Embed Size (px)
Citation preview
PANEVROPSKI UNIVERZITET APEIRON
FAKULTET POSLOVNE INFORMATIKE
Redovne studije
Smjer »Poslovna informatika«
Predmet: Zaštita računarskih i poslovnih sistema
„VPN (Virtual Private Network) ”
(seminarski rad)
Predmetni nastavnikProf. dr Milan Marković
Student
Kenan Keserović
Index br:024-08/FIT
Banja Luka, januar 2011.
2
SadržajSadržaj ................................................................................................................... 2
Uvod ....................................................................................................................... 3
1. VPN mreže ....................................................................................................... 4
2. Layer 2 VPN mreže (Frame Relay, VLAN) ........................................................ 5
2.1 Osobine layer 2 VPN mreže ........................................................................ 6
3. Layer 3 VPN mreže (IP VPN mreže) ................................................................. 8
4. Realizacija IP VPN mreža ............................................................................... 10
5. MPLS-bazirane VPN mreže ............................................................................. 13
5.1 Osobine MPLS-bazirane VPN mreže .......................................................... 14
5.2 Realizacija MPLS VPN mreža ........................................................................ 15
7. Način rada MPLS VPN mreža ......................................................................... 17
8. Implementacija VPN-ova ............................................................................... 19
9. Komparacija VPN-ova .................................................................................... 20
Zaključak .............................................................................................................. 21
Literatura: ............................................................................................................. 22
2
Uvod
VPN (Virtual Private Network) je skup zaštićenih konekcija između udaljenih korisničkih lokacija realizovanih unutar neke javne ili privatne mreže. Ovakve mreže zovemo privatnim, jer resurse ovih konekcija mogu koristiti samo organizacije koje su njihov vlasnik. One su privatne i sa aspekta routiranja i adresnog plana, odnosno routing algoritmi i adresni plan su potpuno neovisni o drugim mrežama. Mreža je virtuelna, jer se konekcije formiraju korištenjem samo jednog dijela instaliranih resursa javne mreže za prenos podataka. Historijski gledano, X.25 je prvi WAN protokol koji je omogućio izgradnju VPN mreža na javnim mrežama za prenos podataka. Prevashodna uloga ovako izgrađenih mreža je smanjenje telekomunikacijskih troškova efikasnijim korištenjem infrastrukture uz istovremeno očuvanje sigurnosti i integriteta podataka.
Slika 1: Primjer VPN
2
1. VPN mreže
Privatne WAN mreže poslovnih korporacija više nisu orijentirane samo na uvezivanje LAN mreža fiksnim vezama. Globalizacija i integracija ekonomskog prostora uslovljavaju da udaljeni pojedinačni korisnici (uposlenici koji rade od kuće, mobilni uposlenici kao i vanjski poslovni partneri) trebaju u svakom trenutku, nezavisno od mjesta na kome se nalaze pristup računarskim resursima koji se nalaze unutar ovakvih privatnih mreža. Zbog toga, klasične privatne WAN mreže realizirane isključivo fiksnim konekcijama trebaju biti proširene adekvatnim tehničkim rješenjima koja će omogućiti pristup i ovakvom tipu korisnika.
Gotovo sve privatne poslovne WAN mreže će u budućnosti biti zamijenjene VPN baziranim WAN poslovnim mrežama. Osnovni razlozi za to su:
- značajno manja cijena izgradnje mreže u odnosu na tradicionalne privatne mreže
- omogućavanje E-commerca i Internet ekonomije
VPN je znatno fleksibilnija i skalabilnija arhitektura mreže, u odnosu na klasične privatne WAN mreže. One omogućavaju vrlo brzo i vrlo jeftino povećanje broja (npr. bez dodatnih ulaganja koriste sve raspoložive ulaze ISP-a) udaljenih ureda, internacionalnih lokacija, mobilnih korisnika u raomingu i sl.
- značajno manji troškovi i napori u održavanju vlastite mreže
Veći dio poslova održavanja se odvija u okviru mreže provider-a koji nudi ovu uslugu
- jednostavnija mrežna topologija
Upotrebom IP backbone mreže eliminiraju se permanetni krugovi (PVC) koji su se ostvarivali putem Frame Relay ili ATM mreža i time uzrokovali punu mesh strukturu privatne WAN mreže, što je pored kompleksnoti značajno povećavalo i cijenu realizacije ovakve mreže.
2
Slika 2: Primjer mreže Apeirona.
2. Layer 2 VPN mreže (Frame Relay, VLAN)
2
Layer 2 VPN mreže spadaju mreže realizovane korištenjem resursa Frame Relay i ATM mreža (Slika 3).
Slika 3: Layer 2 VPN mreže
Ovaj tip VPN mreža se realizuje formiranjem stalnih virtuelnih kanala koji obezbjeđuju punu zaštitu korisničkim podacima. Injektiranje paketa u ovakvu VPN mrežu moguće je jedino kroz fizički interface na koji je vezana korisnička oprema. Odlike ovakvih mreža su velika sigurnost i garantovani QoS (Quality of Service). Nedostaci su relativno veliki troškovi zakupa krugova i kompleksna uspostava. Naime, kod realizacije ovakvih mreža javlja se 'n(n-1)/2' problem, odnosno ukoliko treba povezati n lokacija davaoc usluge treba definisati n(n-1)/2 konekcija ukoliko se želi obezbijediti komunikacija 'svako sa svakim', odnosno potpuna mesh topologija. Problem postaje sve značajniji sa porastom broja korisnika i povećanjem broja njihovih lokacija. Dodatni problem je obezbjeđenje QoS sa kraja na kraj. Kako korisnik – vlasnik VPN mreže upravlja rubnim router-ima na kojima se vrši mapiranje IP QoS u layer 2 QoS parametre, potrebno je posjedovati znanje ne samo o IP routiranju nego i o Layer 3 QoS parametrima, layer 2 QoS parametara i načinima njihovog povezivanja što ponekada predstavlja značajan problem vlasniku ovakvih VPN mreža. VPN mreže realizovane sa jednim od layer 2 protokola mogu da nose i IP i IPX i SNA/SDLC protokole što nije slučaj sa recimo IPSec protokolom koji može da nosi samo IP saobraćaj, a za ostale protokole moraju postojati Proxy serveri čija je uloga prevođenje ostalih protokola u IP protokol što opet dovodi do dodatnih troškova, proširenja zaglavlja paketa kao i vremena procesiranja unutar uređaja.
2.1 Osobine layer 2 VPN mreže
2
Javne mreže kao što su Frame Relay (FR) ili ATM mogu prenositi mješovite tipove podataka uključujući glas, video i podatke. Ovaj tip VPN koristi usluge javne komutirane mreže za prenos podataka, PVC-ove ili SVC-ove za razdvajanje prometa razlilčitih korisnika. Paketi podataka ne trebaju biti IP, niti trebaju biti enkriptovani. Ali sa sve širom rasprostranjenošću svijesti o sigurnosnim problemima, mnogi korisnici se sada odlučaju na enkripciju svojih podataka. Opcionalno, mogu se koristiti autentifikacija i enkripcija pri čemu identitet korisnika i integritet podataka ostaje zagarantovan. VPN-ovi bazirani na javnim komutiranim mrežama za prenos podataka obično omogućavaju davaoci usluga i drugih nosioci, te pružaju potpunu kontrolu usluga. U većini slučajeva su raspložive i dodatne usluge, kao što je QoS opcija. Ovaj tip VPN-a je naročito popularan u Evropi, gdje su javne komutirane mreže za prenos podataka široko dostupne, a poslovno korištenje Interneta je manje razvijeno.
Glavne prednosti VPN-ova temeljenih na FR ili ATM vezama uključuju sljedeće:
- veze mogu biti korištene za bilo koji tip komunikacije, od PBX veza i video konferencija do privatnih podataka;
- međunarodne veze su relativno lake za upotrebu, posebno za FR, mada mogu biti skupe;
- omogućava naplaćivanje ako su usluge dobro zasnovane;
- dostupna zaštita ako se koristi mreža davaoca usluga;
- fleksibilnost.
Glavni nedostaci ovog tipa VPN-ova su što su FR i ATM usluge skupe i ne tako široko rasprostranjene kao ISP usluge. Ipak, prometne sposobnosti FR i ATM-a mogu se koristiti za obezbjeđivanje različitih nivoa kvaliteta usluge. Zbog toga su usluge bazirane na upotrebi, a to daje mogućnost redukcije cijena i propusnog opsega koristeći optimizaciju karakteristika. Takođe, zahtjeva se detaljno znanje o sigurnosti u javnim mrežama da bi se imala ispravna implementacija. Dodatni nedostatak je i to što dostupnost i brzina veze mogu biti izvan kontrole korisnika konekcije, kao i nemogućnost tuneliranja drugih protokola osim IP-ija.
FR je postao osobito popularna, rasprostranjena i relativno jeftina tehnologija umrežavanja koja je pogodna za VPN-ove. Postojeći VPN-ovi preko FR mreže dopuštaju da skupe iznajmljene linije budu zamjenjene i doprinosi iskorištenju potvrđenih prednost FR-a. FR može biti korišten za kreiranje VPN na dva načina:
- Kreirajući mesh - potpuno isprepletene FR veze između lokacija. Ove veze su osnovni point-to-point linkovi i slični su iznajmljenim linijama. Podaci se drže odvojeno od drugih FR korisnika tako što svaka veza koristi posebne virtualne veze.
- Koristeći IP tunele preko FR veza između lokacija. Ove veze su osnovni point-to-point linkovi i slični su iznajmljenim linijama. Svaka veza koristi posebne virtualne veze ili krugove. Nekoliko odvojenih IP tunela može se voditi preko svake veze i svaki tunel može biti enkriptovan i autentihikovan da bi se obezbijedila dodana zaštita.
2
FR je protokol od kraja-do-kraja koji može biti raditi preko različitih pristupnih tehnologija, kao što je ISDN, DSL i čak POTS dial-up linije. Nove pristupne metode, kao što su SVC-ovi ili ISDN pristup, znače da je FR sada pouzdanija i novčano-isplativija solucija. FR može također biti u interoperabilnosti sa ATM baziranom mrežom, formirajući na taj način jednu od najšire rasprostranjenih javnih mrežnih usluga za prenos podataka. Rezultat toga je da su davatelji usluga i nosioci kreirali globalne FR mreže koje su novčano isplative i nude više raspoloživosti. Kada se spoje sa tuneliranjem, enkripcijom i autentifikacijom, ovi atributi čine FR idealnim kandidatom za globalne VPN usluge.
3. Layer 3 VPN mreže (IP VPN mreže)
2
Nagli globalni razvoj Interneta otvorio je mogućnost izgradnje VPN mreža realizovanih direktno na bazi Layer 3 (IP) protokola. Osnovna prednost ovakvih VPN mreža nad Layer 2 VPN mrežama je posljedica globalnog karaktera Interneta (Internet je prisutan svuda za razliku od Frame Relay i ATM mreža), a donosi i dodatnu redukciju troškova. Mreže se grade kriptovanim tunelima koji imaju istu funkciju koju su imali i virtuelni krugovi u layer 2 mrežama.
Slika 2: IP/Internet VPN mreže
Layer 3 VPN mreže dijele se na:
- Internet VPN
- IP VPN mreže
Prve su realizovane korištenjem infrastrukture dva ili više davaoca usluge, a druge korištenjem resursa samo jednog (bilo da je riječ o javnoj ili privatnoj IP mreži). I jedne i druge su kombinacija tuneliranja, kripcije, autentikacije i autorizacije. Na ovakvim Layer 3 mrežama VPN se implementira kroz tri kategorije:
- Intranet (site-to-site)
- Extranet (business-to-business)
- Secure remote access
Intranet podrazumijeva povezivanje distriburanih lokacija (LAN-ova) jedne organizacije, extranet je rezultat potrebe za povezivanjem različitih međusobno zavisnih organizacija u
2
cilju razmjene specifične vrste informacija (sigurne monetarne transakcije između financijskih institucija, veza organizacije sa svojim website-om koji je zakupljen kod ISP-a, i sl.). Udaljeni pristup je treća kategorija namjenjena prvenstveno za 'rad od kuće' i za mobilne uposlenike. Ova kategorija će dugoročno gledano zamijeniti široko rasprostranjene RAS servere prvenstveno zbog značajnog smanjenja troškova telefonskih poziva (svi pozivi su lokalni, odnosno pozivi do najbližeg PoP-a davaoca usluge), a održavanje servera je prepušteno davaocu usluge (Slika 2).
Prema konkretnoj realizaciji layer 3 VPN-ovi se dijele na:
- Hardware-ski bazirane
- Firewall bazirane
- Standalone VPN aplikacione pakete
Većina hardware-ski baziranih sistema je realizovana pomoću router-a koji rade kriptovanje podataka. Oni su sigurni i lahki za implementaciju i obezbjeđuju najveći mrežni transfer podataka od svih VPN sistema. Firewall bazirani sistemi koriste prednosti firewall mehanizama kao što su: restrikcije pristupa u Intranet, translacije adresa i onemogućavanje 'opasnih' ili nepotrebnih servisa obezbjeđujući tako dodatnu sigurnost VPN serveru. Zaštita operativnog sistema je ujedno i najveća prednost ovakvih VPN sistema. Neki proizvođači firewall-a nude posebne procesore za kripciju, u cilju poboljšanja performansi cijelog sistema. Software-ski bazirani sistemi su pogodni za VPN-ove u kojima rezličite organizacije kontrolišu različite lokacije ili kada su u okviru jedne organizacije korišteni različiti firewall-i i router-i. Većina ovakvih VPN-ova pruža mogućnost tuneliranja saobraćaja na osnovu IP adrese ili vrste protokola, za razliku od hardware-ski baziranih sistema koji tuneliraju sav saobraćaj neovisno o protokolu. Nedostatak software-ski baziran VPN sistema leži u činjenici da je njihovo održavanje kompleksnije u odnosu na hardware-ski bazirane sisteme, zbog toga što zahtijevaju poznavanje operativnog sistema host-a na kome je instaliran, same aplikacije i mehanizama zaštite podataka.
4. Realizacija IP VPN mreža
IP VPN mreže su skup:
2
Tuneliranja - Integritet layer 3 VPN mreža se obezbjeđuje izgradnjom 'sigurnih tunela' kroz javne IP komunikacione kanale korištenjem Layer 2 Tunneling Protocol (L2TP), Layer 2 Forwarding (L2F), Point to Point Tunneling Protocol (PPTP) ili IPSec protokola. Tuneli se uspostavljaju s kraja na kraj, odnosno između krajnjih terminalnih uređaja (router-a ili radnih stanica kod remote access-a) kroz cijelu mrežu. Za razliku od prva tri protokola koji uspostavljaju konekciju na drugom nivou i od kojih niti jedan ne uključuje kripciju korisničkih podataka IPSec je skup protokola i procedura za uspostavu, održavanje i terminiranje zaštićenih komunikacionih kanala kroz javnu IP mrežu uz autentikaciju i servise za kripciju na IP mrežnom nivou (layer 3) tako da kroz IP tunele teku kriptovani podaci. Definisana su četiri različita načina transmisije podataka kroz IP/Internet mreže (Slika 3).
Slika 3: Obrada originalnog IP paketa u Layer 3 VPN mrežama - In Place Transmission ModeRješenje koje je specifično za različite proizvođače, a kriptuju se samo podaci i nema promjene veličine paketa. - Transport ModeKriptuju se samo podaci, ali se povećava veličina paketa.
- Encrypted Tunnel ModeIP zaglavlje se kriptuje zajedno sa podacima, a paketu se dodaje novo IP zaglavlje koje kao odredišnu adresu nosi adresu izlaznog VPN uređaja. Ovo je ujedno rješenje koje daje najbolju zaštitu korisničkih podataka.
2
- Non-Encrypted Tunnel ModeNišta se ne kriptuje, ali se dodaje novo IP zaglavlje. Ukoliko se ne vrši kripcija podataka u IP/Internet VPN mrežama adekvatnije je koristiti termin Virtual Network (VN), jer je 'privatnost' u ovakvim mrežama upitna. Kripcije - Transmisija nekriptovanog teksta kroz Internet može biti veoma opasna. Podaci mogu biti pročitani pomoću neke od 'sniffing' tehnologija. Razvijeni su alati kao što su protokol analyzer-i ili mrežni dijagnostički alati ugrađeni u današnje operativne sisteme koji lahko mogu pročitati nekriptovane podatke. Proces kripcije, dekripcije i učesnici u njemu (pošiljaoc i primaoc) čine cryptosystem. Postoje dva tipa cryptosystem-a: - private (symmetric) key - public (asymmetric) key Uz protokole kao što su L2TP ili PPTP koriste se razni metodi kripcije podataka: Data Encryption Standard (DES), Triple DES (3DES), RC4-40, CAST-40, DES-40. Autentikacije - Razvijena su dva vida autentikacije: korisnika i podataka. Autentikacija podataka je rjeđe prisutna u primijenjenim sistemima i podrazumijeva identifikaciju VPN uređaja koji šalje podatke kao i potvrdu da oni nisu mijenjani prilikom prenosa. Češće korišten metod je autentikacija korisnika koji koristi VPN mrežu. Sistemi za autentikaciju su integrirani u VPN pristupne uređaje. Tek nakon uspjele autentikacije korisniku će biti omogućen pristup u VPN mrežu. Najčešće se koriste sistemi koji podržavaju RADIUS, TACACS/TACACS+ ili LDAP autentikacioni servis. Autorizacije - Nakon potvrđivanja identiteta osobe koja koristi VPN, njegov ranije definisan profil određuje servise i aplikacije koje može koristiti, tako da mu se omogućava korištenje samo onih resursa VPN-a za koje je autorizovan. Autorizacija koja se radi u odnosu na servis podržava: Internet servise (Web browser, mail, FTP, Telnet i sl.), kompletnu TCP familiju, te RPC ili UDP bazirane aplikacije.
Slika 4: Autorizacija, tuneliranje i autentikacija u IP/Internet VPN mrežama Ono što svaki korisnik očekuje od vlastite mreže je određeni nivo kvaliteta, sigurnost i raspoloživost. Ukoliko je kvalitet i raspoloživost Internet konekcija i bio upitan zadnjih
2
godina, stanje se značajno mijenja iz dana u dan, stalnim proširivanjem Internet backbone-a i novim servisima kao što su DiffServ koji kvalitativno mijenjaju cijelu sliku. Sa ovakvim alatima IP davoaci usluge su sada u mogućnosti garantovati određeni nivo kvaliteta definisan kroz Service Level Agreement što je do skoro bila osnovna prednost layer 2 mreža. I uz sve alate koji treba da obezbijede sigurnost podataka u IP/Internet VPN mrežama, ovo i dalje ostaje osnovni problem ovako realizovanih mreža. Ovo je posljedica arhitekture samog Interneta koji je osmišljen kao mreža u kojoj podaci trebaju biti dostupni svima.
5. MPLS-bazirane VPN mreže
Zajednička karakteristika svih do sada opisanih tehnologija korištenih za realizaciju VPN mreža je činjenica da se za njihovu uspostavu koristi takozvani 'overlay' model (kroz mrežu davaoca usluge prave se 'point-to-point' konekcije-virtuelni krugovi ili IP tuneli- koji povezuju korisničke lokacije). Veliki nedostatak ovakvog modela je mala skalabilnost, odnosno već ranije pomenuti problem uspostavljanja i upravljanja velikim brojem korisničkih VPN mreža. MPLS tehnologija je prva koja nudi novi pristup prilikom izgradnje VPN mreža u formi 'peer' modela. Osnovna karakteristika ovog modela je izuzetno velika skalabilnost koja je posljedica činjenice da sa routing aspekta bilo koji od korisničkih uređaja vezanih na javnu mrežu može ostvariti konekciju sa bilo kojim uređajem u toj mreži, dok je u 'overlay' modelu, mogao ostvariti konekciju isključivo sa jednim uređajem na drugom kraju veze kroz layer 2 link ili IP tunel, obezbjeđen od davaoca usluge. VPN mreže izgrađene na bazi MPLS tehnologije su kombinacija MPLS protokola i neke od routing tehnologija (BGP, OSPF, RIP). Kod MPLS baziranih VPN-ova mehanizam uspostave veza između krajnjih lokacija se zove 'ograničena' (constrain) distribucija routing informacija.
2
5.1 Osobine MPLS-bazirane VPN mreže
MPLS VPN omogućavaju davateljima usluga da izgrade skalabilne VPN mreže i da pri tome ponude sljedeće usluge : - Usluge bez uspostavljanja veze: kada se VPN formiraju bez predhodnog uspostavljanja veze nisu potrebni tuneli i enkripcija za mrežnu privatnost, pa se na taj način značajno umanjuje složenost mreže. - Centralizovane usluge: izgradnja VPN na sloju 3 OSI modela dozvoljava isporuku usluga grupi korisnika koji su u VPN-u. Njima se mogu ponuditi nove IP usluge kao što su: - Multicast - Kvaliteta usluge, QoS - Telefonska podrška - Skalabilnost: Ako se VPN formira korištenjem spojno orijentisanih modela, overlay modela, Frame Relay ili ATM, glavni nedostatak će pri tome biti nedostatak skalabilnosti. Pored toga, spojno orijentisane VPN bez potpune povezanosti korisničkih lokacija nisu optimalne. Nasuprot tome, VPN zasnovane na MPLS-u koriste peer model i arhitekturu bez predhodnog uspostavljanja veze sloja 3 za visoko skalabilna VPN rješenja. Takva arhitektura dozvoljava kreiranje VPN eliminišući pri tome potrebu za tunelima ili VC-ima. Skalabilnost se ogleda i u dijeljenju VPN putanja između PE router-a i u budućem dijeljenju VPN i IGP putanja između PE i P- router-a iz jezgre davatelja. PE router-i moraju da održavaju VPN putanje za korisnike određene VPN, dok P router-i ne održavaju nikakve VPN putanje. To povećava skalabilnost jezgra davatelja usluga i osigurava da nijedan uređaj ne može biti usko grlo za skalabilnost. - Sigurnost: MPLS VPN nude isti stepen sigurnosti kao i spojno orjentisane VPN. Paketi iz jedne VPN ne mogu nepažnjom da stignu do druge VPN mreže. - Na rubu mreže davatelja usluge zagarantovano je smeštanje primljenih paketa korisnika na pravu VPN. - Na okosnici, VPN promet se održava odvojeno. Zlonamjerno ometanje (spoofing) je praktično nemoguće jer su paketi dobijeni od korisnika IP paketi. Ti se paketi moraju primiti na određenom interface-u da bi bili jedinstveno identifikovani VPN labelom. - Jednostavnost kreiranja: Za potpuno iskorištavanje VPN, korisnicima mora biti jednostavno da kreiraju nove VPN i nove korisničke lokacije. Pošto MPLS VPN ne zahtjeva predhodno uspostavljanje veze, nisu potrebne nikakve predhodne mape ni topologije. Moguće je dodati lokacije intranetima i ekstranetima i oformiti zatvorene korisničke grupe. Kada se VPN ostvari na taj način, omogućeno je dodavanje bilo koje lokacije u VPN, i samim tim je maksimizirana fleksibilnost u formiranju intraneta i ekstraneta. - Fleksibilno adresiranje: Kako bi se VPN usluge načinile prihvatljivijim, korisnici davatelja usluga mogu da koriste sopstveni adresni plan, nezavisan od adresnog plana drugih korisnika. Mnogi korisnici imaju privatni adresni prostor i ne žele da investiraju i vrijeme i novac u konvertovanje u javne IP adrese kako bi omogućili povezivanje u intranet. MPLS VPN
2
dozvoljavaju korisnicima da nastave sa korištenjem sopstvenih adresnih prostora bez potrebe za NAT-om, obezbjeđujući javni i privatni izgled adresa. NAT je neophodan samo ako dvije VPN sa preklapajućim adresnim prostorima žele da komuniciraju. Tako korisnici mogu da koriste sopstvene neregistrovane privatne adrese i komuniciraju slobodno sa javnom IP mrežom. - Podrška integrisanim klasama usluga (CoS): Klasa usluga je karakteristika MPLS koja omogućava mrežnim administratorima da obezbjede različite tipove usluga preko MPLS mreže. Usluge mogu biti specificirane na različite načine, na primjer podešavanjem IP bita prioriteta u IP paketu. U snabdjevanju različitim uslugama, MPLS CoS nudi: klasifikaciju paketa (paketi su klasifikovani na rubu mreže prije nego što im se pridruže labele); izbjegavanje zagušenja (razdvajaju se klase paketa prema vjerovatnoći propadanja); i upravljanje zagušenjem (razlikuju se klase paketa u zavisnosti od propusnog opsega i graničnog kašnjenja). - MPLS VPN su jedinstvene jer se mogu izgraditi preko višestruke mrežne arhitekture, uključujući tu IP, ATM, Frame Relay i hibridne mreže.
5.2 Realizacija MPLS VPN mreža
Slika 5: VPN mreže realizovane u MPLS tehnologiji Pretpostavka za realizaciju prenosa podataka kroz MPLS mrežu je da router-i već imaju popunjene routing tabele, odnosno da je došlo do prethodne razmjene routing informacija. Proces razmjene routing informacija se odvija u sljedećih pet koraka:
2
- Routing informacije se šalju od korisničkog (CE-Customer Equipment) do router-a davaoca usluge (PE-Provider Equipment) na strani A. Moguće je koristiti statičke rute, RIP, OSPF ili BGP. - U PE router-u se te informacije unose u BGP routing tabelu davaoca usluge na strani A. - Routing informacije između mreža davalaca usluge, tj. izmedju PE router-a se prenose pomoću BGP protokola. - Prihvatanje routing informacija iz BGP-ja u PE router-u davaoca usluge na strani B. - Slanje routing informacija od router-a davaoca usluge do korisničkog router-a na strani B korištenjem jedne od više mogućih opcija (statičke rute, RIP, OSPF ili BGP). Ograničena distribucija routing informacija radi na principu filtriranja baziranog na BGP-jevom 'community' (zajedničkom) atributu, koji djeluje kao identifikator pridružen nekoj ruti. Tako u koraku broj 2, PE router, pridružuje odgovarajući, ranije definisani, 'zajednički atribut' određenoj ruti, na osnovu kojeg će opet u koraku broj 4, ta ruta biti izdvojena iz BGP-ja davaoca usluge i prosljeđena korisničkom router-u. Upravo je ovaj mehanizam zaslužan za 'peer' model, jer postoji samo razmjena routing informacija između korisničkog CE i direktno vezanog PE router-a (Slika 5), odnosno broj 'peer router-a' je potpuno neovisan o veličini VPN mreže. Tako, prilikom dodavanja nove ili demontaže već postojeće lokacije, iz korisničke VPN mreže, treba konfigurisati samo direktno vezani PE router, a ne i sve ostale rubne router-e sa kojima će biti ili su bile uspostavljene konekcije. Važno je naglasiti i to da PE router-i procesiraju samo rute VPN mreža čije su lokacije direktno vezane za taj router, a ne i rute VPN mreža koje nemaju na njega direktno vezane lokacije. Ograničena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno upravljanje konekcijama. Ovo je posljedica činjenice da PE router može podržavati više VPN mreža i ukoliko ima definisanu samo jednu tabelu prosljeđivanja onda ona treba sadržavati sve rute za sve VPN-ove podržane na ovom router-u. To znači da bi potencijalno bilo moguće da paketi budu prosljeđivani iz jednog VPN-a u drugi. Rješenje ovog problema je formiranje više tabela prosljeđivanja. Ukoliko je više lokacija jednog VPN-a vezano na isti PE router, onda oni dijele jednu tabelu prosljeđivanja, u suprotnom, svakoj lokaciji (pristupnom portu) pripada samo jedna tabela. Ove se tabele pune iz dva izvora. Prvi izvor je direktno vezani CE router, a drugi su ostali PE router-i iz mreže. Rute dobijene iz drugog izvora podliježu filtriranju na osnovu BGP 'community' atributa, te se u odgovarajuće tabele smještaju samo rute iz pripadnih VPN mreža. Poseban problem kod izgradnje MPLS baziranih VPN-ova je činjenica da ukoliko se koristi BGP protokol on podrazumijeva da su sve IP adrese u mreži jedinstvene. To naravno u praksi nikada nije slučaj, jer je riječ o privatnim mrežama unutar kojih se najčešće koristi isti blok IP adresa (privatne adrese definisane u RFC 1918). Dakle, nužno je adrese koje to nisu, napraviti jedinstvenim. To se postiže dodavanjem polja fiksne dužine na običnu IP adresu. Ovo polje se zove Route Distinguisher (RD) i sastoji se iz tri polja: - Type (2 okteta) - Autonomous System Number (2 okteta) - Assigned Number (4 okteta)
2
Autonomous System Number (AS Number) sadrži autonomni broj VPN davaoca usluge. Assigned Number definiše sam davaoc usluge i obično je jedinstven za jedan VPN. Sa stanovišta BGP-a, upravljanje ovakvim, proširenim IP adresama (VPN-IP adrese), je potpuno jednako kao upravljanje običnim IP adresama. Ove adrese se formiraju na PE router-u. Po primitku rute od CE rutera i nakon identifikacije kojem VPN-u ona pripada, PE router ovakve adrese proširuje sa unaprijed, za taj VPN definisanim RD-om, u VPN-IP adrese i potom ih unosi u BGP i obratno. Bitno je još dodati da se VPN-IP adrese koriste samo u routing protokolima (za formiranje routing tabela), a ne i u zaglavlju IP paketa, odnosno one se ne koriste za prenos paketa. Prosljeđivanje paketa se radi pomoću MPLS-a.
7. Način rada MPLS VPN mreža
Lahko je uočiti da je sa aspekta MPLS-a PE router u stvari Label Edge Router (LER), koji paketima sa ulaza u mrežu pridružuje odgovarajuće labele i obrnuto, skida ih na adekvatnom PE router-u na izlazu iz mreže davaoca usluge. Kada CE pošalje paket direktno vezanom PE router-u, on na osnovu porta kroz koji je paket stigao identifikuje kojoj VPN mreži paket pripada, odnosno odredi koju tabelu prosljeđivanja (Forwarding Information Base, FIB) treba razmatrati. Potom se radi uobičajeno pretraživanje ove tabele koristeći odredišnu adresu iz zaglavlja paketa. Na osnovu ovoga dodaje odgovarajuću labelu na paket i prosljedjuje ga u mrežu (Slika 6).
2
*Slika 6: Proces odabira odgovarajuće labele za VPN U cilju povećanja skalabilnosti koristi se hijerarhisko rout-iranje, odnosno koriste se ne jedan, nego dva nivoa labela. Korištenje ove tehnike dovodi do toga da P router-i ne procesiraju VPN routing informacije, nego procesiraju samo labele prvog nivoa; one koje se koriste za prosljeđivanje paketa od ulaznog do izlaznog PE router-a. Labele drugog hijerarhiskog nivoa se procesiraju samo na PE router-ima, odnosno koriste se za prosljeđivanje na izlaznom PE router-u. Labele prvog nivoa se kroz mrežu distribuiraju sa LDP, RSVP ili CR-LDP. Labele drugog nivoa se distribuiraju pomoću recimo BGP protokola zajedno sa VPN-IP rutama (Slika 7).
2
*Slika 7: - Hijerarhisko rutiranje u MPLS mreži Osim izuzetno velike skalabilnosti koju obezbjeđuje hijerarhijsko rutiranje, osnovna prednost MPLS baziranih VPN-ova je sigurnost koja je jednaka sigurnosti koju pružaju layer 2 VPN mreže. Ovo je posljedica činjenice da se transfer paketa radi komutacijom labela, a ne tradicionalnim IP usmjeravanjem odnosno, LSP se terminira samo na rubnim-PE router-ima. LSP nikada ne započinje niti završava na router-ima u sredini mreže. LSP se u PE router-u pridružuje određenoj tabeli prosljeđivanja, ona interface-u na router-u, a on određenoj VPN mreži. Ubacivanje paketa u ovakvu VPN mrežu je moguće samo kroz iinterface na PE router-u pridruženom toj VPN mreži. Sa aspekta QoS-a, MPLS bazirani VPN-ovi, pružaju iste mogućnosti kao ATM mreže. Ovo je posljedica klasificiranja saobraćaja i labeliranja na ivicama mreže, te ga je moguće podijeliti u različite klase prema kašnjenju ili nivou prioriteta.
8. Implementacija VPN-ova
Savremeno društvo nosi veliki tehničko-tehnološki napredak. Digitalizacija i globalizacija su osnovne značajke ovog novog doba. Kada je biznis u pitanju postoje samo dva pravila: 'biti brži i bolji od drugih' i 'biti prisutan gdje god postoje konzumenti'. Zadovoljiti ova dva pravila znači imati fleksibilnu, široko rasprostranjenu mrežu poslovnica i razvijen sistem razmjene informacija između njih samih, te sa poslovnim partnerima, dobavljačima i samim korisnicima. Brza, pouzdana, selektivna i zaštićena razmjena informacija nameće potrebu za posjedovanjem privatnih mreža. Načini realizacije ovakvih mreža sa tehničkog aspekta su već obrađeni. Postoji širok spektar mogućnosti počevši od privatnih mreža (leased line) preko layer 2 VPN mreža (frame relay i ATM), layer 3 VPN mreža (IP/Internet) do MPLS baziranih VPN-ova. Svako od ovih rješenja ima svoje prednosti/mane (layer 2 mreže: garantovan QoS, visok stepen sigurnosti/mala skalabilnost, prostorna ograničenost, layer 3 mreže: globalni karakter, best effort, remote access/smanjena sigurnost i problematičan QoS, MPLS bazirane VPN mreže: visok stepen sigurnosti, garantovan QoS, izuzetno velika skalabilnost). Odabir tehnologije kojom će mreža biti realizovana zavisi od mnogo faktora specifičnih za svaku
2
organizaciju ponaosob, ali generalni zahtjevi koji se postavljaju pred ove mreže su: sigurnost, pouzdanost, dostupnost, garantovani QoS i naravno cijena uspostave i održavanja. Svaki od ovih parametara ima svoj težinski faktor i u zavisnosti od njih se i odabire određena tehnologija za izgradnju VPN mreže.
9. Komparacija VPN-ovaVirtualne privatne mreže mogu biti izgrađene na Frame Relay, ATM, IP ili MPLS tehnologiji. Svaka od njih ima svoje prednosti i nedostatke, bilo to po pitanju osobina ili njihovih mogućnosti u dostupnosti i pružanju usluga. Implementacija VPN na određenoj tehnologija zavisi od zahtjeva i želje korisnika. Naravno, treba spomenuti da brzi razvoj koji je prisutan u tehnologijama VPN ima značajnu ulogu u poboljšanju postojećih i razvoju novih tehnologija koje se razvijaju munjevitom brzinom. Tabela 1 prikazuje komparaciju VPN sa pomenutim tehnologijama. Tabela 1. Komparacija VPN tehnologija
2
Zaključak
Sigurnost računara i računarskih mreža je priča koja nema svoj kraj. No da ta priča za vas ne bi imala tužan kraj za početak najmanje što možete da uradite je da instalirate na svoj računar neki antivirusni program. Ukoliko već posjedujete neki instaliran antivirusni program morate konstantno brinuti o redovnom update-u njegove interne baze podataka o definiciji novih virusa. Takvi programi obično posjeduju ugrađene funkcije za automatsku provjeru i download definicija novih
2
virusa i to sa servera samih proizvođača no ipak ste vi ti koji morate s vremena na vrijeme pokrenuti takvu akciju putem samog antivirus programa.
OBAVEZNO INSTALIRAJTE BILO KOJI ANTIVIRUSNI PROGRAM!!! Sigurnost je neizostavna stavka kada govorimo o današnjem modernom poslovanju koje se temelji na informacijskim tehnologijama. Više je razina sigurnosti potrebno kako bismo uspostavili neometano poslovanje. Firewall Često predstavlja jednu od prvih linija zaštite mreže. Mogu biti u obliku samostalnog hardware-a ili kao dio software-a na usmjerivačima, a uloga im je ograničiti pristup određenim ili svim dijelovima mreže, ovisno o sigurnosnoj politici tvrtke. Pored osnovnog mrežnog firewall-a danas moramo u velikoj mjeri paziti i na sadržaj koji nam dolazi ili odlazi iz tvrtke putem e-mail poruka, kao što moramo obratiti pažnju i na neželjeni sadržaj na web stranicama koji može narušiti pouzdanost i sigurnost poslovanja. Osim prijetnji sa interneta bitno je imati mogućnost zaštite poslovanja i poslovnih informacija od namjerne ili nenamjerne zloupotrebe samih zaposlenika unutar tvrtke.
Literatura:
2
1. Markus Feilner, OpenVPN, Building and Integrating Virtual Private Networks, 2006 . 2. ICT Forum, Milenijski ciljevi i informaciono društvo, Konferenciski materijal, 2003.
Linkovi:
http://en.wikipedia.org/wiki/Virtual_private_networkhttp://www.mtel.ba/menu/2399/ip/mpls_vpn/http://www.bhtelecom.ba/bihnet_poslovni_vpn.html
