VPN

1

V I R T U E L N E P R I V A T N E M R E Ž E

V I R T U E L N E P R I V A T N E M R E Ž E

Đ o r đ e I l i ć 52 / [email protected]

Đ o r đ e I l i ć 52 / [email protected]

Elektrotehnički fakultet Univerziteta

Beogradu

Elektrotehnički fakultet Univerziteta

Beogradu

Virtuelne privatne mrežeVirtuelne privatne mreže 2/91

Virtuelna privatna mreža (Virtual Private Network) u svojoj osnovi predstavlja privatnu mrežu koja se uspostavlja preko javne infrastrukture,ali zadržava sigurnost i zaštitu privatne mreže.

Šta je virtuelna privatna mreža?





Virtuelna (Virtual) odnosi na činjenicu da je uspostavljena privatna mreža u stvari logičke prirode,

tj. nastaje logičkom podelom javne mreže koju u isto vreme koristi veliki broj korisnika i organizacija.

Privatna (Private) Minimalno: nema mešanja saobraćaja sa saobraćajem izvan te mreže,

i omogućena je podrška za privatni adresni prostor.

Moguće kriptovanje i zaštita saobraćaja

Mreža (Network)

koriste je dva ili više korisnika


VPN: PrednostiVPN: Prednosti

Prednosti virtuelnih privatnih mreža:

Povećanje geografske pokrivenosti.

Uštede u iznajmljenim linijama.

Uštede u udaljenim i međunarodnim dial-up pozivima.

Mogućnost brzog dodavanja novih udaljenih korisnika.

Smanjenje potrebne opreme za remote-access.

Uštede u ljudstvu.


VPN: ManeVPN: ManeMane virtuelnih privatnih mreža:

VPN mreže zahtevaju dobra znanja o security-ju (zaštiti podataka), prvenstveno u pogledu hakerskih napada i konfiguracije VPN uređaja za rad u sprezi sa firewall-ovima.

Mogućnost korišćenja VPN-a (dostupnost i QoS) zavise od faktora van kuće (od kvaliteta usluge koju daje Internet Service Provider ISP) i naročito je izraženo u našim uslovima.

Ukoliko VPN konekcija simulira rad računara u LAN-u, u zavisnosti od kvaliteta VPN servera i veze sa ISP-om, protok podataka između računara umreženih u VPN-u je osetno sporiji u odnosu na LAN.

Pitanje interoperabilnosti raznih proizvođača. Ovo je izraženo za sve tehnologije u razvoju, a ima veliku ulogu pri izgradnji Extranet VPN-a gde svaki VPN segment (svaki partner, organizacija i sl) ima uređaje kupljene od različitog proizvođača.


VPN – principski zahteviVPN – principski zahteviPrincipski zahtevi koji se postavljaju pred jednu IP VPN mrežu su sledeći:

Koncept tajnosti tj. privatnosti (security), u okviru koga imamo: Autentikacija –identifikacija korisnika ili uređaja pre nego što se napravi VPN

konekcija Integritet podataka - predstavlja dokaz da prilikom prenosa sadržaj nije

izmenjen. Poverljivost podataka - pod ovim se podrazumeva da podaci, prilikom prenosa,

nisu mogli biti pročitani i iskorišćeni od treće strane Enkapsulacija – pod ovim podrazumeva kako će korisnička informacija,

kao podatak, biti enkapsulirana i prenešena preko mreže. Višeprotokolna podrška (multiprotocol supporl) - VPN mreža bi trebalo da podrži

razmenu podataka pod različitim protokolima (IP. IPX ...). Upravljanje adresama (address menagement) - privatne adrese koje korisnici

imaju u okviru VPN mreže ne smeju da budu dostupne na javnoj mreži. Garantovani kvalitet usluge (QoS) - pod ovim se obično podrazumevaju

propusni opseg dostupan korisnicima, maksimalna kašnjenja paketa i garancija isporuke paketa.


Komponente VPN-aKomponente VPN-a

Protokoli

Firewall

Bezbednost


VPN komponente: ProtokoliVPN komponente: Protokoli

GRE- enkapsulacioni metod da uzme pakete iz jednog protokola, enkapsulira ih u IP paket i transportuje enkapsulirani paket preko IP osnove.

Point to Point Protocol (PPP)

Point to Point Tunneling Protocol (PPTP)

Layer 2 Tunneling Protocol (L2TP)

IPSec Pretty Good Privacy (PGP) najčešće se koristi u besplatnom e-mail softveru

da omogući sigurnost i nije protokol koji se često koristi u izgradnji VPN-a.

Secure Socket Layer (SSL) obezbeđuje sigurnost transakcija baziranih na HTTP-u, i dostupnih pomoću popularnih browser-a.

Secure Shell (SSH) je protokol koji se primarno koristi da omogući bezbedno izvršavanje komandi na udaljenim mašinama koristeći IP mrežu.

Socks - izlazi Socks servera se ponašaju kao povezujući čvor između klijenta i željene destinacije host-a.

Multi-Protocol Label Switching (MPLS)


VPN komponente: ProtokoliVPN komponente: Protokoli

Application

Transport

Network

Data Link

Physical

--- Pretty Good Privacy - e-mail

--- SSL, TLS,SOCKS, SSH

--- IPSec--- MPLS--- PPTP, L2TP

--- Hardware Encryption


VPN komponente: Protokoli VPN komponente: Protokoli

Firewall prati sav saobraćaj kroz mrežu i štiti mrežu od upada neautorizovanih korisnika.

Najčešće korišćeni tipovi filtriranja:

u zavisnosti od IP adresa omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od nihovih IP adresa.

u zavisnosti od portova omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od broja porta.


VPN komponente: Bezbednost

VPN komponente: Bezbednost

KriptovanjePoverljivost se postiže pomoću algoritama za kriptovanje koji emuliraju privatnost linka

Autentikacijaidentifikacija korisnika ili uređaja pre nego što se napravi VPN konekcija


VPN komponente: Algoritmi kriptovanjaVPN komponente:

Algoritmi kriptovanja

simetrični algoritmi -jedinstven ključ za kriptovanje i dekriptovanje.

asimetrični algoritmi - par ključeva od kojih se jedan koristi za kriptovanje a drugi za dekriptovanje. Ključevi iz para su matematički povezani.

Simetrični Asimetrični


VPN komponente: Autentikacija

VPN komponente: Autentikacija

Uređaja - pristup VPN-u na osnovu autentikovanih informacija koje udaljeni VPN uređaj prosleđuje.

Nedeljivi ključevi

Digitalni potpis

Korisnika - da li korisnik koji pristupa VPN mreži ima pravo pristupa i da li je on stvarno taj za koga se izdaje.

nešto što znaš

nešto što imaš

nešto što jesi


VPN: TipoviVPN: Tipovi

Remote Access

Router to router Intranet Extranet

Poverljiva

Sigurna

Hibridna

Provajderska

Tip ostvarene konekcije:

Način iznajmljivanja linije:

IN HOUSE

OUTSOURCED

Terminacija VPN konekcije:



RemoteOffice

MainOffice

WAN VPN

POP

HomeOffice

POP

MobileWorker

Remote Access VPNRemote Access VPN – – konekcija se ostvaruje konekcija se ostvaruje na relaciji udaljeni na relaciji udaljeni korisnik mrežakorisnik mreža

Remote Access VPNRemote Access VPN – – konekcija se ostvaruje konekcija se ostvaruje na relaciji udaljeni na relaciji udaljeni korisnik mrežakorisnik mreža

BusinessPartner

Extranet VPNExtranet VPN – – povezuje klijente, povezuje klijente, partnere. više partnere. više korporacija u korporacija u jednu mrežujednu mrežu

Extranet VPNExtranet VPN – – povezuje klijente, povezuje klijente, partnere. više partnere. više korporacija u korporacija u jednu mrežujednu mrežu

Intranet VPNIntranet VPN – – povezivanje povezivanje organizacionih delova organizacionih delova jedne kompanije u jednu jedne kompanije u jednu Intranet mrežuIntranet mrežu

Intranet VPNIntranet VPN – – povezivanje povezivanje organizacionih delova organizacionih delova jedne kompanije u jednu jedne kompanije u jednu Intranet mrežuIntranet mrežu


Remote access VPNRemote access VPN

Corporate Network

Internet

VPN Tunnel

Wired ConnetionISDN/DSL/CableISP Modem Access

Dial-up ISP Modem Access

Global ISP Dial Access

Global ISP

Wireless Access

Radio Connection


Intranet VPNIntranet VPN

Internet

Encrypted/Authenticated

Unencrypted

VPN Proxy Server

VPN Proxy Server

Remote Office Network Corporate Network

Database

Web

ComputeVPN Tunnel


Extranet VPNExtranet VPN

Internet

Corporate Network

Extranet

Database

Web

Compute

Integrated Firewall & VPN Server

Web Commerce Server

Web Data Server

Business Partner

Technical Collaborator



Poverljive VPN: korisnik iznajmljuje poverljive linije od provajdera i koristi ih za komunikaciju bez prekida

Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe strane pri prenosu podataka.

Hibridna VPN: mešavina sigurne i poverljive VPN. Korisnik kontroliše sigurnosne puteve VPN-a, dok je provajder odgovaran sa aspekta poverljivosti

Provajderski omogućene VPN: čitava VPN je administrirana od strane provajdera.


VPN: IN HOUSE/OUTSOURCED

VPN: IN HOUSE/OUTSOURCED

Customer BSite 1

Community BLUE

Customer ASite 2

CommunityBLUE

Customer B

Site 2

Customer ASite 1

Community RED

Community RED

The provider network

PEPE

PEPE

PP

P

CE

CE

CE

CETunel(i) terminiran na strani ISP-a=>OUTSOURCED

Tunel(i) terminiran na strani korisnika=> IN HOUSE


Arhitektura VPN-aArhitektura VPN-a


IP virtuelna privatna mrežaIP virtuelna privatna mreža

Deljena IP mreža

BranchOffices

CorporateHeadquarters

Customers,Suppliers

RemoteWorkers

Internet

IP virtuelna privatna mreža je skup korisnika (pojedinačnih klijenata i/ili mreža) povezanih na Internet preko svojih provajdera Internet usluga (ISP- Internet Service Provider). Koristi IP kao protokol.

Uređaji u IP VPN-u:

CPE (Customer Premisses Equipment) - odgovarajući korisnički uređaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi specijalni VPN uređaji)

NAS (Network Access Server) - uređaj pomoću kojeg provajder usluga obezbeđuje korisniku Internet pristup

HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mreže povezuje na Internet preko NAS-a.


IP VPN: EnkapsulacijaIP VPN: Enkapsulacija

Enkapsulacija je proces u kome protokol nižeg nivoa preuzima paket protokola višeg nivoa, nad njim vrši zahtevanu obradu, dodaje svoje zaglavlje i kreira novi paket.


IP VPN: TunelovanjeIP VPN: Tunelovanje

Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog protokola, ali pri tome je drugi protokol na istom ili višem nivou nego prvi


IP VPN: TunelovanjeIP VPN: Tunelovanje

Router A

Workstation X

Router BWorkstation

Y

Original IPpacket dest Y

Korak 1.Originalni, nerutabilniIP Paket poslat ruteru

Korak 2Originalni IP paket enkapsuliran u drugi IP paket

Original IPpacket

New IPPacket

Tunel

Korak 3Originalni paket

ekstrakovan, poslatna destinaciju

Original IPpaket dest YTunel


IP VPN: Vrste tunelovanjaIP VPN: Vrste tunelovanja

Dve osnovne vrste tunelovanja: Dobrovoljno tunelovanje (Voluntary tunnels)

Tunelovanje uspostavljeno na zahtev korisnika(Zahteva klijentski softver na udaljenom računaru)

Obavezno tunelovanje (Compulsory tunnels)

Tunelovanje kreirano od strane NAS-a ili rutera(Podrška za tunelovanje neophodna na NAS-u ili ruteru)


Dobrovoljno tunelovanjeDobrovoljno tunelovanje

Pokriva celokupnu konekciju Radi na bilo kom uredjaju

Tunelovanje transparentno čvorovima i posredničkim uređajima

Korisnik mora imati klijentski software za tunelovanje kompatibilan sa serverski softverom za tunelovanje PPTP, L2TP, L2F, IPSEC, IP-IP, etc.

Istovremen pristup Intranet-u (pomoću tunelovanja) i Internet-u Radnici mogu koristiti lične naloge za pristup korporacijskim

podacima Udaljene poslovne aplikacije

Dial-up VPN za nizak obim saobraćaja


Dobrovoljni PPTP tunelDobrovoljni PPTP tunel

Dial IP Access

PPP access protocol

Dial Access Provider VPN Service

Dial AccessServer

PPTP AccessServerClient Host Serial Interface

PPTP Virtual Interface

Dobrovoljno tunelovanjeDobrovoljno tunelovanje


Obavezno tunelovanjeObavezno tunelovanje

Radi sa bilo kojim klijentom

Ne pokriva celokupnu konekciju (deo između CPE i NAS-a nije zaštićen tunelovanjem)

NAS mora podržavati isti metod tunelovanjaAli… Tunelovanje transparentno srednjim routerima

Pristup mreži kontrolisan od tunel servera Korisnički podaci mogu putovati samo kroz tunel

Internet pristup omogućen Mora biti predefinisan Velika kontrola Može biti praćen


Obavezno tunelovanjeObavezno tunelovanje

Obavezni L2TTP tunelObavezni L2TTP tunel

PPP access protocol

V.x modem protocol

Client Host

Non-routedforwarding path

Dial Access Provider Internet or VPN Service

L2TP Access Server

Dial Access Server

L2TP


Protokoli za tunelovanjeProtokoli za tunelovanje

PPP

PPTP

L2TP

Protokoli za tunelovanje drugog nivoa:


IP VPN: PPPIP VPN: PPP

PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji, i njegova osnovna funkcija je ostvarivanje veze dial-up tipaizmeđu udaljenog korisnika i NAS-a.

Postoje četiri faze uspostavljanja PPP veze

PRVA FAZA - FAZA USPOSTAVLJANJE LINKA

DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA

TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA

ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA



PRVA FAZA - FAZA USPOSTAVLJANJE LINKA

Uspostavljanje linka se vrši pomoću LCP protokola (l.ink Control Protocol). Tokom ove faze se uspostavlja fizička veze između udaljenog korisnika i NAS-a, zatim sledi izbor protokola kojim će se vršiti autentikacija korisnika, i na kraju se određuje da li će se u toku sesije vršiti kriptovanje i kompresija paketa koji se razmenjuju.

DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA

U ovoj fazi koristi prethodno ugovoreni protokol za autentikaciju. U većini implementacija PPP podržava ograničeni skup protokola za autentikaciju.

PAP (Password Authentication Protocol).

CHAP (Challenge Handshake Authentication Protocol).

MSCHAP (Microsoft-ova verzija CHAP-a) i

MSCHAP-2 (unapređena verzija MSCHAP-a).



TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA

Ako se koristi, tada odmah nakon završetka druge faze veza se prekida, a zatim server (NAS) poziva korisnika. Ovim se uvodi dodatna mera zaštite, jer se NAS može konfigurisati tako da dopušta samo veze sa određenih telefonskih brojeva.

ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA

U ovoj fazi se aktivira kontrolni protokol na mrežnom nivou (izabran u prvoj fazi obično je to IPCP) koji će konfigurisati protokole koje koristi udaljeni klijent.

MPPC – kompresija

MPPE - kriptovanje


IP VPN: PPTPIP VPN: PPTP

Koristi TCP 1723 & PPP unutar GRE paketa

Razvijen od strane konzorcijuma koji su činili

Microsoft, 3Com, Ascend, RASCOM, ECI Telematics

Pušten u upotrebu sa Windows NT® 4.0 1996

Kritikovan iz sigurnosnih razloga

Glavna primena kod remote-access VPN

Tunelovanje pretežno dobrovoljno

PPTP informacije RFC 2637, Jul 1999


IP VPN: PPTP konekcijaIP VPN: PPTP konekcija

Kreiranje sigurnog komunikacionog kanala korišćenjem PPTP prokola se obično sastoji od tri koraka:

kreiranje PPP konekcije između korisnika i NAS-a,

kreiranje PPTP kontrolne konekcije,

kreiranje PPTP konekcije i prenos podataka.



1. Uspostavljanje dial-up vezu između udaljenog korisnika i NAS-a koristeći PPP protokol.



2. Između PPTP klijenta (udaljenog korisnika) i PPTP servera

kreira PPTP kontrolna konekcija korišćenjem TCP protokola.



3. Parametri za PPTP kanal se dogovaraju preko kontrolnog kanala, i PPTP tunel se formira



4. Druga PPP je formirana od strane udaljenog korisnika, pomoću tunela formiranog između PAC-a i PNS-a, i privatne mreže NAS-a



5. IP datagrami ili neki drugi datagrami se šalju unutar PPP paketa


Primer PPTP tunelovanjaPrimer PPTP tunelovanja

ISP Gateway

PPTP Client Computer

PPTP Server Computer

PPPEncapsulator

IP Packets

SMB PacketsPPTP

InterfaceSLIP

Interface

PPPDecapsulator

IP Packets

SMB Packets

PPTPInterface

SLIPInterface

IP Packets

IP GRE Packets


Primer PPTP tunelovanjaPrimer PPTP tunelovanja

PPTPInterface

PPPEncapsulator

SLIPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

SLIPHeader

TCP/IP Packet

Modem


IP VPN: L2TPIP VPN: L2TP

Napravljen od strane IETF PPP Extensions

KombinacijaCisco L2F & PPTP protokola,

L2TP Extensions radna grupa ga objavila

Omogućava slanje tunelovanih PPP paketa e samo preko IP, već i preko X.25, Frame Relay, ATM mreža

Koristi UDP za kontrolne i pakete podataka, dobro poznati port 1701

Koristi PPP za enkapsulaciju paketa

Za kriptovanje podataka zadužen MPPE

Postojanje jedne konekcije za slanje obe vrste paketa.

Moguće uspostavljanje više tunela između dva korisnika


IP VPN: LACIP VPN: LAC

L2TP Access Concentrator (LAC) Pretežno povezan na više običnih telefonskih ili ISDN

linija

Samo mu treba implementacioni medij, preko kojeg L2TP radi kako bi prosledio ka jednom ili više LNS-a

Pretežno inicijator dolaznih a primalac odlaznih poziva


IP VPN: LNS IP VPN: LNS

L2TP Network Server (LNS) Radi na bilo kojoj platformi koja podržava PPP

Zadužen za serversku stranu L2TP protokola

skalabilnost je kritična

U mogućnosti da prekine bilo koju vezu pristiglu od bilo kog LAC PPP interfejsa (async, ISDN, PPP preko ATM, PPP preko Frame Relay)

Inicijator odlaznih poziva

Primalac dolaznih poziva


IP VPN: L2TP u mrežiIP VPN: L2TP u mreži

RADIUS

Remote,Telecommuter Employees

LAC

Analog

ISDN

LNS

Corporate Network/ Servers

= L2TP Encapsulated Tunnel

Service Provider Customer Premise

Equipment

RADIUS

PSTN

Internet,Frame Relay,ATM Network


Kako L2TP uređaj radi...Kako L2TP uređaj radi...

• Korak 1 Udaljeni korisnik inicira sesiju ili poziv LAC-u

RADIUS

Remote, TelecommuterEmployees

LAC

Analog

ISDN

LNS

Service Provider CPE

RADIUS

KORAK 1


PSTN



• Korak 2– LAC šalje autentikovan zahtev Radius serveru, koji autentikuje poziv i

formira konfiguracione informacije o kreiranju, tipa L2TP tunela i krajnje tačke tunela.

KORAK 2 RADIUS


LAC

Analog

ISDN

LNS


RADIUS


PSTN



• Korak 3– Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira

korisnički PPP frejm i tuneluje ga preko mreže LNS uređaju

KORAK 3

RADIUS


LAC

Analog

ISDN

LNS

Corporate Network/Servers

Service ProviderCPE

RADIUS


PSTN



• Korak 4– LNS služi kao prekidna tačka gde je enkapsulirani L2TP frejm

razvijen i pušten u dalju obradu. PPP Frejm je posle poslat višim slojevima i korisnicima lokalne mreže.

KORAK 4

RADIUS


LAC

Analog

ISDN

LNS


RADIUS


PSTN


IP VPN: IPSecIP VPN: IPSec

IPSec nalazi se na trećem nivou OSI referentnog modela Osnovni aspekti zaštite koju pruža IPSec su:

autentikacija porekla podataka (autentikacija korisnika). očuvanje integriteta podataka (autentikacija podataka) tokom prenosa, tajnost podataka, koja se postiže kriptovanjem.

IPSec može se koristiti između: Dva gateway-a Dva hosta Hosta i njegovih gateway-a

Tri najvažnija podprotokola: Authentication Header (AH) Encapsulation Security Protocol (ESP) Internet Key Exchange (IKE)


Gde se IPSec može koristiti...


Internet/Intranet

IPSec između 2 hosta

Internet/Intranet

SG SG

IPSec između 2 gateway-a




InternetSG SG

Intranet Intranet

Internet SG

Intranet

IPSec između 2 hosta + 2 gateway-a

IPSec između dva hosta tokom dial-up-a


IPSec: ProtokoliIPSec: Protokoli

Authentication Header (AH) koristi se za proveru identiteta pošiljaoca podataka

i otkrivanje namernih izmena nad podacima tokom prenosa mrežom. Izvodi se metodama digitalnog potpisivanja podataka.

Encapsulation Security Protocol (ESP) koristi se u slučajevima kada je bitno očuvati tajnost prenesenih

podataka. Uz tajnost, ESP polje IPSec paketa čuva autentičnost i verodostojnost podataka. Za stvaranje ESP polja podataka koriste se metode jake kriptografije u sprezi s metodama digitalnog potpisivanja podataka.

Internet Key Exchange (IKE) Koristi se za dogovaranje autentikacijskih metoda,

kriptografskih algoritama i dužina ključeva, te za razmenu samih ključeva među članovima u komunikaciji.


Authenticaton Header - AHAuthenticaton Header - AH

Autentikacija AH-om se sastoji od dva aspekta:

autentikacije porekla podataka (data origin authentication), tj. provere da li su podaci stvarno poslati od korisnika sa kojim se komunicira

verifikacije integriteta podataka (data integrity), tj. provere da li je došlo do promene sadržaja paketa u toku prenosa

Za verifikaciju integriteta podataka se koriste takozvani HMAC (Hashed Message Authentication Codes) algoritmi.

Primeri najčešće korišćenih algoritama za verifikaciju integriteta su MD5 (Message Digest 5) i SHA (Secure Hash Algorithm)

Autentikacija obuhvata ceo paket


Authenticaton Header - AHAuthenticaton Header - AH

Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze nakon AH zaglavlja.

Dužina zaglavlja je takode 8-bitno polje koje definiše dužinu AH zaglavlja u 32-bitnim rečima.

Rezervisano polje je 16-bitno polje rezervisano za buduću upotrebu.

SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama.

Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack).

Vrednost za proveru integriteta je polje promenljive dužine, pri čemu je dužina celobrojni umnožak od 32 bita.

Vrednost za proveruVrednost za proveru integriteta integriteta

Redni brojRedni broj

Security ParametersSecurity ParametersIndexIndex

Rezervisano poljeRezervisano polje

parametri

Dužina zaglavljaDužina zaglavlja

Sledeće zaglavljeSledeće zaglavlje


Encapsulation Security Payload - ESP

Encapsulation Security Payload - ESP

Koristi se za kriptovanje podataka, ali može da vrši i autentikaciju

Kriptovanje se obično vrši pomoću sledećih algoritama: DES (Dala Encrvption Standard) 3DES AES IDEA (International Dala Encryption Algorithm) Blowfish RC4 (Rivest Cypher 4)

Autentikacija ESP-om ne obuhvata ceo IP paket, za razliku od AH.

Za autentikaciju se koriste HMAC algoritmi.


ESP zaglavljeESP zaglavlje

SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama.

Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack).

Dopuna (padding), čija je dužina od 0 do 255 okteta. Svrha ovog polja je da produži polje sa podacima do neke zahtevane dužine.

Dužina dopune je 8-bitno polje u kome je, kao što mu ime kaže, zapisana dužina polja dopune.

Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze pre ESP zaglavlja.

ESP autentikacija sadrži u sebi vrednost za proveru integriteta

Security Parameters Index (SPI) – 32 bits

Redni broj 32 bits

Podaci

Dopuna/ Sledeće zaglavlje

Vrednost za proveru integriteta


Poređenje AH i ESPPoređenje AH i ESP

Bezbednosni aspekt AH ESP

Layer-3 IP protocol number 51 50

Omogućava integritet podataka Da Da

Omogućava autentikaciju podataka Da Da

Omogućava enkripciju podataka Ne Da

Zaštita od ponovnih napada na podatke Da Da

Radi sa NAT Ne Da

Radi sa PAT Ne Ne

Štiti IP pakete Da Ne

Štiti samo podatke Ne Da


Modovi rada IPSec-aModovi rada IPSec-a

Transportni mod Enkapsulacija podataka iz IP paketa. IP zaglavlje je nezaštićeno

Zaštita omogućena za više slojeve Obično se koristi u host-host komunikaciji

Tunelski mod Enkapsulira ceo IP paket

Pomaže u zaštiti analize saobraćaja Originalni IP paket je zaštićen na Internetu


Transportni mod AHTransportni mod AH

Internet/Intranet

Original IP Header

TCPHeader

Payload Data Bez IPSec

Original IP Header

TCPHeader

Payload DataAuth

Header

NextHeader

PayloadLength

SPISeq.No.

MAC


Tunelski mod AHTunelski mod AH

Internet SG

Intranet

Original IP Header

TCPHeader


NextHeader

PayloadLength

SPISeq.No.

MAC

Original IP Header

TCPHeader

Payload DataAuth

HeaderNew IP Header


Transportni mod ESPTransportni mod ESP

Original IP Header

TCPHeader


Original IP Header

TCPHeader

Payload DataESP

HeaderESP

TrailerESPAuth

Encrypted

Authenticated


Tunelski mod ESPTunelski mod ESP

Original IP Header

TCPHeader

Payload Data Bez IPSec-a

Encrypted

Authenticated

Original IP Header

TCPHeader

Payload DataESP

HeaderESP

TrailerESPAuth

New IP Header


Sigurnosna asocijacija - SASigurnosna asocijacija - SA

Sigurnosna asocijacija je relacija koja se uspostavlja između učesnika u komunikaciji.Sa SA se definišu sigurnosni parametri komunikacije(protokoli, algoritmi, ključevi)

SA sadrži sve sigurnosne parametre potrebne da se obezbedi siguran prenos paketa i definiše sigurnosna polisa koja se koristi u IPSec-u

SA je jednosmerna, tj. u slučaju dvosmerne komunikacije potrebne su dve asocijacije.



Svaka SA sedefiniše pomoću tri vrednosti: SPI (Security Parametars Index) - slučajno generisani broj kojim se SA

identifikuje i služi da razlikuje SA koje su između istih destinacijai koje se odnose na isti protokol,

IP adresom odredišta - za sada su to samo unicast adrese,mada je u daljem razvoju predviđeno da se mogu koristiti i multicast i broadcast adrese.

identifikatorom sigurnosnog protokola za koji se SA koristi (AH ili ESP).

Paket je poslat od Toma ka Lori bez SAIKE u oba sistema počinje pregovaranjePregovaranje završeno, SA uspostavljenaSiguran paket poslat



Svaki uređaj koji koristi IPSec održava dve baze podataka u kojima smešta podatke o uspostavljenim SA.

SPD - Security Policy Database. SAD - Security Association Database.

SPD je baza podataka koja se konsultuje pri obradi celokupnog IP saobraćaja koji prolazi kroz uređaj. U sebi sadrži:

listu postupaka obrade (policy entry) kojima je definisano kakav će se način obrade paketa primenjivati.

U SAD su smešteni podaci o svakoj SA koju je uređaj uspostavio sa nekim od drugih korisnika VPN. Ti podaci su:

protokol za koji je definisana SA, algoritme koji se koriste za autentikaciju i/ili kriptovanje, mod rada (transportni ili tunelski), redni broj paketa, vreme života SA (vreme u kome će se postojeća SA terminirati i

opciono zameniti drugom).


Internet Key Exchange - IKEInternet Key Exchange - IKE

Osnovna namena IKE protokola je: kreiranje sigurnosne asocijacije razmena ključeva za autentikaciju, odnosno kriptovanje

Protokol transportnog nivoa IKE-a UDP IKE štiti SA Funkcionisanje IKE-a se odvija u dve faze:

Formiranje ISAKMP sigurnosna asocijacija Osnovni mod (main mod) Agresivni mod (agressive mod)

razmenjivanje poruka pomoću kojih se kreira IPSec sigurnosna asocijacija.

Brzi mod (quick mode) Mod nove grupe (new group mode)


Internet Key Exchange - IKEInternet Key Exchange - IKE

Parametar Jaka Jača

Algoritmi kriptovanja

DES 3DES

Heš algoritmi MD5 SHA-1

Autentikacioni metod

Preshared RSA signatures

Razmena ključevaDiffie-Hellman

group 1Diffie-Hellman

group 2

Vreme trajanja asocjacije

86,400 seconds Manje 86,400 secs.


Modovi razmene IKE-aModovi razmene IKE-a

Osnovni mod

Agresivni mod

Brzi mod


Kako radi IPSec..Kako radi IPSec..


IP VPN: L2TP/IPSecIP VPN: L2TP/IPSec

L2TPL2TP L2TPL2TP Autentikacija na domenAutentikacija na domenKorisničkiKorisnički ID/Password ID/PasswordSmart Card/EAPSmart Card/EAP

TunelTunelovanjeovanje saobraćaja saobraćaja

IPSecIPSec IPSecIPSecKriptovanjeKriptovanje L2TP L2TP AutentikacijaAutentikacija Sertifikati uređajaSertifikati uređaja

1.1. IPSec IKE IPSec IKE pregovaranjepregovaranje 3.3. L2TP tunel setup,L2TP tunel setup,upravljanjeupravljanje prekopreko IPSec IPSec-a-a

2.2. Uspostavljanje Uspostavljanje IPSec ESP SA IPSec ESP SA zaza L2TP, UDP port 1701L2TP, UDP port 1701

4.4. Autentikacija korisnika na domenAutentikacija korisnika na domen


IP VPN: PoređenjaIP VPN: Poređenja

Protokol PPTP L2TP L2TP/IPSec IPSec

Vrsta mrežeIP

IP, ATM, Frame relay

IP IP

Autentikacija korisnika

Da Da Da Da

Autentikacija tunela Ne Da Da Da

Autentikacija paketa Ne Ne Da Da

Višeprotokolna podrška

Da Da Da Ne

Protokol za kriptovanje

MPPE MPPE EPS EPS

Primenapretežno kod

remote-accesspretežno kod



router-to- router

Vrsta tunelovanjapretežno

dobrovoljnodobrovoljno i

obaveznodobrovoljno i

obaveznodobrovoljno i

obavezno


VPN i firewallVPN i firewall A - VPN paralelno sa firewall-om:

U ovom slučaju imamo dve tačke ulaza u intranet.Mora se obratiti velika pažnja na ispravnu konfiguraciju VPN-a.

B - VPN iza firewall-a: U ovom slučaju ne postoji kontorola nad VPN saobraćajem u firewall-u. Postavlja se pitanje u kojoj meri se veruje korisnicima VPN-a.

C - VPN ispred firewall-a: U ovakvoj konfiguraciji sav saobraćaj prolazi kroz VPN. U ovom slučaju firewall služi za nadgledanje dolaznog VPN saobraćaja.Ova primena je najčešća kod Extranet VPN-a.

D - VPN integrisano sa firewall-om. Potrebno je poznavati tehnike firewall-a te je i konfigurisanje uređaja zahtevnije. Uređaj je zahtevniji po pitanju performansi i kompatibilnosti pravila filterovanja sa VPN servisima.

E - Firewall sa obe strane. Ovo rešenje je skuplje i koristi se u slučaju velikog stepena zaštite.


VPN i NAT/NATPVPN i NAT/NATP

Problemi Zaglavlje paketa modifikovano, nevažeći paket

IKE sesija kroz NAT

NAT uređaji koji rade u transportnom modu

NAT1 Hdr

NAT1 Hdr

NAT2 Hdr

NATNAT NATNAT

Orig IP Hdr TCP Hdr Data

Orig IP Hdr TCP Hdr DataAH HdrInsert

NAT1 Hdr

NAT2 Hdr

Contains an encrypted hash of Contains an encrypted hash of the the originaloriginal packet header packet header


VPN i NAT/NATPVPN i NAT/NATP

IETF pod imenom NAT Traversal (NAT-T) predložio rešenje problema:

Primeniti NAT pre IPSec-a

Izvršiti NAT na uređaju koji je na putanji pre IPSec uređaja,

Koristiti uređaj koji je u stanju da vrši i IPSec i NAT obradu.


Kako NAT-T radiKako NAT-T radi

NATNAT NATNAT

Orig IP Hdr TCP Hdr Data

Orig IP Hdr TCP Hdr DataESP Hdr

Insert

Orig IP Hdr Rest…ESP HdrUDP src 4500, dst 4500

Insert

Poslat odPoslat od A A

Primljen odPrimljen od B BOrig IP Hdr Rest…ESP HdrUDP src XXX, dst 4500NAT1 Hdr

NAT2 Hdr


Realizacija pristupa VPNRealizacija pristupa VPN


Konfiguracija u središtu VPN-a

Konfiguracija u središtu VPN-a

Središte VPN mreže

Modul za interne VPN korisnike

Extranet VPN modul


Frame Relay VPNFrame Relay VPN

Veze su između Frame Relay korisnika su tipa tačka-tačka i mogu ostvariti se pomoću:

permanentnih virtuelnih kola (PVC - Permanent Virtual Circuit)

Problem: skalabilnost

komutiranih virtuelnih kola (SVC - Switched Virtual Circuit)

Formira se zatvorena grupa korisnika

Niko spolja ne može da pristupi korisnicima iz ovog skupa, niti oni mogu da komuniciraju sa nekim spolja



IP Core

Tunnel 2

Enterprise Hub

Enterprise Site B

Enterprise Site A

DLCI 43

DLCI 54

Tunnel 1

DLCI 28

DLCI 29

PE A

PE B

PE C

Korak #1 Enterprise Hub šalje frejm sa destinacijom

Enterprise Site-a A preko PE A

Frame

DLCI 29

IP L2TP Frame

Korak #2 Ingress interfejs je podešen za Tunel 1 i

L2TP + IP je napravljen i poslat korektan I/F

Korak #3 PE B prima Paket, uklanja IP/L2TPv3 zaglavlje. Preostalo Frame Relay

zaglavlje se prepisuje sa DLCI 43 i prosleđuje Enterprise Site-u A.

Frame

DLCI 43



Osnovne prednosti Frame Relay VPN su:

Garantovani kvalitet usluge od strane provajdera servisa..

Višeprotokolna podrška (mulliprotocol support). Pošto Frame Relay funkcioniše na drugom OSI nivou, korisnici nisu ograničeni samo na IP (kao kod IPSec VPN mreža) nego interno mogu koristiti i druge mrežne protokole.

Troškovi kojima su opeterećeni korisnici servisa su ograničeni na početne investicije u pristupnu opremu i ugovorene mesečne obaveze.

Nedostaci Frame Relay VPN mreža su:

Nepostojanje podrške za udaljene korisnike (remote-access), što je uslovljeno prirodom ove vrste servisa.

Geografska ograničenost Frame Relay servisa samo na prostor u kome postoji postoji pristup servisu provajdera (POP - Point Of Presence).


MPLS VPNMPLS VPN Glavna ideja MPLS-a je objedinjavanje najboljih osobina mreža sa uspostavljanjem veze

(connection-oriented) i mreža bez uspostavljanja veze (connectionless). MPLS zaglavlje se naziva labela Od protokola na trećem nivou (odnosno lP-a) MPLS je nasledio protokole za rutiranje,

stanju mreže i dostupnosti uređaju u okviru nje. Prilikom uspostavljanja konekcije formira se virtuelno kolo - LSP (Label Switclied Path).

LSP se sastoji od niza labela Za distribuciju labela LSP-a su zaduženi protokoli: CR-LDP (Constraint base Route Label - Distribution Protocol) RSVP-TE (Resource reSuorce reserVation Protocol - Traffic Engineering).

Podela: L2 MPLS VPN, odnosno mreže drugog nivoa. L3 MPLS VPN, mreže trećeg nivoa.

Prednosti MPLS VPN mreža u odnosu na IPSec VPN: Garantovani kvalitet usluge koju nudi MPLS. Ne postoji potreba za korišćenjem NAT-a


L2 MPLS VPNL2 MPLS VPN

L2 MPLS VPN mreže služe za prenos ATM, Frame Relay, ili paketa nekog od protokola drugog nivoa.

Provider 1Provider 1

Subscriber Subscriber AA

Subscriber ASubscriber AATMATM AccessAccess

ATM AccessATM Access

Internet Traffic:Internet Traffic:ATM VC1 terminated, IP packets delivered to provider 2ATM VC1 terminated, IP packets delivered to provider 2

Provider 2Provider 2

VPN Traffic:VPN Traffic:ATM VC2 mapped to MPLS LSP “tunnel”ATM VC2 mapped to MPLS LSP “tunnel”


L3 MPLS VPNL3 MPLS VPN L3 MPLS VPN mreže su namenjene za prenos IP saobraćaja.

Implementacija L3 MPLS: pomoću tehnike virtuelnih tabela za rutiranje i prosleđivanje (Virtual Routing and Forwarding

tables - VRF).

pomoću tehnike virtuelnih rutera (Virtual Router - VR).

VPN A/Site 1

VPN A/Site 2

VPN A/Site 3

VPN B/Site 2

VPN B/Site 1

VPN B/Site 3

CEA1

CEB3

CEA3

CEB2

CEA2CE1B

1CE2

B1

PE1

PE2

PE3

P1

P2

P3

10.1/16

10.2/16

10.3/16

10.1/1610.2/16

10.4/16


Praktični aspekti korišćenja VPN

Praktični aspekti korišćenja VPN

Performanse VPN zavise isključivo od izbora Internet provajdera

Kad god je moguće koristiti usluge jednog provajdera

Neophodno je analizirati mrežu provajdera sa stanovništva:

Topologije mreže, protoci na okosnici (backbone) i poprečnim linkovima

Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN

Mogućnost pružanja dodatnih servisa (npr L2TP tunneling)

Cena zakupa linka i usluga provajdera

Kad god je moguće primeniti odgovarajuće mere zaštite (access lists, firewalls, kriptozaštita).


Mogućnost korišćenja VPN u Srbiji

Mogućnost korišćenja VPN u Srbiji

Za sada - tržište Internet usluga u Srbiji potpuno liberalno Pokrivena su skoro sva značajnija tranzitna područja u Srbiji U mnogim tranzitnim područjima korisnici imaju mogućnost

izbora više provajdera Interkonekcije među skoro svim većim Internet provajderima

(provajderima sa međunarodnim linkovima) postoje – uglavnom u Beogradu.Lokalnih interkonekcija za sada nema.

Internet provajderi u Srbiji omogućavaju uslugu uspostavljanja virtuelnih privatnih mreža

Firme u Srbiji koje uspešno koriste virtuelne privatne mreže: DELTA M MediaWorks Poreska uprava


Statistički podaciStatistički podaci

do 100 korisnika;

41%

od 100 do 499; 27%

od 500 do 999; 10%

preko 5000; 12%

od 1000 do 4999;10%

Veličina instaliranih i planiranih VPN mreža

Intranet VPN; 34%

Remote access VPN; 41%

Extranet VPN; 21%

Drugo; 4%

Razlozi za uvođenje VPN mreža



0

10

2030

40

50

6070

80

90

CPE based Netvork baset

Instalirano U fazi instalacije Planirano

Vrste instaliranih i planiranih VPN mreža Korišćeni protokoli



AT&T

UUNET

Infonet

Genuity

Najvažniji proizvođači:

Documents

VPN