elektrotehnički fakultet univerziteta u...
TRANSCRIPT
1
Elektrotehnički fakultet Univerziteta u BeograduKatedra za Telekomunikacije
2
VirtuelneVirtuelne privatneprivatne mremrežžeeVirtual Private Networks (VPN)Virtual Private Networks (VPN)
BerislavBerislav TodoroviTodorovićć[email protected]@etf.bg.ac.yu
NenadNenad KrajnoviKrajnovićć[email protected]@etf.bg.ac.yu
3
virtualvirtual (adj.) - Simulated;performing the functions of
something that isn’t reallythere.
The New Hacker’sDictionary
4
OsnovniOsnovni finansijskifinansijski aspektiaspektirealizacijerealizacije WAN WAN mremrežžaa
•• CenuCenu korporacijskekorporacijske WAN WAN mremrežžee prvestvenoprvestveno određujuodređuju::–– CenaCena opremeopreme..–– CenaCena zakupazakupa telekomunikacionihtelekomunikacionih resursaresursa..
•• CenaCena korikoriššććenjaenja telekomunikacionihtelekomunikacionih resursaresursa zavisizavisi odod::–– IzboraIzbora telekomunikacionogtelekomunikacionog operatoraoperatora..–– KapacitetaKapaciteta pojedinihpojedinih telekomunikacionihtelekomunikacionih linkovalinkova..–– TopologijeTopologije mremrežžee -- dudužžineine pojedinihpojedinih trasatrasa..
•• U U domadomaććimim uslovimauslovima::–– KorisniciKorisnici susu ograniograniččenieni nana jednogjednog operatoraoperatora -- PT PT ““Telekom Telekom SrbijaSrbija””..–– MreMrežžaa nn x 64k x 64k nijenije zavrzavrššenaena => => protociprotoci 64, 128 64, 128 iliili 2048 2048 kbit/skbit/s..–– ZakupZakup digitalnihdigitalnih linkovalinkova jeje izuzetnoizuzetno skupaskupa uslugausluga, , pogotovopogotovo međumesnihmeđumesnih..
5
2 M 128 K
64 K64 K
128 K
64 K
2 M64 K
1 M64 K
CentralizacijaCentralizacija ......
6
RegionalizacijaRegionalizacija ......
2 M
2 M
2 M
Kragujevac
Niš
NoviSad
Beograd
7
VirtuelizacijaVirtuelizacija ......
Kragujevac
Niš
NoviSad
Beograd
8
VirtuelnaVirtuelna privatnaprivatnamremrežžaa (VPN)!(VPN)!
ISP
ISP
Internet ISPISP
ISP
KragujevacNiš
NoviSad
Beograd
9
VPN van VPN van nacionalnihnacionalnihokviraokvira!!
Internet
ISP
Company A
ISP
Company B
ISP
Company A
Vienna Budapest
Belgrade
Company B Company A
10
OpOpšštiti pojmovipojmovi
VirtuelnaVirtuelna privatnaprivatna mremrežžaa::• Skup uređaja, povezanih korišćenjem Interneta ili tuđe privatne
mreže kao transportnog medijuma, koji krajnjem korisniku dajeprivid potpuno ili delimično izolovane privatne mreže.
PrednostiPrednosti::• Za korporacijsku mrežu, Internet predstavlja transportna mreža.• Sa stanovišta krajnjeg korisnika mreža se ponaša isto kao i WAN.• Privid privatnosti obezbeđuje se različitim mehanizmima• Sa stanovišta vlasnika mreže - jevtiniji troškovi eksploatacije.• Mreža može da bude potpuno ili delimično izolovana od Interneta.UzgredneUzgredne pojavepojave::• Bezbednost i zaštite podataka rešava se namenskim rešenjima!
11
KlasifikacijaKlasifikacija VPNVPN
KonceptiKoncepti realizacijerealizacije::• VPN na nivou aplikacije (application-layer VPN)• VPN na nivou protokola mrežnog sloja (network-layer VPN)• VPN na nivou protokola sloja veze (data-link layer VPN)
NaNaččinin pristupapristupa odod stranestrane korisnikakorisnika::• VPN sa permanentnim pristupom.• VPN sa semiperm. pristupom (virtual private dial-in net - VPDN)
BezbednostBezbednost i i zazašštitatita podatakapodataka::• VPN sa minimalnim obezbeđenjem (router access lists, firewall)• VPN sa kriptozaštitom.
12
VPN VPN nana nivounivou aplikacijeaplikacije
• Tipičan primer - korišćenje DNS servisa za formiranje VPN.• DNS - veza između naziva i IP adresa računara:
– IP adrese (npr. 10.1.2.310.1.2.3) - zavise od lokacije računara i topologije mreže.– Nazivi (npr. www.firma.co.yuwww.firma.co.yu) su nezavisni od fizičke topologije mreže.– DNS - obezbeđuje prevođenje naziva u adrese i obrnuto.
• Svaka firma na Internetu ima svoj domen - npr. firma.co.yufirma.co.yu.• Računari registrovani unutar tog domena krajnjem korisniku
stvaraju privid pripadnosti istoj korporacijskoj mreži.• Za kranjeg korisnika lokacija pojedinih računara nije bitna - on će
uvek koristiti nazive za pristup pojedinim računarima u mreži.
13
VPN VPN nana nivounivou aplikacijeaplikacije
Internet
ISP
172.16.12 /24
ISP
ISP
172.19 /16
Vienna Budapest
Belgrade
192.168.20.64 /26
DNS
172.16.12.1Vienna1.example.com 192.168.20.67
Bud1.example.com
Domain:example.com
14
VPN VPN nana nivounivou aplikacijeaplikacijepro et contrapro et contra
PrednostiPrednosti::• Jednostavna i jevtina implementacija - svodi se na konfigurisanje
DNS servera.NedostaciNedostaci::• Pri promeni provajdera neophodna je renumeracija kompletne
mreže, kao i znatne izmene podataka u DNS-u.• U toku renumeracije mreža uglavnom nije upotrebljiva.• Komplikovana za konfigurisanje i održavanje i upravljanje.• Složenost održavanja povećava se kako se povećava broj lokacija.• DNS saobraćaj može lako da se lažira od strane zlonamernika.• Mreža se nikakvim mehanizmima ne štiti od zlonamernika.
15
VPN VPN nana mremrežžnomnom slojuslojuMetodaMetoda kontrolisanogkontrolisanog rutiranjarutiranja
• Koristi se uglavnom u okruženjima gde korisnici ne pristupajudirektno Internetu.
• Na ruteru treba:– Isključiti default putanju (0.0.0.0).– Ubaciti statičke putanje (static routes) ka mreži provajdera, za sve IP mreže
koje se koriste unutar korporacijske mreže.
• Prednost - rešenje je kranje jednostavno - svodi se na dodatnukonfiguraciju rutera.
• Dodatni nivo zaštite može da se ostvari korišćenjem firewallservera na pojedinim lokacijama.
16
VPN VPN nana mremrežžnomnom slojuslojuReReššenjeenje sasa javnimjavnim adresamaadresama
Internet
ISP
172.16.12 /24
ISP
ISP
172.19 /16
Vienna Budapest
Belgrade
192.168.20.64 /26
Static route:
Static route:
172.19/16
172.19/16
Static route:Static route:192.168.20.64/26192.168.20.64/26
17
VPN VPN nana mremrežžnomnom slojuslojuMetodaMetoda logilogiččkihkih tunelatunela
• Logički tuneli - mehanizam prenosa poruka raznih protokola (IP i IPX datagrama, DECnet i SNA paketa itd.) unutar IP datagrama.
• Omogućavaju formiranje VPN koje koriste kako IP, tako i sveostale često korišćene protokole: IPX, DECnet, SNA itd.
• Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se vrši na dva jasno definisana rutera u mreži (tunnel endpoints).
• Logički tuneli mogu biti uspostavljeni:– Između dve fiksne tačke u mreži (point-to-point)– Između jedne i više fiksnih tačaka u mreži (point-to-multipoint).
• U IP mrežama - omogućavaju transparentno korišćenje privatnihadresa, uz minimalnu rekonfiguraciju pri promeni provajdera.
18
VPN VPN nana mremrežžnomnom slojuslojuMetodaMetoda logilogiččkihkih tunelatunela
RouterInternet
Router
10.1.3.110.1.3.5 10.1.1.1 10.1.1.5
10.1.3.0 /24 10.1.1.0 /24
DATA10.1.3.5 10.1.1.5
195.1.1.1 195.2.1.3
DATA10.1.3.5 10.1.1.5
DATA10.1.3.5 10.1.1.5
195.1.1.1 195.2.3.1
A B
19
VPN VPN sasa dialdial--inin pristupompristupom(VPDN)(VPDN)
• Veza između udaljene i centralne filijale uspostavlja se po potrebi.• Idealno rešenje za povezivanje lokacija sa malim brojem zaposlenih.• Tipičan primer - off-shore kompanije sa 2-3 službenika.• Druga česta primena - trgovački putnici, koji pristupaju korp. mreži.• Troškovi - zakup jednog dial-in naloga kod lokalnog provajdera.• U odnosu na klasični dial-in pristup, u VPDN moraju da se reše:
– Kontrola pristupa delovima korporacijske privatne mreže (AAA funkcije).– Logički tunel između korisnikovog računara i intranet mreže, radi mogućnosti
korišćenja privatnog adresnog prostora.
• Poznata rešenja:– PPTP (Point-to-Point Tunneling Protocol) - Microsoft.– L2TP (Layer 2 Tunneling Protocol) - Microsoft. & Cisco
20
PPTP PPTP -- PrincipPrincip radarada
• Korisnik uspostavlja klasičnu dial-in vezu sa lokalnim provajderomkorišćenjem PPP protokola.
• Korisnikov računar uspostavlja kontrolnu sesiju sa udaljenim PPTP serverom (lociranim na korporacijskoj mreži).
• Sesija se uspostavlja korišćenjem TCP protokola• Korisnikov računar zahteva formiranje tunela sa PPTP serverom.• PPTP server proverava korisnikov identitet (AAA funkcije).• Ako je korisnik naveo ispravne podatke - korisničko ime i lozinku,
između korisnikovog računara i PPTP servera uspostaviće se tunel.• Po uspostavljenom tunelu moguće je prenositi kako IP datagrame,
tako i pakete drugih protokola (IPX, DECnet, SNA itd.).
21
PPTP PPTP -- PrincipPrincip radarada
Accessserver
Router
InternetPPTPserver
Router
ISP
Companynetwork
22
PPTPPPTPNeophodnaNeophodna opremaoprema i i softversoftver
• Na korporacijskoj mreži - PPTP server.• Na strani korisnika - softver za dial-in pristup koji podržava PPTP.• Standardni Windows 95 DialUp Networking, počev od OSR-2,
podržava PPTP!• Na access serverima lokalnih provajdera, kojima udaljene filijale
pristupaju mreži, nisu potrebne nikakve izmene.• Sami provajderi neće uočiti nikakvu razliku između normalnog IP
saobraćaja i saobraćaja koji se prenosi PPTP tunelima.• Uvođenjem dodatnog softvera za kriptozaštitu na nivou pojedinih
aplikacija moguće je dodatno obezbediti komunikaciju.
23
L2TP L2TP -- PrincipPrincip radarada
• Korisnik uspostavlja klasičnu dial-in vezu sa lokalnim provajderomkorišćenjem PPP protokola.
• Access server provajdera uspostavlja logički tunel preko Interneta saL2TP serverom, lociranim na korporacijskoj mreži.
• Logički tunel može da bude uspostavljen permanentno ili na zahtevkorisnika.
• Access server provajdera prosleđuje korisničko ime i lozinku L2TP serveru, koji obavi autentifikaciju korisnika.
• Ako je identitet korisnika ispravan, access server će:– Prihvatati PPP pakete od korisnika, skidati im zaglavlje i CRC.– Prepakovati tako dobijeni paket u L2TP paket.– Proslediti L2TP paket kroz logički tunel ka L2TP serveru.
24
L2TP L2TP -- PrincipPrincip radarada
Accessserver
Router
InternetL2TPserver
Router
ISP
Companynetwork
25
L2TPL2TPNeophodnaNeophodna opremaoprema i i softversoftver
• Na korporacijskoj mreži - L2TP server.• Na strani korisnika - standardan softver za dial-in pristup.• Na access serverima lokalnih provajdera, kojima udaljene filijale
pristupaju mreži - instalirana i konfigurisana podrška za L2TP.• L2TP zahteva intervenciju provajdera, što mu daje mogućnost
naplate dodatne usluge.• Pogodno za programere, locirane na području jedne tranzitne
centrale, koji poslove obavljaju od kuće (telecommuting)• Uvođenjem dodatnog softvera za kriptozaštitu na nivou pojedinih
aplikacija moguće je dodatno obezbediti komunikaciju.
26
PraktiPraktiččnini aspektiaspekti korikoriššććenjaenjaVPNVPN
•• PerformansePerformanse VPN VPN zavisezavise iskljuisključčivoivo odod izboraizbora Internet Internet provajderaprovajdera..•• KadKad god god jeje to to mogumoguććee, , koristitikoristiti uslugeusluge jednogjednog provajderaprovajdera..•• NeophodnoNeophodno jeje detaljnodetaljno analiziratianalizirati mremrežžuu provajderaprovajdera sasa stanovistanovišštata::
–– TopologijeTopologije mremrežžee, , protociprotoci nana okosniciokosnici ((backbonebackbone) i ) i poprepopreččnimnim linkovimalinkovima..–– InterkonekcijeInterkonekcije ((peeringspeerings) ) pojedinihpojedinih provajderaprovajdera kojikoji se se koristekoriste zaza VPN.VPN.–– MoguMoguććnostnost prupružžanjaanja dodatnihdodatnih servisaservisa ((nprnpr. . L2TPL2TP tunnelingtunneling).).–– CenaCena zakupazakupa linkalinka i i uslugausluga provajderaprovajdera..
•• KadKad god god jeje to to mogumoguććee, , primenitiprimeniti odgovarajuodgovarajuććee mere mere zazašštitetite ((access access listslists, , firewallfirewall, , kriptozakriptozašštitatita itditd.)..).
27
MoguMoguććnostinosti korikoriššććenjaenja VPN VPN u u SrbijiSrbiji i Si SCGCG
•• ZaZa sadasada -- trtržžiišštete Internet Internet uslugausluga u u SrbijiSrbiji jeje potpunopotpuno liberalnoliberalno..•• PokrivenaPokrivena susu skoroskoro svasva znaznaččajnijaajnija tranzitnatranzitna podrupodruččjaja u u SrbijiSrbiji..•• U U mnogimmnogim tranzitnimtranzitnim podrupodruččjimajima korisnicikorisnici imajuimaju mogumoguććnostnost izboraizbora
viviššee provajderaprovajdera..•• InterkonekcijeInterkonekcije međumeđu skoroskoro svimsvim veveććimim Internet Internet provajderimaprovajderima
((provajderimaprovajderima sasa međunarodnimmeđunarodnim linkovimalinkovima) ) postojepostoje -- uglavnomuglavnom u u BeograduBeogradu. . LokalnihLokalnih interkonekcijainterkonekcija zaza sadasada nemanema..
•• SliSliččanan jeje i i slusluččajaj u u CrnojCrnoj GoriGori..