233155.diplomska radnja -1572- dario hofman - sigurnost u virtualnim privatnim mrezama

7/21/2019 233155.Diplomska Radnja -1572- Dario Hofman - Sigurnost u Virtualnim Privatnim Mrezama

1/58

SVEUILITE U ZAGREBUFAKULTET ELEKTROTEHNIKE I RAUNARSTVA

DIPLOMSKI RAD br. 1572

SIGURNOST U VIRTUALNIM PRIVATNIM MREAMA

Dario Hofman

Zagreb, prosinac 2005.


2/58

Zahvaljujem se svom mentoruProf. dr. sc. Nikoli Bogunoviu

na strunom vodstvui pomoi koju mi je pruiopri izradi diplomskog rada

Zahvaljujem se i g. eljku Kuanu i g. Denisu Gluhakuiz firme COMPUTECH na pomoi u otklanjanju problema

Najvie se zahvaljujem svojoj obitelji koja mi je oduvijek davala moralnupodrku i pokazivala put kojim trebam kroiti,

te ovu radnju posebno posveujem svojoj Omami.


3/58

ORIGINAL DIPLOMSKOG ZADATKA


4/58

Sigurnost u virtualnim privatnim mreama

1

Sadraj:

Sadraj :....................................................................................................................................1

UVOD........................................................................................................................................3I. to je VPN?..........................................................................................................................3

II. Kom e je namijenjen? .......................................................................................................4

1. OSNOVNI POJM OVI ......................................................................................................5

1.1. Osnove .............................................................................................................................5

1.2. Zahtjevi.............................................................................................................................5

1.3. Vrste VPN rjeenja ........................................................................................................6

1.4. Tuneliranje ......................................................................................................................7

1.5. Mreni slojevi .................................................................................................................8

1.6. Osnove kriptografije.....................................................................................................9

1.6.1. Kljuevi ....................................................................................................................9

1.6.2. Najei algoritmi .................................................................................................9

1.6.3. ifrir anje i certifikati ...........................................................................................10

2. VPN TEHNOLOGIJE....................................................................................................11

2.1. IPSec...............................................................................................................................11

2.2. PPTP ...............................................................................................................................132.3. L2F...................................................................................................................................14

2.4. L2TP................................................................................................................................14

2.5. Us poredba IPSe c, PPTP i L2TP protokola............................................................16

2.6. Alternativni naini ostvarivanja VPN-a..................................................................17

3. ODABIR VPN SUSTAVA ZA RJEAVANJ E PROBLEMA..................................18

3.1. Opis problema koji elim o rijeiti ...........................................................................18

3.2. Odabir opreme za rjeavanje problem a................................................................18

3.2.1. Odabir V PN servera ............................................................................................183.2.2. Odabir VPN klijenta.............................................................................................19

3.3. Opis sustava koji rjeavamo....................................................................................20

3.4. Odabrani protokoli za uspostavu VPN sustava ..................................................21

4. RJEAVANJE PROBLEM A.......................................................................................22

4.1. Podeavanje usmjerivaa .........................................................................................22

4.1.1. Kartica (meni) Home...........................................................................................22

4.1.2. Kartica (meni) Advanced...................................................................................23


5/58


2

4.1.3. Kartica (meni) Tools...........................................................................................24

4.1.4. Kartica (meni) Status..........................................................................................25

4.2. Podeavanje VPN servera.........................................................................................25

4.2.1. Podeavanje PPTP protokola ..........................................................................25

4.2.2. Podeavanje L2TP protokola...........................................................................26

4.2.3. Podeavanje IPSec protokola ..........................................................................27

4.2.4. Provjera statusa IPSec veze .............................................................................31

4.3. Podeavanje klijent a i testiranje veze i raznih protokola.................................32

4.3.1. PPTP klijent ...........................................................................................................32

4.3.2. L2TP klijent ...........................................................................................................36

4.3.2.1. Razlike izmeu PPTP i L2TP protokola .....................................................37

4.3.2.2. Testiranje veliine paketa zapakir anih PPTP i L2TP protokolom ......384.3.3. IPSe c klijent ..........................................................................................................38

4.3.3.1. Koritenje IP Security policy Management-a...........................................39

4.3.3.2. Koritenje Smart VPN Client-a.....................................................................40

4.3.3.3. Koritenje The GreenBow VPN Client-a.....................................................44

4.4. Testiranje veliine paketa zapakiranih PPTP, L2TP i IPSec protokolom .....45

4.5. Najei problemi i korisne naredbe .....................................................................45

4.6. Konano razmatranje PPTP protiv L2TP/IPSec ...............................................48

5. ZAKLJUAK .................................................................................................................49Dodatak A: Popis IETF standarda i prijedloga ............................................................50

Dodatak B: Rjenik .............................................................................................................51

LITERATURA ........................................................................................................................54

SAETAK...............................................................................................................................55


6/58


3

UVOD

I. to je VPN?

VPN (Virtual Private Network) je kratica za virtualnu privatnu mreu. To jetehnologija koja omoguava sigurno povezivanje raunala ili privatnih mrea uzajedniku virtualnu privatnu mreu i to kroz privatnu ili javnu mrenu infrastrukturu(prvenstveno se to odnosi na Internet).

Za razliku od privatnih mrea koje koriste iznajmljene linije za komunikaciju, VPNmoe raditi i preko javne mree prilikom ega se uspostavlja sigurnosni kanalizmeu krajnjih toaka. To najee dovodi do odreene, esto velike, novaneutede. VPN se esto umjesto za tehnologiju koristi i kao skraenica za privatnu

mreu uspostavljenu preko javne telekomunikacijske infrastrukture.

Slika I.Pojednostavljen primjer VPN-a


7/58


4

II. Kome je namijenjen?

Najveu korist od VPN-a imaju poduzea koja imaju svoje podrunice rasporeeneu vie drava [3]. Budui da je meusobna telefonska veza skupa, VPN se pojavljuje

kao vrlo razumno rjeenje. Veza prema ISP-u (davatelju Internet usluga) je ipakdaleko jeftinija.

Osim njih koristi imaju i sva ostala poduzea koja imaju geografski odvojeneposlovnice, kao npr. INA, zastupnici odreene auto marke i njihovi saloni, itd. Razlogtome je to je cijena obinog telefonskog poziva kod nas 4,5 puta skuplja odmodemskog poziva (Dial-up) na Internet, a zakup linije na vee udaljenosti je ipakskuplji od zakupa stalne veze prema Internetu.

Trei najei sluaj je da se pojedinani korisnici imaju potrebu spojiti na privatnumreu poduzea u kojem rade. To mogu biti djelatnici poduzea koji se moraju spojiti

na privatnu mreu poduzea dok vre mjerenja na terenu, djelatnik poduzea koji seeli od kue spremiti za sutranji sastanak koji je nenadano iskrsnuo ili jednostavnotrgovaki putnik koji podnosi dnevni izvjetaj o prodaji i naruuje robu za idui dan.

Osim podataka putem VPN-a je mogue vriti i prijenos govora VoIP (Voice overIP), to omoguuje znaajnu utedu, pogotovo ako poduzee ima podrunice u viedrava. Ovisno o potrebi, ponekad je bolje koristiti neke druge, jednostavnije zaimplementirati, naine sigurnog komuniciranja umjesto VPN-a.


8/58


5

1. OSNOVNI POJMOVI

1.1. Osnove

Osnovna zamisao VPN tehnologije (u daljnjem tekstu umjesto VPN tehnologijekoristit e se samo naziv VPN) je osigurati sigurno povezivanje privatnih mreapreko javne mree odnosno Interneta. To se najee izvodi tuneliranjem izmeudvije toke. Kod tuneliranja moe se provoditi kompresija i/ili ifriranje podataka.Takoer VPN je mogue koristiti i unutar vlastite lokalne mree, ali to se rjee koristi.

Implementacija moe biti programska ili sklopovska, a esto se koristi i kombinacijate dvije implementacije. U pravilu programska podrka je dovoljno brza zaifriranje/deifriranje do 10Mbps podataka u realnom vremenu, a za vee brzine sekoristi sklopovska podrka.

Korisnici ele sigurnu i stalnu povezanost unutar svoje mree. VPN moe osiguratisigurnost, ali stalnu vezu ne moe garantirati. Propusnost veze je jednaka svojojnajslabijoj toki. Ako se korisnik spojio modemskom vezom, nitko ne moegarantirati stabilnost veze. Ona moe biti loa prema ISP-u ili jednostavno moe doido zaguenja prometa na Internetu ili ispada ISP-a iz Interneta. Tu su u prednosti(skuplje) iznajmljene linije koje u pravilu osiguravaju pouzdan medij za prijenospodataka.

1.2. Zahtjevi

VPN tehnologija mora osigurati odreene zahtjeve. To su: Upravljanje adresama VPN je zaduen za dodjeljivanje klijentskih adresa

unutar privatnih mrea Mehanizmi za upravljanje kljuevima VPN mora osigurati generiranje i

osvjeavanje kljueva izmeu klijenta i posluitelja Podrku za razne protokole VPN mora podravati standardne protokole koji se

koriste na javnim mreama (IP, IPX, itd.)Takoer tu su vrlo bitni i sigurnosni zahtjevi:

Pravo pristupa VPN osigurava provjeru identiteta korisnika i dozvoljava VPNpristup samo registriranim korisnicima. Takoer mora osigurati mogunostpraenja dogaaja.

Autentifikaciju VPN mora osigurati da podaci koje dolaze zbilja dolaze sodredita s kojeg tvrde da dolaze i da osoba koja tvrdi da je poiljatelj podatakato i zbilja je. Za to se esto koriste digitalni certifikati. (esto se izrazautentifikacija odnosi samo na provjeru imena korisnika i lozinke).

Cjelovitost (integritet) podataka VPN mora osigurati da nitko ne mijenja podatkedok putuju Internetom. Za to se najee koristi MD5 (algoritam za izraunavanjesaetka).


9/58


6

Povjerljivost (tajnost, ifriranje) VPN mora osigurati ifriranje podataka tako daih nitko, osim klijenta odnosno posluitelja, ne moe proitati. To se postieraznim algoritmima poput DES, 3DES, RSA i Diffie-Hellman algoritma.

1.3. Vrste VPN rjeenja

S obzirom na mogunost primjene postoje slijedea rjeenja [1]: IntranetVPN

Koristi se za povezivanje vie lokacija unutar jedne organizacije. Za prijenospodataka se koristi Internet ili WAN.

ExtranetVPNKoristi se za povezivanje dva ili vie dobavljaa i/ili poslovnih partnera. Zaprijenos podataka se koristi Internet ili WAN.

Udaljeni pristup

Povezuje udaljene korisnike (ili manje urede) sa lokalnom mreom poduzea.Povezivanje se obavlja putem modemske veze preko Interneta (ponekad se tonaziva VPDN = Virtual Private Dial Netw ork).Prednosti ovog naina spajanja naspram direktnog modemskog povezivanja stvrtkom:-nia cijena povezivanja putem Interneta-nema potrebe kupiti i odravati modemske ulaze, te plaati telefonsku pretplatuza njih-koritenjem ADSL tehnologije kod nas nije mogue meusobno spojiti dvakorisnika,vese je mogue jedino spojiti na Internet

Podjela VPN rjeenja u ovisnosti o konfiguracijama: client-to-server(ili client-to-gatew ay) rjeenja

Koristi se kod modemskih (Dial-up) rjeenja. Najei sluaj za to je kad sezaposlenik poduzea eli spojiti na mrenu infrastrukturu svog poduzea prekoISP-a sa terena ili od kue.

server-to-server (ili gateway-to-gateway) rjeenjaKoristi se kod spajanja dvije (ili vie) odvojenih lokalnih mrea. Za to je najeiprimjer poduzee koje se eli spojiti preko Interneta sa svojom podrunicom(podrunicama) koje su fiziki udaljene.

Slika 1.1 prikazuje razliku izmeu te dvije konfiguracije


10/58


7

Slika 1.1Prijenos podataka tuneliranjem

1.4. Tuneliranje

Tuneliranje predstavlja tehniku prijenosa podataka namijenjenu jednoj mrei prekoneke druge mree. Podaci koji se alju mogu biti okviri (ili paketi) od nekog drugogprotokola. Protokol, kojim se implementira tuneliranje, enkapsulira originalnom okviruposebno oblikovano zaglavlje. Takvo zaglavlje sadri dodatne podatke (zausmjeravanje) kako bi enkapsulirani paket stigao, kroz mreu koja slui za prijenos,do odredita. Enkapsulirani podaci se onda alju izmeu krajnjih toaka tunela.Tunel je logiki put kroz koji enkapsulirani podaci prolaze kroz mreu koja slui kaomedij za prijenos. Kada takav okvir doe do svog odredita podaci se ekstrahiraju izatim se alju na ciljno odredite. Tuneliranje ukljuuje itav navedeni proces(enkapsulacija, prijenos i ekstrakcija).

VPN se moe podijeliti i u ovisnosti o tipu tuneliranja koji koriste:

Stalni nisu isplativi radi toga to trae odreenu proto

nost podataka(bandw idth) ak i kada se prijenos podataka ne koristi, a ISP-ovi esto naplauju

prosjeno zahtjevanu protonost, pri emu prednost imaju privremeni VPN-ovi Privremeni uspostavljaju se kada klijent zatrai spajanje u VPN i nestaju kada

se veza zavri

Ako se VPN uspostavlja preko ISP-a mogua su dva rjeenja [4]: Dobrovoljno tuneliranje(Voluntary Tunneling)

To je sluaj kada raunalo ili usmjeriva koristi klijentsku programsku podrku zatuneliranje za uspostavljanje VPN-a. Najei primjer za to je kada modemskiInternet korisnik prvo uspostavi vezu sa svojim ISP-om da bi mogao uspostaviti

tuneliranje kroz Internet.


11/58


8

Obvezno tuneliranje(Compulsory Tunneling)Veliki broj posluitelja s modemskim ulazima koje koriste ISP-ovi imajuimplementiranu mogunost automatskog kreiranja tunela za modemskogkorisnika. Taj posluitelj (ili mreni ureaj) koji prua tuneliranje klijentskomraunalu se naziva Front End Processor (FEP) kod PPTP-a, L2TC Access

Concentrator (LAC) kod L2TP-a ili IPSecurity Gatew ay kod IPSec-a.Danas postoje razne tehnologije koje omoguuju tuneliranje. Najpoznatije od njih su: PPTP (Point-to-Point Tunneling Protocol) L2F (Layer 2 Forw arding) L2TP (Layer 2 Tunneling Protocol) IPSec (Internet Protocol Security Tunnel Mode) Mobile IP za mobilne korisnike GRE (Generic Routing Encapsulation) ATMP(Ascend Tunnel Management Protocol) DLSW (Data Link Switching)

1.5. Mreni slojevi

Da bi bolje razumjeli neke razlike izmeu razliitih implementacija VPN-a trebamose upoznati sa mrenim slojevima. OSI RM-om (Open System Interconnection(Basic) Reference Model) je komunikacijski model za raunalne mreestandardiziran 1983 godine od strane ISO-a. Model se sastoji od 7 slojeva:1.Fiziki sloj(najnii sloj) osigurava ispravan prijenos bitova (0 i 1)

2.Podatkovni sloj obavlja pretvorbu podataka iz fizikog sloja u okvire podatakakoje upotrebljava mreni sloj

tu se vri retransmisija loeg ili izgubljenog okvira i obradadvostruko primljenog okvira

3.Mreni sloj obavlja usmjeravanje paketa od izvora do odredita, sprjeavazakrivanje, povezuje heterogene mree

4.Prijenosni (transportni) sloj obavlja uslugu prijenosa od kraja do kraja koja trebabiti pouzdana, efikasna i neovisna o koritenojfizikoj mrei

5.Sjedniki sloj obavlja uspostavljanje sjednica (spojeva izmeu aplikacijskihprocesa)

6.Predodbeni sloj brine se za usklaivanje prikaza i predstavljanje informacija(konverzija, ifriranje/deifriranje i kompresija podataka)

7.Aplikacijski sloj obavlja modeliranje putem elemenata usluge

Prva 4 sloja osiguravaju pouzdan prijenos podataka, a preostala 3 su zadueni zapovezivanje i skladnu suradnju sa aplikacijskim procesom (procesima).IPS (Internet Protocol Suite) je popularniji komunikacijski model od OSI RM-a. On

se sastoji od 4 sloja. IPS sloj 1 obuhvaa OSI slojeve 1 i 2, a IPS sloj 4 obuhvaaOSI slojeve 5, 6 i 7. Slojevi 2 i 3 su isti OSI RM slojevima 3 i 4.Od prve etiri tehnologije koje su bile namijenjene kao VPN rjeenja tri rade na 2.

mrenom sloju (PPTP, L2F i L2TP), dok jedna (IPSec) radi na 3. mrenom sloju.


12/58


9

1.6. Osnove kriptografije

1.6.1. Kljuevi

Simetrini (tajni) kljuevi (Symmetric, Secret ili Private key)Prednosti: Vrlo brzi Mogu biti lagano implementirani u sklopovljeNedostaci: Koriste se dva ista kljua Nije ih jednostavno za distribuirati

Asimetrini (javni) kljuevi (Asymmetric ili Public key)Prednosti: Koriste se dva razliita kljua Vrlo se jednostavno distribuira Koriste se digitalni potpisi da bi se osigurao integritetNedostaci: Spori su

1.6.2. Najei algoritmi

DES (Data Encryption Standard)

koristi 56 bitni kljunad 64 bitnim blokovima podataka algoritam je zatien amerikim patentom bilo je sluajeva probijanja u roku samo nekoliko dana simetrian algoritam relativno brz algoritam3DES

blok podataka se ifrira 3 puta, svaki puta sa razliitim kljuem simetrian algoritamRSA (Rivest, Shamir i Adalman)

najei kljuje 512 bitni (danas ga je vemogue razbiti, ali 1024 bitni jo ne) asimetrian algoritam spori algoritam kljumoe biti varijabilne duljineIDEA

koristi se 128 bitni kljuna 64 bitnim blokovima podataka algoritam, programski izveden, je dvostruko bri od DES ifriranja simetrian algoritam nudi dobru sigurnost ifriranjaRC2 i RC4

razvio Ron Rivest iz RSA Data Security Inc. bri od DES algoritma kljuje varijabilne duljine


13/58


10

Skipjack preporuila ga je Amerika vlada implementiran je u Clipper ipu 80 bitni kljuDiffie-Hellman

najstariji asimetrini algoritam, ali je jo uvijek u upotrebi slui za dogovor oko zajednikog tajnog kljua putem javne infrastrukture opasnost je da se pojavi napadau sredini (presree meusobne poruke i laira

ih)MD5 to je funkcija koja od teksta proizvoljne duljine proizvodi 128 bitni saetak (hash) openito, vjerojatnost da dva razliita teksta imaju isti saetak je vrlo malaSHA kao i MD5 samo to proizvodi 160 bitni saetak

Usporedba sigurnosti kljueva ovisno o algoritmu:

Simetrini Asimetrini56 bitni 384 bitni64 bitni 512 bitni80 bitni 768 bitni

112 bitni 1792 bitni128 bitni 2304 bitni

1.6.3. ifriranje i certifikatiKod simetrinog ifriranja, i poiljatelj i primatelj imaju klju koji trebaju provjeriti.Razmjena tog kljua se mora napraviti sa odreenom zatitom. Kod asimetrinogifriranja poiljatelj koristi privatni klju za ifriranje poruke, a primatelj koristi javniklju za deifriranja poruke. Javni klju moe biti dostupan bilo kome, dok se zatititimora samo privatni klju. Da bi se osigurao integritet javnog kljua, javni klju semora objaviti sa certifikatom. Certifikat (ili public key certificate) je podatkovnastruktura digitalno potpisana od strane CA-a (Certificate Authority) ustanove kojojkorisnici certifikata vjeruju. Certifikat se sastoji od razliitih podataka: nazivacertifikata i vlasnika javnog kljua, javnog kljua, datuma do kada vrijedi i naziva

ustanove koja ga je izdala. CA koristi svoj privatni klju da potpie certifikat. Akoprimatelj zna javni klju od CA-a, on moe provjeriti da li je zbilja certifikat izdan odvaljanog CA-a i da su informacije u njemu pravovaljane. Certifikat se moe primitiputem e-mail-a, w eb-a, a moe se nalaziti i na pametnim karticama (smart card) [4].


14/58


11

2. VPN TEHNOLOGIJE

2.1. IPSec

IPSec je standard definiran od strane IETF-a. To je protokol koji radi na treemmrenom sloju. Pri razvoju idue generacije IP protokola (IPv6) vodilo se dosta brigei o sigurnosti. Tako je u IPv6 implementiran IPSec. Kako do zamjene dananjeg IPprotokola koji se masovno koristi (IPv4) nee tako skoro doi, IPSec je modificirankako bi bio kompatibilan sa IPv4.

IPSec prilikom rada koristi slijedee protokole i standarde kako bi osiguraopovjerljivost, integritet i autentifikaciju: Diffie-Hellman-ovu metodu za razmjenu tajnog kljua putem javne mree kriptografiju temeljenu na javnim kljuevima za digitalno potpisivanje

komunikacije prilikom Diffie-Hellman-ove razmjene kljueva - da bi se osiguraoidentitet obiju strana u komunikaciji i izbjegla mogunost napada napadaa usredini (Man-in-the-middle)

DES, 3DES ili neki drugi poznati algoritam za ifriranje algoritme za izraunavanje saetka (HMAC, MD5 i SHA) kako bi se osigurala

autentinost paketa digitalne certifikate za provjeru pravovaljanosti javnih kljueva

Slika 2.1Dijagram strukture IPSec komponenata

Dijagram strukture IPSec protokola prikazan je na slici 2.1. IPSec struktura sesastoji od tri glavne komponente. To su AH (Authentication Header) i ESP(Encapsulated ) protokoli i upravljanje kljuevima. Autentifikacijska zaglavlja (AH) sekoriste za autentifikaciju i integritet, bez mogunosti ifriranja (znai netko trei moe

proitati, ali ne moe mijenjati poslane podatke). ESP osigurava iste mogu

nosti, ali


15/58


12

dodaje i mehanizam za ifriranje. Sigurni klju poznaju samo poiljatelj i primateljtako da ako su autentifikacijski podaci valjani primatelj moe biti siguran da jepodatak stigao od poiljatelja te da nije promijenjen tijekom prijenosa. U IPSec-u semogu koristiti razni algoritmi ifriranja, kljuevi razliite duljine i sl., pa je potrebno dase i poiljatelj i primatelj dogovore o standardima koje e koristiti. Za to je zaduen

DOI (Domain of Interpretation).IPSec podrava dva naina rada [1]: Prijenosni nain rada (Transport mode)

Kod prijenosnog naina rad ifrira se samo podatkovni dio IP paketa, dokzaglavlja ostaju u originalnom obliku. To znai da potencijalni napada moevidjeti adrese od raunala s kojeg paketi dolazi i na koji odlaze. Prednost ovognaina rada je to to se svakom paketu dodaje samo nekoliko okteta. Ovaj nainrada namijenjen je kada se komunicira direktno izmeu dva raunala (savlastitom IP adresom), to znai da na taj nain ne mogu komunicirati raunalakoja su spojena na Internet preko usmjerivaa ili slinog ureaja.

Adresapoiljaoca

Adresaprimaoca

ifriranipodaci

Tuneliranje(Tunnel mode)IPSec tuneliranje se sastoji od klijenta i posluioca koji su oboje konfigurirani dakoriste IPSec tuneliranje i imaju dogovorene mehanizme za ifriranje. PrilikomIPSec tuneliranja cijeli IP paket se ifrira (adresa poiljaoca, adresa primaoca ipodaci), i na takav paket se nadodaje neifrirano zaglavlje sa adresom IPSecposluioca i IPSec klijenta. IPSec adrese posluioca i klijenta su ustvari adresepoetka i kraja tunela. Za razliku od prijenosnog naina rada, kod tuneliranja

potencijalni napada moe otkriti sa koje se adrese alju podaci i na koju adresutrebaju stii. Ovaj nain rada, radi dodatnih zaglavlja, trai neto veu propusnostmree preko koje se podaci prenose.

Adresapoetkatunela

Adresakrajatunela

ifriranaadresapoiljaoca

ifriranaadresaprimaoca

ifriranipodaci

Vie od godinu dana je trajalo odluivanje koju metodu da se koristi za automatskoupravljanje kljuevima. Na kraju je odabrana ISAKMP/Oakley metoda, na koju sedanas misli kad se govori o IKE-u (Internet Key Exchange). Upravljanje kljuevima

se moe vriti na dva naina: runo ili IKE (za automatsko upravljanje). Runoupravljanje je praktino za manje tvrtke, dok se IKE predlae kod povezivanja veegbroja mrea ili kada ima vie modemskih korisnika [2].


16/58


13

2.2. PPTP

PPTP protokol je razvilo udruenje nekoliko proizvoaa: Microsoft, US Robotics(danas 3Com), Ascend Communications, 3Com, ECI Telematics. On, kao i L2F i

L2TP, radi na drugom mrenom sloju.PPTP se temelji na PPP-u (point-to-point protocol) koji omoguava autentifikaciju,ifriranje i kompresiju podataka. Dakle PPTP koristi mehanizme za autentifikaciju kojise koriste u PPP-u, a to su PAP (passw ord authentication protocol) i CHAP. Kako suPPTP i Window s NT usko povezani, Microsoft je razvio poboljanu verziju CHAP-anazvanu MS-CHAP, koja za autentifikaciju koristi podatke o korisnicima pohranjeneu bazi korisnika Window s-a NT. Budui da su u MS-CHAP-u pronaeni sigurnosninedostaci, izdan je MS-CHAPv2.

U poetku je PPTP bio zamiljen kao mehanizam koji omoguava i prijenosprotokola koji nisu temeljeni na IP-u, poput IPX-a, NetBEUI-a i AppleTalk-a putem

Interneta. To se obavlja s modificiranom verzijom GRE protokola. PPTP koristi TCPspoj za odravanje tunela i modificiranu verziju GRE-a za enkapsuliranje PPP okviraza tuneliranje podataka.Podatkovni dio enkapsuliranih PPP okvira moe biti ifriran i/ili komprimiran. Slika

2.2 prikazuje strukturu PPTP paketa [4].

Slika 2.2Struktura PPTPpaketa

Nakon to paket doe do svog odredita, vanjska zaglavlja se uklanjajuomoguavajui tako originalnim paketima (tj. PPP tijelu) dolazak do krajnjegodredita. Enkapsulacija omoguava prijenos paketa koji inae ne bi zadovoljilistandarde adresiranja na Internetu.

Microsoft RAS (Remote Access Server) je dizajniran da upravlja s podacima okorisnicima smjetenim u bazi korisnika. Budui da ve postoji baza korisnika,jednostavno je pridijeliti modemska (dial-up) prava korisnicima koji se ve ionakonalaze u bazi. U poetku je RAS sluio kao posluitelj koji odreuje pravamodemskim korisnicima. Danas RAS podrava i tuneliranje za PPTPi L2TPveze.Microsoft je u svoju verziju PPTP protokola implementirao vlastiti nain ifriranja i

kompresije. On se naziva MPPE (Microsoft Point-to-Point Encryption) i on jeopcionalan. Bazira se na RSA/RC4 algoritmima.

PPTP koristi 40, 56 ili 128 bitnu enkripciju, ali je itav proces oslabljen upotrebomkorisnikih zaporki za generiranje sjednikih kljueva. Dugi kljuevi generirani na

potpuno sluajan nain predstavljaju jedinu zatitu od takvih napada.


17/58


14

Sigurnosni problemiPPTP jeesto proglaavan nesigurnim iz slijedeih razloga: kljuevi se ne generiraju na sluajan nain sjedniki kljuevi nisu adekvatni duljine kljueva su prekratke i nije ih mogue konfigurirati

nesiguran je i prijenos saetka (hash vrijednosti) korisnikih zaporki problemi u sigurnosti sa statikim zaporkama u MS Window s-ima autentifikacija nije implementirana

2.3. L2F

L2F, kao i PPTP, se pojavio u samim poetcima razvoja VPN-a. On je takoer bionamijenjen za tuneliranje izmeu modemskih korisnika i njihovih tvrtka. Tutehnologiju je predloio CISCO.Za razliku od PPTP-a koji putuje samo preko IP-a , L2F je neovisan o prijenosnom

protokolu, to mu daje mogunost da podaci putuju preko npr. Frame Relay-a iliATM-a (Asynchronous Transfer Mode). Osnovna funkcija L2F protokola jeostvarivanje tunela za okvire prijenosnog sloja (HDLC, PPP ili SLIP) ili protokoleviih slojeva. Enkapsulirani paketi se prenose preko WAN spojeva do L2Fposluitelja (usmjerivaa) koji zatim ekstrahiraju podatke i prosljeuju ih u mreu.Koriste se dva nivoa za autentifikaciju korisnika. Prvo se korisnik prijavljuje kod

ISP-a , koji onda uspostavlja tunel do poduzea, a zatim se korisnik prijavljuje naposluitelj od poduzea. Kao i PPTP, L2F koristi PPP za autentifikaciju korisnika iprua mogunost koritenja TACACS (terminal access controller access controlsystem) ili RADIUS-a za autentifikaciju.L2F ne definira klijente i djeluje samo u obveznom definiranim tunelima. L2F je

unapreivan zajedno sa PPTP-om, da bi ga konano nadgradio L2TP.

2.4. L2TP

Kao to sam naziv kae L2TP radi na drugom mrenom sloju. Razvili su gaMicrosoft i CISCO kao kombinaciju najboljih znaajki njihovih PPTP i L2F protokola.L2TP je mreni protokol koji enkapsulira PPP okvire za slanje preko IP-a, X.25,

Frame Relay-a ili ATM mrea.Kada protokol koristi IP za slanje paketa, L2TP se moe koristiti za tuneliranje krozInternet. L2TP se takoer moe koristiti direktno preko razliitih WAN medija (poputFrame Relay-a) bez IP transportnog sloja.L2TP koristi UDP i nizove L2TP poruka za odravanje tunela preko IP mrea.

Takoer mogue je stvaranje vie tunela izmeu istih krajnjih toaka. Podaci izenkapsuliranih PPP okvira mogu biti ifrirani i/ili komprimirani. Kako izgledaju podacikoji putuju tunelom od modemskog (PPP) korisnika moe se vidjeti u donjoj tablici.Slian izgled imaju i podaci kod PPTPtuneliranja.

PPP IP UDP PPP IP TCP/UDP Podaciovisno o odabiru ifrirano i/ili komprimirano


18/58


15

Princip rada obveznog tuneliranja opisan je slijedeim koracima:

1. Modemski (udaljeni) korisnik inicira PPP spoj prema svom ISP-u2. ISPprihvaa spoj i PPP sjednica je uspostavljena3. ISPzahtjeva korisniko ime

4. U ISP-ovoj bazi korisniko ime je povezano sa servisima i LNS (L2TP Netw orkServer) krajnjim tokama

5. LAC (L2TP Access Concentrator) inicira L2TP tunel prema LNS-u6. Ako LNS prihvati spoj, LAC enkapsulira PPP u L2TP i prosljeuje podatke preko

odgovarajueg tunela7. LNS prihvaa okvire, odvaja iz njih L2TP zaglavlja i obrauje ih kao normalne

PPP okvire8. LNS zatim koristi standardnu PPP autentifikaciju da bi utvrdio identitet korisnika i

dodijelio mu IPadresu

Ako se koristi dobrovoljno tuneliranje princip je slijedei:

1. Modemski korisnik uspostavi vezu sa svojim ISP-om2. L2TP klijent (LAC) inicira L2TP tunel prema LNS-u3. Ako LNS prihvati spoj, LAC enkapsulira PPP u L2TP i prosljeuje podatke kroz

tunel4. LNS prihvaa okvire, odvaja iz njih L2TP zaglavlja i obrauje ih kao normalne

dolazne zahtjeve5. LNS zatim koristi standardnu PPP autentifikaciju da bi utvrdio identitet korisnika i

dodijelio mu IPadresuSlika 2.3 prikazuje princip rada kod L2TPtuneliranja.

Slika 2.3Prikaz tuneliranja kod L2TPveze

L2TP koristi dvije vrste poruka:

kontrolne poruke koriste se prilikom uspostave, odravanja i zatvaranja tunela podatkovne poruke koriste se za enkapsulaciju PPP okvira koji se prenose kroz

tunelKontrolne poruke definiraju pouzdani kontrolni kanal unutar L2TP-a koji garantira

dostavu. U sluaju gubljenja podatkovnih poruka, one se zahvaljujui kontrolnimporukama ponovo alju. PPP okviri se, prije slanja preko nepouzdanog podatkovnogkanala, enkapsuliraju sa L2TP zaglavljima, a zatim i sa prijenosnim zaglavljimapoput UDP-a, Frame Relay-a, ATM-a itd. Kontrolne poruke, koje sadre slijednebrojeve, se alju preko pouzdanog L2TP kontrolnog kanala. Podatkovne porukemogu imati slijedne brojeve za utvrivanje ispravnog redoslijeda i detekciju paketakoji nedostaju.


19/58


16

L2TP koristi NCP (Netw ork Control Protocol) za dodjelu IP adresa i autentif ikacijukorisnika (PAP, CHAP) i kontrolu pristupa mrenim resursima. L2TP za ifriranje,provjeru integriteta i autentifikaciju koristi IPSec protokol. Kada L2TP radi preko IP-a,IPSec sigurnost osigurava koritenjem ESP-a i/ili AH-a. Izgled L2TP paketa usuradnji sa IPSecom prikazan je na slici 2.4.

Slika 2.4Izgled L2TP/IPSec paketa

2.5. Usporedba IPSec, PPTP i L2TP protokola

Bilo to se nastoji postaviti L2TP kao standard za sigurno komuniciranje, PPTPostaje vrlo rairen. Razlog tome je to je podrka za njega implementirana u veinuWindow s OS-ova (operacijskih sustava), a za one za koje nije postoje besplatniprogramski dodaci. Microsoft je L2TPpoeo implementirati tek u Window s-e 2000.L2TP prenosi podatke preko UDP-a za razliku od PPTP-a koji ih prenosi preko

TCP-a. UDP je bri, ali manje siguran protokol. P2TP moe za razliku od L2TP-aimati problema sa zatitnim stijenama (f irew all-ovima) zbog toga to oni, u pravilu,ne prepoznaju GRE zaglavlje.

IPSec se esto smatra najboljim VPN rjeenjem za IP okruenja budui da sadrinajjae sigurnosne mjere ifriranje, autentifikaciju, integritet i upravljanjekljuevima. Budui da IPSec moe baratati samo sa IP paketima, PPTP i L2TP supraktiniji za koritenje u okruenjima u kojima se koriste drugi protokoli poput IPX-a,NetBEUI-a i AppleTalk-a.

Trenutani L2TP standard predlae da se s njim koristi IPSec, koji je onda zaduenza ifriranje i upravljanje kljuevima u IP okolini. Ako L2TP otkrije da ne moeuspostaviti komunikaciju putem IPSec-a, on onda uspostavlja komunikaciju putemmanje sigurnog PPP-a. Moda i budui PPTP standardi budu propisivali istokoritenje IPSec-a.IPSec, u standardnom obliku, koristi samo autentifikaciju raunala, bez

autentifikacije korisnika. To je razlog zbog kojeg se za modemske korisnike predlaekoritenje PPTP-a ili L2TP-a. Ipak veina proizvoaa u svoja IPSec rjeenjaugrauju i podrku za autentifikaciju korisnika.


20/58


17

2.6. Alternativni naini ostvarivanja VPN-a

Uz opisane naine ostvarivanja VPN-a, postoje i druge zanimljive varijante.Jedna od njih je SOCKS, koja radi na TCP sloju. Prava SOCKS klijenta se

provjeravaju u sigurnosnoj bazi i ako autentifikacija proe posluitelj se ponaa kaoproxy posluitelj. Prednost je to mreni administrator moe lagano ograniiti koje seaplikacije mogu koristiti preko VPN-a. Nedostatak je to se SOCKS mora kompajliratiu jezgru sistema i u aplikacije. Zato se najee koristi na Linux/Unix sistemima.

SSL (Secure Sockets Layer) radi samo sa TCP baziranim aplikacijama [3].Prvenstveno je namijenjen za sigurnu vezu izmeu web preglednika i w ebposluitelja (npr. koristi se u Internet bankarstvu). Koristi se RSA javnim kljuem zaifriranje podataka. SSL zahtjeva da stranica kojoj se pristupa ima vaei certifikatizdan od strane CA-a (Certificate Authority). Razvio ga je Netscape, a adreseposluitelja koje koriste SSL za prijenos podataka poinju sa https:// za razliku od

nesigurnih adresa koje poinju sa http://. IETF je na temelju SSL-a, propisaostandard nazvan TLS (Transport Layer Security) koji ima istu svrhu kao i SSL. Onradi na 4-tom mrenom sloju, te u zadnje vrijeme predstavlja sve veu konkurencijuIPSec-u, pogotovo u Client-to-Server sluajevima.

SSH standard ima podrku za sigurno udaljeno prijavljivanje, siguran prijenosdatoteka i sigurno preusmjeravanje TCP/IP podataka. On ima podrku za ifriranje,autentifikaciju i kompresiju prenoenih podataka. SSH se koristi za kreiranje tunela,a onda se kroz njega, uz pomo nekih Linux/Unix programa, alju podacienkapsulirani u PPP pakete.

CIPE je namijenjen za velika poduzea za izgradnju IP usmjerivaa. On se integrirau jezgru operacijskog Linux/Unix sustava. Radi na principu tuneliranja IP paketa uifriranim UDP paketima. CIPE nije tako f leksibilan kao IPSec, ali je dovoljno dobarza svoju originalnu zamisao: siguran povezivanje lokalnih mrea preko nesigurnemree. Postoji i verzija za Window s-e NT4.0 i 2000.

Linux FreeS/WAN je besplatna implementacija IPSec-a & IKE-a za Linux. ZamisaoFreeS/WAN projekta je omoguiti da IPSec postane raireni standard neovisan oplatformi i operacijskom sustavu na kojem se izvodi. Njegov kod je raspoloiv svima ine podlijee amerikim ili drugim nacionalnim zahtjevima vezanim uz izvozna prava.Takoer postoji S/WAN inicijativa od RSA-a.

Ako se nema potrebe za VPN-om nego samo za nekom specifinom uslugompostoji jo vie mogunosti. Za sigurno komuniciranje putem e-mail-a moe sekoristiti PGP, za siguran transfer podataka moe se koristiti SFTP, za sigurnoudaljeno prijavljivanje SSH, itd.


21/58


18

3. ODABIR VPN SUSTAVA ZA RJEAVANJE PROBLEMA

3.1. Opis problema koji elimo rijeitiProblem koji elimo rijeiti je tipina raunalna infrastruktura kakva se koristi umanjim poduzeima u Hrvatskoj. Najee se ona sastoji od dva do desetakkompjutera koji u pravilu rade na MS Window s operativnom sustavu.

3.2. Odabir opreme za rjeavanje problema

3.2.1. Odabir VPN serveraVPN server se moe izvesti hardverski ili softverski. Za VPN server je preporuljivoda se koristi hardverski iz slijedeih razloga:- kljuevi definirani za VPN komunikaciju su spremljeni u samom ureaju i do njih

je puno tee doi nego kod softverskog kod kojeg su kljuevi ustvari spremljenina raunalu

- algoritmi za kriptiranje hardverski su implementirani u sam ureaj i zbog toga upravilu bri od softverskih

- VPN ureaj esto zna biti implementiran u preusmjeriva (router) i/ili vatrozidni(firew all) ureaj to jo vie pojednostavljuje implementaciju i poveavasigurnost sustava

Prednost softverskih VPN servera je to se moe koristiti bilo koji algoritam zakriptiranje (ako ga je dotini proizvoa softvera ugradio) jer se ne koristispecijaliziran hardver za kompresiju (bilo to i bolji hardverski izvedeni VPN serveriimaju mogunost nadogradnje).Na naem tritu u trenutku potrage za ureajem odnosno preusmjerivaem kojipodrava VPN i WAN nalazili su se slijedei proizvoai:- ASUS- D-LINK- LINKSYS (Cisco)- MICRONET

- SMC- TRUST- TRENDNET- ZyXEL

Na alost NETGEAR-ovi ureaji (koji podravaju certifikate) su se nali u ponudi tekkad je izrada ove radnje bila toku. Veina tih ureaja podrava VPN pass-through (toznai da e kroz usmjeriva VPN paketi, odnosno promet, moi prolaziti bezproblema). Na kraju su u ui izbor uli LINKSYS i D-LINK, koji osim VPN servera,vatrozida i WAN-a slue i kao AP-ovi (beine pristupne toke). Za ured koji se nekoristi beinim umreavanje ova opcija nije potrebna. Na kraju je odabran D-LINK

DI-824VUP+ koji je imao bolju podrku tehnikoj dokumentaciji, specifikacijama,


22/58


19

emulator w eb suelja za upravljanje, niu cijenu (oko 1.000kn naspram LINKSYS-akoji je kotao oko 1.300kn) te distributera koji kod nas ima vei dio njihovogprograma, za razliku od LINKSYS-a koji je slabo zastupljen.Ovakav ureaj biti e dovoljan za gore navedeno mreno okruenje, dok je za veemree, specifine uvjete i modularnost preporuljivo koristiti opremu proizvoaa

CISCO koja je ustvari nepisani etalon to se tie mrene opreme i sigurnosti, te njuprodaju firme koje ujedno vre i izvoenje cijele instalacije. Mrena oprema CISCO

nije koritena u ovoj radnji budui da je njezina cijena viestruko vea, a za ljude kojiele dobro upoznati tu opremu i nauiti vie o mrenom konfiguriranju postojeposebne akademije to prelazi opseg ove radnje.

Od bitnijih stvari D-LINK DI-824VUP+ podrava [8]:- 4 portni komutator (sw itch) 10/100Mbps- LPT/USB print server- Cable/DSL modem + Dial-up modem- Beina mrea (w irelless LAN) 802.11g

- VPN pass-through za PPTP, L2TP i IPSec- VPN server za PPTP, L2TP i IPSec- Autentifikacija: MD5 i SHA-1- Enkripcija: Null, DES, 3DES- Podrava do 40 VPN tunela- Vatrozidna zatita (firew all)

3.2.2. Odabir VPN klijenta

MS WindowsKlijentska VPN podrka ugraena je u Window se 2000 i XP. Za Window se od MSWindow s 98 nadalje (a po nekim navodima postoji i podrka za Window s 95)Microsoft je izdao zakrpe/programe koji im takoer omoguuju stvaranje VPN tunela.Za koritenje VPN-a u Window sima 2000 predlae se da je instaliran Service pack 2,dok je kod Window sa XP potreban Service pack 1. Oni e raditi i bez tih zakrpa, alimoda nee raditi neke funkcionalnosti opisane u ovoj radnji.

DrayTek Smart VPN ClientDrugi program koji je koriten u testiranjima bio je DrayTek Smart VPN Client (ver.3.2.2). To je besplatan program koji omoguuje uspostavljanje VPN veze pomou

PPTP, L2TP, IPSec i L2TP/IPSec protokola. (Napomena: Prilikom uspostave L2TPveze, kod DrayTekovog softvera se koristi CHAP algoritam za provjeruvjerodostojnosti (Authentication protocol), te se ne moe odabrati niti jedan drugi, torezultira grekom nemogunosti spajanja na port ako se odabere krivi algoritam).

TheGreenBow IPSec ClientTrei odabrani softver je TheGreenBow IPSec Client. On omoguuje samo IPSectuneliranje. Microsoft za uspostavu IPSec veze koristi Local Security Policy. DrayTektakoer koristi isti servis, dok TheGreenBow koristi vlastiti servis, zbog ega jeneovisan o Microsoftovoj implementaciji te ga je mogue uspostaviti i naWindow sima 95.


23/58


20

3.3. Opis sustava koji rjeavamo

Za testni sustav odabrana je lokalna mrea koja se sastoji od 2 raunala (povremenoje koriteno i tree raunalo, ali radi jednostavnosti prikaza koristiti e se samo 2raunala) sa slijedeim specifikacijama:

Raunalo 1:Operativni sustav: MS Window s 2000 ProfessionalIPadresa: 192.168.0.200Naziv raunala: JagodaRaunalo 2:Operativni sustav: MS Window s 98 SEIPadresa: 192.168.0.113Naziv raunala: Test1

Oba rauna spojena su na lokalnu mreu TCP/IP protokolom sa statikom IPadresom. Budui da se na mrei nalazi i Window s 98 raunalo potrebno je ukljuiti

opciju Enable NetBIOS over TCP/IP u TCP/IP postavkama mrene kartice. Maskapodmree (Subnet mask) je 255.255.255.0, a usmjeriva (gatew ay) je na adresi192.168.0.1. Usmjeriva je D-LINK DI-824VUP+ koji se koristi se kao VPN server,vatrozid i poveznik na Internet. IP adresa koju e usmjeriva dobiti od ISP-a (InternetService Provider) biti e dinamika. Kako bi klijent mogao znati na kojoj se adresinalazi usmjeriva koristi se usluga DDNS (Dynamic DNS) odnosno dinamikogDNS-a na adresi hofi505.dyndns.org.

Sa klijentske strane imamo Window s XP SP1 raunalo koje se spaja prekoanalognog 56kbps modema. Nema razlike u pripremi i upotrebi VPN-a kad se koristiadsl tehnologija za spajanje na Internet umjesto analognog modema, pa se ovdje

navedene postavke i injenice mogu upotrijebiti i u sluaju da se umjesto analognogmodema koristi, kod nas, sve raireniji pristup Internetu putem adsl tehnologije.Naravno prednost adsl-a je daleko bra veza od analognog modema.

Slika 3.1Sustav koji rjeavamo


24/58


21

3.4. Odabrani protokoli za uspostavu VPN sustava

Kako je dosad u razmatranju reeno serversku stranu za VPN osigurati e D-LINK-ov usmjeriva, te e na njemu biti uspostavljena veza putem tri najpopularnijaprotokola. To su:

- PPTP- L2TP- IPSec

Budui da je PPTP i L2TP vezu vrlo jednostavno za uspostaviti, glavna koncentracijabiti e na opisu, konfiguriranju te rjeavanje problema IPSec protokola. Kako D-LINKDI-824VUP+ ne podrava L2TP/IPSec protokol tako ta kombinacija nee biti opisanau praksi. U dolje navedenom razmatranju opisuje se kako uspostaviti samo L2TP isamo IPSec vezu, pa ako je to mogue te ako se koristi adekvatan usmjeriva sapodrkom za L2TP/IPSec ne bi trebalo biti problema i za koritenje tog protokola.


25/58


22

4. RJEAVANJE PROBLEMA

4.1. Podeavanje usmjerivaa

4.1.1. Kartica (meni) Home

Nakon raspakiravanja, te spajanja D-LINK-a DI-824VUP+ (u daljnjem tekstu D-LINK)osnovno konfiguriranje se moe napraviti pomou arobnjaka (Wizard-a).Opcije pod Wireless nisu potrebne za ovu radnju.

Za vezu prema Internetu moe se koristiti analogni modemski ulaz (PSTN), ISDNlinija, kabelska veza (preko UTP kabela), te PPPoE za DSL vezu. Takoer ako ISPpodrava obvezno tuneliranje (opisano na poetku radnje) podrana je i ta opcija. Zavezu na Internet koristiti e se DSL. Pod Connect mode select obavezno trebaodabrati Always-on kako bi lokalna mrea bila stalno spojena na Internet. Koliinaprenesenih podataka za samo odravanje veze je zanemariva i na mjesenoj raziniiznosi < 50MB.

Slika 4.1Osnovne postavke za Internet vezu


26/58


23

Pod LAN opcijama podeavaju se mrene postavke lokalne mree:IP Adress: 192.168.0.1 (moe biti i neka druga npr. 10.0.0.1)Subnet Mask:255.255.255.0 (D-LINK podrava samo adrese oblika 255.255.255.x)Domain Name: KOMTEH

Po potrebi u meniju DHCP mogue je podesiti dinami

ko dodjeljivanje IP adresa,dok su za potrebe ove radnje koritene statike IP adrese.

4.1.2. Kartica (meni) Advanced

D-LINK je automatski podeen za koritenje za VPN, tako da jedino to se ovdjetreba podesiti je DDNS. Budui da se za ostvarivanje veze koristi adsl, adresa kojase dobije prilikom spajanja na Internet je svaki puta druga. Kako bi netko izvanlokalne mree znao koja je Internetska IP adresa D-LINK-a koristi se DDNS.

Upotrebom naredbe ping moe se dobiti trenutna adresa usmjerivaa. UpotrebaDDNS servisa je besplatna, a za njezinu uspostavu potrebno se je registrirati na nekiod podranih servisa.

Slika 4.2Podeavanje DDNS servera

Primjer upotrebe ping naredbe i pronalaenje adrese od D-LINK-a:

C:\>ping hofi505.dyndns.org

Pinging hofi505.dyndns.org [83.131.43.22] with 32 bytes of data:

Reply from 83.131.43.22: bytes=32 time


27/58


24

Iz primjera je vidljivo da je trenutno dodijeljena adresa D-LINK-u: 83.131.43.22.U sluaju da je D-LINK spojen stalnom vezom sa statikim IP-em na Internet, nijepotrebno koristiti DDNS, veje dovoljno koristiti statiku adresu pri uspostavi VPN-a.

4.1.3. Kartica (meni) Tools

Udaljeno upravljanje (Remote Management) je potrebno ukljuiti za vrijemepodeavanja i testiranja ako su klijentsko raunalo i D-LINK fiziki odvojeni, kako bise eventualne izmjene u podeavanju D-LINK-a mogle izvesti i preko Interneta.Nakon to sve proradi, udaljeno upravljanje je poeljno iskljuiti, kako ne bipotencijalnim napadaima ostavili rupu za upad na lokalnu mreu.

Slika 4.3Privremeno je potrebno ukljuiti udaljeno upravljanje

Pod opcijama MISC treba iskljuiti Discard PING from WAN side kako bi se izvana(sa Interneta) moglo koristiti naredbu ping.


28/58


25

4.1.4. Kartica (meni) Status

Ako pod opcijama Device Info u rubrici IP adress pie bilo koja adresa razliita od0.0.0.0 znai da je veza prema Internetu uspostavljena.U opcijama Log nalaze se evidencije pokuaja upada u lokalnu mreu, ali i

evidencije o pokuajima uspostave te o uspjeno uspostavljenim VPN konekcijama.

Slika 4.4Izgled kartice Statusprilikom uspjeno uspostavljene veze

4.2. Podeavanje VPN servera

4.2.1. Podeavanje PPTP protokola

Pod menijem HomeVPNPPTP Server Setting.. potrebno je podesiti slijedee:- ukljuiti PPTPserver- pod Virtual IP of PPTP Serverupisati 192.168.2.1*- pod Authentication Protocol odabran je MS-CHAP budui da se spajamo sa MS

Widnow s klijentskog raunala (ostale opcije: PAP, CHAP)- ukljuimo MPPE Encryption Mode to se moe koristiti samo ako se koristi MS-

CHAP. Dok Microsoft kod L2TP tuneliranja za ifriranje koristi IPSec (odnosnoDES/3DES algoritam), kod PPTP protokola on za ifriranje koristi MPPE(odnosno RSA RC4 algoritam moe biti 40, 56 ili 128bitni)

* D-LINK ne podrava da virtualna klijentova i serverska PPTP IP adresa budu uspektru lokalne poddomene.

Tunnel name i User Name su proizvoljni kao i ifra. Kako bi ifru bilo to tee probitipredlae se koritenje ifre od minimalno 8 znamenki u kojoj se osim brojaka i slovanalaze i simboli. Primjer dobre ifre: a4R$g!j2. Ova pravila za generiranje ifarapredlau se za generiranje bilo koje ifre koju trebamo koristiti, ne samo za PPTPprotokol veopenito.


29/58


26

Slika 4.5Postavke za PPTP server

4.2.2. Podeavanje L2TP protokola

Pod menijem HomeVPNL2TP Server Setting.. potrebno je podesiti slijedee:- ukljuiti L2TPserver- pod Virtual IP of PPTP Serverupisati 10.0.0.1*- pod Authentication Protocol odabran je CHAP budui da Smart VPN client nema

mogunost odabira protokola kao to to ima Window sov klijent (ostale opcije:PAP, MS-CHAP)

* D-LINK ne podrava da virtualna klijentska i serverska L2TP IP adresa budu uspektru lokalne poddomene.Tunnel name i User Name su proizvoljni kao i ifra (vrijedi isto kao i za PPTPprotokol)


30/58


27

Slika 4.6Postavke za L2TP server

4.2.3. Podeavanje IPSec protokola

U meniju Home VPN potrebno je ukljuiti VPN kako bi D-LINK sluio kao VPNserver (esto se koristi izraz VPN endpoint, budui da se VPN server najee koristi

kao krajnja toka u VPN tunelu). Tako

er potrebno je uklju

iti NetBIOS broadcast.NetBIOS broadcast Microsoft koristi u lokalnim mreama kako bi se raunala koja

koriste Widow se mogla pronai i komunicirati. On omoguuje da se prilikom odabiraWindows Network Neighborhood-a vide ostala raunala spojena na mreu. Na alostD-LINK i Window si pokazuju nekompatibilnost to se toga tie te nije bilo moguepodesiti D-LINK i Window se (niti 2000 bez SP-a, niti 2000 SP3, niti XP) da NetBIOSproradi kako bi trebao.

Budui da se klijentska strana spaja na VPN putem Dial-up (56k analogni modem),odnosno svaki put mu je dodijeljena druga IP adresa, potrebno je konfiguriratidinamiki VPN server HomeVPNDynamic VPN Settings...


31/58


32/58


29

Slika 4.8Odabir IKE algoritama za dogovor oko kljueva

Za IKE Proposal za komunikaciju moe se odabrati vie algoritama, odnosno stvoritivie predloaka. Ako ne uspije onaj najvii na listi uspostavu komunikacije probati euspostaviti idui na listi, i tako redom do zadnjeg predloka.Pod DH Group odabiremo Group 2. DH group je skraenica od Diffie-Hellman group,a esto se naziva i Oakley group.

Diffie-Hellman Group Modulus ReferenceGroup 1 768 bits RFC2409Group 2 1024 bits RFC2409Group 5 1536 bits RFC3526Group 14 2048 bits RFC3526Group 15 3072 bits RFC3526Group 16 4096 bits RFC3526

Group 18 8192 bits RFC3526Tablica 4.1Najee DH gupe

RFC2409 standard je predlagao koritenje DH group 1 algoritma za upotrebu uIKEv1, ali kako njegovo ifriranje nije vie toliko sigurno standard je predloioslijedee izmjene:


33/58


30

ALGORITAM RFC 2409Predloene promjene u RFC 2409

(5mj.2005)

DES za ifriranje OBVEZANMOE(potencijalno slaba sigurnosna

zatita)

TripleDES za if riranje POELJAN OBVEZANAES-128 za ifriranje N/A POELJAN

MD5 za hashingiHMAC

OBVEZAN MOE(potencijalno slaba sigurnosnazatita)

SHA1 za hashingiHMAC

OBVEZAN OBVEZAN

RSA sa potpisimaDSA sa potpisima

RSA sa ifriranjem

POELJANPOELJAN

POELJAN

POELJANMOE (nedostaje implementacije)

MOE (nedostaje implementacije)

D-H Group 1 (768)D-H Group 2 (1024)D-H Group 14 (2048)D-H elliptic curves

OBVEZANPOELJAN

N/APOELJAN

MOE (potenc. slaba sigurnosna zatita)OBVEZANPOELJAN

MOE (nedostaje implementacije)

Tablica 4.2IKEv1 predloene promjene

Pod Encrypt algorithm potrebno je odabrati 3DES (sami DES algoritam nije viedovoljno siguran). Za Auth algorithm odabran je SHA1. MD5 vie nije siguran, a imaglasina da je ve i SHA1 probijen [6], odnosno da vie nije siguran. Ipak za toprobijanje potrebno je puno procesorske snage, te se mali korisnici ne bi trebaliposebno zabrinjavati. U budunosti moemo oekivati da e i ovaj algoritam bitizamijenjen sa nekim drugim.

Life Time je potrebno podesiti na 28800 sec .Ako jedna od strana predloi manji LifeTime onda e taj Life Time biti prihvaen. Life Time oznaava koliko je vrijemetrajanja VPN tunela i ono je najee 28800 sekunda (= 8 sati).

Opcije pod IPSec Proposal vrlo su sline opcijama pod IKE proposal. Koritenepostavke su slijedee:- DH Group: None- Encap protocol: ESP (odabran je ESP, a ne AH budui da je ESP jai algoritam

jer omoguuje i ifriranje poruka, odnosno trea stana ne moe itati poslaneporuke, ako nema za to ovlatenje odnosno klju)

- Encrypt algorithm: 3DES- Auth algorithm: MD5- Life Time: 28800 sec


34/58


31

Slika 4.9 IPSec postavke za dinamiki tunel

Gornji postupak podeavanja IPSec-a opisan je za dinamiki tunel. Za potrebe overadnje uspostavljen je i statiki IPSec tunel. Statiki IPSec tunel namijenjen jerjeenjima server-to-server, te se ne koristi kod client-to-server rjeenja. Zauspostavu client-to-server rjeenja potrebno je nakon to klijent dobije svoju IPadresu, koristiti Remote Management za D-LINK te u opcijama Remote Subnetupisati IP adresu klijentskog raunala, a pod Subnet Mask255.255.255.255.

4.2.4. Provjera statusa IPSec veze

Nakon uspjene uspostave IPSec veze u rubrici Status VPN Status moemovidjeti podatke o IPSec vezi koji ukljuuju dogovoreno vrijeme trajanja veze te IPadrese klijenta i mree na koju se spojio.


35/58


32

Slika 4.10Podaci o uspjeno uspostavljenoj IPSec vezi

4.3. Podeavanje klijenta i testiranje veze i raznih protokola

4.3.1. PPTP klijent

Microsof t je u Window se 2000 i XP implementirao podrku za PPTP protokol. ZaWindow se u kojima nije implementirana klijentska podrka za PPTP, podrku jemogue skinuti sa w eb stranica ww w .microsoft.com. Dakle podrku za PPTP imaju

svi Window si osim Window sa 95 i starijih verzija Window sa.Postupak uspostave PPTP veze u Window sima:Treba pokrenuti New Connection Wizard (Start Settings New ConnectionWizzard). Odabrati: Connect to my netw ork at my w orkplace Next Virtualprivate Netw ork connection upisati: KOMTEH Next Next upisatihofi505.dyndns.org (ili neku drugu adresu na kojoj se nalazi VPN server) Next odabrati da napravi preac na Desktopu Finish. Nakon pokretanja stvorene vezepotrebno je upisati User name: test, te Passw ord. Takoer treba odabrati Properties Security Advanced Settings. Tu treba odabrati Require encryption teodabrati samo Microsoft CHAP kako je to i napravljeno na D-LINK-u. Ako se nepodese isti protokoli na D-LINK-u i kod klijenta nee uspjeti faza dogovaranja

(negotiation) i veza e se prekinuti.U meniju Netw orking moe se odabrati da li se eli koristiti Automatski, PPTP iliL2TP/IPSec protokol za stvaranje VPN tunela. Ako se odabere AutomatskiWindow si e prvo probati uspostaviti L2TP/IPSec vezu, pa kad to ne uspije probatie se uspostaviti PPTP veza.


36/58


33

Slika 4.11Postavke za spajanje PPTP protokolom

Nakon to je uspostavljena PPTP veza moi emo normalno koristiti My NetworkPlaces kao da se fiziki nalazimo spojeni u lokalnu mreu. Kao to se moe vidjetina slici 4.12 uz normalnu Dial-up vezu spojeni smo i PPTP protokolom, te nam je

dodijeljena lokalna adresa 192.168.2.2, dok je virtualna serverska adresa192.168.2.1. Kako se MS-CHAP koristi za provjeru vjerodostojnosti mogue jeukljuiti i MPPEalgoritam za ifriranje.

Slika 4.12Postavke nakon uspostave PPTPveze


37/58


34

Za provjeru da li je PPTP veza ostvarena uspjeno koritena je naredba ping192.168.0.200. rezultat je bio slijedei:C:\Documents and Settings>ping 192.168.0.200

Pinging 192.168.0.200 with 32 bytes of data:

Reply from 192.168.0.200: bytes=32 time=263ms TTL=128Reply from 192.168.0.200: bytes=32 time=254ms TTL=128Reply from 192.168.0.200: bytes=32 time=261ms TTL=128Reply from 192.168.0.200: bytes=32 time=248ms TTL=128

Ping statistics for 192.168.0.200:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in mill i-seconds:Minimum = 248ms, Maximum = 263ms, Average = 256ms

Na alost nije bilo mogue pristupati grupi KOMTEH. Razlog tome je to je LANkartica bila ukljuena, pa je uzrokovala pomutnju u usmjerivakoj (routing) tablici.Nakon iskljuivanja mrene kartice te resetiranja kompjutera sve je proradilonormalno.

Slika 4.13 Prikaz trenutno aktivnih kompjutera u grupi KOMTEH

Nakon spajanja modema na Internet imamo slijedeu usmjerivaku tablicu (naredbaroute print):

Active Routes:Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 83.131.124.203 83.131.124.203 183.131.124.203 255.255.255.255 127.0.0.1 127.0.0.1 5083.131.125.241 255.255.255.255 83.131.124.203 83.131.124.203 183.255.255.255 255.255.255.255 83.131.124.203 83.131.124.203 50

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1224.0.0.0 240.0.0.0 83.131.124.203 83.131.124.203 1

Default Gateway: 83.131.124.203


38/58


35

Nakon stvaranja PPTPtunela usmjerivaka tablica izgleda ovako:


0.0.0.0 0.0.0.0 83.131.124.203 83.131.124.203 2

0.0.0.0 0.0.0.0 192.168.2.4 192.168.2.4 183.131.43.22 255.255.255.255 83.131.124.203 83.131.124.203 183.131.124.203 255.255.255.255 127.0.0.1 127.0.0.1 5083.131.125.241 255.255.255.255 83.131.124.203 83.131.124.203 183.255.255.255 255.255.255.255 83.131.124.203 83.131.124.203 50

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.4 255.255.255.255 127.0.0.1 127.0.0.1 50192.168.2.255 255.255.255.255 192.168.2.4 192.168.2.4 50

224.0.0.0 240.0.0.0 83.131.124.203 83.131.124.203 2224.0.0.0 240.0.0.0 192.168.2.4 192.168.2.4 1


Kao to je vidljivo iz ispisa tablice, sav promet namijenjen za lokalnu mreu(ukljuujui i Internet promet) e ii preko virtualne IP adrese 192.168.2.4 koju jeklijent dobio kao virtualnu adresu u lokalnoj mrei D-LINK-a. Ako se za koritenjeInterneta ne eli ii preko D-LINK-a nego preko vlastite Dial-up veze potrebno jeopciju Use default gateway on remote network (U PPTP opcijama Netw orking Internet Protocol (TCP/IP) Properties Advanced Use default gatew ay onremote netw ork). esto je bolje ostaviti opciju ukljuenu jer onda usmjeriva filtriranapade, w eb stranice kao da se osoba nalazi iza usmjerivaa u firmi.

Na kompjuteru Jagoda pokrenut je FTP servis pomou programa Quick 'n Easy FTP

Server-a. Prijenos podataka radi bez problema.

Slika 4.14FTP servis radi bez problema


39/58


36

Takoer za testiranje rada mree koriten je i program Lantern Manager tvrtkeCoralis Corporation (besplatna verzija za do 5 umreenih raunala). Za koritenjetog programa instaliran je serverski (Lantern Manager) i klijentski (Lantern Agent)softver na klijentsko VPN raunalo, te je instaliran klijentski softver na raunaloJagoda (na raunalo Test1 zbog premalenih memorijskih resursa nije instaliran

Lantern Agent, zato ga i nema u shemama koje Lantern Manager prikazuje). Tajprogram omoguuje ispis informacija o raunalima u lokalnoj mrei, nain kako suspojeni, a ima i program VNC koji slui za udaljeno upravljanje raunalom. LanternManager je naao virtualnu lokalnu mreu i za njega ne postoji fizika udaljenostovih raunala.

Slika 4.15Za Lantern Manager mrea izgleda kao da je fiziki spojena

4.3.2. L2TP klijent

Kako D-LINK ne podrava L2TP/IPSec vezu ovdje e biti opisana samo uspostavaL2TP veze. Da bi se mogla koristiti samo L2TP veza potrebno je zabranitiautomatsko koritenje IPSec-a. Vie o tome se nalazi u Microsoftovoj bazi znanja(Microsoft Know ledgement Base), lanak Q310109. Tamo pie da ako se eliiskljuiti IPSec treba se u Window sovom registru (Window s Registry) vrijednostkljua HKLM\System\CurrentControlSet\Services\Rasman\Parameters\Prohib itIpSecpromijeniti u 1. Sva podeavanja za IPSec i certifikate za nas moe obaviti programSmart VPN Client. On podrava sva 4 naina spajanja i za razliku od Window samoe se spojiti i samo L2TP protokolom.


40/58


37

Nain spajanja je isti kao i kod PPTP protokola jedino je razlika to je podeeno davirtualna adresa klijenta bude u domeni 10.0.0.0/255.255.255.0. Nakon spajanjaL2TP protokolom za korisnika nema vidljivih razlika (slika 4.16) izmeu tog i PPTPprotokola.

Slika 4.16Postavke nakon spajanja L2TP protokolom sline su kao i kod PPTPprotokola

4.3.2.1. Razlike izmeu PPTP i L2TP protokola

L2TP ide preko UDP protokola, dok PPTP koristi TCP protokol. Zbog toga je L2TPbri, manje zauzimaju paketi, ali je ujedno i manje siguran, jer se izgubljeni paketinee ponovo poslati. PPTP za razliku od L2TP-a odvojeno alje kontrolneinformacije i podatke prve putem TCP-a, a druge putem GRE-a (manje popularanInternet standard). Zbog kombiniranja kontrolnih informacija i podataka zajedno,L2TP je ustvari bolji protokol gledajui od strane vatrozidnih ureaja, budui da diovatrozidova ne podravaju GRE.

L2TP najee dolazi u kombinaciji sa IPSec protokolom te ako ureaj ne podravatu kombinaciju najbolje je koristiti PPTP.


41/58


38

4.3.2.2. Testiranje veliine paketa zapakiranih PPTP i L2TPprotokolom

Kako bi vidjeli razliku u veliini prometa koji uzrokuje PPTP i L2TP protokol naklijentskoj strani koristio sam istu testnu datoteku. Datoteka je u binarnom formatu i

iznosila je 421.888 bajta. Rezultati testiranja za prijenos te datoteke sa raunalaJagoda na klijentsko raunalo vidljivi su u tablici.

PPTP L2TP

InternetVirtualnamrea

InternetVirtualna

mreaIP adresaadaptera

195.29.48.11 192.168.2.5 195.29.138.188 10.0.1.3

Primljenopodataka 507.992 488.572 505.322 487.516

Poslano podataka 58.674 28.756 36.839 23.079Tablica 4.3 Koliina podataka prenesena Internetom da bi se prenijela testna

datoteka

Iz tablice je vidljivo da su koliine podataka primljene Internetom priblino sline, aliipak je kod L2TP-a ta koliina manja. Ukoliko usporedimo ukupnu koliinuprenesenih podataka (slanje + primanje) kod PPTP-a to je: 566.666 bajta, dok je tokod L2TP-a: 542.161 bajta. To je ipak primjetna razlika od oko 4% posto. Overezultate treba uzeti samo kao okvirne rezultate, za prave rezultate trebalo bipoveati testnu datoteku, te to je vie mogue smanjiti utjecaj prometa na lokalnoj

mrei.Prilikom testiranja nije bilo izgubljenih UDP paketa, te je upotreba UDP paketapreporuljiva za mree gdje je meusobna veza relativno dobra, odnosno nemapotrebe za ponovnim slanjem paketa.

4.3.3. IPSec klijent

Microsoft podrava unaprijed dogovoreni dijeljeni klju (pre-shared key) za IKE u

sluaju koritenja L2TP/IPSec server-to-server implementacije. Po Microsoftu(lanak Q240262) koritenje unaprijed dogovorenog dijeljenog kljua za client-to-server je podrano u Window sima 2000 (samo radi svrhe testiranja), ali ne i uWindow sima XP. Ipak mogue ga je koristi i u Window sima XP uz pomo programapoput Smart VPN Client-a ili runim podeavanjem u Local Security Policy-a.

U Microsoft Window sima u Local Securitiy Policy uz podeavanje prava i lokalnihsigurnosnih pravila mogue je odrediti sigurnosne postavke vezane uz IP promet.Local Securitiy Policy moe se startati slijedeim putem: Start Settings ControlPanel Administrative Tools Local Securitiy Policy (ili Start Run secpooo.msc). IPSec i servise vezane uz njega u Windowsima je implementirao


42/58


39

Microsoft u zajednikoj suradnji sa Cisco System-om, dok je L2TP Microsoftimplementirao sam i integriran je sa IPSec-om od verzije beta 2 nadalje.

Microsoft Window s koristi svoj servis za IPSec politiku (IPSec policy). Kada se nekiod IPSec profila primjeni (Apply), IPSec koristi filtere paketa (packet filters) da bi

odluio koji promet treba osigurati, koji treba propustiti, a koji blokirati. Kada seosigurava promet, za dogovor oko sigurnosnih postavki i razmjenu kljueva koristi se

IKE. Po IETF standardu (RFC 2409) za upotrebu IKE-a u IPSec-u mogu se koristitislijedea tri algoritma za provjeru vjerodostojnosti: Kerberos v5.0, Certifikati iliunaprijed dogovoren klju.

Microsoft predlae koritenje IPSec tunela samo kada imamo server-to-server VPNsustav koji ne podrava L2TP/IPSec, ili kada imamo client-to-server sustav sastatikim IP adresama. Prema njegovim navodima IPSec nije mogue koristiti kodVPN klijenta koji koristi dinamiku IP adresu. Ipak, to nije u potpunosti tono, jer IPadresu klijenta u Local Securitiy Policy je mogue mijenjati runo pa je mogue i

uspostaviti IPSec vezu. Kako bi se izbjegao taj postupak, koji zahtjeva dostakliktanja i podeavanja, moe se koristiti klijent poput Smart VPN Client-a koji to svesam podeava.

Budui da je za L2TP napisan standard (RFC 2661), njegova upotreba je rairena,ali za osiguranje L2TP prometa pomou IPSec-a jo nije napisan RFC standard.IETF (Internet Engineering Task Force) organizacija radi na tome (podaci preuzeti izMicrosoftovog dokumenta broj: 265112, objavljenog 21.10.2005). Prema tome,popularizacija i bolja kompatibilnost L2TP/IPSec standarda se moe oekivati nakonusvajanja standarda.

IKEdogovor sastoji se od dvije faze:Prva faza (Phase 1) brine se za sigurnu provjeru vjerodostojnosti. Nakon to seobje strane izvre provjeru vjerodostojnosti stvara se takozvani IKE SA (IKE SecurityAssociations). Njegovo standardno vrijeme trajanja je 8 sati.Druga faza (Phase 2) u njoj se dogovara koji e se od protokola iz ESP-a ili AH-akoristiti. Da bi mogla zapoeti druga faza prvo se mora uspjeno zavriti prva faza.Primjer za drugu fazu: Klijent ponudi da moe komunicirati preko ESP-a sa 3DES-om i preko AH-a sa SHA-1. Server odgovara da on eli koristiti samo ESP sa 3DES-om. Oni onda uspostavljaju sigurni kanal zatien ESP-om koristei 3DES.

4.3.3.1. Koritenje IP Security policy Management-a

Za stvaranje nove politike za IPSec, potrebno je u Local Securitiy Policy-u desnomtipkom mia kliknuti na IP Security Policies on Local Computer i odabrati Create IPSecurity Policy[9].

Korak 1. Na iduem meniju odabrati Next pod ime upisati: IPSec Policy - VPN toDI-824VUP+ Next iskljuiti Activate the default response ruleNext ostavitioznaenu kuicu pokraj Edit propertiesFinish.

Korak 2. U IPSec policy propertiesodznaiti Use Add Wizardi kliknuti naAdd


43/58


40

- U IP filter list kliknuti na Add Pod Name upisati WinXP to DI-824VUP+ tekliknuti Add Pod Source address odabrati My IP Address. Pod DestinationAddress odabrati Specified IP Subnet i upisati 192.168.0.1 za IP adress i255.255.255.0 za Subnet Mask. Kliknuti OK tako da se doe u IP Filter Listizbornik.

- Ponovo u IP filter list kliknuti na Add Pod Name upisati DI-824VUP+ to WinXPte kliknuti Add Pod Source address odabrati Specified IP Subnet i upisati192.168.0.1 za IP adress i 255.255.255.0 za Subnet Mask. Pod DestinationAddress odabrati My IP Address. Kliknuti OK tako da se doe u IP Filter Listizbornik.

Korak 3. U IP Filter list oznaiti WinXP to DI-824VUP+ te odabrati izbornik FilterAction, pa Require Security te Edit Odabrati Negotiate Security (u popisu protokolabi se trebao nalaziti protokol podeen na D-LINK-u: 3DES sa SHA-1) te odznaitiAccept unsecured communication but always respond using IPSec, te kliknuti naOK. Odabrati Authentication Methods te kliknuti Edit Odabrati Use this string

(preshared key) te unesti klju 123456. (Za sigurnu upotrebu predlae se koritenjekvalitetnijeg kljua nego to je opisano ovdje u primjeru ili upotreba certifikata).Odabrati OK. Odabrati Tunnel Settings i odabrati The tunnel endpoint is specified bythis IP adress. Tu je potrebno upisati IP adresu od VPN servera. Iz Connection typeodabrati All network connectionspa odabrati Applyte OK.

Korak 4. U IPSec policy propertiesodznaiti Use Add Wizardi kliknuti naAddU IP Filter list oznaiti DI-824VUP+ to WinXP te odabrati izbornik Filter Action, paRequire Security. Nakon toga odabrati Authentication Methods te kliknuti EditOdabrati Use this string (preshared key) te unesti klju 123456. Odabrati OK.Odabrati Tunnel Settings i odabrati The tunnel endpoint is specified by this IP

adress. Tu je potrebno upisati IP adresu od VPN klijenta. Iz Connection type odabratiAll network connections pa odabrati Apply te OK. Nakon toga zatvoriti IPSec PolicyPropertiesprozor klikom na Close.

Nakon toga desnim klikom mia na IPSec Policy VPN to DI-824VUP+ i odabiromna Assign novodefinirana IPSec politika postaje aktivna. To se moe vidjeti i pozelenom znaku plus na ikoni od IPSec politike koju smo odabrali. Za uspostavuIPSec veze potrebno je poslati neki upit (npr. ping) D-LINK-u. To je detaljnije opisanou iduem poglavlju.

4.3.3.2. Koritenje Smart VPN Client-a

DrayTek Smart VPN Client je program koji e veinu podeavanja navedena uprethodnom poglavlju obaviti automatski.


44/58


41

Slika 4.17 Odabir tunela Slika 4.18Detaljne postavke IPSec-a

Pod VPN Server IP/HOST Name se upisuje DDNS Host Name podeen u D-LINK-u:hofi505.dyndns.org. Odaberemo naziv profila, obiljeimo IPSec Tunnel teodaberemo Use default gateway on remote network i kliknemo na OK. Otvoriti e seprozor IPSec Policy Settings. U njemu e se pod My IP nalaziti IP adresa VPNklijenta kada je spojen na Internet. Pod Standard IPSec Tunnel treba pisati192.168.0.0 za Remote Subnet i 255.255.255.0 za Remote Subnet Mask. Pod

SecurityMethod treba bit oznaeno High(ESP) te 3DES with MD5 kao to je to ipodeeno na D-LINK-u. U rubriku Pre-shared Key treba upisati 123456. Kliknuti OKza kraj, te Activeza uspostavljanje veze.

Nakon to su primijenjena pravila zadana za IPSec tunel u Smart VPN Clientu upalitie se zelena lampica desno od oznake VPN, u donjem desnom dijelu prozora SmartVPN Client-a. S time IPSec veza jo nije uspostavljena. Da bi uspostavili vezupotrebno je poslati neki upit VPN serveru. To se najjednostavnije uiniti naredbomping:

C:\Documents and Settings>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Negotiating IP Security.Negotiating IP Security.Reply from 192.168.0.1: bytes=32 time=251ms TTL=64Reply from 192.168.0.1: bytes=32 time=264ms TTL=64

Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),

Approximate round trip times in mill i-seconds:

Minimum = 251ms, Maximum = 264ms, Average = 257ms


45/58


42

Moe se vidjeti da se pri prvom i drugom pokuaju slanja ping paketa odvijameusobno dogovaranje (Negotiating IP Security) VPN klijenta i servera. Ve kodtreeg pokuaja veza je uspostavljena (Reply from 192.168.0.1:).

Slika 4.19Koritenje mree preko IP adresa

Koritenje FTP servera na raunalu Jagoda radi bez problema. Jedino to ne radi je

koritenje imena kompjutera oblika \\Jagoda te Microsoft Network. Razlog tome jeto protokol NetBIOS, kojeg koriste MS Window si za komuniciranje u lokalnoj mreiradi na 2. mrenom sloju kao i Ipsec protokol.

Jedno od rjeenja tog problema je u implementaciji NetBIOS broadcasta to jeizvedeno kod D-LINK-a, ali oito ne radi dobro niti sa Window s-ima 2000, niti saWindow s-ima 2000 SP3, niti sa Window s-ima XP SP1. Pravilno se taj problem moerijeiti podizanjem MS domain controllera. Takoer podizanje WINS servera(njegova svrha u lokalnoj mrei je kao i svrha DNS-a na Internetu) bi trebalo pomoi.Ako se u lokalnoj mrei koriste fiksne IP adrese u Window s-ima se moe napravitiLMHOSTS tablica u kojoje se nalaziti popis svih raunala sa lokalne mree.

to se tie ostalih servisa oni su testirani, te rade kao i kod PPTP odnosno L2TPveze, bez ikakvih problema.


46/58


43

Slika 4.20Program Lantern je normalno naao ureaje u mrei preko njihove IPadrese

Program Lantern Manager uspio je normalno nai raunala spojena u mrei prekonjihove IP adrese, ali klijentsko VPN raunalo za njega je nevidljivo u toj mrei jerono kao svoju virtualnu adresu u lokalnoj mrei ustvari koristi IP adresu koju je dobiloprilikom spajanja na Internet.

Slika 4.21Udaljeno upravljanje radi bez veih trzavica


47/58


44

Za testiranje IPSec veze koriten je i VNC, koji dolazi u sklopu programa Lantern, tese moe rei da radi bez potekoa i vrlo brzo raunajui da je testiranje obavljenona 56kbps modemu. Na slici 4.21 moe se vidjeti da je na klijentu pokrenut VNC saradnom povrinom od raunala Jagoda, te da je na raunalu Jagoda, kroz VNC,pokrenuta naredba ping koja je slala ping upite na virtualnu IP adresu od klijenta u

lokalnoj mrei. Sve to radi bez greke.Razlike prije i poslije uspostave IPSec veze, to se tie naredbe route print, nemabudui da se IPSec ne mijea u routing tablicu:

C:\Documents and Settings\ruru>route print


0.0.0.0 0.0.0.0 195.29.48.16 195.29.48.16 1127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

195.29.48.16 255.255.255.255 127.0.0.1 127.0.0.1 50

195.29.48.241 255.255.255.255 195.29.48.16 195.29.48.16 1195.29.48.255 255.255.255.255 195.29.48.16 195.29.48.16 50

224.0.0.0 240.0.0.0 195.29.48.16 195.29.48.16 1


4.3.3.3. Koritenje TheGreenBow VPN Client-a

Od koritenih VPN klijentskih programa Sistech-ov TheGreenBow VPN Client jejedini program koji se plaa za uporabu. On je drugaiji od gore navedenih

programa/postupaka uspostave IPSec veze po tome to ne koristi Window s-overutine za uspostavu IPSec veze, nego svoje vlastite (Cisco i mnogi drugi takoerkoriste vlastite servise). Upravo iz toga mogue ga je koristiti na bilo kojoj Window splatformi. Takoer je zanimljivo Sistech-ovo rjeenje da se tajne informacije zauspostavu veze pohranjuju na USB stick te su na taj nain skriveni od potencijalnihnapadaa. Prilikom ukopavanjaUSB stickaVPN veza se moe automatski ostvariti.

Slika 4.22Postavke za prvu i drugu fazu za uspostavu IPSec tunela


48/58


45

Postavke za IPSec vezu su prikazane na slici 4.22. Nakon uspostave veze podopcijama Connections se moe vidjeti da li je veza uspostavljena, te koji se algoritmikoriste. TheGreenBow VPN Client ima mogunost dodjeljivanja proizvoljne virtualneIP adrese za IPSec klijenta. Ta adresa, radi ogranienja D-LINK-a, ne smije bitiunutar spektra lokalne poddomene (Cisco takve stvari doputa).

4.4. Testiranje veliine paketa zapakiranih PPTP, L2TP i IPSecprotokolom

PPTP L2TP IPSec

Internet Virtualnamrea

Internet Virtualnamrea

Internet

IP adresa

adaptera

83.131.123.7 192.168.2.2 195.29.134.195 10.0.1.2 83.131.123.182

Primljenopodataka

2.045.157 1.972.429 2.038.883 1.974.589 2.056.912

Poslanopodataka

188.726 81.216 147.375 82.797 185.663

Tablica 4.4 Koliina podataka prenesena Internetom da bi se prenijela testnadatoteka

Kako bi usporedio sva tri protokola, koristio sam binarnu testna datoteka veliine1.822.520 bajta. Ovaj put rezultati su bili precizniji jer je prenesena vea koliinapodataka. Mjerenja su ponavljana jo jednom kako bi se dobili toniji rezultati, te je

uzeta srednja vrijednost mjerenja. L2TP promet je opet ispao manji za oko 2% uodnosu na PPTP protokola, a IPSec je takoer koristio TCP/IP protokol, a ne UDPpa je zato po rezultatima sliniji PPTP-u nego UDP-u.

4.5. Najei problemi i korisne naredbe

Browsing server [5]

Browsing server je kompjuter koji u MS Window s mrei daje listu radnih grupa iservera u toj radnoj grupi (w orkgroup). Jedan kompjuter na mrei je glavni browsingserver te on moe imati i rezervne (backup) servere. Raunala spojena na domenune mogu biti browsing server. Da bi radio ovaj servis u Window sima treba bitiukljuen File and Printer Sharing for Microsoft Networks. U Window sima XP se moeprovjeriti da li sve radi na slijedei nain:Korak 1. Odabrati StartHelp and SupportKorak 2. PodPick a Help Topicodabrati Networking and the WebKorak 3. PodNetworking and the Webodabrati Fixing networking or Web problemsKorak 4. PodPick a taskodabrati Diagnose network configuration and run

automated networking tests.

Korak 5. PodNetwork DiagnosticsodabratiScan your system.


49/58


46

Ako pod nekim od rezultata pie FAILEDto znai da to moda uzrokuje greku.

Za provjeru da li je servis za browsing serverstartan u Window sima:Korak 1. Odabrati StartControl PanelPerformance and Maintenance

Administrative Tools Services.

Korak 2. Napraviti dvostruki klik na Computer Browser service.Startup type bi trebao biti podeen na Automatic, a za Service status bi trebalo pisatiStarted.

Ispis informacija o trenutnom browsing server-u na mrei moe se dobiti pomounaredbe browstat sta. Da bi se ta naredba koristila potrebno je sa Window sinstalacijskog CD-a instalirati Brow stat.exe koji se nalazi u Support\Tools direktoriju.

Informacije o mrenom/Dial-up adapteruZa prikupiti informacije o vlastitoj IP adresi, usmjerivau koristi se naredba ipconfig.

C:\Documents and Settings>ipconfigWindows IP Configuration

Ethernet adapter Local Area Connection 3:Connection-specific DNS Suffix . : KomtehIP Address. . . . . . . . . . . . : 192.168.0.182Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1

Ako se trae opirniji opis (npr. da li je NetBIO S over TCP/IP ukljuen) treba koristitinaredbu ipconfig sa prekidaem /all. Za tu naredbu u radnoj grupi sa NT Serverom4.0 ispis je slijedei:

C:\Documents and Settings>ipconfig /allWindows IP Configuration

Host Name . . . . . . . . . . . . : ToshibaPrimary Dns Suffix . . . . . . . :Node Type . . . . . . . . . . . . : UnknownIP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . : KomtehDescription . . . . . . . . . . . : D-Link DFE-680TXD-Based CardBus Fast

Ethernet Adapter #2Physical Address. . . . . . . . . : 00-E0-98-98-FB-D3Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : YesIP Address. . . . . . . . . . . . : 192.168.0.182Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1

DHCP Server . . . . . . . . . . . : 192.168.0.2DNS Servers . . . . . . . . . . . : 192.168.0.1Lease Obtained. . . . . . . . . . : 11. prosinac 2005 19:24:04Lease Expires . . . . . . . . . . : 14. prosinac 2005 19:24:04


50/58


47

Naredba NETNaredba net ima mnoge prekidae od kojih su za ovu radnju najzanimljiviji prekidaview te prekida use. Naredba net view prikazati e nam sve vidljive kompjutere nanaoj mrei. Naredba net use se moe koristiti za pridjeljivanje nekog mrenog

direktorija nekom nazivu diskovnog pogona na lokalnom kompjuteru. To je praktinoiz razloga jer se naredba net moe pokretati i iz .bat datoteke koja se moe runo

pokretati kada elimo koristiti neke mrene resurse (npr. prilikom upotrebe VPN-a).

Naredba IPSECCMDNaredba ija je svrha konfiguriranje IPSec politike. Radi isto to i Local SecurityPolicy samo iz command prompt-a.

Naredba NBTSTATNaredba koja ispisuje informacije o NetBIOS over TCP/IP (NetBT) protokolu.Najkorisniji prekidai za ispitivanje VPN-a su: -c, -n, -R.

Naredba ROUTEi PINGOve dvije naredbe objanjene su ranije u tekstu. Pomou naredbe route moe seuoiti kada se zaboravi iskljuiti mrenu karticu (koju se koristi u poduzeu), te zbogtoga promet ne ide preko Dial-up-a nego preko mrene. Naredba ping nam koristi zaprovjeru da li je VPN veza uspostavljena, te za iniciranje IPSec veze.

Upotreba Windows Network Service-a - WINS-aWINS slui za razrjeavanje kompjuterskih imena u IP adrese. On moe takoerkonvertirati NetBIOS naziv u IP adresu. Osim Microsoftovog rjeenja za WINS servermoe se koristiti i Samba na Linux operativnom sustavu. Problemi sa D-LINK-om: da

bi razrjeavanje imena radilo kod IPSec-a trebalo bi konf igurirati DNS, WINS iliLMHOSTS (izvor: http://w w w .chicagotech.net/dlinkrouter.htm).

IPSec NAT (Network Adress Translator) TraversalIPSec mree ne mogu biti smjetene iza NAT ureaja. Veina malih ureda koristiNAT kako bi dijelila jednu Internetsku IP adresu, koju je dobila od ISP-a, sa cijelomlokalnom mreom. Bilo to NAT omoguuje u tednji preostalog svjetskog IPadresnog prostora, on prouzrokuje probleme protokolima poput IPSec koji koristekomunikaciju krajnjih toaka. Upravo zbog toga propisana nova tehnologija nazvanaIPSec NAT Traversal NAT-T (RFC 3947 i RFC 3948). Ona bi trebala rijeiti tajproblem. Kako bi NAT-T radio u MS Window s 2000 potrebno je instalirati SP3, a za

MS Window s XPje potreban SP2 [7].

Korisne Internet stranice vezane uz rjeavanje VPN problem aInternet stranice koje imaju mnotvo odgovora za najee probleme koji nastajuprilikom stvaranja VPN sustava:

http://w w w .microsoft.com/w indow s2000/techinfo/how itworks/communications/remoteaccess/l2tpclientfaq.asp

http://w w w .chicagotech.net/vpnindex.htm http://w w w .how tonetw orking.com/sitemap.htm


51/58


48

4.6. Konano razmatranje PPTP protiv L2TP/IPSec

Prednosti L2TP/IPSec-a nad PPTP-om :

ifriranje kod IPSec-a je jae nego PPTP-a. PPTP koristi MPPE za if riranjepodataka, dok L2TP/IPSec koristi DES (odnosno 3DES)PPTP zahtjeva autentif ikaciju samo na razini korisnika, dok L2TP/IPSec zahtjeva

istu autentifikaciju na razini korisnika i jo autentifikaciju raunala koju obavljapomou certifikata. To znai da je L2TP/IPSec sigurniji.IPSec omoguuje nepromjenjivost ishodita podataka (dokaz da su podaci poslani

od autoriziranog korisnika), integritet podataka (dokaz da podaci nisu mijenjani nasvom putu) i tajnost podataka (nitko ne moe itati podatke koji su poslani bezpoznavanja tajnog kljua). PPTP omoguuje samo tajnost podataka.L2TP je bri od PPTP, odnosno njegovi paketi zauzimaju manje budui da on

koristi UDP, a ne TCP.

Prednosti PPTP-a nad L2TP/IPSec-om :Za implementaciju IPSec protokola potreb