Nagybiztonságú, több telephelyes kommunikációs hálózatok

Nagybiztonságú, több telephelyes kommunikációs hálózatok Előadás Marosi János, Marton András, dr. Váradi János OMIKRON Informatika Kft. MEE VÁNDORGYŰLÉS Energetikai informatikai biztonság szekció 2009. szeptember 10.

Hálózatbiztonság a villamosenergia-ipari rendszerirányításban

• • • • • •

a technológia-közeli rendszerek kommunikációs megoldásai változnak a soros vonali kommunikációt ki fogja váltani az IP alapú hálózati kommunikáció A MAVIR helyi és országos hálózatát komplex informatikai rendszerként kell tekinteni Kihívás: új székház – új hálózati struktúra és technológiák komplex hálózati technológiák bevezetése egységes hálózatbiztonsági technológiák telepítése

www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53

2

Az informatikai biztonság információvédelem információk sértetlenségét, hitelességét és bizalmasságát hivatott megőrizni

megbízható működés az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani


3

A hálózati és kommunikációs rendszerek biztonsága a hálózaton keresztül elérhető adatatok és szolgáltatások mindig elérhetők legyenek eszközök: útvonalak, hálózati eszközök, szolgáltatások, adatok redundanciája

az adatokat és szolgáltatásokat a jogosultak érhessék el eszközök: autentikációs rendszerek, adatvédelem

a hálózaton keresztül elérhető rendszereket és adatokat védeni kell eszközök: behatolás-védelem, vírusvédelem, önvédő hálózat


4

Az országos Intranet rendszer és alrendszerei IRODANET

EXTRANET

DEDIKÁLT

TELEFON

ÜGYFELEK

EMS/SCADA KDSZ-ek

IR.TECHNIKA

ORSZÁGOS HÁLÓZAT TELPAM

VÉDELEM VAGYONVÉDELEM


EMR

TRAF.MON.

5

Hálózattervezési szempontok az elsődleges rendszerirányító központ minden stratégiai szolgáltatása biztosítható legyen a háttérközpontból is kiesés nélkül az elsődleges központban minden stratégiai alkalmazás redundáns legyen egységes országos intranet hálózat biztosítása a telephelyek közötti kommunikáció számára a telephelyek közötti kapcsolatok redundáns útvonalakon és eszközökön biztosítandók minden hálózati hozzáférés ellenőrzött és engedélyezett legyen stratégiai hálózatrészek elválasztása hálózatbiztonsági eszközökkel www.omikron.hu | 1084 Budapest, József u. 53. | +36 1 313 78 53

6

Hálózati integráció, izoláció, virtualizáció Integráció: szigetszerű hálózatok integrálása egységes hálózatba

Virtualizáció: virtuálisan izolált hálózatok kialakítása az egységes országos hálózaton

Izoláció: a virtuális hálózatoknak a fizikai szétválasztáshoz hasonló védettséget kell biztosítani Az alhálózatok fizikai szétválasztása nem biztonság!


7

Integrált és biztonságos struktúra ALHÁLÓZAT

ALHÁLÓZAT

RENDSZERIRÁNYÍTÁS

MANAGEMENT LAN

ALHÁLÓZAT

ROUTER

Munkaállomás LAN 1

ALHÁLÓZAT

Munkaállomás LAN 2

ALHÁLÓZAT

ügyviteli alhálózat

VIR

ADATTÁRHÁZ

Ügyvitel központi router Közös szolgáltatások

SPAN port

Munkaállomás LAN n ALHÁLÓZAT

KÖZPONTI IPS

ALHÁLÓZAT

Technológia központi router

SPAN port

Cisco IPS 4260 sensor

ügyviteli központi IPS

MPLS központi router

ALHÁLÓZAT

Rendszerek közötti kapcsolatok

SPAN port

ALHÁLÓZAT

KÜLSŐ PARTNER

ALHÁLÓZAT DMZ TŰZFAL

ALHÁLÓZAT NEMZETKÖZI KAPCSOLATOK

Ügyviteli hálózat

TECHNOLÓGIA

KÜLSŐ KAPCSOLATOK

KÖZPONTI TŰZFAL

Technológia DMZ Technológia terhelés elosztó

TŰZFAL

TŰZFAL

KÖZPONTI IPS

DMZ központi router

EH DMZ

MPLS / VPN HÁLÓZAT

EH

OMSZ

Ügyvitel DMZ Ügyvitel terhelés elosztó

Behívás

INTERNET ROUTER 1 SZOLGÁLTATÓ 1

EH router 1 ALÁLLOMÁS

Internet Internet tűzfal

Cisco 3845

SZOLGÁLTATÓ 2 Telephely 1 Zágráb

Belgrád

Zsolna

Telephely 2

INTERNET ROUTER 2

Telephely n

ÁRAMSZOLGÁLTATÓK

Technológia


DMZ

PÉLDA: INTEGRÁCIÓ, VIRTUALIZÁCIÓ , IZOLÁCIÓ

8

Redundáns hálózati struktúra N+3. szint

PÉLDA: BIZTONSÁGOS LAN STRUKTÚRA B gépterem 7. rendező sor 40 port

40 port

Technológia LAN

MPLS Intranet

Ügyvitel “A” LAN

Ügyvitel “B” LAN

240 port

Irodai munka állomások

L3 ACCESS SWITCH DMZ Internet

N+2. szint

SERVER ACCESS SWITCH

240 port


L3 ACCESS SWITCH

N+1. szint

8. rendező sor 40 port

40 port



SERVER ACCESS SWITCH SERVER ACCESS SWITCH

240 port

CORE ROUTER B L3 ACCESS SWITCH

N. szint

A gépterem

240 port


40 port






40 port




L3 ACCESS SWITCH

N-1. szint 240 port

CORE ROUTER A

L3 ACCESS SWITCH Jelmagyar ázat:

SERVER ACCESS SWITCH MPLS

Intranet

Technológia LAN

DMZ Internet


10 Gigabit Ethernet (optika) 10/100 /1000 Mbps Ethernet (réz) L3 switch

9

Szerverek elérésének redundanciája Szinti rendezők

PÉLDA: SZERVEREK REDUNDÁNS HÁLÓZATI ELÉRÉSE n

C

B Egyszeres bekötés

7. rendező sor

Irodai munkaállomások

A

2. emelet

„A” LAN VRF 2

Layer 2

VLAN x

VLAN 2c

VLAN y


Rendszer X Többszörös bekötés

TT T T T

VRF 1

„B” LAN

A B

VLAN 2a

Layer 3 R

ACCESS SWITCH

VLAN y

Szerver VLAN-ok

Rendszer Y

TT T T T


TT T T T

VLAN 2b

CORE ROUTER B EIGRP routing

B gépterem

TT T T T Rapid perVLAN Spanning Tree Protocol +

RPVSTP+

1. emelet

R R

HSRP T TT T T

+

VRF 2

R

VLAN 1c

VLAN 1a TT T T T

n

C

B

VRF 1

A

7. rendező sor

„A” LAN VLAN x

ACCESS SWITCH

R

TT T T T

VLAN 1b

TT T T T

VLAN y

Rendszer X

A B Rendszer Y


„B” LAN

TT T T T

CORE ROUTER A

VLAN y

Szerver VLAN-ok


A gépterem


Jelmagyar ázat: 10/100/1000 Mbps Ethernet (réz)

T T TT T

802.1Q VLAN trunk

R

Routolt kapcsolat

L3 switch

10

Hálózatbiztonsági megoldások háttér központ

telephely

Szerver-3 Telephely LAN -1

Rendszeren belüli kapcsolat

Telephely LAN -2

VRF-1

Telephely LAN -N

VRF-N

VRF-2

MPLS

PE (MPLS) végpont

Access szerver

PE (MPLS) végpont

Mgmt VRF

Log szerver

Mgmt LAN

Cisco MARS Extranet VRF

Extranet VRF

Extranet router IPS modullal Ethernet portokkal Minden irányban NAT Belső tűzfal Külső tűzfal Access router

Rendszerek közötti kapcsolat Partner-1

Partner-2

Partner-N

központ DMZ TŰZFAL

PE (MPLS) végpont

alkalmazottak Hálózat felügyelet Extranet partnerek

Internet VRF Szerver-1

Extranet VRF

VRF-1

VRF-2 VRF-N

Mgmt VRF Access szerver

KÜLSŐ TŰZFAL

Rendszer-1

Rendszer-2

Rendszer-N

Log szerver Publikus szolgáltatás ok

DMZ

Mgmt LAN Cisco MARS

Cisco 3845

Szerver-2

Pantel

KÜLSŐ TŰZFAL alkalmazottak Hálózat felügyelet Extranet partnerek

8BELSŐ TŰZFAL Publikus szolgáltatások

Access szerver

Log szerver

VPN Internet

Cisco 2850XM

Datanet

Access router

VPN Behívás


11

Önvédő hálózati stratégia Az önvédő hálózat képes azonosítani a veszélyeket és megakadályozni a külső és belső támadásokat. Jellemzői: Integráció: Minden hálózati elem nemcsak külön-külön valósítják meg a biztonságot, hanem együttműködve is egy integrált rendszerben.

Együttműködés: Különböző eszközök képesek együttműködni a védelem és biztonság minél hatékonyabb megvalósítása érdekében.

Alkalmazkodás: A cég biztonsági szabályzata alapján beállított eszközök és alkalmazások képesek automatikusan beavatkozni egy új támadás vagy vészhelyzet kialakulásakor.


12

Az önvédő hálózat eszközei Végponti berendezések védelme

ellenőrzött belépési eljárás (NAC) munkaállomások és szerverek agent alapú központi szabályrendszerre épülő védelme (Security Agent) IPSec és SSL VPN megoldások

Hálózati védelem      

adaptív hálózati tűzfalak betörésvédelmi eszközök (IPS) „hálózati beléptető rendszer” (Network Admission Control) az access switchek biztonsági szolgáltatásai (TrustSec) biztonsági protokollok, IPSec és SSL VPN megoldások Router Security

Biztonsági eszközök menedzsmentje   

tűzfalak, IPS-ek központi menedzselése (Security Manager) magas szintű log elemző, és incidenskezelő rendszer (MARS) hozzáférés és jogosítvány kezelő szerver (Secure ACS)


13

Biztonságos belépés a hálózatba Hitelesítő szerver

Felhasználó

CS ACS szoftver

Hitelesítő eszköz

RSA Authentication Manager

Hitelesítési kérelem Hitelesítési kérelemre válasz Hitelesítési kérelem RSA token kártya vagy biometrikus eszközzel Hitelesítési kérelemre válasz RSA token kártya vagy biometrikus eszközzel


14

MPLS virtuális magánhálózati technológia Az MPLS technológián kialakított magánhálózat biztonságot nyújt a legkritikusabb technológiai rendszereknek is. biztonságos virtualizáció a vállalati magánhálózat számára L2, L3 szintű izoláció az egyes rendszerek között minden hálózati protokoll használhatja a pont-pont kapcsolatok kialakításához tetszőleges távközlési (L1, L2) technológia felhasználható (X.21, G.703. ISDN). egymást átfedő IP tartományok is használhatók összetett, bonyolult topológiák is kialakíthatók a redundáns útvonalak terhelésmegosztással használhatók rendkívül gyors konvergencia nagy sebességű csomagkapcsolt működés a gerinchálózaton magas szintű QoS megoldások, priorizálás Extranet szolgáltatás is integrálható


15

MPLS/VPN alapú gerinchálózat központ 2 M bérelt vonalak

2 M bérelt vonalak

Szerverek, telephelyi LAN-ok

RAS

RAS

ISDN/anal óg

ISDN/analóg BGP RR

96 x 10/100/1000BaseT 2 x TenGb

96 x 10/100/1000BaseT 2 x TenGb

BGP RR

Cisco 65xx VSS stack 10 Gbps

MPLS P, PE 1

MPLS P, PE 2

MPLS optikai gerinc

MPLS optikai gerinc 1 Gbps

1 Gbps 1 Gbps

1 Gbps


ERŐMŰ 1

10 Gbps

ALÁLLOMÁS 1

Tartalék központ BGP RR

RAS

2 M bérelt vonalak ISDN/analóg

MPLS P, PE 3

MPLS optikai gerinc


1 Gbps 96 x 10/100/1000BaseT 2 x TenGb

ERŐMŰ 1

MPLS optikai gyűrű GigabitEthernet

Szerverek, telephelyi LAN-ok

ALÁLLOMÁS 1

Backup bérelt vonalak

MPLS TenGigabitEthernet Helyi TenGigabitEthernet Backup bérelt vonalak n x 10 Mbps EoSDH


16

Összefoglalás Nagy kiterjedésű hálózatok biztonsága biztonságos, gyors, protokoll-független magánhálózati technológia redundáns topológia, redundáns eszközök, redundáns adatok felhasználó azonosítás, hozzáférés szabályozás, jogosultság-kezelés biztonsági rendszerek központi menedzsmentje önvédő, adaptív hálózatbiztonsági technológiák vállalati biztonságpolitika

Köszönjük a figyelmet!


17

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Recommend Documents