Upload
mrdzaba
View
72
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Virtual personal network
Citation preview
1
V I R T U E L N E P R I V A T N E M R E Ž E
V I R T U E L N E P R I V A T N E M R E Ž E
Đ o r đ e I l i ć 52 / [email protected]
Đ o r đ e I l i ć 52 / [email protected]
Elektrotehnički fakultet Univerziteta
Beogradu
Elektrotehnički fakultet Univerziteta
Beogradu
Virtuelne privatne mrežeVirtuelne privatne mreže 2/91
Virtuelna privatna mreža (Virtual Private Network) u svojoj osnovi predstavlja privatnu mrežu koja se uspostavlja preko javne infrastrukture,ali zadržava sigurnost i zaštitu privatne mreže.
Šta je virtuelna privatna mreža?
Šta je virtuelna privatna mreža?
Virtuelne privatne mrežeVirtuelne privatne mreže 3/91
Šta je virtuelna privatna mreža?
Šta je virtuelna privatna mreža?
Virtuelna (Virtual) odnosi na činjenicu da je uspostavljena privatna mreža u stvari logičke prirode,
tj. nastaje logičkom podelom javne mreže koju u isto vreme koristi veliki broj korisnika i organizacija.
Privatna (Private) Minimalno: nema mešanja saobraćaja sa saobraćajem izvan te mreže,
i omogućena je podrška za privatni adresni prostor.
Moguće kriptovanje i zaštita saobraćaja
Mreža (Network)
koriste je dva ili više korisnika
Virtuelne privatne mrežeVirtuelne privatne mreže 4/91
VPN: PrednostiVPN: Prednosti
Prednosti virtuelnih privatnih mreža:
Povećanje geografske pokrivenosti.
Uštede u iznajmljenim linijama.
Uštede u udaljenim i međunarodnim dial-up pozivima.
Mogućnost brzog dodavanja novih udaljenih korisnika.
Smanjenje potrebne opreme za remote-access.
Uštede u ljudstvu.
Virtuelne privatne mrežeVirtuelne privatne mreže 5/91
VPN: ManeVPN: ManeMane virtuelnih privatnih mreža:
VPN mreže zahtevaju dobra znanja o security-ju (zaštiti podataka), prvenstveno u pogledu hakerskih napada i konfiguracije VPN uređaja za rad u sprezi sa firewall-ovima.
Mogućnost korišćenja VPN-a (dostupnost i QoS) zavise od faktora van kuće (od kvaliteta usluge koju daje Internet Service Provider ISP) i naročito je izraženo u našim uslovima.
Ukoliko VPN konekcija simulira rad računara u LAN-u, u zavisnosti od kvaliteta VPN servera i veze sa ISP-om, protok podataka između računara umreženih u VPN-u je osetno sporiji u odnosu na LAN.
Pitanje interoperabilnosti raznih proizvođača. Ovo je izraženo za sve tehnologije u razvoju, a ima veliku ulogu pri izgradnji Extranet VPN-a gde svaki VPN segment (svaki partner, organizacija i sl) ima uređaje kupljene od različitog proizvođača.
Virtuelne privatne mrežeVirtuelne privatne mreže 6/91
VPN – principski zahteviVPN – principski zahteviPrincipski zahtevi koji se postavljaju pred jednu IP VPN mrežu su sledeći:
Koncept tajnosti tj. privatnosti (security), u okviru koga imamo: Autentikacija –identifikacija korisnika ili uređaja pre nego što se napravi VPN
konekcija Integritet podataka - predstavlja dokaz da prilikom prenosa sadržaj nije
izmenjen. Poverljivost podataka - pod ovim se podrazumeva da podaci, prilikom prenosa,
nisu mogli biti pročitani i iskorišćeni od treće strane Enkapsulacija – pod ovim podrazumeva kako će korisnička informacija,
kao podatak, biti enkapsulirana i prenešena preko mreže. Višeprotokolna podrška (multiprotocol supporl) - VPN mreža bi trebalo da podrži
razmenu podataka pod različitim protokolima (IP. IPX ...). Upravljanje adresama (address menagement) - privatne adrese koje korisnici
imaju u okviru VPN mreže ne smeju da budu dostupne na javnoj mreži. Garantovani kvalitet usluge (QoS) - pod ovim se obično podrazumevaju
propusni opseg dostupan korisnicima, maksimalna kašnjenja paketa i garancija isporuke paketa.
Virtuelne privatne mrežeVirtuelne privatne mreže 7/91
Komponente VPN-aKomponente VPN-a
Protokoli
Firewall
Bezbednost
Virtuelne privatne mrežeVirtuelne privatne mreže 8/91
VPN komponente: ProtokoliVPN komponente: Protokoli
GRE- enkapsulacioni metod da uzme pakete iz jednog protokola, enkapsulira ih u IP paket i transportuje enkapsulirani paket preko IP osnove.
Point to Point Protocol (PPP)
Point to Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
IPSec Pretty Good Privacy (PGP) najčešće se koristi u besplatnom e-mail softveru
da omogući sigurnost i nije protokol koji se često koristi u izgradnji VPN-a.
Secure Socket Layer (SSL) obezbeđuje sigurnost transakcija baziranih na HTTP-u, i dostupnih pomoću popularnih browser-a.
Secure Shell (SSH) je protokol koji se primarno koristi da omogući bezbedno izvršavanje komandi na udaljenim mašinama koristeći IP mrežu.
Socks - izlazi Socks servera se ponašaju kao povezujući čvor između klijenta i željene destinacije host-a.
Multi-Protocol Label Switching (MPLS)
Virtuelne privatne mrežeVirtuelne privatne mreže 9/91
VPN komponente: ProtokoliVPN komponente: Protokoli
Application
Transport
Network
Data Link
Physical
--- Pretty Good Privacy - e-mail
--- SSL, TLS,SOCKS, SSH
--- IPSec--- MPLS--- PPTP, L2TP
--- Hardware Encryption
Virtuelne privatne mrežeVirtuelne privatne mreže 10/91
VPN komponente: Protokoli VPN komponente: Protokoli
Firewall prati sav saobraćaj kroz mrežu i štiti mrežu od upada neautorizovanih korisnika.
Najčešće korišćeni tipovi filtriranja:
u zavisnosti od IP adresa omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od nihovih IP adresa.
u zavisnosti od portova omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od broja porta.
Virtuelne privatne mrežeVirtuelne privatne mreže 11/91
VPN komponente: Bezbednost
VPN komponente: Bezbednost
KriptovanjePoverljivost se postiže pomoću algoritama za kriptovanje koji emuliraju privatnost linka
Autentikacijaidentifikacija korisnika ili uređaja pre nego što se napravi VPN konekcija
Virtuelne privatne mrežeVirtuelne privatne mreže 12/91
VPN komponente: Algoritmi kriptovanjaVPN komponente:
Algoritmi kriptovanja
simetrični algoritmi -jedinstven ključ za kriptovanje i dekriptovanje.
asimetrični algoritmi - par ključeva od kojih se jedan koristi za kriptovanje a drugi za dekriptovanje. Ključevi iz para su matematički povezani.
Simetrični Asimetrični
Virtuelne privatne mrežeVirtuelne privatne mreže 13/91
VPN komponente: Autentikacija
VPN komponente: Autentikacija
Uređaja - pristup VPN-u na osnovu autentikovanih informacija koje udaljeni VPN uređaj prosleđuje.
Nedeljivi ključevi
Digitalni potpis
Korisnika - da li korisnik koji pristupa VPN mreži ima pravo pristupa i da li je on stvarno taj za koga se izdaje.
nešto što znaš
nešto što imaš
nešto što jesi
Virtuelne privatne mrežeVirtuelne privatne mreže 14/91
VPN: TipoviVPN: Tipovi
Remote Access
Router to router Intranet Extranet
Poverljiva
Sigurna
Hibridna
Provajderska
Tip ostvarene konekcije:
Način iznajmljivanja linije:
IN HOUSE
OUTSOURCED
Terminacija VPN konekcije:
Virtuelne privatne mrežeVirtuelne privatne mreže 15/91
VPN: TipoviVPN: Tipovi
RemoteOffice
MainOffice
WAN VPN
POP
HomeOffice
POP
MobileWorker
Remote Access VPNRemote Access VPN – – konekcija se ostvaruje konekcija se ostvaruje na relaciji udaljeni na relaciji udaljeni korisnik mrežakorisnik mreža
Remote Access VPNRemote Access VPN – – konekcija se ostvaruje konekcija se ostvaruje na relaciji udaljeni na relaciji udaljeni korisnik mrežakorisnik mreža
BusinessPartner
Extranet VPNExtranet VPN – – povezuje klijente, povezuje klijente, partnere. više partnere. više korporacija u korporacija u jednu mrežujednu mrežu
Extranet VPNExtranet VPN – – povezuje klijente, povezuje klijente, partnere. više partnere. više korporacija u korporacija u jednu mrežujednu mrežu
Intranet VPNIntranet VPN – – povezivanje povezivanje organizacionih delova organizacionih delova jedne kompanije u jednu jedne kompanije u jednu Intranet mrežuIntranet mrežu
Intranet VPNIntranet VPN – – povezivanje povezivanje organizacionih delova organizacionih delova jedne kompanije u jednu jedne kompanije u jednu Intranet mrežuIntranet mrežu
Virtuelne privatne mrežeVirtuelne privatne mreže 16/91
Remote access VPNRemote access VPN
Corporate Network
Internet
VPN Tunnel
Wired ConnetionISDN/DSL/CableISP Modem Access
Dial-up ISP Modem Access
Global ISP Dial Access
Global ISP
Wireless Access
Radio Connection
Virtuelne privatne mrežeVirtuelne privatne mreže 17/91
Intranet VPNIntranet VPN
Internet
Encrypted/Authenticated
Unencrypted
VPN Proxy Server
VPN Proxy Server
Remote Office Network Corporate Network
Database
Web
ComputeVPN Tunnel
Virtuelne privatne mrežeVirtuelne privatne mreže 18/91
Extranet VPNExtranet VPN
Internet
Corporate Network
Extranet
Database
Web
Compute
Integrated Firewall & VPN Server
Web Commerce Server
Web Data Server
Business Partner
Technical Collaborator
Virtuelne privatne mrežeVirtuelne privatne mreže 19/91
VPN: TipoviVPN: Tipovi
Poverljive VPN: korisnik iznajmljuje poverljive linije od provajdera i koristi ih za komunikaciju bez prekida
Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe strane pri prenosu podataka.
Hibridna VPN: mešavina sigurne i poverljive VPN. Korisnik kontroliše sigurnosne puteve VPN-a, dok je provajder odgovaran sa aspekta poverljivosti
Provajderski omogućene VPN: čitava VPN je administrirana od strane provajdera.
Virtuelne privatne mrežeVirtuelne privatne mreže 20/91
VPN: IN HOUSE/OUTSOURCED
VPN: IN HOUSE/OUTSOURCED
Customer BSite 1
Community BLUE
Customer ASite 2
CommunityBLUE
Customer B
Site 2
Customer ASite 1
Community RED
Community RED
The provider network
PEPE
PEPE
PP
P
CE
CE
CE
CETunel(i) terminiran na strani ISP-a=>OUTSOURCED
Tunel(i) terminiran na strani korisnika=> IN HOUSE
Virtuelne privatne mrežeVirtuelne privatne mreže 21/91
Arhitektura VPN-aArhitektura VPN-a
Virtuelne privatne mrežeVirtuelne privatne mreže 22/91
IP virtuelna privatna mrežaIP virtuelna privatna mreža
Deljena IP mreža
BranchOffices
CorporateHeadquarters
Customers,Suppliers
RemoteWorkers
Internet
IP virtuelna privatna mreža je skup korisnika (pojedinačnih klijenata i/ili mreža) povezanih na Internet preko svojih provajdera Internet usluga (ISP- Internet Service Provider). Koristi IP kao protokol.
Uređaji u IP VPN-u:
CPE (Customer Premisses Equipment) - odgovarajući korisnički uređaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi specijalni VPN uređaji)
NAS (Network Access Server) - uređaj pomoću kojeg provajder usluga obezbeđuje korisniku Internet pristup
HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mreže povezuje na Internet preko NAS-a.
Virtuelne privatne mrežeVirtuelne privatne mreže 23/91
IP VPN: EnkapsulacijaIP VPN: Enkapsulacija
Enkapsulacija je proces u kome protokol nižeg nivoa preuzima paket protokola višeg nivoa, nad njim vrši zahtevanu obradu, dodaje svoje zaglavlje i kreira novi paket.
Virtuelne privatne mrežeVirtuelne privatne mreže 24/91
IP VPN: TunelovanjeIP VPN: Tunelovanje
Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog protokola, ali pri tome je drugi protokol na istom ili višem nivou nego prvi
Virtuelne privatne mrežeVirtuelne privatne mreže 25/91
IP VPN: TunelovanjeIP VPN: Tunelovanje
Router A
Workstation X
Router BWorkstation
Y
Original IPpacket dest Y
Korak 1.Originalni, nerutabilniIP Paket poslat ruteru
Korak 2Originalni IP paket enkapsuliran u drugi IP paket
Original IPpacket
New IPPacket
Tunel
Korak 3Originalni paket
ekstrakovan, poslatna destinaciju
Original IPpaket dest YTunel
Virtuelne privatne mrežeVirtuelne privatne mreže 26/91
IP VPN: Vrste tunelovanjaIP VPN: Vrste tunelovanja
Dve osnovne vrste tunelovanja: Dobrovoljno tunelovanje (Voluntary tunnels)
Tunelovanje uspostavljeno na zahtev korisnika(Zahteva klijentski softver na udaljenom računaru)
Obavezno tunelovanje (Compulsory tunnels)
Tunelovanje kreirano od strane NAS-a ili rutera(Podrška za tunelovanje neophodna na NAS-u ili ruteru)
Virtuelne privatne mrežeVirtuelne privatne mreže 27/91
Dobrovoljno tunelovanjeDobrovoljno tunelovanje
Pokriva celokupnu konekciju Radi na bilo kom uredjaju
Tunelovanje transparentno čvorovima i posredničkim uređajima
Korisnik mora imati klijentski software za tunelovanje kompatibilan sa serverski softverom za tunelovanje PPTP, L2TP, L2F, IPSEC, IP-IP, etc.
Istovremen pristup Intranet-u (pomoću tunelovanja) i Internet-u Radnici mogu koristiti lične naloge za pristup korporacijskim
podacima Udaljene poslovne aplikacije
Dial-up VPN za nizak obim saobraćaja
Virtuelne privatne mrežeVirtuelne privatne mreže 28/91
Dobrovoljni PPTP tunelDobrovoljni PPTP tunel
Dial IP Access
PPP access protocol
Dial Access Provider VPN Service
Dial AccessServer
PPTP AccessServerClient Host Serial Interface
PPTP Virtual Interface
Dobrovoljno tunelovanjeDobrovoljno tunelovanje
Virtuelne privatne mrežeVirtuelne privatne mreže 29/91
Obavezno tunelovanjeObavezno tunelovanje
Radi sa bilo kojim klijentom
Ne pokriva celokupnu konekciju (deo između CPE i NAS-a nije zaštićen tunelovanjem)
NAS mora podržavati isti metod tunelovanjaAli… Tunelovanje transparentno srednjim routerima
Pristup mreži kontrolisan od tunel servera Korisnički podaci mogu putovati samo kroz tunel
Internet pristup omogućen Mora biti predefinisan Velika kontrola Može biti praćen
Virtuelne privatne mrežeVirtuelne privatne mreže 30/91
Obavezno tunelovanjeObavezno tunelovanje
Obavezni L2TTP tunelObavezni L2TTP tunel
PPP access protocol
V.x modem protocol
Client Host
Non-routedforwarding path
Dial Access Provider Internet or VPN Service
L2TP Access Server
Dial Access Server
L2TP
Virtuelne privatne mrežeVirtuelne privatne mreže 31/91
Protokoli za tunelovanjeProtokoli za tunelovanje
PPP
PPTP
L2TP
Protokoli za tunelovanje drugog nivoa:
Virtuelne privatne mrežeVirtuelne privatne mreže 32/91
IP VPN: PPPIP VPN: PPP
PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji, i njegova osnovna funkcija je ostvarivanje veze dial-up tipaizmeđu udaljenog korisnika i NAS-a.
Postoje četiri faze uspostavljanja PPP veze
PRVA FAZA - FAZA USPOSTAVLJANJE LINKA
DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA
TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA
ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA
Virtuelne privatne mrežeVirtuelne privatne mreže 33/91
IP VPN: PPPIP VPN: PPP
PRVA FAZA - FAZA USPOSTAVLJANJE LINKA
Uspostavljanje linka se vrši pomoću LCP protokola (l.ink Control Protocol). Tokom ove faze se uspostavlja fizička veze između udaljenog korisnika i NAS-a, zatim sledi izbor protokola kojim će se vršiti autentikacija korisnika, i na kraju se određuje da li će se u toku sesije vršiti kriptovanje i kompresija paketa koji se razmenjuju.
DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA
U ovoj fazi koristi prethodno ugovoreni protokol za autentikaciju. U većini implementacija PPP podržava ograničeni skup protokola za autentikaciju.
PAP (Password Authentication Protocol).
CHAP (Challenge Handshake Authentication Protocol).
MSCHAP (Microsoft-ova verzija CHAP-a) i
MSCHAP-2 (unapređena verzija MSCHAP-a).
Virtuelne privatne mrežeVirtuelne privatne mreže 34/91
IP VPN: PPPIP VPN: PPP
TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA
Ako se koristi, tada odmah nakon završetka druge faze veza se prekida, a zatim server (NAS) poziva korisnika. Ovim se uvodi dodatna mera zaštite, jer se NAS može konfigurisati tako da dopušta samo veze sa određenih telefonskih brojeva.
ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA
U ovoj fazi se aktivira kontrolni protokol na mrežnom nivou (izabran u prvoj fazi obično je to IPCP) koji će konfigurisati protokole koje koristi udaljeni klijent.
MPPC – kompresija
MPPE - kriptovanje
Virtuelne privatne mrežeVirtuelne privatne mreže 35/91
IP VPN: PPTPIP VPN: PPTP
Koristi TCP 1723 & PPP unutar GRE paketa
Razvijen od strane konzorcijuma koji su činili
Microsoft, 3Com, Ascend, RASCOM, ECI Telematics
Pušten u upotrebu sa Windows NT® 4.0 1996
Kritikovan iz sigurnosnih razloga
Glavna primena kod remote-access VPN
Tunelovanje pretežno dobrovoljno
PPTP informacije RFC 2637, Jul 1999
Virtuelne privatne mrežeVirtuelne privatne mreže 36/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
Kreiranje sigurnog komunikacionog kanala korišćenjem PPTP prokola se obično sastoji od tri koraka:
kreiranje PPP konekcije između korisnika i NAS-a,
kreiranje PPTP kontrolne konekcije,
kreiranje PPTP konekcije i prenos podataka.
Virtuelne privatne mrežeVirtuelne privatne mreže 37/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
1. Uspostavljanje dial-up vezu između udaljenog korisnika i NAS-a koristeći PPP protokol.
Virtuelne privatne mrežeVirtuelne privatne mreže 38/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
2. Između PPTP klijenta (udaljenog korisnika) i PPTP servera
kreira PPTP kontrolna konekcija korišćenjem TCP protokola.
Virtuelne privatne mrežeVirtuelne privatne mreže 39/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
3. Parametri za PPTP kanal se dogovaraju preko kontrolnog kanala, i PPTP tunel se formira
Virtuelne privatne mrežeVirtuelne privatne mreže 40/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
4. Druga PPP je formirana od strane udaljenog korisnika, pomoću tunela formiranog između PAC-a i PNS-a, i privatne mreže NAS-a
Virtuelne privatne mrežeVirtuelne privatne mreže 41/91
IP VPN: PPTP konekcijaIP VPN: PPTP konekcija
5. IP datagrami ili neki drugi datagrami se šalju unutar PPP paketa
Virtuelne privatne mrežeVirtuelne privatne mreže 42/91
Primer PPTP tunelovanjaPrimer PPTP tunelovanja
ISP Gateway
PPTP Client Computer
PPTP Server Computer
PPPEncapsulator
IP Packets
SMB PacketsPPTP
InterfaceSLIP
Interface
PPPDecapsulator
IP Packets
SMB Packets
PPTPInterface
SLIPInterface
IP Packets
IP GRE Packets
Virtuelne privatne mrežeVirtuelne privatne mreže 43/91
Primer PPTP tunelovanjaPrimer PPTP tunelovanja
PPTPInterface
PPPEncapsulator
SLIPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
SLIPHeader
TCP/IP Packet
Modem
Virtuelne privatne mrežeVirtuelne privatne mreže 44/91
IP VPN: L2TPIP VPN: L2TP
Napravljen od strane IETF PPP Extensions
KombinacijaCisco L2F & PPTP protokola,
L2TP Extensions radna grupa ga objavila
Omogućava slanje tunelovanih PPP paketa e samo preko IP, već i preko X.25, Frame Relay, ATM mreža
Koristi UDP za kontrolne i pakete podataka, dobro poznati port 1701
Koristi PPP za enkapsulaciju paketa
Za kriptovanje podataka zadužen MPPE
Postojanje jedne konekcije za slanje obe vrste paketa.
Moguće uspostavljanje više tunela između dva korisnika
Virtuelne privatne mrežeVirtuelne privatne mreže 45/91
IP VPN: LACIP VPN: LAC
L2TP Access Concentrator (LAC) Pretežno povezan na više običnih telefonskih ili ISDN
linija
Samo mu treba implementacioni medij, preko kojeg L2TP radi kako bi prosledio ka jednom ili više LNS-a
Pretežno inicijator dolaznih a primalac odlaznih poziva
Virtuelne privatne mrežeVirtuelne privatne mreže 46/91
IP VPN: LNS IP VPN: LNS
L2TP Network Server (LNS) Radi na bilo kojoj platformi koja podržava PPP
Zadužen za serversku stranu L2TP protokola
skalabilnost je kritična
U mogućnosti da prekine bilo koju vezu pristiglu od bilo kog LAC PPP interfejsa (async, ISDN, PPP preko ATM, PPP preko Frame Relay)
Inicijator odlaznih poziva
Primalac dolaznih poziva
Virtuelne privatne mrežeVirtuelne privatne mreže 47/91
IP VPN: L2TP u mrežiIP VPN: L2TP u mreži
RADIUS
Remote,Telecommuter Employees
LAC
Analog
ISDN
LNS
Corporate Network/ Servers
= L2TP Encapsulated Tunnel
Service Provider Customer Premise
Equipment
RADIUS
PSTN
Internet,Frame Relay,ATM Network
Virtuelne privatne mrežeVirtuelne privatne mreže 48/91
Kako L2TP uređaj radi...Kako L2TP uređaj radi...
• Korak 1 Udaljeni korisnik inicira sesiju ili poziv LAC-u
RADIUS
Remote, TelecommuterEmployees
LAC
Analog
ISDN
LNS
Service Provider CPE
RADIUS
KORAK 1
Internet,Frame Relay,ATM Network
PSTN
Virtuelne privatne mrežeVirtuelne privatne mreže 49/91
Kako L2TP uređaj radi...Kako L2TP uređaj radi...
• Korak 2– LAC šalje autentikovan zahtev Radius serveru, koji autentikuje poziv i
formira konfiguracione informacije o kreiranju, tipa L2TP tunela i krajnje tačke tunela.
KORAK 2 RADIUS
Remote, TelecommuterEmployees
LAC
Analog
ISDN
LNS
Service Provider CPE
RADIUS
Internet,Frame Relay,ATM Network
PSTN
Virtuelne privatne mrežeVirtuelne privatne mreže 50/91
Kako L2TP uređaj radi...Kako L2TP uređaj radi...
• Korak 3– Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira
korisnički PPP frejm i tuneluje ga preko mreže LNS uređaju
KORAK 3
RADIUS
Remote, TelecommuterEmployees
LAC
Analog
ISDN
LNS
Corporate Network/Servers
Service ProviderCPE
RADIUS
Internet,Frame Relay,ATM Network
PSTN
Virtuelne privatne mrežeVirtuelne privatne mreže 51/91
Kako L2TP uređaj radi...Kako L2TP uređaj radi...
• Korak 4– LNS služi kao prekidna tačka gde je enkapsulirani L2TP frejm
razvijen i pušten u dalju obradu. PPP Frejm je posle poslat višim slojevima i korisnicima lokalne mreže.
KORAK 4
RADIUS
Remote, TelecommuterEmployees
LAC
Analog
ISDN
LNS
Service Provider CPE
RADIUS
Internet,Frame Relay,ATM Network
PSTN
Virtuelne privatne mrežeVirtuelne privatne mreže 52/91
IP VPN: IPSecIP VPN: IPSec
IPSec nalazi se na trećem nivou OSI referentnog modela Osnovni aspekti zaštite koju pruža IPSec su:
autentikacija porekla podataka (autentikacija korisnika). očuvanje integriteta podataka (autentikacija podataka) tokom prenosa, tajnost podataka, koja se postiže kriptovanjem.
IPSec može se koristiti između: Dva gateway-a Dva hosta Hosta i njegovih gateway-a
Tri najvažnija podprotokola: Authentication Header (AH) Encapsulation Security Protocol (ESP) Internet Key Exchange (IKE)
Virtuelne privatne mrežeVirtuelne privatne mreže 53/91
Gde se IPSec može koristiti...
Gde se IPSec može koristiti...
Internet/Intranet
IPSec između 2 hosta
Internet/Intranet
SG SG
IPSec između 2 gateway-a
Virtuelne privatne mrežeVirtuelne privatne mreže 54/91
Gde se IPSec može koristiti...
Gde se IPSec može koristiti...
InternetSG SG
Intranet Intranet
Internet SG
Intranet
IPSec između 2 hosta + 2 gateway-a
IPSec između dva hosta tokom dial-up-a
Virtuelne privatne mrežeVirtuelne privatne mreže 55/91
IPSec: ProtokoliIPSec: Protokoli
Authentication Header (AH) koristi se za proveru identiteta pošiljaoca podataka
i otkrivanje namernih izmena nad podacima tokom prenosa mrežom. Izvodi se metodama digitalnog potpisivanja podataka.
Encapsulation Security Protocol (ESP) koristi se u slučajevima kada je bitno očuvati tajnost prenesenih
podataka. Uz tajnost, ESP polje IPSec paketa čuva autentičnost i verodostojnost podataka. Za stvaranje ESP polja podataka koriste se metode jake kriptografije u sprezi s metodama digitalnog potpisivanja podataka.
Internet Key Exchange (IKE) Koristi se za dogovaranje autentikacijskih metoda,
kriptografskih algoritama i dužina ključeva, te za razmenu samih ključeva među članovima u komunikaciji.
Virtuelne privatne mrežeVirtuelne privatne mreže 56/91
Authenticaton Header - AHAuthenticaton Header - AH
Autentikacija AH-om se sastoji od dva aspekta:
autentikacije porekla podataka (data origin authentication), tj. provere da li su podaci stvarno poslati od korisnika sa kojim se komunicira
verifikacije integriteta podataka (data integrity), tj. provere da li je došlo do promene sadržaja paketa u toku prenosa
Za verifikaciju integriteta podataka se koriste takozvani HMAC (Hashed Message Authentication Codes) algoritmi.
Primeri najčešće korišćenih algoritama za verifikaciju integriteta su MD5 (Message Digest 5) i SHA (Secure Hash Algorithm)
Autentikacija obuhvata ceo paket
Virtuelne privatne mrežeVirtuelne privatne mreže 57/91
Authenticaton Header - AHAuthenticaton Header - AH
Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze nakon AH zaglavlja.
Dužina zaglavlja je takode 8-bitno polje koje definiše dužinu AH zaglavlja u 32-bitnim rečima.
Rezervisano polje je 16-bitno polje rezervisano za buduću upotrebu.
SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama.
Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack).
Vrednost za proveru integriteta je polje promenljive dužine, pri čemu je dužina celobrojni umnožak od 32 bita.
Vrednost za proveruVrednost za proveru integriteta integriteta
Redni brojRedni broj
Security ParametersSecurity ParametersIndexIndex
Rezervisano poljeRezervisano polje
parametri
Dužina zaglavljaDužina zaglavlja
Sledeće zaglavljeSledeće zaglavlje
Virtuelne privatne mrežeVirtuelne privatne mreže 58/91
Encapsulation Security Payload - ESP
Encapsulation Security Payload - ESP
Koristi se za kriptovanje podataka, ali može da vrši i autentikaciju
Kriptovanje se obično vrši pomoću sledećih algoritama: DES (Dala Encrvption Standard) 3DES AES IDEA (International Dala Encryption Algorithm) Blowfish RC4 (Rivest Cypher 4)
Autentikacija ESP-om ne obuhvata ceo IP paket, za razliku od AH.
Za autentikaciju se koriste HMAC algoritmi.
Virtuelne privatne mrežeVirtuelne privatne mreže 59/91
ESP zaglavljeESP zaglavlje
SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama.
Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack).
Dopuna (padding), čija je dužina od 0 do 255 okteta. Svrha ovog polja je da produži polje sa podacima do neke zahtevane dužine.
Dužina dopune je 8-bitno polje u kome je, kao što mu ime kaže, zapisana dužina polja dopune.
Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze pre ESP zaglavlja.
ESP autentikacija sadrži u sebi vrednost za proveru integriteta
Security Parameters Index (SPI) – 32 bits
Redni broj 32 bits
Podaci
Dopuna/ Sledeće zaglavlje
Vrednost za proveru integriteta
Virtuelne privatne mrežeVirtuelne privatne mreže 60/91
Poređenje AH i ESPPoređenje AH i ESP
Bezbednosni aspekt AH ESP
Layer-3 IP protocol number 51 50
Omogućava integritet podataka Da Da
Omogućava autentikaciju podataka Da Da
Omogućava enkripciju podataka Ne Da
Zaštita od ponovnih napada na podatke Da Da
Radi sa NAT Ne Da
Radi sa PAT Ne Ne
Štiti IP pakete Da Ne
Štiti samo podatke Ne Da
Virtuelne privatne mrežeVirtuelne privatne mreže 61/91
Modovi rada IPSec-aModovi rada IPSec-a
Transportni mod Enkapsulacija podataka iz IP paketa. IP zaglavlje je nezaštićeno
Zaštita omogućena za više slojeve Obično se koristi u host-host komunikaciji
Tunelski mod Enkapsulira ceo IP paket
Pomaže u zaštiti analize saobraćaja Originalni IP paket je zaštićen na Internetu
Virtuelne privatne mrežeVirtuelne privatne mreže 62/91
Transportni mod AHTransportni mod AH
Internet/Intranet
Original IP Header
TCPHeader
Payload Data Bez IPSec
Original IP Header
TCPHeader
Payload DataAuth
Header
NextHeader
PayloadLength
SPISeq.No.
MAC
Virtuelne privatne mrežeVirtuelne privatne mreže 63/91
Tunelski mod AHTunelski mod AH
Internet SG
Intranet
Original IP Header
TCPHeader
Payload Data Bez IPSec
NextHeader
PayloadLength
SPISeq.No.
MAC
Original IP Header
TCPHeader
Payload DataAuth
HeaderNew IP Header
Virtuelne privatne mrežeVirtuelne privatne mreže 64/91
Transportni mod ESPTransportni mod ESP
Original IP Header
TCPHeader
Payload Data Bez IPSec
Original IP Header
TCPHeader
Payload DataESP
HeaderESP
TrailerESPAuth
Encrypted
Authenticated
Virtuelne privatne mrežeVirtuelne privatne mreže 65/91
Tunelski mod ESPTunelski mod ESP
Original IP Header
TCPHeader
Payload Data Bez IPSec-a
Encrypted
Authenticated
Original IP Header
TCPHeader
Payload DataESP
HeaderESP
TrailerESPAuth
New IP Header
Virtuelne privatne mrežeVirtuelne privatne mreže 66/91
Sigurnosna asocijacija - SASigurnosna asocijacija - SA
Sigurnosna asocijacija je relacija koja se uspostavlja između učesnika u komunikaciji.Sa SA se definišu sigurnosni parametri komunikacije(protokoli, algoritmi, ključevi)
SA sadrži sve sigurnosne parametre potrebne da se obezbedi siguran prenos paketa i definiše sigurnosna polisa koja se koristi u IPSec-u
SA je jednosmerna, tj. u slučaju dvosmerne komunikacije potrebne su dve asocijacije.
Virtuelne privatne mrežeVirtuelne privatne mreže 67/91
Sigurnosna asocijacija - SASigurnosna asocijacija - SA
Svaka SA sedefiniše pomoću tri vrednosti: SPI (Security Parametars Index) - slučajno generisani broj kojim se SA
identifikuje i služi da razlikuje SA koje su između istih destinacijai koje se odnose na isti protokol,
IP adresom odredišta - za sada su to samo unicast adrese,mada je u daljem razvoju predviđeno da se mogu koristiti i multicast i broadcast adrese.
identifikatorom sigurnosnog protokola za koji se SA koristi (AH ili ESP).
Paket je poslat od Toma ka Lori bez SAIKE u oba sistema počinje pregovaranjePregovaranje završeno, SA uspostavljenaSiguran paket poslat
Virtuelne privatne mrežeVirtuelne privatne mreže 68/91
Sigurnosna asocijacija - SASigurnosna asocijacija - SA
Svaki uređaj koji koristi IPSec održava dve baze podataka u kojima smešta podatke o uspostavljenim SA.
SPD - Security Policy Database. SAD - Security Association Database.
SPD je baza podataka koja se konsultuje pri obradi celokupnog IP saobraćaja koji prolazi kroz uređaj. U sebi sadrži:
listu postupaka obrade (policy entry) kojima je definisano kakav će se način obrade paketa primenjivati.
U SAD su smešteni podaci o svakoj SA koju je uređaj uspostavio sa nekim od drugih korisnika VPN. Ti podaci su:
protokol za koji je definisana SA, algoritme koji se koriste za autentikaciju i/ili kriptovanje, mod rada (transportni ili tunelski), redni broj paketa, vreme života SA (vreme u kome će se postojeća SA terminirati i
opciono zameniti drugom).
Virtuelne privatne mrežeVirtuelne privatne mreže 69/91
Internet Key Exchange - IKEInternet Key Exchange - IKE
Osnovna namena IKE protokola je: kreiranje sigurnosne asocijacije razmena ključeva za autentikaciju, odnosno kriptovanje
Protokol transportnog nivoa IKE-a UDP IKE štiti SA Funkcionisanje IKE-a se odvija u dve faze:
Formiranje ISAKMP sigurnosna asocijacija Osnovni mod (main mod) Agresivni mod (agressive mod)
razmenjivanje poruka pomoću kojih se kreira IPSec sigurnosna asocijacija.
Brzi mod (quick mode) Mod nove grupe (new group mode)
Virtuelne privatne mrežeVirtuelne privatne mreže 70/91
Internet Key Exchange - IKEInternet Key Exchange - IKE
Parametar Jaka Jača
Algoritmi kriptovanja
DES 3DES
Heš algoritmi MD5 SHA-1
Autentikacioni metod
Preshared RSA signatures
Razmena ključevaDiffie-Hellman
group 1Diffie-Hellman
group 2
Vreme trajanja asocjacije
86,400 seconds Manje 86,400 secs.
Virtuelne privatne mrežeVirtuelne privatne mreže 71/91
Modovi razmene IKE-aModovi razmene IKE-a
Osnovni mod
Agresivni mod
Brzi mod
Virtuelne privatne mrežeVirtuelne privatne mreže 72/91
Kako radi IPSec..Kako radi IPSec..
Virtuelne privatne mrežeVirtuelne privatne mreže 73/91
IP VPN: L2TP/IPSecIP VPN: L2TP/IPSec
L2TPL2TP L2TPL2TP Autentikacija na domenAutentikacija na domenKorisničkiKorisnički ID/Password ID/PasswordSmart Card/EAPSmart Card/EAP
TunelTunelovanjeovanje saobraćaja saobraćaja
IPSecIPSec IPSecIPSecKriptovanjeKriptovanje L2TP L2TP AutentikacijaAutentikacija Sertifikati uređajaSertifikati uređaja
1.1. IPSec IKE IPSec IKE pregovaranjepregovaranje 3.3. L2TP tunel setup,L2TP tunel setup,upravljanjeupravljanje prekopreko IPSec IPSec-a-a
2.2. Uspostavljanje Uspostavljanje IPSec ESP SA IPSec ESP SA zaza L2TP, UDP port 1701L2TP, UDP port 1701
4.4. Autentikacija korisnika na domenAutentikacija korisnika na domen
Virtuelne privatne mrežeVirtuelne privatne mreže 74/91
IP VPN: PoređenjaIP VPN: Poređenja
Protokol PPTP L2TP L2TP/IPSec IPSec
Vrsta mrežeIP
IP, ATM, Frame relay
IP IP
Autentikacija korisnika
Da Da Da Da
Autentikacija tunela Ne Da Da Da
Autentikacija paketa Ne Ne Da Da
Višeprotokolna podrška
Da Da Da Ne
Protokol za kriptovanje
MPPE MPPE EPS EPS
Primenapretežno kod
remote-accesspretežno kod
remote-accesspretežno kod
remote-accesspretežno kod
router-to- router
Vrsta tunelovanjapretežno
dobrovoljnodobrovoljno i
obaveznodobrovoljno i
obaveznodobrovoljno i
obavezno
Virtuelne privatne mrežeVirtuelne privatne mreže 75/91
VPN i firewallVPN i firewall A - VPN paralelno sa firewall-om:
U ovom slučaju imamo dve tačke ulaza u intranet.Mora se obratiti velika pažnja na ispravnu konfiguraciju VPN-a.
B - VPN iza firewall-a: U ovom slučaju ne postoji kontorola nad VPN saobraćajem u firewall-u. Postavlja se pitanje u kojoj meri se veruje korisnicima VPN-a.
C - VPN ispred firewall-a: U ovakvoj konfiguraciji sav saobraćaj prolazi kroz VPN. U ovom slučaju firewall služi za nadgledanje dolaznog VPN saobraćaja.Ova primena je najčešća kod Extranet VPN-a.
D - VPN integrisano sa firewall-om. Potrebno je poznavati tehnike firewall-a te je i konfigurisanje uređaja zahtevnije. Uređaj je zahtevniji po pitanju performansi i kompatibilnosti pravila filterovanja sa VPN servisima.
E - Firewall sa obe strane. Ovo rešenje je skuplje i koristi se u slučaju velikog stepena zaštite.
Virtuelne privatne mrežeVirtuelne privatne mreže 76/91
VPN i NAT/NATPVPN i NAT/NATP
Problemi Zaglavlje paketa modifikovano, nevažeći paket
IKE sesija kroz NAT
NAT uređaji koji rade u transportnom modu
NAT1 Hdr
NAT1 Hdr
NAT2 Hdr
NATNAT NATNAT
Orig IP Hdr TCP Hdr Data
Orig IP Hdr TCP Hdr DataAH HdrInsert
NAT1 Hdr
NAT2 Hdr
Contains an encrypted hash of Contains an encrypted hash of the the originaloriginal packet header packet header
Virtuelne privatne mrežeVirtuelne privatne mreže 77/91
VPN i NAT/NATPVPN i NAT/NATP
IETF pod imenom NAT Traversal (NAT-T) predložio rešenje problema:
Primeniti NAT pre IPSec-a
Izvršiti NAT na uređaju koji je na putanji pre IPSec uređaja,
Koristiti uređaj koji je u stanju da vrši i IPSec i NAT obradu.
Virtuelne privatne mrežeVirtuelne privatne mreže 78/91
Kako NAT-T radiKako NAT-T radi
NATNAT NATNAT
Orig IP Hdr TCP Hdr Data
Orig IP Hdr TCP Hdr DataESP Hdr
Insert
Orig IP Hdr Rest…ESP HdrUDP src 4500, dst 4500
Insert
Poslat odPoslat od A A
Primljen odPrimljen od B BOrig IP Hdr Rest…ESP HdrUDP src XXX, dst 4500NAT1 Hdr
NAT2 Hdr
Virtuelne privatne mrežeVirtuelne privatne mreže 79/91
Realizacija pristupa VPNRealizacija pristupa VPN
Virtuelne privatne mrežeVirtuelne privatne mreže 80/91
Konfiguracija u središtu VPN-a
Konfiguracija u središtu VPN-a
Središte VPN mreže
Modul za interne VPN korisnike
Extranet VPN modul
Virtuelne privatne mrežeVirtuelne privatne mreže 81/91
Frame Relay VPNFrame Relay VPN
Veze su između Frame Relay korisnika su tipa tačka-tačka i mogu ostvariti se pomoću:
permanentnih virtuelnih kola (PVC - Permanent Virtual Circuit)
Problem: skalabilnost
komutiranih virtuelnih kola (SVC - Switched Virtual Circuit)
Formira se zatvorena grupa korisnika
Niko spolja ne može da pristupi korisnicima iz ovog skupa, niti oni mogu da komuniciraju sa nekim spolja
Virtuelne privatne mrežeVirtuelne privatne mreže 82/91
Frame Relay VPNFrame Relay VPN
IP Core
Tunnel 2
Enterprise Hub
Enterprise Site B
Enterprise Site A
DLCI 43
DLCI 54
Tunnel 1
DLCI 28
DLCI 29
PE A
PE B
PE C
Korak #1 Enterprise Hub šalje frejm sa destinacijom
Enterprise Site-a A preko PE A
Frame
DLCI 29
IP L2TP Frame
Korak #2 Ingress interfejs je podešen za Tunel 1 i
L2TP + IP je napravljen i poslat korektan I/F
Korak #3 PE B prima Paket, uklanja IP/L2TPv3 zaglavlje. Preostalo Frame Relay
zaglavlje se prepisuje sa DLCI 43 i prosleđuje Enterprise Site-u A.
Frame
DLCI 43
Virtuelne privatne mrežeVirtuelne privatne mreže 83/91
Frame Relay VPNFrame Relay VPN
Osnovne prednosti Frame Relay VPN su:
Garantovani kvalitet usluge od strane provajdera servisa..
Višeprotokolna podrška (mulliprotocol support). Pošto Frame Relay funkcioniše na drugom OSI nivou, korisnici nisu ograničeni samo na IP (kao kod IPSec VPN mreža) nego interno mogu koristiti i druge mrežne protokole.
Troškovi kojima su opeterećeni korisnici servisa su ograničeni na početne investicije u pristupnu opremu i ugovorene mesečne obaveze.
Nedostaci Frame Relay VPN mreža su:
Nepostojanje podrške za udaljene korisnike (remote-access), što je uslovljeno prirodom ove vrste servisa.
Geografska ograničenost Frame Relay servisa samo na prostor u kome postoji postoji pristup servisu provajdera (POP - Point Of Presence).
Virtuelne privatne mrežeVirtuelne privatne mreže 84/91
MPLS VPNMPLS VPN Glavna ideja MPLS-a je objedinjavanje najboljih osobina mreža sa uspostavljanjem veze
(connection-oriented) i mreža bez uspostavljanja veze (connectionless). MPLS zaglavlje se naziva labela Od protokola na trećem nivou (odnosno lP-a) MPLS je nasledio protokole za rutiranje,
stanju mreže i dostupnosti uređaju u okviru nje. Prilikom uspostavljanja konekcije formira se virtuelno kolo - LSP (Label Switclied Path).
LSP se sastoji od niza labela Za distribuciju labela LSP-a su zaduženi protokoli: CR-LDP (Constraint base Route Label - Distribution Protocol) RSVP-TE (Resource reSuorce reserVation Protocol - Traffic Engineering).
Podela: L2 MPLS VPN, odnosno mreže drugog nivoa. L3 MPLS VPN, mreže trećeg nivoa.
Prednosti MPLS VPN mreža u odnosu na IPSec VPN: Garantovani kvalitet usluge koju nudi MPLS. Ne postoji potreba za korišćenjem NAT-a
Virtuelne privatne mrežeVirtuelne privatne mreže 85/91
L2 MPLS VPNL2 MPLS VPN
L2 MPLS VPN mreže služe za prenos ATM, Frame Relay, ili paketa nekog od protokola drugog nivoa.
Provider 1Provider 1
Subscriber Subscriber AA
Subscriber ASubscriber AATMATM AccessAccess
ATM AccessATM Access
Internet Traffic:Internet Traffic:ATM VC1 terminated, IP packets delivered to provider 2ATM VC1 terminated, IP packets delivered to provider 2
Provider 2Provider 2
VPN Traffic:VPN Traffic:ATM VC2 mapped to MPLS LSP “tunnel”ATM VC2 mapped to MPLS LSP “tunnel”
Virtuelne privatne mrežeVirtuelne privatne mreže 86/91
L3 MPLS VPNL3 MPLS VPN L3 MPLS VPN mreže su namenjene za prenos IP saobraćaja.
Implementacija L3 MPLS: pomoću tehnike virtuelnih tabela za rutiranje i prosleđivanje (Virtual Routing and Forwarding
tables - VRF).
pomoću tehnike virtuelnih rutera (Virtual Router - VR).
VPN A/Site 1
VPN A/Site 2
VPN A/Site 3
VPN B/Site 2
VPN B/Site 1
VPN B/Site 3
CEA1
CEB3
CEA3
CEB2
CEA2CE1B
1CE2
B1
PE1
PE2
PE3
P1
P2
P3
10.1/16
10.2/16
10.3/16
10.1/1610.2/16
10.4/16
Virtuelne privatne mrežeVirtuelne privatne mreže 87/91
Praktični aspekti korišćenja VPN
Praktični aspekti korišćenja VPN
Performanse VPN zavise isključivo od izbora Internet provajdera
Kad god je moguće koristiti usluge jednog provajdera
Neophodno je analizirati mrežu provajdera sa stanovništva:
Topologije mreže, protoci na okosnici (backbone) i poprečnim linkovima
Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN
Mogućnost pružanja dodatnih servisa (npr L2TP tunneling)
Cena zakupa linka i usluga provajdera
Kad god je moguće primeniti odgovarajuće mere zaštite (access lists, firewalls, kriptozaštita).
Virtuelne privatne mrežeVirtuelne privatne mreže 88/91
Mogućnost korišćenja VPN u Srbiji
Mogućnost korišćenja VPN u Srbiji
Za sada - tržište Internet usluga u Srbiji potpuno liberalno Pokrivena su skoro sva značajnija tranzitna područja u Srbiji U mnogim tranzitnim područjima korisnici imaju mogućnost
izbora više provajdera Interkonekcije među skoro svim većim Internet provajderima
(provajderima sa međunarodnim linkovima) postoje – uglavnom u Beogradu.Lokalnih interkonekcija za sada nema.
Internet provajderi u Srbiji omogućavaju uslugu uspostavljanja virtuelnih privatnih mreža
Firme u Srbiji koje uspešno koriste virtuelne privatne mreže: DELTA M MediaWorks Poreska uprava
Virtuelne privatne mrežeVirtuelne privatne mreže 89/91
Statistički podaciStatistički podaci
do 100 korisnika;
41%
od 100 do 499; 27%
od 500 do 999; 10%
preko 5000; 12%
od 1000 do 4999;10%
Veličina instaliranih i planiranih VPN mreža
Intranet VPN; 34%
Remote access VPN; 41%
Extranet VPN; 21%
Drugo; 4%
Razlozi za uvođenje VPN mreža
Virtuelne privatne mrežeVirtuelne privatne mreže 90/91
Statistički podaciStatistički podaci
0
10
2030
40
50
6070
80
90
CPE based Netvork baset
Instalirano U fazi instalacije Planirano
Vrste instaliranih i planiranih VPN mreža Korišćeni protokoli
Virtuelne privatne mrežeVirtuelne privatne mreže 91/91
Statistički podaciStatistički podaci
AT&T
UUNET
Infonet
Genuity
Najvažniji proizvođači: