimussuunnitelma…

Tutkimussuunnitelma…
Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro

Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro
Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.

Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.
Teknillinen korkeakoulu Tietoliikenneohjelmistojen ja multimedian laboratorio Calypso IP Calypso IP Tilannekatsaus 10.3.2000.

Teknillinen korkeakoulu Tietoliikenneohjelmistojen ja multimedian laboratorio Calypso IP Calypso IP Tilannekatsaus

Samankaltaiset esitykset

Iklan oleh Google