Nagybiztonságú, több telephelyes kommunikációs hálózatok · 2016-04-06 · Nagybiztonságú, több telephelyes kommunikációs hálózatok Előadás Marosi János, Marton András,

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Előadás Marosi János, Marton András, dr. Váradi János OMIKRON Informatika Kft.

MEE VÁNDORGYŰLÉSEnergetikai informatikai biztonság szekció

2009. szeptember 10.

2www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53

Hálózatbiztonság a villamosenergia-ipari rendszerirányításban

• a technológia-közeli rendszerek kommunikációs megoldásai változnak

• a soros vonali kommunikációt ki fogja váltani az IP alapú hálózati kommunikáció

• A MAVIR helyi és országos hálózatát komplex informatikai rendszerként kell tekinteni

• Kihívás: új székház – új hálózati struktúra és technológiák

• komplex hálózati technológiák bevezetése• egységes hálózatbiztonsági technológiák telepítése


Az informatikai biztonság

információvédelem információk sértetlenségét, hitelességét és bizalmasságát hivatott megőrizni

megbízható működésaz adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani


A hálózati és kommunikációs rendszerek biztonsága

a hálózaton keresztül elérhető adatatok és szolgáltatások mindig elérhetők legyenek

eszközök: útvonalak, hálózati eszközök, szolgáltatások, adatok redundanciája

az adatokat és szolgáltatásokat a jogosultak érhessék eleszközök: autentikációs rendszerek, adatvédelem

a hálózaton keresztül elérhető rendszereket és adatokat védeni kell

eszközök: behatolás-védelem, vírusvédelem, önvédő hálózat


Az országos Intranet rendszer és alrendszerei

IRODANETTELEFON

EMS/SCADA

IR.TECHNIKA

VÉDELEM

VAGYONVÉDELEM EMRTRAF.MON.

TELPAM

KDSZ-ek

DEDIKÁLT

ÜGYFELEK

EXTRANET

ORSZÁGOS HÁLÓZAT


Hálózattervezési szempontok az elsődleges rendszerirányító központ minden stratégiai szolgáltatása biztosítható legyen a háttérközpontból is kiesés nélkülaz elsődleges központban minden stratégiai alkalmazás redundáns legyenegységes országos intranet hálózat biztosítása a telephelyek közötti kommunikáció számáraa telephelyek közötti kapcsolatok redundáns útvonalakon és eszközökön biztosítandókminden hálózati hozzáférés ellenőrzött és engedélyezett legyenstratégiai hálózatrészek elválasztása hálózatbiztonsági eszközökkel


Hálózati integráció, izoláció, virtualizáció

Integráció:szigetszerű hálózatok integrálása egységes hálózatba

Virtualizáció: virtuálisan izolált hálózatok kialakítása az egységes országos hálózaton

Izoláció: a virtuális hálózatoknak a fizikai szétválasztáshoz hasonló védettséget kell biztosítani

Az alhálózatok fizikai szétválasztása nem biztonság!


Integrált és biztonságos struktúra

MPLS / VPNHÁLÓZAT

INTERNET ROUTER 1

SZOLGÁLTATÓ 1

ALHÁLÓZAT

ALHÁLÓZAT

ALHÁLÓZAT

ALHÁLÓZAT

ALHÁLÓZAT

ALHÁLÓZAT

RENDSZER-IRÁNYÍTÁS

EHEH DMZ

ÜgyvitelDMZ

VIR

ADATTÁRHÁZ

ügyviteli alhálózat

MANAGEMENT LAN

ALHÁLÓZAT

ALÁLLOMÁS

ÁRAMSZOLGÁLTATÓKZágráb Belgrád Zsolna

EH router 1

Telephely 1 Telephely 2 Telephely n

ROUTER

BehívásOMSZ

KÜLSŐ PARTNER

MunkaállomásLAN 1

MunkaállomásLAN 2

Közös szolgáltatások

ALHÁLÓZAT

ALHÁLÓZAT

ALHÁLÓZAT

Technológia DMZ

Ügyvitel terhelés elosztó

Technológia terhelés elosztó

Internet tűzfal

DMZ központi router

DMZ TŰZFAL

Ügyvitel központi router

KÖZPONTI TŰZFAL

MPLS központi router

KÜLSŐ KAPCSOLATOK

TŰZFAL

Technológia központi router

NEMZETKÖZI KAPCSOLATOK

TŰZFAL

Technológia

DMZ

Ügyviteli hálózat

KÖZPONTI IPS

TECHNOLÓGIA

Cisco IPS 4260 sensor

ügyviteli központi IPS

Cisco 3845

SPAN port

SPAN port

SPAN port

Rendszerek közötti

kapcsolatok

Internet

KÖZPONTI IPS

ALHÁLÓZAT

PÉLDA: INTEGRÁCIÓ, VIRTUALIZÁCIÓ, IZOLÁCIÓ

INTERNET ROUTER 2

SZOLGÁLTATÓ 2

MunkaállomásLAN n


Redundáns hálózati struktúra

CORE ROUTER A

L3 ACCESS SWITCH

CORE ROUTER B

A gépterem

B gépterem

N-1. szint

7. rendező sor

8. rendező sor

5. rendező sor

6. rendező sor

240 port

240 port

240 port

240 port

240 port

40 port

40 port

40 port

40 port

Jelmagyarázat:10 Gigabit Ethernet (optika)

10/100 /1000 Mbps Ethernet (réz)

L3 switch

MPLS Intranet

TechnológiaLAN

MPLS Intranet

DMZInternet

Irodai munkaállomások

40 port

40 port

Ügyvitel “A” LAN

Ügyvitel “B” LAN




40 portÜgyvitel “B” LAN

SERVER ACCESS SWITCH

40 port



PÉLDA: BIZTONSÁGOS LAN STRUKTÚRA








TechnológiaLAN

DMZInternet

L3 ACCESS SWITCH

L3 ACCESS SWITCH

L3 ACCESS SWITCH

L3 ACCESS SWITCH

N. szint

N+1. szint

N+2. szint

N+3. szint


Szerverek elérésének redundanciája

CORE ROUTER A




A gépterem

B gépterem

7. rendező sor

AC Bn

7. rendező sor

AC Bn

„A” LAN

„B” LAN

„A” LAN

„B” LAN

VLAN x

Rendszer X

Rendszer Y

VLAN y

VLAN y

Rendszer X

Rendszer Y

VLAN x

VLAN y

VLAN y

Egyszeres bekötés

Többszörös bekötés

CORE ROUTER B

TTTTT

TTTTT

TTTTT

TTTTT

TTTTT

TTTTT

TTTTT

TTTTT

Szinti rendezők

1. emelet

2. emelet

ACCESS SWITCH

ACCESS SWITCH

R

R

Jelmagyarázat:802.1Q VLAN trunk

10/100/1000 Mbps Ethernet (réz) L3 switch

R

R

TTTTT R

SzerverVLAN-ok

SzerverVLAN-ok

+

AB

AB

HSRPRapid perVLAN

Spanning Tree Protocol +

RPVSTP+

EIGRP routing

TTTTT

R Routolt kapcsolat

VRF 1

VLAN 2b

VLAN 2a

VRF 2 VLAN 2c

VRF 1

VLAN 1b

VLAN 1a

VRF 2 VLAN 1c

Layer 3

Layer 2

Irodai munkaállomások


PÉLDA: SZERVEREK REDUNDÁNS HÁLÓZATI ELÉRÉSE


Hálózatbiztonsági megoldások

központ

KÜLSŐ TŰZFAL

háttér központtelephely

MPLS

Telephely LAN -NTelephely LAN -2Telephely LAN -1

Extranet routerIPS modullalEthernet portokkalMinden irányban NAT

Partner-1 Partner-2 Partner-N

PE (MPLS) végpont

PE (MPLS)végpont

Extranet VRF

VRF-1 VRF-2 VRF-N

VRF-1 VRF-2 VRF-NExtranet VRF

Access router

Mgmt LAN

PE (MPLS)végpont

Mgmt LAN

Cisco MARS

Cisco MARS

Mgmt VRF

8BELSŐ TŰZFAL

Access szerver

Log szerver

Szerver-1

Access szerver

Log szerver

Szerver-2

Access szerver

Log szerver

Szerver-3

VPN

Behívás

DMZ TŰZFAL

DMZ

KÜLSŐ TŰZFAL

Internet

Cisco 2850XM

Cisco 3845

Pantel

Datanet

Internet VRF

VPN

Publikus szolgáltatások

Publikus szolgáltatások

alkalmazottakHálózat felügyeletExtranet partnerek

alkalmazottakHálózat felügyeletExtranet partnerek

Mgmt VRF

Access router

Extranet VRF

Külső tűzfal

Belső tűzfal

Rendszeren belüli kapcsolat

Rendszerek közötti kapcsolat

Rendszer-1 Rendszer-2 Rendszer-N


Önvédő hálózati stratégia

Az önvédő hálózat képes azonosítani a veszélyeket és megakadályozni a külső és belső támadásokat. Jellemzői:Integráció: Minden hálózati elem nemcsak külön-külön valósítják meg a biztonságot, hanem együttműködve is egy integrált rendszerben.Együttműködés: Különböző eszközök képesek együttműködni a védelem és biztonság minél hatékonyabb megvalósítása érdekében.Alkalmazkodás: A cég biztonsági szabályzata alapján beállított eszközök és alkalmazások képesek automatikusan beavatkozni egy új támadás vagy vészhelyzet kialakulásakor.


Az önvédő hálózat eszközeiVégponti berendezések védelme

ellenőrzött belépési eljárás (NAC)munkaállomások és szerverek agent alapú központi szabályrendszerre épülő védelme (Security Agent)IPSec és SSL VPN megoldások

Hálózati védelem adaptív hálózati tűzfalak betörésvédelmi eszközök (IPS) „hálózati beléptető rendszer” (Network Admission Control) az access switchek biztonsági szolgáltatásai (TrustSec) biztonsági protokollok, IPSec és SSL VPN megoldások Router SecurityBiztonsági eszközök menedzsmentje tűzfalak, IPS-ek központi menedzselése (Security Manager) magas szintű log elemző, és incidenskezelő rendszer (MARS) hozzáférés és jogosítvány kezelő szerver (Secure ACS)


Biztonságos belépés a hálózatba

Hitelesítő eszköz

Felhasználó

Hitelesítési kérelem

Hitelesítési kérelemre válasz

Hitelesítési kérelem RSA token kártya vagy biometrikus eszközzel

Hitelesítési kérelemre válasz RSA token kártya vagy biometrikus eszközzel

CS ACS szoftver

RSA Authentication

Manager

Hitelesítő szerver


MPLS virtuális magánhálózati technológia

Az MPLS technológián kialakított magánhálózat biztonságot nyújt a legkritikusabb technológiai rendszereknek is.

biztonságos virtualizáció a vállalati magánhálózat számáraL2, L3 szintű izoláció az egyes rendszerek közöttminden hálózati protokoll használhatjaa pont-pont kapcsolatok kialakításához tetszőleges távközlési (L1, L2) technológia felhasználható (X.21, G.703. ISDN). egymást átfedő IP tartományok is használhatókösszetett, bonyolult topológiák is kialakíthatóka redundáns útvonalak terhelésmegosztással használhatókrendkívül gyors konvergencianagy sebességű csomagkapcsolt működés a gerinchálózatonmagas szintű QoS megoldások, priorizálásExtranet szolgáltatás is integrálható


MPLS/VPN alapú gerinchálózat

Tartalék központ

központ

Szerverek,telephelyi LAN-ok

ALÁLLOMÁS 1

MPLS optikai gyűrű GigabitEthernetMPLS TenGigabitEthernetHelyi TenGigabitEthernet

Backup bérelt vonalak

ERŐMŰ 1

MPLS optikai gerinc

Szerverek,telephelyi LAN-ok

10 Gbps

MPLS optikai gerinc

MPLS optikai gerinc

Cisco 65xx VSS stack

1 Gbps

10 Gbps 10 Gbps

1 Gbps

1 Gbps

1 Gbps

Backup bérelt vonalak

n x 10 Mbps EoSDH

1 Gbps 1 Gbps

MPLS optikai gerinc MPLS optikai gerinc

MPLS P, PE 2MPLS P, PE 1

MPLS P, PE 3

96 x 10/100/1000BaseT2 x TenGb



BGP RR RAS

BGP RRBGP RR

RASRAS

ISDN/analóg

2 M bérelt vonalak

ISDN/analóg

2 M bérelt vonalak

ISDN/analóg

2 M bérelt vonalak

ALÁLLOMÁS 1ERŐMŰ 1


Összefoglalás

Nagy kiterjedésű hálózatok biztonságabiztonságos, gyors, protokoll-független magánhálózati technológiaredundáns topológia, redundáns eszközök, redundáns adatokfelhasználó azonosítás, hozzáférés szabályozás, jogosultság-kezelésbiztonsági rendszerek központi menedzsmentjeönvédő, adaptív hálózatbiztonsági technológiákvállalati biztonságpolitika

Köszönjük a figyelmet!

Documents

Nagybiztonságú, több telephelyes kommunikációs hálózatok · 2016-04-06 · Nagybiztonságú, több telephelyes kommunikációs hálózatok Előadás Marosi János, Marton András,