nagybiztonságú, több telephelyes kommunikációs hálózatok · 2016-04-06 · nagybiztonságú,...
Post on 17-Jan-2020
6 Views
Preview:
TRANSCRIPT
Nagybiztonságú, több telephelyes kommunikációs hálózatok
Előadás Marosi János, Marton András, dr. Váradi János OMIKRON Informatika Kft.
MEE VÁNDORGYŰLÉSEnergetikai informatikai biztonság szekció
2009. szeptember 10.
2www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Hálózatbiztonság a villamosenergia-ipari rendszerirányításban
• a technológia-közeli rendszerek kommunikációs megoldásai változnak
• a soros vonali kommunikációt ki fogja váltani az IP alapú hálózati kommunikáció
• A MAVIR helyi és országos hálózatát komplex informatikai rendszerként kell tekinteni
• Kihívás: új székház – új hálózati struktúra és technológiák
• komplex hálózati technológiák bevezetése• egységes hálózatbiztonsági technológiák telepítése
3www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Az informatikai biztonság
információvédelem információk sértetlenségét, hitelességét és bizalmasságát hivatott megőrizni
megbízható működésaz adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani
4www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
A hálózati és kommunikációs rendszerek biztonsága
a hálózaton keresztül elérhető adatatok és szolgáltatások mindig elérhetők legyenek
eszközök: útvonalak, hálózati eszközök, szolgáltatások, adatok redundanciája
az adatokat és szolgáltatásokat a jogosultak érhessék eleszközök: autentikációs rendszerek, adatvédelem
a hálózaton keresztül elérhető rendszereket és adatokat védeni kell
eszközök: behatolás-védelem, vírusvédelem, önvédő hálózat
5www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Az országos Intranet rendszer és alrendszerei
IRODANETTELEFON
EMS/SCADA
IR.TECHNIKA
VÉDELEM
VAGYONVÉDELEM EMRTRAF.MON.
TELPAM
KDSZ-ek
DEDIKÁLT
ÜGYFELEK
EXTRANET
ORSZÁGOS HÁLÓZAT
6www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Hálózattervezési szempontok az elsődleges rendszerirányító központ minden stratégiai szolgáltatása biztosítható legyen a háttérközpontból is kiesés nélkülaz elsődleges központban minden stratégiai alkalmazás redundáns legyenegységes országos intranet hálózat biztosítása a telephelyek közötti kommunikáció számáraa telephelyek közötti kapcsolatok redundáns útvonalakon és eszközökön biztosítandókminden hálózati hozzáférés ellenőrzött és engedélyezett legyenstratégiai hálózatrészek elválasztása hálózatbiztonsági eszközökkel
7www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Hálózati integráció, izoláció, virtualizáció
Integráció:szigetszerű hálózatok integrálása egységes hálózatba
Virtualizáció: virtuálisan izolált hálózatok kialakítása az egységes országos hálózaton
Izoláció: a virtuális hálózatoknak a fizikai szétválasztáshoz hasonló védettséget kell biztosítani
Az alhálózatok fizikai szétválasztása nem biztonság!
8www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Integrált és biztonságos struktúra
MPLS / VPNHÁLÓZAT
INTERNET ROUTER 1
SZOLGÁLTATÓ 1
ALHÁLÓZAT
ALHÁLÓZAT
ALHÁLÓZAT
ALHÁLÓZAT
ALHÁLÓZAT
ALHÁLÓZAT
RENDSZER-IRÁNYÍTÁS
EHEH DMZ
ÜgyvitelDMZ
VIR
ADATTÁRHÁZ
ügyviteli alhálózat
MANAGEMENT LAN
ALHÁLÓZAT
ALÁLLOMÁS
ÁRAMSZOLGÁLTATÓKZágráb Belgrád Zsolna
EH router 1
Telephely 1 Telephely 2 Telephely n
ROUTER
BehívásOMSZ
KÜLSŐ PARTNER
MunkaállomásLAN 1
MunkaállomásLAN 2
Közös szolgáltatások
ALHÁLÓZAT
ALHÁLÓZAT
ALHÁLÓZAT
Technológia DMZ
Ügyvitel terhelés elosztó
Technológia terhelés elosztó
Internet tűzfal
DMZ központi router
DMZ TŰZFAL
Ügyvitel központi router
KÖZPONTI TŰZFAL
MPLS központi router
KÜLSŐ KAPCSOLATOK
TŰZFAL
Technológia központi router
NEMZETKÖZI KAPCSOLATOK
TŰZFAL
Technológia
DMZ
Ügyviteli hálózat
KÖZPONTI IPS
TECHNOLÓGIA
Cisco IPS 4260 sensor
ügyviteli központi IPS
Cisco 3845
SPAN port
SPAN port
SPAN port
Rendszerek közötti
kapcsolatok
Internet
KÖZPONTI IPS
ALHÁLÓZAT
PÉLDA: INTEGRÁCIÓ, VIRTUALIZÁCIÓ, IZOLÁCIÓ
INTERNET ROUTER 2
SZOLGÁLTATÓ 2
MunkaállomásLAN n
9www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Redundáns hálózati struktúra
CORE ROUTER A
L3 ACCESS SWITCH
CORE ROUTER B
A gépterem
B gépterem
N-1. szint
7. rendező sor
8. rendező sor
5. rendező sor
6. rendező sor
240 port
240 port
240 port
240 port
240 port
40 port
40 port
40 port
40 port
Jelmagyarázat:10 Gigabit Ethernet (optika)
10/100 /1000 Mbps Ethernet (réz)
L3 switch
MPLS Intranet
TechnológiaLAN
MPLS Intranet
DMZInternet
Irodai munkaállomások
40 port
40 port
Ügyvitel “A” LAN
Ügyvitel “B” LAN
Ügyvitel “A” LAN
Ügyvitel “B” LAN
Ügyvitel “A” LAN
40 portÜgyvitel “B” LAN
SERVER ACCESS SWITCH
40 port
Ügyvitel “A” LAN
Ügyvitel “B” LAN
PÉLDA: BIZTONSÁGOS LAN STRUKTÚRA
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
TechnológiaLAN
DMZInternet
L3 ACCESS SWITCH
L3 ACCESS SWITCH
L3 ACCESS SWITCH
L3 ACCESS SWITCH
N. szint
N+1. szint
N+2. szint
N+3. szint
10www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Szerverek elérésének redundanciája
CORE ROUTER A
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
SERVER ACCESS SWITCH
A gépterem
B gépterem
7. rendező sor
AC Bn
7. rendező sor
AC Bn
„A” LAN
„B” LAN
„A” LAN
„B” LAN
VLAN x
Rendszer X
Rendszer Y
VLAN y
VLAN y
Rendszer X
Rendszer Y
VLAN x
VLAN y
VLAN y
Egyszeres bekötés
Többszörös bekötés
CORE ROUTER B
TTTTT
TTTTT
TTTTT
TTTTT
TTTTT
TTTTT
TTTTT
TTTTT
Szinti rendezők
1. emelet
2. emelet
ACCESS SWITCH
ACCESS SWITCH
R
R
Jelmagyarázat:802.1Q VLAN trunk
10/100/1000 Mbps Ethernet (réz) L3 switch
R
R
TTTTT R
SzerverVLAN-ok
SzerverVLAN-ok
+
AB
AB
HSRPRapid perVLAN
Spanning Tree Protocol +
RPVSTP+
EIGRP routing
TTTTT
R Routolt kapcsolat
VRF 1
VLAN 2b
VLAN 2a
VRF 2 VLAN 2c
VRF 1
VLAN 1b
VLAN 1a
VRF 2 VLAN 1c
Layer 3
Layer 2
Irodai munkaállomások
SERVER ACCESS SWITCH
PÉLDA: SZERVEREK REDUNDÁNS HÁLÓZATI ELÉRÉSE
11www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Hálózatbiztonsági megoldások
központ
KÜLSŐ TŰZFAL
háttér központtelephely
MPLS
Telephely LAN -NTelephely LAN -2Telephely LAN -1
Extranet routerIPS modullalEthernet portokkalMinden irányban NAT
Partner-1 Partner-2 Partner-N
PE (MPLS) végpont
PE (MPLS)végpont
Extranet VRF
VRF-1 VRF-2 VRF-N
VRF-1 VRF-2 VRF-NExtranet VRF
Access router
Mgmt LAN
PE (MPLS)végpont
Mgmt LAN
Cisco MARS
Cisco MARS
Mgmt VRF
8BELSŐ TŰZFAL
Access szerver
Log szerver
Szerver-1
Access szerver
Log szerver
Szerver-2
Access szerver
Log szerver
Szerver-3
VPN
Behívás
DMZ TŰZFAL
DMZ
KÜLSŐ TŰZFAL
Internet
Cisco 2850XM
Cisco 3845
Pantel
Datanet
Internet VRF
VPN
Publikus szolgáltatások
Publikus szolgáltatások
alkalmazottakHálózat felügyeletExtranet partnerek
alkalmazottakHálózat felügyeletExtranet partnerek
Mgmt VRF
Access router
Extranet VRF
Külső tűzfal
Belső tűzfal
Rendszeren belüli kapcsolat
Rendszerek közötti kapcsolat
Rendszer-1 Rendszer-2 Rendszer-N
12www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Önvédő hálózati stratégia
Az önvédő hálózat képes azonosítani a veszélyeket és megakadályozni a külső és belső támadásokat. Jellemzői:Integráció: Minden hálózati elem nemcsak külön-külön valósítják meg a biztonságot, hanem együttműködve is egy integrált rendszerben.Együttműködés: Különböző eszközök képesek együttműködni a védelem és biztonság minél hatékonyabb megvalósítása érdekében.Alkalmazkodás: A cég biztonsági szabályzata alapján beállított eszközök és alkalmazások képesek automatikusan beavatkozni egy új támadás vagy vészhelyzet kialakulásakor.
13www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Az önvédő hálózat eszközeiVégponti berendezések védelme
ellenőrzött belépési eljárás (NAC)munkaállomások és szerverek agent alapú központi szabályrendszerre épülő védelme (Security Agent)IPSec és SSL VPN megoldások
Hálózati védelem adaptív hálózati tűzfalak betörésvédelmi eszközök (IPS) „hálózati beléptető rendszer” (Network Admission Control) az access switchek biztonsági szolgáltatásai (TrustSec) biztonsági protokollok, IPSec és SSL VPN megoldások Router SecurityBiztonsági eszközök menedzsmentje tűzfalak, IPS-ek központi menedzselése (Security Manager) magas szintű log elemző, és incidenskezelő rendszer (MARS) hozzáférés és jogosítvány kezelő szerver (Secure ACS)
14www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Biztonságos belépés a hálózatba
Hitelesítő eszköz
Felhasználó
Hitelesítési kérelem
Hitelesítési kérelemre válasz
Hitelesítési kérelem RSA token kártya vagy biometrikus eszközzel
Hitelesítési kérelemre válasz RSA token kártya vagy biometrikus eszközzel
CS ACS szoftver
RSA Authentication
Manager
Hitelesítő szerver
15www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
MPLS virtuális magánhálózati technológia
Az MPLS technológián kialakított magánhálózat biztonságot nyújt a legkritikusabb technológiai rendszereknek is.
biztonságos virtualizáció a vállalati magánhálózat számáraL2, L3 szintű izoláció az egyes rendszerek közöttminden hálózati protokoll használhatjaa pont-pont kapcsolatok kialakításához tetszőleges távközlési (L1, L2) technológia felhasználható (X.21, G.703. ISDN). egymást átfedő IP tartományok is használhatókösszetett, bonyolult topológiák is kialakíthatóka redundáns útvonalak terhelésmegosztással használhatókrendkívül gyors konvergencianagy sebességű csomagkapcsolt működés a gerinchálózatonmagas szintű QoS megoldások, priorizálásExtranet szolgáltatás is integrálható
16www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
MPLS/VPN alapú gerinchálózat
Tartalék központ
központ
Szerverek,telephelyi LAN-ok
ALÁLLOMÁS 1
MPLS optikai gyűrű GigabitEthernetMPLS TenGigabitEthernetHelyi TenGigabitEthernet
Backup bérelt vonalak
ERŐMŰ 1
MPLS optikai gerinc
Szerverek,telephelyi LAN-ok
10 Gbps
MPLS optikai gerinc
MPLS optikai gerinc
Cisco 65xx VSS stack
1 Gbps
10 Gbps 10 Gbps
1 Gbps
1 Gbps
1 Gbps
Backup bérelt vonalak
n x 10 Mbps EoSDH
1 Gbps 1 Gbps
MPLS optikai gerinc MPLS optikai gerinc
MPLS P, PE 2MPLS P, PE 1
MPLS P, PE 3
96 x 10/100/1000BaseT2 x TenGb
96 x 10/100/1000BaseT2 x TenGb
96 x 10/100/1000BaseT2 x TenGb
BGP RR RAS
BGP RRBGP RR
RASRAS
ISDN/analóg
2 M bérelt vonalak
ISDN/analóg
2 M bérelt vonalak
ISDN/analóg
2 M bérelt vonalak
ALÁLLOMÁS 1ERŐMŰ 1
17www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53
Összefoglalás
Nagy kiterjedésű hálózatok biztonságabiztonságos, gyors, protokoll-független magánhálózati technológiaredundáns topológia, redundáns eszközök, redundáns adatokfelhasználó azonosítás, hozzáférés szabályozás, jogosultság-kezelésbiztonsági rendszerek központi menedzsmentjeönvédő, adaptív hálózatbiztonsági technológiákvállalati biztonságpolitika
Köszönjük a figyelmet!
top related