Presentation is loading. Please wait.

Presentation is loading. Please wait.

V I R T U E L N E P R I V A T N E M R E Ž E

Published byHans Dominik Gerhardt Modified over 6 years ago

Similar presentations

Presentation on theme: "V I R T U E L N E P R I V A T N E M R E Ž E"— Presentation transcript:

1 V I R T U E L N E P R I V A T N E M R E Ž E
Elektrotehnički fakultet Univerziteta Beogradu V I R T U E L N E P R I V A T N E M R E Ž E Đ o r đ e I l i ć / 2000

2 Šta je virtuelna privatna mreža?
Virtuelna privatna mreža (Virtual Private Network) u svojoj osnovi predstavlja privatnu mrežu koja se uspostavlja preko javne infrastrukture,ali zadržava sigurnost i zaštitu privatne mreže.

3 Šta je virtuelna privatna mreža?
Virtuelna (Virtual) odnosi na činjenicu da je uspostavljena privatna mreža u stvari logičke prirode, tj. nastaje logičkom podelom javne mreže koju u isto vreme koristi veliki broj korisnika i organizacija. Privatna (Private) Minimalno: nema mešanja saobraćaja sa saobraćajem izvan te mreže, i omogućena je podrška za privatni adresni prostor. Moguće kriptovanje i zaštita saobraćaja Mreža (Network) koriste je dva ili više korisnika

4 VPN: Prednosti Prednosti virtuelnih privatnih mreža:
Povećanje geografske pokrivenosti. Uštede u iznajmljenim linijama. Uštede u udaljenim i međunarodnim dial-up pozivima. Mogućnost brzog dodavanja novih udaljenih korisnika. Smanjenje potrebne opreme za remote-access. Uštede u ljudstvu.

5 VPN: Mane Mane virtuelnih privatnih mreža:
VPN mreže zahtevaju dobra znanja o security-ju (zaštiti podataka), prvenstveno u pogledu hakerskih napada i konfiguracije VPN uređaja za rad u sprezi sa firewall-ovima. Mogućnost korišćenja VPN-a (dostupnost i QoS) zavise od faktora van kuće (od kvaliteta usluge koju daje Internet Service Provider ISP) i naročito je izraženo u našim uslovima. Ukoliko VPN konekcija simulira rad računara u LAN-u, u zavisnosti od kvaliteta VPN servera i veze sa ISP-om, protok podataka između računara umreženih u VPN-u je osetno sporiji u odnosu na LAN. Pitanje interoperabilnosti raznih proizvođača. Ovo je izraženo za sve tehnologije u razvoju, a ima veliku ulogu pri izgradnji Extranet VPN-a gde svaki VPN segment (svaki partner, organizacija i sl) ima uređaje kupljene od različitog proizvođača.

6 VPN – principski zahtevi
Principski zahtevi koji se postavljaju pred jednu IP VPN mrežu su sledeći: Koncept tajnosti tj. privatnosti (security), u okviru koga imamo: Autentikacija –identifikacija korisnika ili uređaja pre nego što se napravi VPN konekcija Integritet podataka - predstavlja dokaz da prilikom prenosa sadržaj nije izmenjen. Poverljivost podataka - pod ovim se podrazumeva da podaci, prilikom prenosa, nisu mogli biti pročitani i iskorišćeni od treće strane Enkapsulacija – pod ovim podrazumeva kako će korisnička informacija, kao podatak, biti enkapsulirana i prenešena preko mreže. Višeprotokolna podrška (multiprotocol supporl) - VPN mreža bi trebalo da podrži razmenu podataka pod različitim protokolima (IP. IPX ...). Upravljanje adresama (address menagement) - privatne adrese koje korisnici imaju u okviru VPN mreže ne smeju da budu dostupne na javnoj mreži. Garantovani kvalitet usluge (QoS) - pod ovim se obično podrazumevaju propusni opseg dostupan korisnicima, maksimalna kašnjenja paketa i garancija isporuke paketa.

7 Komponente VPN-a Protokoli Firewall Bezbednost

8 VPN komponente: Protokoli
GRE- enkapsulacioni metod da uzme pakete iz jednog protokola, enkapsulira ih u IP paket i transportuje enkapsulirani paket preko IP osnove. Point to Point Protocol (PPP) Point to Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSec Pretty Good Privacy (PGP) najčešće se koristi u besplatnom softveru da omogući sigurnost i nije protokol koji se često koristi u izgradnji VPN-a. Secure Socket Layer (SSL) obezbeđuje sigurnost transakcija baziranih na HTTP-u, i dostupnih pomoću popularnih browser-a. Secure Shell (SSH) je protokol koji se primarno koristi da omogući bezbedno izvršavanje komandi na udaljenim mašinama koristeći IP mrežu. Socks - izlazi Socks servera se ponašaju kao povezujući čvor između klijenta i željene destinacije host-a. Multi-Protocol Label Switching (MPLS)

9 VPN komponente: Protokoli
Application --- Pretty Good Privacy - --- SSL, TLS,SOCKS, SSH --- IPSec --- MPLS --- PPTP, L2TP --- Hardware Encryption Transport Network Data Link Physical

10 VPN komponente: Protokoli
Firewall prati sav saobraćaj kroz mrežu i štiti mrežu od upada neautorizovanih korisnika. Najčešće korišćeni tipovi filtriranja: u zavisnosti od IP adresa omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od nihovih IP adresa. u zavisnosti od portova omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od broja porta.

11 VPN komponente: Bezbednost
Kriptovanje Poverljivost se postiže pomoću algoritama za kriptovanje koji emuliraju privatnost linka Autentikacija identifikacija korisnika ili uređaja pre nego što se napravi VPN konekcija

12 VPN komponente: Algoritmi kriptovanja
Simetrični Asimetrični simetrični algoritmi -jedinstven ključ za kriptovanje i dekriptovanje. asimetrični algoritmi - par ključeva od kojih se jedan koristi za kriptovanje a drugi za dekriptovanje. Ključevi iz para su matematički povezani.

13 VPN komponente: Autentikacija
Uređaja - pristup VPN-u na osnovu autentikovanih informacija koje udaljeni VPN uređaj prosleđuje. Nedeljivi ključevi Digitalni potpis Korisnika - da li korisnik koji pristupa VPN mreži ima pravo pristupa i da li je on stvarno taj za koga se izdaje. nešto što znaš nešto što imaš nešto što jesi

14 Način iznajmljivanja linije: Terminacija VPN konekcije:
VPN: Tipovi Tip ostvarene konekcije: Način iznajmljivanja linije: Terminacija VPN konekcije: Remote Access Router to router Intranet Extranet Poverljiva Sigurna Hibridna Provajderska IN HOUSE OUTSOURCED

15 VPN: Tipovi WAN VPN Home Office Main Office POP Remote Office POP
Intranet VPN – povezivanje organizacionih delova jedne kompanije u jednu Intranet mrežu Home Office Main Office WAN VPN POP Remote Office Business Partner Extranet VPN – povezuje klijente, partnere. više korporacija u jednu mrežu POP Mobile Worker Remote Access VPN – konekcija se ostvaruje na relaciji udaljeni korisnik mreža

16 Remote access VPN Global ISP Global ISP Dial Access Dial-up ISP
Modem Access Wireless Access Internet Radio Connection Corporate Network ISDN/DSL/Cable ISP Modem Access Wired Connetion VPN Tunnel

17 Intranet VPN Remote Office Network Corporate Network VPN Tunnel
Database Internet VPN Proxy Server VPN Proxy Server Web Compute VPN Tunnel Unencrypted Encrypted/Authenticated

18 Extranet VPN Extranet Integrated Firewall & VPN Server
Web Data Server Web Commerce Server Extranet Business Partner Database Internet Web Integrated Firewall & VPN Server Compute Corporate Network Technical Collaborator

19 VPN: Tipovi Poverljive VPN: korisnik iznajmljuje poverljive linije od provajdera i koristi ih za komunikaciju bez prekida Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe strane pri prenosu podataka. Hibridna VPN: mešavina sigurne i poverljive VPN. Korisnik kontroliše sigurnosne puteve VPN-a, dok je provajder odgovaran sa aspekta poverljivosti Provajderski omogućene VPN: čitava VPN je administrirana od strane provajdera.

20 VPN: IN HOUSE/OUTSOURCED
Customer A Site 2 CE Customer A Site 1 Community RED CE PE Tunel(i) terminiran na strani korisnika => IN HOUSE PE Community RED P P PE P The provider network Customer B Site 1 PE CE Community BLUE Customer B Site 2 CE Tunel(i) terminiran na strani ISP-a =>OUTSOURCED Community BLUE

21 Arhitektura VPN-a

22 IP virtuelna privatna mreža
IP virtuelna privatna mreža je skup korisnika (pojedinačnih klijenata i/ili mreža) povezanih na Internet preko svojih provajdera Internet usluga (ISP- Internet Service Provider). Koristi IP kao protokol. Branch Offices Remote Workers Deljena IP mreža Internet Corporate Headquarters Customers, Suppliers Uređaji u IP VPN-u: CPE (Customer Premisses Equipment) - odgovarajući korisnički uređaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi specijalni VPN uređaji) NAS (Network Access Server) - uređaj pomoću kojeg provajder usluga obezbeđuje korisniku Internet pristup HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mreže povezuje na Internet preko NAS-a.

23 IP VPN: Enkapsulacija Enkapsulacija je proces u kome protokol nižeg nivoa preuzima paket protokola višeg nivoa, nad njim vrši zahtevanu obradu, dodaje svoje zaglavlje i kreira novi paket.

24 IP VPN: Tunelovanje Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog protokola, ali pri tome je drugi protokol na istom ili višem nivou nego prvi

25 IP VPN: Tunelovanje Korak 2 Korak 1. Korak 3
Originalni IP paket enkapsuliran u drugi IP paket Original IP New IP packet Packet Workstation Router A Router B Original IP Y Workstation Tunel Tunel paket dest Y Korak 1. Korak 3 X Original IP Originalni, nerutabilni Originalni paket ekstrakovan, poslat na destinaciju packet dest Y IP Paket poslat ruteru

26 IP VPN: Vrste tunelovanja
Dve osnovne vrste tunelovanja: Dobrovoljno tunelovanje (Voluntary tunnels) Tunelovanje uspostavljeno na zahtev korisnika (Zahteva klijentski softver na udaljenom računaru) Obavezno tunelovanje (Compulsory tunnels) Tunelovanje kreirano od strane NAS-a ili rutera (Podrška za tunelovanje neophodna na NAS-u ili ruteru)

27 Dobrovoljno tunelovanje
Pokriva celokupnu konekciju Radi na bilo kom uredjaju Tunelovanje transparentno čvorovima i posredničkim uređajima Korisnik mora imati klijentski software za tunelovanje kompatibilan sa serverski softverom za tunelovanje PPTP, L2TP, L2F, IPSEC, IP-IP, etc. Istovremen pristup Intranet-u (pomoću tunelovanja) i Internet-u Radnici mogu koristiti lične naloge za pristup korporacijskim podacima Udaljene poslovne aplikacije Dial-up VPN za nizak obim saobraćaja

28 Dobrovoljno tunelovanje
Dobrovoljni PPTP tunel D i a l I P A c e s p r o t v d V N S P P T P V i r t u a l I n t e r f a c e S e r i a l I n t e r f a c e c e s s P P T P A c c e s s C l i e n t H o s t S e r v e r S e r v e r

29 Obavezno tunelovanje Radi sa bilo kojim klijentom
Ne pokriva celokupnu konekciju (deo između CPE i NAS-a nije zaštićen tunelovanjem) NAS mora podržavati isti metod tunelovanja Ali… Tunelovanje transparentno srednjim routerima Pristup mreži kontrolisan od tunel servera Korisnički podaci mogu putovati samo kroz tunel Internet pristup omogućen Mora biti predefinisan Velika kontrola Može biti praćen

30 Non-routed forwarding path Internet or VPN Service
Obavezno tunelovanje Obavezni L2TTP tunel PPP access protocol V.x modem protocol Client Host Non-routed forwarding path Dial Access Provider Internet or VPN Service L2TP Access Server Dial Access Server L2TP

31 Protokoli za tunelovanje
Protokoli za tunelovanje drugog nivoa: PPP PPTP L2TP

32 IP VPN: PPP PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji, i njegova osnovna funkcija je ostvarivanje veze dial-up tipa između udaljenog korisnika i NAS-a. Postoje četiri faze uspostavljanja PPP veze PRVA FAZA - FAZA USPOSTAVLJANJE LINKA DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA

33 IP VPN: PPP PRVA FAZA - FAZA USPOSTAVLJANJE LINKA
Uspostavljanje linka se vrši pomoću LCP protokola (l.ink Control Protocol). Tokom ove faze se uspostavlja fizička veze između udaljenog korisnika i NAS-a, zatim sledi izbor protokola kojim će se vršiti autentikacija korisnika, i na kraju se određuje da li će se u toku sesije vršiti kriptovanje i kompresija paketa koji se razmenjuju. DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA U ovoj fazi koristi prethodno ugovoreni protokol za autentikaciju. U većini implementacija PPP podržava ograničeni skup protokola za autentikaciju. PAP (Password Authentication Protocol). CHAP (Challenge Handshake Authentication Protocol). MSCHAP (Microsoft-ova verzija CHAP-a) i MSCHAP-2 (unapređena verzija MSCHAP-a).

34 IP VPN: PPP TREĆA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA
Ako se koristi, tada odmah nakon završetka druge faze veza se prekida, a zatim server (NAS) poziva korisnika. Ovim se uvodi dodatna mera zaštite, jer se NAS može konfigurisati tako da dopušta samo veze sa određenih telefonskih brojeva. ČETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA U ovoj fazi se aktivira kontrolni protokol na mrežnom nivou (izabran u prvoj fazi obično je to IPCP) koji će konfigurisati protokole koje koristi udaljeni klijent. MPPC – kompresija MPPE - kriptovanje

35 IP VPN: PPTP Koristi TCP 1723 & PPP unutar GRE paketa
Razvijen od strane konzorcijuma koji su činili Microsoft, 3Com, Ascend, RASCOM, ECI Telematics Pušten u upotrebu sa Windows NT® Kritikovan iz sigurnosnih razloga Glavna primena kod remote-access VPN Tunelovanje pretežno dobrovoljno PPTP informacije RFC 2637, Jul 1999

36 IP VPN: PPTP konekcija Kreiranje sigurnog komunikacionog kanala korišćenjem PPTP prokola se obično sastoji od tri koraka: kreiranje PPP konekcije između korisnika i NAS-a, kreiranje PPTP kontrolne konekcije, kreiranje PPTP konekcije i prenos podataka.

37 IP VPN: PPTP konekcija 1. Uspostavljanje dial-up vezu između udaljenog korisnika i NAS-a koristeći PPP protokol.

38 IP VPN: PPTP konekcija 2. Između PPTP klijenta (udaljenog korisnika) i PPTP servera kreira PPTP kontrolna konekcija korišćenjem TCP protokola.

39 IP VPN: PPTP konekcija 3. Parametri za PPTP kanal se dogovaraju preko kontrolnog kanala, i PPTP tunel se formira

40 IP VPN: PPTP konekcija 4. Druga PPP je formirana od strane udaljenog korisnika, pomoću tunela formiranog između PAC-a i PNS-a, i privatne mreže NAS-a

41 IP VPN: PPTP konekcija 5. IP datagrami ili neki drugi datagrami se šalju unutar PPP paketa

42 Primer PPTP tunelovanja
PPTP Client Computer SMB Packets PPP Encapsulator PPTP Interface SLIP Interface IP Packets PPTP Server Computer IP Packets PPP Decapsulator PPTP Interface ISP Gateway IP GRE Packets SMB Packets SLIP Interface IP Packets

43 Primer PPTP tunelovanja
TCP/IP Packet IP Header TCP Header Payload Data PPP Encapsulator PPP Header IP Header TCP Header Payload Data PPTP Interface IP GRE Header PPP Header IP Header TCP Header Payload Data SLIP Interface SLIP Header IP GRE Header PPP Header IP Header TCP Header Payload Data Modem

44 IP VPN: L2TP Napravljen od strane IETF PPP Extensions
KombinacijaCisco L2F & PPTP protokola, L2TP Extensions radna grupa ga objavila Omogućava slanje tunelovanih PPP paketa e samo preko IP, već i preko X.25, Frame Relay, ATM mreža Koristi UDP za kontrolne i pakete podataka, dobro poznati port 1701 Koristi PPP za enkapsulaciju paketa Za kriptovanje podataka zadužen MPPE Postojanje jedne konekcije za slanje obe vrste paketa. Moguće uspostavljanje više tunela između dva korisnika

45 IP VPN: LAC L2TP Access Concentrator (LAC)
Pretežno povezan na više običnih telefonskih ili ISDN linija Samo mu treba implementacioni medij, preko kojeg L2TP radi kako bi prosledio ka jednom ili više LNS-a Pretežno inicijator dolaznih a primalac odlaznih poziva

46 IP VPN: LNS L2TP Network Server (LNS)
Radi na bilo kojoj platformi koja podržava PPP Zadužen za serversku stranu L2TP protokola skalabilnost je kritična U mogućnosti da prekine bilo koju vezu pristiglu od bilo kog LAC PPP interfejsa (async, ISDN, PPP preko ATM, PPP preko Frame Relay) Inicijator odlaznih poziva Primalac dolaznih poziva

47 Telecommuter Employees = L2TP Encapsulated Tunnel
IP VPN: L2TP u mreži Customer Premise Equipment Service Provider Remote, Telecommuter Employees Internet, Frame Relay, ATM Network LNS LAC PSTN ISDN Corporate Network/ Servers Analog RADIUS RADIUS = L2TP Encapsulated Tunnel

48 Kako L2TP uređaj radi... Korak 1
Udaljeni korisnik inicira sesiju ili poziv LAC-u KORAK 1 Service Provider CPE LAC Remote, Telecommuter Employees LNS Internet, Frame Relay, ATM Network PSTN ISDN Analog RADIUS RADIUS

49 Kako L2TP uređaj radi... Korak 2
LAC šalje autentikovan zahtev Radius serveru, koji autentikuje poziv i formira konfiguracione informacije o kreiranju, tipa L2TP tunela i krajnje tačke tunela. Service Provider CPE Remote, Telecommuter Employees LAC LNS Internet, Frame Relay, ATM Network PSTN ISDN Analog KORAK 2 RADIUS RADIUS

50 Kako L2TP uređaj radi... Korak 3 Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira korisnički PPP frejm i tuneluje ga preko mreže LNS uređaju KORAK 3 Service Provider CPE Remote, Telecommuter Employees LAC LNS Internet, Frame Relay, ATM Network PSTN ISDN Corporate Network/ Servers Analog RADIUS RADIUS

51 Kako L2TP uređaj radi... Korak 4
LNS služi kao prekidna tačka gde je enkapsulirani L2TP frejm razvijen i pušten u dalju obradu. PPP Frejm je posle poslat višim slojevima i korisnicima lokalne mreže. Service Provider KORAK 4 CPE LAC Remote, Telecommuter Employees LNS Internet, Frame Relay, ATM Network PSTN ISDN Analog RADIUS RADIUS

52 IP VPN: IPSec IPSec nalazi se na trećem nivou OSI referentnog modela
Osnovni aspekti zaštite koju pruža IPSec su: autentikacija porekla podataka (autentikacija korisnika). očuvanje integriteta podataka (autentikacija podataka) tokom prenosa, tajnost podataka, koja se postiže kriptovanjem. IPSec može se koristiti između: Dva gateway-a Dva hosta Hosta i njegovih gateway-a Tri najvažnija podprotokola: Authentication Header (AH) Encapsulation Security Protocol (ESP) Internet Key Exchange (IKE)

53 Gde se IPSec može koristiti...
Internet/ Intranet IPSec između 2 hosta SG SG Internet/ Intranet IPSec između 2 gateway-a

54 Gde se IPSec može koristiti...
Internet SG Intranet IPSec između 2 hosta + 2 gateway-a Internet SG Intranet IPSec između dva hosta tokom dial-up-a

55 IPSec: Protokoli Authentication Header (AH)
koristi se za proveru identiteta pošiljaoca podataka i otkrivanje namernih izmena nad podacima tokom prenosa mrežom. Izvodi se metodama digitalnog potpisivanja podataka. Encapsulation Security Protocol (ESP) koristi se u slučajevima kada je bitno očuvati tajnost prenesenih podataka. Uz tajnost, ESP polje IPSec paketa čuva autentičnost i verodostojnost podataka. Za stvaranje ESP polja podataka koriste se metode jake kriptografije u sprezi s metodama digitalnog potpisivanja podataka. Internet Key Exchange (IKE) Koristi se za dogovaranje autentikacijskih metoda, kriptografskih algoritama i dužina ključeva, te za razmenu samih ključeva među članovima u komunikaciji.

56 Authenticaton Header - AH
Autentikacija AH-om se sastoji od dva aspekta: autentikacije porekla podataka (data origin authentication), tj. provere da li su podaci stvarno poslati od korisnika sa kojim se komunicira verifikacije integriteta podataka (data integrity), tj. provere da li je došlo do promene sadržaja paketa u toku prenosa Za verifikaciju integriteta podataka se koriste takozvani HMAC (Hashed Message Authentication Codes) algoritmi. Primeri najčešće korišćenih algoritama za verifikaciju integriteta su MD5 (Message Digest 5) i SHA (Secure Hash Algorithm) Autentikacija obuhvata ceo paket

57 Authenticaton Header - AH
parametri Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze nakon AH zaglavlja. Dužina zaglavlja je takode 8-bitno polje koje definiše dužinu AH zaglavlja u 32-bitnim rečima. Rezervisano polje je 16-bitno polje rezervisano za buduću upotrebu. SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama. Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack). Vrednost za proveru integriteta je polje promenljive dužine, pri čemu je dužina celobrojni umnožak od 32 bita. Sledeće zaglavlje Dužina zaglavlja Rezervisano polje Security Parameters Index Redni broj Vrednost za proveru integriteta

58 Encapsulation Security Payload - ESP
Koristi se za kriptovanje podataka, ali može da vrši i autentikaciju Kriptovanje se obično vrši pomoću sledećih algoritama: DES (Dala Encrvption Standard) 3DES AES IDEA (International Dala Encryption Algorithm) Blowfish RC4 (Rivest Cypher 4) Autentikacija ESP-om ne obuhvata ceo IP paket, za razliku od AH. Za autentikaciju se koriste HMAC algoritmi.

59 ESP zaglavlje SPI je 32-bitno polje u kojem se nalazi tzv. Security Parametar Index. SPI je broj usko povezan sa sigurnosnim asocijacijama. Redni broj je 32-bitno polje u kome se nalazi redni broj paketa (sequence number), koje služi za prevenciju od napada ponavljanjem (replay attack). Dopuna (padding), čija je dužina od 0 do 255 okteta. Svrha ovog polja je da produži polje sa podacima do neke zahtevane dužine. Dužina dopune je 8-bitno polje u kome je, kao što mu ime kaže, zapisana dužina polja dopune. Sledeće zaglavlje je 8-bitno polje u kome se nalazi broj koji specificira kom protokolu pripadaju podaci koji se nalaze pre ESP zaglavlja. ESP autentikacija sadrži u sebi vrednost za proveru integriteta Security Parameters Index (SPI) – 32 bits Redni broj 32 bits Podaci Dopuna/ Sledeće zaglavlje Vrednost za proveru integriteta

60 Poređenje AH i ESP Bezbednosni aspekt AH ESP
Layer-3 IP protocol number 51 50 Omogućava integritet podataka Da Omogućava autentikaciju podataka Omogućava enkripciju podataka Ne Zaštita od ponovnih napada na podatke Radi sa NAT Radi sa PAT Štiti IP pakete Štiti samo podatke

61 Modovi rada IPSec-a Transportni mod
Enkapsulacija podataka iz IP paketa. IP zaglavlje je nezaštićeno Zaštita omogućena za više slojeve Obično se koristi u host-host komunikaciji Tunelski mod Enkapsulira ceo IP paket Pomaže u zaštiti analize saobraćaja Originalni IP paket je zaštićen na Internetu

62 Transportni mod AH Internet/ Intranet Original IP Header TCP
Payload Data Bez IPSec Original IP Header TCP Payload Data Auth Next Header Payload Length SPI Seq. No. MAC

63 Tunelski mod AH Internet SG Intranet Original IP Header TCP
Payload Data Bez IPSec Original IP Header TCP Payload Data Auth New IP Next Header Payload Length SPI Seq. No. MAC

64 Transportni mod ESP Original IP Header TCP Payload Data Bez IPSec
Trailer Auth Encrypted Authenticated

65 Tunelski mod ESP Original IP Header TCP Payload Data Bez IPSec-a
Trailer Auth New IP Encrypted Authenticated

66 Sigurnosna asocijacija - SA
Sigurnosna asocijacija je relacija koja se uspostavlja između učesnika u komunikaciji. Sa SA se definišu sigurnosni parametri komunikacije (protokoli, algoritmi, ključevi) SA sadrži sve sigurnosne parametre potrebne da se obezbedi siguran prenos paketa i definiše sigurnosna polisa koja se koristi u IPSec-u SA je jednosmerna, tj. u slučaju dvosmerne komunikacije potrebne su dve asocijacije.

67 Sigurnosna asocijacija - SA
Svaka SA sedefiniše pomoću tri vrednosti: SPI (Security Parametars Index) - slučajno generisani broj kojim se SA identifikuje i služi da razlikuje SA koje su između istih destinacija i koje se odnose na isti protokol, IP adresom odredišta - za sada su to samo unicast adrese, mada je u daljem razvoju predviđeno da se mogu koristiti i multicast i broadcast adrese. identifikatorom sigurnosnog protokola za koji se SA koristi (AH ili ESP). Paket je poslat od Toma ka Lori bez SA IKE u oba sistema počinje pregovaranje Pregovaranje završeno, SA uspostavljena Siguran paket poslat

68 Sigurnosna asocijacija - SA
Svaki uređaj koji koristi IPSec održava dve baze podataka u kojima smešta podatke o uspostavljenim SA. SPD - Security Policy Database. SAD - Security Association Database. SPD je baza podataka koja se konsultuje pri obradi celokupnog IP saobraćaja koji prolazi kroz uređaj. U sebi sadrži: listu postupaka obrade (policy entry) kojima je definisano kakav će se način obrade paketa primenjivati. U SAD su smešteni podaci o svakoj SA koju je uređaj uspostavio sa nekim od drugih korisnika VPN. Ti podaci su: protokol za koji je definisana SA, algoritme koji se koriste za autentikaciju i/ili kriptovanje, mod rada (transportni ili tunelski), redni broj paketa, vreme života SA (vreme u kome će se postojeća SA terminirati i opciono zameniti drugom).

69 Internet Key Exchange - IKE
Osnovna namena IKE protokola je: kreiranje sigurnosne asocijacije razmena ključeva za autentikaciju, odnosno kriptovanje Protokol transportnog nivoa IKE-a UDP IKE štiti SA Funkcionisanje IKE-a se odvija u dve faze: Formiranje ISAKMP sigurnosna asocijacija Osnovni mod (main mod) Agresivni mod (agressive mod) razmenjivanje poruka pomoću kojih se kreira IPSec sigurnosna asocijacija. Brzi mod (quick mode) Mod nove grupe (new group mode)

70 Internet Key Exchange - IKE
Parametar Jaka Jača Algoritmi kriptovanja DES 3DES Heš algoritmi MD5 SHA-1 Autentikacioni metod Preshared RSA signatures Razmena ključeva Diffie-Hellman group 1 Diffie-Hellman group 2 Vreme trajanja asocjacije 86,400 seconds Manje 86,400 secs.

71 Modovi razmene IKE-a Osnovni mod Agresivni mod Brzi mod

72 Kako radi IPSec..

73 IP VPN: L2TP/IPSec IPSec
1. IPSec IKE pregovaranje 3. L2TP tunel setup, upravljanje preko IPSec-a 2. Uspostavljanje IPSec ESP SA za L2TP, UDP port 1701 4. Autentikacija korisnika na domen L2TP Autentikacija na domen Korisnički ID/Password Smart Card/EAP Tunelovanje saobraćaja IPSec Kriptovanje L2TP Autentikacija Sertifikati uređaja

74 IP VPN: Poređenja Protokol PPTP L2TP L2TP/IPSec IPSec Vrsta mreže IP
IP, ATM, Frame relay Autentikacija korisnika Da Autentikacija tunela Ne Autentikacija paketa Višeprotokolna podrška Protokol za kriptovanje MPPE EPS Primena pretežno kod remote-access pretežno kod router-to- router Vrsta tunelovanja pretežno dobrovoljno dobrovoljno i obavezno

75 VPN i firewall A - VPN paralelno sa firewall-om: U ovom slučaju imamo dve tačke ulaza u intranet. Mora se obratiti velika pažnja na ispravnu konfiguraciju VPN-a. B - VPN iza firewall-a: U ovom slučaju ne postoji kontorola nad VPN saobraćajem u firewall-u. Postavlja se pitanje u kojoj meri se veruje korisnicima VPN-a. C - VPN ispred firewall-a: U ovakvoj konfiguraciji sav saobraćaj prolazi kroz VPN. U ovom slučaju firewall služi za nadgledanje dolaznog VPN saobraćaja. Ova primena je najčešća kod Extranet VPN-a. D - VPN integrisano sa firewall-om. Potrebno je poznavati tehnike firewall-a te je i konfigurisanje uređaja zahtevnije. Uređaj je zahtevniji po pitanju performansi i kompatibilnosti pravila filterovanja sa VPN servisima. E - Firewall sa obe strane. Ovo rešenje je skuplje i koristi se u slučaju velikog stepena zaštite.

76 Contains an encrypted hash of the original packet header
VPN i NAT/NATP Problemi Zaglavlje paketa modifikovano, nevažeći paket IKE sesija kroz NAT NAT uređaji koji rade u transportnom modu NAT Orig IP Hdr TCP Hdr Data AH Hdr Insert NAT1 Hdr NAT2 Hdr Contains an encrypted hash of the original packet header NAT1 Hdr NAT1 Hdr NAT2 Hdr

77 VPN i NAT/NATP IETF pod imenom NAT Traversal (NAT-T) predložio rešenje problema: Primeniti NAT pre IPSec-a Izvršiti NAT na uređaju koji je na putanji pre IPSec uređaja, Koristiti uređaj koji je u stanju da vrši i IPSec i NAT obradu.

78 Kako NAT-T radi Orig IP Hdr TCP Hdr Data ESP Hdr Insert Rest…
UDP src 4500, dst 4500 Poslat od A Primljen od B UDP src XXX, dst 4500 NAT1 Hdr NAT2 Hdr

79 Realizacija pristupa VPN

80 Konfiguracija u središtu VPN-a
Središte VPN mreže Extranet VPN modul Modul za interne VPN korisnike

81 Frame Relay VPN Veze su između Frame Relay korisnika su tipa tačka-tačka i mogu ostvariti se pomoću: permanentnih virtuelnih kola (PVC - Permanent Virtual Circuit) Problem: skalabilnost komutiranih virtuelnih kola (SVC - Switched Virtual Circuit) Formira se zatvorena grupa korisnika Niko spolja ne može da pristupi korisnicima iz ovog skupa, niti oni mogu da komuniciraju sa nekim spolja

82 Frame Relay VPN IP L2TP Frame Korak #2 Ingress interfejs je podešen za Tunel 1 i L2TP + IP je napravljen i poslat korektan I/F Korak #3 PE B prima Paket, uklanja IP/L2TPv3 zaglavlje. Preostalo Frame Relay zaglavlje se prepisuje sa DLCI 43 i prosleđuje Enterprise Site-u A. Korak #1 Enterprise Hub šalje frejm sa destinacijom Enterprise Site-a A preko PE A Frame DLCI 43 Frame DLCI 29 DLCI 43 Enterprise Site A Tunnel 1 PE B DLCI 28 PE A Tunnel 2 PE C DLCI 54 DLCI 29 Enterprise Hub IP Core Enterprise Site B

83 Frame Relay VPN Osnovne prednosti Frame Relay VPN su:
Garantovani kvalitet usluge od strane provajdera servisa.. Višeprotokolna podrška (mulliprotocol support). Pošto Frame Relay funkcioniše na drugom OSI nivou, korisnici nisu ograničeni samo na IP (kao kod IPSec VPN mreža) nego interno mogu koristiti i druge mrežne protokole. Troškovi kojima su opeterećeni korisnici servisa su ograničeni na početne investicije u pristupnu opremu i ugovorene mesečne obaveze. Nedostaci Frame Relay VPN mreža su: Nepostojanje podrške za udaljene korisnike (remote-access), što je uslovljeno prirodom ove vrste servisa. Geografska ograničenost Frame Relay servisa samo na prostor u kome postoji postoji pristup servisu provajdera (POP - Point Of Presence).

84 MPLS VPN Glavna ideja MPLS-a je objedinjavanje najboljih osobina mreža sa uspostavljanjem veze (connection-oriented) i mreža bez uspostavljanja veze (connectionless). MPLS zaglavlje se naziva labela Od protokola na trećem nivou (odnosno lP-a) MPLS je nasledio protokole za rutiranje, stanju mreže i dostupnosti uređaju u okviru nje. Prilikom uspostavljanja konekcije formira se virtuelno kolo - LSP (Label Switclied Path). LSP se sastoji od niza labela Za distribuciju labela LSP-a su zaduženi protokoli: CR-LDP (Constraint base Route Label - Distribution Protocol) RSVP-TE (Resource reSuorce reserVation Protocol - Traffic Engineering). Podela: L2 MPLS VPN, odnosno mreže drugog nivoa. L3 MPLS VPN, mreže trećeg nivoa. Prednosti MPLS VPN mreža u odnosu na IPSec VPN: Garantovani kvalitet usluge koju nudi MPLS. Ne postoji potreba za korišćenjem NAT-a

85 L2 MPLS VPN L2 MPLS VPN mreže služe za prenos ATM, Frame Relay, ili paketa nekog od protokola drugog nivoa. Internet Traffic: ATM VC1 terminated, IP packets delivered to provider 2 Provider 2 Provider 1 Subscriber A ATM Access ATM Access Subscriber A VPN Traffic: ATM VC2 mapped to MPLS LSP “tunnel”

86 L3 MPLS VPN Implementacija L3 MPLS:
L3 MPLS VPN mreže su namenjene za prenos IP saobraćaja. VPN A/Site 1 VPN A/Site 2 VPN A/Site 3 VPN B/Site 2 VPN B/Site 1 VPN B/Site 3 CEA1 CEB3 CEA3 CEB2 CEA2 CE1B1 CE2B1 PE1 PE2 PE3 P1 P2 P3 10.1/16 10.2/16 10.3/16 10.4/16 Implementacija L3 MPLS: pomoću tehnike virtuelnih tabela za rutiranje i prosleđivanje (Virtual Routing and Forwarding tables - VRF). pomoću tehnike virtuelnih rutera (Virtual Router - VR).

87 Praktični aspekti korišćenja VPN
Performanse VPN zavise isključivo od izbora Internet provajdera Kad god je moguće koristiti usluge jednog provajdera Neophodno je analizirati mrežu provajdera sa stanovništva: Topologije mreže, protoci na okosnici (backbone) i poprečnim linkovima Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN Mogućnost pružanja dodatnih servisa (npr L2TP tunneling) Cena zakupa linka i usluga provajdera Kad god je moguće primeniti odgovarajuće mere zaštite (access lists, firewalls, kriptozaštita).

88 Mogućnost korišćenja VPN u Srbiji
Za sada - tržište Internet usluga u Srbiji potpuno liberalno Pokrivena su skoro sva značajnija tranzitna područja u Srbiji U mnogim tranzitnim područjima korisnici imaju mogućnost izbora više provajdera Interkonekcije među skoro svim većim Internet provajderima (provajderima sa međunarodnim linkovima) postoje – uglavnom u Beogradu. Lokalnih interkonekcija za sada nema. Internet provajderi u Srbiji omogućavaju uslugu uspostavljanja virtuelnih privatnih mreža Firme u Srbiji koje uspešno koriste virtuelne privatne mreže: DELTA M MediaWorks Poreska uprava

89 Razlozi za uvođenje VPN mreža
Statistički podaci Razlozi za uvođenje VPN mreža Veličina instaliranih i planiranih VPN mreža

90 Vrste instaliranih i planiranih VPN mreža
Statistički podaci Vrste instaliranih i planiranih VPN mreža Korišćeni protokoli

91 Statistički podaci Najvažniji proizvođači: AT&T UUNET Infonet Genuity

Download ppt "V I R T U E L N E P R I V A T N E M R E Ž E"

Similar presentations

1 Chapter 2: Networking Protocol Design Designs That Include TCP/IP Essential TCP/IP Design Concepts TCP/IP Data Protection TCP/IP Optimization.

1 Chapter 2: Networking Protocol Design Designs That Include TCP/IP Essential TCP/IP Design Concepts TCP/IP Data Protection TCP/IP Optimization.
IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.

IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.
Securing Remote PC Access to UNIX/Linux Hosts with VPN or SSH Charles T. Moetului WRQ, Inc. (206) 217-7048

Securing Remote PC Access to UNIX/Linux Hosts with VPN or SSH Charles T. Moetului WRQ, Inc. (206)
McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.

McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.
IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.

IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.
WAN Technologies Dial-up modem connections Cheap Slow

WAN Technologies Dial-up modem connections Cheap Slow
Faten Yahya Ismael.  It is technology creates a network that is physically public, but virtually it’s private.  A virtual private network (VPN) is a.

Faten Yahya Ismael.  It is technology creates a network that is physically public, but virtually it’s private.  A virtual private network (VPN) is a.
VPN TUNNELING PROTOCOLS PPTP, L2TP, L2TP/IPsec Ashkan Yousefpour Amirkabir University of Technology.

VPN TUNNELING PROTOCOLS PPTP, L2TP, L2TP/IPsec Ashkan Yousefpour Amirkabir University of Technology.
VPN Wireless Security at Penn State Rich Cropp Senior Systems Engineer Information Technology Services The Pennsylvania State University © 2003. All rights.

VPN Wireless Security at Penn State Rich Cropp Senior Systems Engineer Information Technology Services The Pennsylvania State University © All rights.
Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 23 Virtual Private Networks (VPNs)

Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 23 Virtual Private Networks (VPNs)
Virtual Private Network (VPN) SCSC 455. VPN A virtual private network that is established over, in general, the Internet – It is virtual because it exists.

Virtual Private Network (VPN) SCSC 455. VPN A virtual private network that is established over, in general, the Internet – It is virtual because it exists.
Computer Net Lab/Praktikum Datenverarbeitung 2 1 Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls.

Computer Net Lab/Praktikum Datenverarbeitung 2 1 Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls.
12-Sep-15 Virtual Private Network. Why the need To transmit files securely without disclosing sensitive information to others in the Internet.

12-Sep-15 Virtual Private Network. Why the need To transmit files securely without disclosing sensitive information to others in the Internet.
WAN Technologies Dial-up modem connections

WAN Technologies Dial-up modem connections
1 Chapter 8 Panko, Corporate Computer and Network Security Copyright 2004 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.

1 Chapter 8 Panko, Corporate Computer and Network Security Copyright 2004 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.
1 Chapter 8 Copyright 2003 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.

1 Chapter 8 Copyright 2003 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.
1 Security Protocols in the Internet Source: Chapter 31 Data Communications & Networking Forouzan Third Edition.

1 Security Protocols in the Internet Source: Chapter 31 Data Communications & Networking Forouzan Third Edition.
IP Security: Security Across the Protocol Stack. IP Security There are some application specific security mechanisms –eg. S/MIME, PGP, Kerberos, SSL/HTTPS.

IP Security: Security Across the Protocol Stack. IP Security There are some application specific security mechanisms –eg. S/MIME, PGP, Kerberos, SSL/HTTPS.
Virtual Private Network. ATHENA Main Function of VPN  Privacy  Authenticating  Data Integrity  Antireplay.

Virtual Private Network. ATHENA Main Function of VPN  Privacy  Authenticating  Data Integrity  Antireplay.
VLAN Zoran Španović MCSE / CCNA Služba za opšte i zajedničke poslove Pokrajinskih organa APV.

VLAN Zoran Španović MCSE / CCNA Služba za opšte i zajedničke poslove Pokrajinskih organa APV.

Similar presentations

Ads by Google