Bežicne Mreže-Seminarski Rad

Seminarski rad: VPN(Virtuale Private Network)
Univerzitet Mediteran
Fakultet za informacione tehnologije-Podgorica
Magistarske studije
Seminarski rad
iz predmeta
Bežične računarske mreže
Tema: VPN(Virtual Private Network)
Profesor: Student:
Prof. dr Dušan Starčević Ivan Jovović M/02-09
Podgorica, Februar, 2009
IvanJovović Strana 1 od 37
S a d r ž a j:
1. Uvod:............................................................................................ 3
2. Komponente VPN konekcije....................................................... 6
2.1 Remote-Access VPN .............................................................. 7
2.2 Intranet-based VPN ............................................................... 7
2.3 Extranet-based VPN .............................................................. 8
2.4 VPN Zasnovan na MPLS-u................................................... 8
3. Firewall...................................................................................... 10
4. Enkripcija .................................................................................. 12
4.1 IPSec..................................................................................... 14
4.2 AAA Server........................................................................... 15
5. Tunelovanje............................................................................... 16
6. Upustvo za kreiranje-podešavanje VPN konekcije u Windows
XP................................................................................................... 19
7. Konkretan primjer VPN mreže................................................. 25
8. Zaključak ................................................................................... 36
9. Literatura................................................................................... 37
1. Uvod:
Internet predstavlja svjetsku računarsku mrežu, ili mrežu svih mreža koje
slobodno razmjenjuju informacije.Svijet se jako promijenio u poslednjih nekoliko
decenija.Umjesto da se bave samo lokalnim ili regionalnim poslovima mnogi poslovni
subjekti danas moraju voditi računa o globalnim tržištima i logistici. Mnoge kompanije
imaju zastupništva širom svijeta. Svima im je zajednička potreba za održavanje brze,
sigurne i pouzdane komunikacije gdje god im se predstavništva nalazila. Donedavno su
se za održavanje WAN-a (wide area network) koristili zakupljeni vodovi (leased lines).
WAN je imao prednost nad javnom mrežom, kao što je Internet, po pitanjima
pouzdanosti, brzine i sigurnosti. Ali održavanje WAN-a, posebno kad se koriste
zakupljeni vodovi, može postati prilično skupo i često troškovi rastu s udaljenošću
izmedju predstavništva.S toga rjesenje problema je VPN(Virtual Private Network) to je
tehnologija koja omogućava sigurno povezivanje računara ili privatnih mreža u
zajedničku virtuelnu privatnu mrežu i to kroz privatnu ili javnu mrežnu
infrastrukturu(prvenstveno se odnosi na Internet).Za razliku od privatnih mreža koje
koriste iznajmljene linije za komunikaciju,VPN moze raditi i preko javne mreže prilikom
čega se uspostavlja sigurnosni kanal između krajnjih tačaka.To najčešće dovodi do
određene, često velike,novčane uštede.VPN se često umjesto za tehnologiju koristi i kao
skraćenica za privatnu mrežu uspostavljenu preko javne telekomunikacione
infrastrukture.Njveću korist od VPN imaju preduzeća koja imaju prestavnistva
raspoređena u više drzava.Budući da je telefonska veza skupa VPN se pojavljuje kao
odlično rješenje. Osnovna zamisao VPN tehnologije (u daljnjem tekstu umjesto VPN
tehnologije koristit će se samo naziv VPN) je osigurati sigurno povezivanje privatnih
mreža preko javne mreže odnosno Interneta. To se najčešće izvodi tunelovanjem između
dvije tačke. Kod tunelovanja može se sprovoditi kompresija i/ili šifrovanje podataka.
Takođe VPN je moguće koristiti i unutar vlastite lokalne mreže, ali to se rjeđe koristi.
Implementacija može biti programska ili sklopovska, a često se koristi i kombinacija te
dvije implementacije.Po pravilu programska implementacija je dovoljno brza za
šifrovanje/dešifrovanje do 10mbps podataka u realnom vremenu,a za veće brzine koristi
se sklopovka implementacija.Korisnici žele sigurnu i stalnu vezu unutar svoje
mreže,VPN može garantovati sigurnost ali stalnu vezu ne moze garantovati.Propusnost
veze je jednaka svojoj najslabijoj tački.Ako se korisnik spoio modemskom vezom niko
ne moze da garantuje sigurnost veze,može da dodje jednostavno do zagusenja ili
ispada.Tu su u prednosti iznajmljene linije(skuplje) koje predstavljaju pouzdan medij za
prenos podataka.
Zahtjevi:
VPN tehnologija mora osigurati sljedeće zahtjeve a to su:
 Upravljanje adresama – VPN je zadužen za dodjeljivanje klijentskih adresa

unutar privatnih mreža
 Mehanizmi za upravljanje klučevima – VPN mora osigurati generisanje i
osvježavanje klučeva izmedju klijenata.
 Podrška za razne protokole – VPN mora podržavati osnovne protokole koji se
koriste na javnim mrežama(IP.IPX)
Takođe su vrlo bitni sugurnosni zahtjevi koje VPN treba da ispuni:
 Pravo pristupa – VPN osigurava provjeru identiteta korisnika i dozvoljava VPN
pristup samo registrovanim korisnicima.Takođe mora osigurati mogućnost
praćenja dogadjaja.
 Autentifikaciju – VPN mora osigurati da podaci koji dolaze zbilja dolaze s
odredišta s kojeg tvrde da dolaze i osoba koja tvrdi da je pošaljilac to zaista
jeste.Za to se često koristi digitalni sertigikat.(Često se izraz autentifikacija odnosi
samo na provjeru imena korisnika i lozinke)
 Cjelovitost(integritet) podataka –VPN mora osigurati da podatke niko ne mijenja
dok putuju Internetom.Za to najčešće se koristi alogaritam MD5.
 Povjerljivost (tajnost,šifriranje) –VPN mora osigurati podatke tako da ih
niko,osim klijenata odnosno pošaljioca i primaoca ne može pročitati.To se postiže
raznim alogaritmima poput: DES,3DES,RSA,Diffe Hellman algoritma.
S obizirom na mogućnost primjene postoje sljedeća rješenja realizacije VPN:
 Intranet VPN- Koristi se za povezivanje više lokacija unutar jedne organizacije

za prenos podataka se koristi Internet ili WAN
 Extranet VPN- Koristi se za povezivanje dobavljača ili dva poslovna partnera.Za
prenos podataka koristi se Internet ili WAN.
 Udaljeni pristup – Povezuje udaljene korisnike(ili mala prestavništva) sa
lokalnom mrežom preduzeća,povezivanje se obavlja putem modemske veze preko
Interneta ponekad se to naziva(VPDN Virtual Private Dial Network)
Podjela VPN rješenja u zavisnosti od konfiguracije:
 “client-to-server” rješenja –Koristi se kod modemskih (Dial up) rješenja.Najčešći

slučaj je kad se zaposleni želi povezati na na mrežnu infrastrukturu svog
preduzeća preko ISP-a sa terena ili od kuće.
 “server-to-server rješenja”- Korsti se kod spajanja (dvije ili) više odvojenih
mreža.Za to najčešći primjer preduzeće koje se želi spojiti sa svojim
prestavništvom preko Interneta koje je fizički udaljeno.
Problem koji će biti prikazan u mom praktučnom primjeru je tipična računarska

mreža koja se koristi u malim preduzećima,obično ona se sastoji od dva do destetak
računara koji rade na MS Windows operativnim sistemima.Na računaru kojeg sam
odredio da mi bude VPN server instalirao sam Linux operativni sistem sa dodatkom
ZeroShell Net Services.Za testini sistem odabrana je lokalna mreža koja se sastoji od dva
računara(povremeno je koriščen i treći računar) ali zbog jednostavnosti praktičan primjer
je odrađen sa dva računara.
Slika 1. Logička šema VPN mreže
Moj zadatak je da kreiram VPN mrežu-tunel (sigurnu i zaštićenu) izmedju klijenta i Lan
mreže. Što će biti prikazano u praktičnom primjeru.
2. Komponente VPN konekcije
VPN konekcija uključuje sljedeće komponente:
 VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata.

 VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru.
 Internet mreža: Dijeljena ili javna mreža kroz koju prolaze podaci.
 VPN konekcija ili VPN tunel: Dio konekcije u kojoj su naši podaci šifrovani.
 Tunneling protokoli: Protokoli koji se koriste za upravljanje tunelima i
kapsuliranje privatnih podataka (PPTP, L2TP…).
 Podaci koji se šalju kroz tunel: Podaci koji se obično šalju kroz privatni
Point-to-Point link.
 Adrese i lociranje Name Servera: VPN server je odgovoran za dodjeljivanje
IP adresa, koje dodjeljuje preko “default” protokola, DHCP-a ili iz skupa
statičkih IP adresa koje je kreirao administrator. VPN server takodje locira i
daje adrese DNS i WINS servera VPN klijentima.
Slika 2. Tipična struktura VPN mreže
Na slici 2 prikazana je tipična struktura VPN mreže koja najčešće ima glavni LAN(local
area network) u sjedištu kompanije, VPN server, Internet(javna mreža) i ostale mreže u
udaljenim predstavništvima i pojedinačne korisnike.
VPN je, u biti, privatna mreža koja koristi javnu mrežu (najčešće Internet) za spajanje
udaljenih mjesta i korisnika.
2.1 Remote-Access VPN
Remote Access VPN takodje se naziva VPDN (virtual private dial-up network). Taj tip
VPN-a koriste kompanije čiji zaposleni imaju potrebu za spajenjem na privatnu mrežu sa
različitih udaljenih lokacija. Kompanija koja želi uspostaviti Remote-Access VPN sa
puno spoljnih korisnika koristi usluge ESP-a (enterprise service provider). ESP postavlja
NAS (network access server), na kojeg se spoljni korisnici spajaju pomoću desktop client
programa.Internet je sve prisutniji u kombinaciji sa VPN tehnologijama.Remote Access
VPN je rješenje za daljinski pristup koje pruza izuzetne rezultate prije svega za zaposlene
u kompanijama kao i za poslovne partnere,zaposlenima se pruža odgovarajuća
fleksibilnost jer mogu da pristupe mreži bilo kad posle radnog vremena od kuće itd,ovdje
su implementirana i bezbjedonosna rješenja pristup se može ograničiti na određene
servise ili datoteke na koje je obezbijedjen pristup,pristup mreži treba da dodnese veću
produktivnost ali mreža ne smije da bude bezbjedonosno ugrožena. Dobar primjer
kompanije koja treba Remote-Access VPN je velika kompanija sa stotinama trgovačkih
putnika. Remote-Access VPN omogućava sigurnu kriptovanu vezu izmedju privatne
mreže kompanije i udaljenih korisnika.
2.2 Intranet-based VPN
Služi za spajanje dviju mreža tipa LAN to LAN,npr ako neka kompanija ima više
predstavništva koje želi spojiti u jednu privatnu mrežu to može da učini koristeći
Intrenat-based VPN.Postoji nekoliko ključnih prepreka za izgradnju Intrenet-based VPN-
ova:
 ne postoji standardizovani pristup enkripciji
 odstupanje medju proizvodima različitih proizvodjača, što dovodi do

nekompatibilnosti
 nedostatak standarda vezanih za upravljanje javnim ključevima
 nemogućnost Interneta da osigura end-to-end QoS
2.3 Extranet-based VPN
Kada su kompanije blisko povezane npr(kupac s dobavljačem ili poslovnim partnerom),

one mogu izraditi Extraner-based VPN koji ih povezuje LAN to LAN i omogućava svim
kompanijama da medjusobno dijele resurse.Veza se obavlja preko bezbijednog IPsec
tunela.
2.4 VPN Zasnovan na MPLS-u
Velike firme koje imaju filijale na različitim lokacijama morale su da povezuju računare
radi efikasnijeg poslovanja.Njima je porebna privatna mreža VPN koju bi mogli da
administriraju u skladu sa svojim potrebama sigurnosti,rutiranja,dozvola.Virtuelnost se
ogledala u tome sto ta infrastruktura koja se koristi u toj mreži ne pripada samo njoj.
Da vidimo sta je MPLS to je tehnika komutacije paketa u paketskoj mreži.MPLS je
specificirana u dokumentima RFC 3031.Ova tehnika ne pripada ni mrežnom sloju niti
sloju podataka veze (DLL) ISO OSI modela.MPLS je po funkcionalnosti između ta dva
sloja riječ multiprotocol dolazi od mogućnosti da MPLS radi sa bilo kojim protokolom
mrežnog sloja.Ovdje se prvenstveno misli na Internet protokol,nego postoji mogućnost da
se tehnologija poput ATM-a pa čak i Frame – Realy-a mogu uklopiti u koncept MPLS.
MPLS mreža sastoji se od rubnih i unutrašnjih čvorova.Kako radi MPLS mreža kada neki
paket ulazi u MPLS mrežu njemu se na rubnom čvoru dodaje određena
labela(oznaka,naljepnica).Rubni čvor se za paket naziva ingress čvor,u slučaju IP paketa
ta labela se nalijepi ispred zaglavlja.Označeni paket se komutira kroz MPLS mrežu po

ođredjenoj putanji dok ne dođe do odredišnog rubnog čvora(engress čvor).U engress
čvoru skida se labela i paket napušta MPLS mrežu.Svaki čvor u MPLS mreži komutira
paket isključivo na osnovu njegove labele,ne analizirajući sadržaj zaglavlja
paketa.Zaglavlje paketa analizira se samo u egress čvoru tamo se svaki paket dodljejuje
određenij klasi prosledjivanja
Slika 3.VPN mreža realizovana u MPLS tehnologiji
Ograničena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno

upravljanje konekcijama. Ovo je posljedica činjenice da PE router može podržavati više
VPN mreža i ukoliko ima definisanu samo jednu tabelu prosljeđivanja onda ona
treba sadržavati sve rute za sve VPN-ove podržane na ovom router-u. To znači da bi
potencijalno bilo moguće da paketi budu prosljeđivani iz jednog VPN-a u drugi. Rješenje
ovog problema je formiranje više tabela prosljeđivanja. Ukoliko je više lokacija jednog
VPN-a vezano na isti PE router, onda oni dijele jednu tabelu prosljeđivanja, u
suprotnom, svakoj lokaciji (pristupnom portu) pripada samo jedna tabela.
Problem: Poseban problem kod izgradnje MPLS baziranih VPN-ova je činjenica da
ukoliko se koristi BGP protokol on podrazumijeva da su sve IP adrese u mreži
jedinstvene. To naravno u praksi nikada nije slučaj, jer je riječ o privatnim mrežama
unutar kojih se najčešće koristi isti blok IP adresa (privatne adrese definisane u RFC
1918). Dakle, nužno je adrese koje to nijesu, napraviti jedinstvenim. To se postiže
dodavanjem polja fiksne dužine na običnu IP adresu. Ovo polje se zove Route
Distinguisher (RD) i sastoji se iz tri polja:
- Type (2 okteta)
- Autonomous System Number (2 okteta)
- Assigned Number (4 okteta)
Autonomous System Number (AS Number) sadrži autonomni broj VPN davaoca usluge.
Assigned Number definiše sam davaoc usluge i obično je jedinstven za jedan VPN. Sa
stanovišta BGP-a, upravljanje ovakvim, proširenim IP adresama (VPN-IP adrese), je
potpuno jednako kao upravljanje običnim IP adresama. Ove adrese se formiraju na PE
router-u.
3. Firewall
Firewall je sigurnosni element smješten između neke lokalne mreže i javne mreže
(Interneta), a koji je dizajniran kako bi zaštitio povjerljive, korporativne i korisničke
podatke od neautoriziranih korisnika, (blokiranjem i zabranom prometa po pravilima koje
definiše usvojena sigurnosna politika). Nije nužno da svi korisnici u LAN-u imaju
jednaka prava pristupa Internet mreži.Postavljanjem Firewall uređaja između dva ili više
mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika pojedinim
djelovima mreže. U takvom slučaju Firewall je dizajniran da dopušta pristup valjanim
zahtijevima, a blokira sve ostale. Firewall ujedno predstavlja idealno rješenje za kreiranje
Virtualne Privatne mreže jer stvarajući virtualni tunel kroz koji putuju kriptovani
podaci.(omogućava sigurnu razmjenu osjetljivih podataka između dislociranih
korisnika)Firewall je servis (koji se tipično sastoji od firewall uređaja i Policy-a
( pravilnika o zaštiti), koji omogućava korisniku filtriranje određenih tipova mrežnog
prometa sa ciljem da poveća sigurnost i pruži određeni nivo zaštite od provale. Osnovna
namjena Firewall-a je da spriječi neautorizovani pristup sa jedne mreže na drugu. U
suštini, ovo znači zaštitu unutrašnje mreže od Internet-a. Ako vaš sistem raspolaže
Firewall-om, to znači da je odluka o tome šta je dozvoljeno, a šta nije - već donijeta. Ove
odluke su u direktnoj vezi sa politikom sigurnosti vašeg informacionog sistema. Pri
planiranju ponude informacionih servisa, politika sigurnosti određuje opcije konfiguracije
servisa. Osnova rada Firewall-a je u ispitivanju IP paketa koji putuju između klijenta i
servera, čime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u
oba smjera.Za Firewall je tipičan i kompromis između sigurnosti i lake upotrebe. Stav da
"sve što nije dozvoljeno je zabranjeno" zahtijeva da se svaki novi servis individualno
omogućava.
Šta Firewall treba da obezbijedi:
 Mora da implementira politiku sigurnosti. Ako određeno svojstvo nije
dozvoljeno, Firewall mora da onemogući rad u tom smislu.
 Firewall treba da bjeleži sumnjive događaje.
 Firewall treba da upozori administratora na pokušaje proboja i
kompromitovanja politike sigurnosti.
 U nekim slučajevima Firewall može da obezbijedi statistiku korišćenja.
Firewall može biti softverski ili hardverski. Softverski firewall omogućuje zaštitu jednog
računara, osim u slučaju kada je isti računar predodređen za zaštitu čitave mreže.
Hardverski firewall omogućava zaštitu čitave mreže ili određenog broja računara. Za
ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja definišu kakav
mrežni saobraćaj je dopušten u pojedinom mrežnom segmentu. Takvom politikom se
određuje nivo zaštite koji se želi postići implementacijom firewall usluge.Dobra osobina
nekih Firewall-a je da imaju mogućnost da trenutno blokiraju sav saobraćaj između

računara i interneta a da samo dozvoli rad nekih programa.Jedan od boljih softvershih
Firewall-a je AGNITUM za Windows mašine.
Slika 4. Prikaz VPN mreže sa firewall-om, konekcija klijenata
4. Enkripcija
Proces manipulacije računarskih zapisa koji zapise kodira posebnim algoritmima kako bi
se onemogućila njihova upotreba od strane treće osobe. Najčešće se koristi za čuvanje ili
prebacivanje podataka koji čak i ako padnu u ruke treće osobe ne mogu biti upotrijebljeni.
Postoje dvije osnovne grupe algoritama za enkripciju podataka. To su:
 simetrični algoritmi (bazirani na jednom tajnom ključu)
 asimetrični algoritmi (bazirani na tajnom i javnom ključu)
Obje od gore navedenih grupa algoritama baziraju svoj rad na korišćenju nekog javnog i
dobro poznatog algoritma za enkripciju podataka (čija je specifikacija poznata svima). Za
sam postupak kriptovanja odnosno dekriptovanja podataka potrebno je dodatno poznavati
odgovarajući ključ (engl. key) na temelju kojeg algoritama se sprovodi kriptovanje
podataka.To znači da je za enkripciju ili dekripciju podataka osim samog algoritma
potrebno poznavati i ključ na temelju kojeg algoritama kriptuje podatke.
Zavisno u koju od gore navedenih grupa algoritam spada zavisi na koji će se način
sprovoditi enkripcija odnosno dekripcija podataka.Kod simetrične kriptografije isti ključ
se koristi i za kriptovanje i dekriptovanje podataka. Pošiljalac kriptuje podatke tajnim
ključem i tako kriptovanu poruku šalje na odredište. Primalac poruke istim tajnim
ključem može dekriptovati poruku odnosno doći do njenog pravog sadržaja.
Prednosti i nedostaci pojedinih ključeva:
Simetrični (tajni) ključevi (Symmetric, Secret ili Private key)

Prednosti:
 Vrlo brzi
 Mogu biti lagano implementirani u sklopove
Nedostaci:
 Koriste se dva ista ključa
 Nije ih jednostavno distribuirati
Asimetrični (javni) ključevi (Asymmetric ili Public key)

Prednosti:
 Koriste se dva različita ključa
 Vrlo se jednostavno distribuira
 Koriste se digitalni potpisi da bi se osigurao integritet
Nedostaci:
 Spori su
Najčešći algoritmi
DES (Data Encryption Standard)

 koristi 56 bitni ključ nad 64 bitnim blokovima podataka
 algoritam je zaštićen američkim patentom
 bilo je slučajeva probijanja u roku samo nekoliko dana
 simetričan algoritam
 relativno brz algoritam
3DES
 blok podataka se šifrira 3 puta, svaki puta sa različitim ključem
RSA (Rivest, Shamir i Adalman)

 najčešći ključ je 512 bitni (danas ga je već moguće razbiti, ali 1024 bitni još ne)
 asimetričan algoritam
 spori algoritam
 ključ može biti varijabilne duljine
IDEA
 koristi se 128 bitni ključ na 64 bitnim blokovima podataka
 algoritam, programski izveden, je dvostruko brži od DES šifriranja
 nudi dobru sigurnost šifrovanja
RC2 i RC4
 razvio Ron Rivest iz RSA Data Security Inc.
 brži od DES algoritma
 ključ je varijabilne duljine
Skipjack
 preporučila ga je Američka vlada
 implementiran je u Clipper čipu
 80 bitni ključ
Diffie-Hellman
 najstariji asimetrični algoritam, ali je još uvijek u upotrebi
 služi za dogovor oko zajedničkog tajnog ključa putem javne infrastrukture
 opasnost je da se pojavi “napadač u sredini” (presreće međusobne poruke i lažira
ih)
MD5
 to je funkcija koja od teksta proizvoljne duplikate proizvodi 128 bitni

sadržaj(hash)
 opšteprihvaćen, vjerodostojnost da dva različita teksta imaju isti sadržaj je vrlo
mala
SHA
 kao i MD5 samo što proizvodi 160 bitni sadrzaj
Upoređivanje ključeva u zavisnosto od algoritma
Simetrični Asimetrični
56 bitni 384 bitni
64 bitni 512 bitni
80bitni 768 bitni
112 bitni 1792 bitni
128bitni 2304 bitni
4.1 IPSec
IPsec(IPsecurity) predstavlja skup protokola namijenjenih zasticenoj komunikaciji

preko Interneta.Ovi protokoli funkcionisu na 3.sloju OSI modela i sastavni su dio Ipv6
skupa protokola(a mogu se optimalno ukljuciti i unutar Ipv4)Zbog činjenice da
funkcionisu na 3.sloju OSI referentnog modela,Ipsec pruža jedinstvenu i efikasnu zaštitu
i za TCP i za UDP protokole komunikacije preko računarske mreže.
Ipsec se nalazi u jezgru vecine virtuelnih privatnih mreza(VPN-ova).
Ipsec je vrlo slozen,a njegovi djelovi opisani su u preko destak RFC-ova.Sam standard
prvobitno je definisan RFC-ovima [1825 – 1829], objavljenih 1995.godine.
Od tada protokol je doživio popriličan broj izmjena.
Dva kljucna RFC-a su RFC 4301,u kome se opisuje ukupna arhitektura IP bezbijednosti i
RFC 2411,u kome se daje pregled niza protokola Ipsec.
Zaštitni mehanizmi IPsec-a zasnivaju se na:
 Sigurnosnim protokolima: Encapsulating Security Payload (ESP) i

Authentication Header (AH),
 Specifičnoj arhitekturi: Security Association (SA) unosi u Security Association
Database (SAD) u jezgru OS-a i Security Policy (SP) unosi u Security Policy
Database (SPD) u jezgru OS-a.
 Algoritmima za autentifikaciju i kriptiranje (npr. DES, 3DES, RSA, DH, SHA1,
MD5 i dr).
 Protokolima za razmjenu ključeva: Internet Key Exchange (IKE), Internet Key
Exchange v2 (IKEv2), Kerberized Internet Negotiation of Keys (KINK), Just
Fast Keying (JFK) i dr.
IPsec je dizajniran tako da zadovolji dva osnovna zadatka:
• tunelovanje paketa
• transportni način rada.
U prvom slučaju nekoliko računara (ili cijela jedna lokalna mreža) sakriva se iza jednog
čvora te je kao takva nevidljiva ostatku mreže (a samim tim i zaštićena od napada).
U drugom slučaju paketi se šalju između dva krajnja računara na mreži, pri čemu
računaar koji prima paket izvršava sigurnosne provjere prije isporučivanja paketa višim
slojevima. U oba slučaja moguće je izgraditi Virtualne Privatne Mreže – VPN (eng.
Virtual Private Network), što je i osnovna ideja zaštite IPsec protokolima.
Dodatno, kako IP protokol nije pružao nikakve elemente zaštite, ispred IPsec-a
postavljeni su i slijedeći zahtjevi:
 kriptovanje podataka koji se prenose (eng. payload)

 provjera integriteta podataka
 autentifikacija čvorova kroz koje paket prolazi
 omogućavanje tzv. 'Anti-Replay' opcije (zaštita od neovlaštenog odgovora za
vrijeme aktivne sesije)
IPsec protokoli su jednostavni i efikasni, a zaštita koju pružaju vrlo visoka. Zbog toga,
i prethodno navedenih tendencija razvoja sigurnosti računarskih mreža, za očekivati je
kako će u budućnosti sva mrežna komunikacija biti bazirana na IPsec protokolima.
4.2 AAA Server
AAA (authentication, authorization, accounting) serveri se koriste za sigurniji pristup u

Remote-Access VPN okruženje.
Autentifikacija (eng. Authentification) se odnosi na potvrdu da je korisnik koji je
zatražio neku uslugu, ispravan korisnik koji je to dokazao svojim identitetom i
uvjerenjem, npr.lozinkom, digitalnim certifikatima itd.
Autorizacija (eng. Authorization) se odnosi na dozvolu pristupa različitim uslugama

korisniku koji je prošao autentifikacijski proces. Autorizacija se može temeljiti na raznim
ograničenjima npr. vremensko ograničenje, ograničenje na lokaciju, i ograničenje na
višestruki pristup istog korisnika. Autorizacijom se odlučuje koju uslugu korisnik može
koristiti.
Računovodstvo (eng. Accounting) se odnosi na praćenje korisnikove potrošnje mrežnih
resursa . Ova informacija se može koristiti za upravljanje, planiranje, zaračunavanje i u
druge svrhe. Tipičan primjer informacije u računovodstvu je identitet korisnika, vrsta
pružene usluge, kada je usluga počela i kada je završila.
AAA tada provjerava sljedeće:
 ko ste
 što vam je dozvoljeno da radite
 što zapravo radite
5. Tunelovanje
IP paketi koji se razmjenjuju izmedju računara na krajevima VPN kanala su enkriptovani

i nečitljivi ostalim korisnicima Interneta. Unutar lokalnih mreža koje se ovim putem
povezuju paketi su dekriptovani i čitljivi računarima članovima mreže. Na taj način se
postiže isti učinak kao u slučaju dvije spojene mreže posebnim lokalnim ili zakupljenim
vodom, uz sve prednosti takvog načina povezivanja. Ovakva veza se zbog svojih
karakteristika naziva i VPN IP tunel, a sam postupak spajanja IP tunelovanje.
Tunelovanje je metoda pakovanja paketa informacija unutar IP paketa tako da može biti
sigurno poslato preko Interneta ili privatne IP mreže.
Osnovna prednost VPN tunela je što se njegovom upotrebom po cijeni pristupa javnoj
mreži (Internetu) omogućava sigurna razmjena podataka sa korisničkih računara iz dviju
ili više udaljenih mreža kao da se one nalaze na istoj lokaciji, i spojene su u lokalnu
mrežu.
Cijene iznajmljivanja posebnog linka kojim bi se povezale udaljene mreže su u pravilu
višestruko veće.
Postoje tri ključna protokola tunelovanja:
- Point to Point Tunneling Protocol (PPTP) je razvio Microsoft, 3Com i Ascend.

PPTP je protokol koji radi na drugom osi sloju, koji može raditi u ne-IP okruženju, što je
prednost za korisnike koji se služe različitim protokolima a ne samo IP-om. PPTP
osigurava dobru kompresiju, ali mu je sigurnost slabija strana. Ne pruža enkripciju i
upravljanje ključevima, te se oslanja na korisničke lozinke u stvaranju ključeva.
PPTP protokol nema mehanizam autentifikacije mašine, a nivo bezbednosti

autentifikacije korisnika je slab. Nivo bezbednosti tunela je osrednji, kao i otpornost na
kriptografske napade podataka u tunelu. Protokol PPTP je potpuno otvoren za napade
integriteta, falsifikovanje servera, falsifikovanje paketa, i za napade uskraćivanja usluga,
jer za ove napade ne poseduje mehanizme zaštite.
PPTP - princip rada:
Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta

korišćenjem PPP protokola. Klijent-ov kompjuter uspostavlja kontrolnu sesiju sa
udaljenim PPTP serverom (lociranim na poslovnoj mreži). Sesija se uspostavlja
korišćenjem TCP protokola. Klijent-ov računar zahtijeva formiranje tunela sa PPTP
serverom. PPTP server provjerava klijent-ov identitet (AAA funkcije). Ako je korisnik
naveo ispravne podatke, korisničko ime i lozinku, izmedju klijent-ovog kompjutera i
PPTP servera uspostaviće se tunel. Po uspostavljenom tunelu moguće je prenositi kako IP
datagrame, tako i pakete drugih protokola (IPX, DECnet, SNA itd.).
Slika 5. Point to Point Tunneling Protocol - princip rada
Neophodna oprema i softwer:
Na poslovnoj-LAN mreži PPTP server.

Na strani klijenta softwer za pristup koji podržava PPTP.
Standardni Windows DialUp Networking koji podržava PPTP.
Na access serverima ISP provajdera kojima udaljeni klijenti pristupaju mreži, nisu
potrebne nikakve izmjene.
Sami ISP provajderi neće uočiti nikakvu razliku izmedju normalnog IP saobraćaja i
saobraćaja koji se prenosi PPTP tunelima.
Uvodjenjem dodatnog softvera za kriptozaštitu na nivou pojedinih aplikacija moguće je
dodatno zaštititi komunikaciju.
Layer 2 Tunneling Protocol (L2TP) je još jedan protokol drugog sloja koji može raditi u
ne-IP okruženju. Koriste ga primarno pružaoci usluga kako bi objedinili i prenijeli VPN
promet kroz back bone arhitekturu. Kao i PPTP ne pruža enkripciju niti upravljanje
ključevima (iako se preporučuje IPSec za enkripciju i upravljanje ključevima). L2TP

protokol ima iste bezbedonosne karakteristike kao i PPTP protokol, ali je njegova
prednost što funkcionalno može da se integriše sa IPsec protokolom, i kao hibrid
L2TP/IPsec koristi bezbedonosne mehanizme Ipsec protokola.
L2TP - princip rada:
Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta

korišćenjem PPP protokola.
Access server provajdera uspostavlja logički tunel preko Interneta sa L2TP serverom,
lociranim na poslovnoj mreži.
Logički tunel može biti uspostavljen permanentno ili na zahtjev klijenta.
Access server provajdera prosledjuje korisničko ime i lozinku L2TP serveru, koji obavlja
autentifikaciju korisnika.
Ako je identitet korisnika ispravan, access server će:
 Prihvatiti PPP pakete od korisnika, skidati im zaglavlje i CRC.
 Prepakovati tako dobijeni paket u L2TP paket.
 Proslijediti L2TP paket kroz logički tunel
Layer 2 Tunneling Protocol (L2TP)- princip rada
IPSec (IP security) je IETF protokol koji vodi brigu o cjelovitosti podataka i sigurnosti.
Pokriva enkripciju autentifikaciju i razmjenu ključeva. IPSec uključuje 168-bitni
enkripcijski ključ, iako veličina ključa može varirati zavisno o sposobnostima svakog
kraja veze. IPSec naglašava sigurnost autentifikacijom oba kraja tunela, pregovarajući o
enkripcijskom protokolu i ključu za enkripciju. No IPSec je ograničen na IP okruženja,
svaki korisnik mora imati dobro definisanu javnu IP adresu, te ne može funkcionisati na
mrežama koje koriste NAT (network address translation).
Analiza tri protokola Virtuelnih privatnih mreža sa aspekta bezbednosti u ovom radu, i sa
ocenom njihovih bezbedonosnih mehanizama ukazuje da je IPsec protokol rešenje izbora
u projektovanju Virtuelnih privatnih mreža gde je bezbednost, zahtjev sa najvećom
težinom.
Slika 5. VPN tunel
Na slici 3 prikazano je VPN tunelovanje. Na jednoj strani imamo klijenta a na drugoj

grupu servera. Izmedju njih postavljen je VPN server-gateway. Pošto izmedju klijenta i
VPN servera postoji Internet, crvenom bojom je označen VPN tunel. Zelenom bojom su
označeni enkriptovani podaci koji “putuju” od klijenta do grupe servera.
6. Upustvo za kreiranje-podešavanje VPN konekcije u

Windows XP
Otvorite START menu (u donjem lijevom uglu), potom idite na Control Panel. Nakon
toga naći opciju Network Connections pa kliknite na Create a new connection. Sa ovim
korakom počinjemo kreiranje VPN konekcije u Windows operativnom sistemu.
Kada smo kliknuti na opciju Create a new connection pojaviće se novi prozor u kojem u
kojem je potrebno kliknuti opciju Next.
Kada smo kliknuli opciju Next u sljedećem prozoru izaberemo opciju Connect to the
network at my workplace. Ova opcija nam daje mogućnost da se konektujemo na
poslovnu mrežu, koristeći VPN opciju, nezavisno od toga odakle mi pokušavamo da se
konektujemo na poslovnu mrežu. Možemo se konektovati iz kuće, poslovne kancelarije
ili sa neke druge lokacije.
U sljedećem prozoru izaberemo opciju Virtual Private Network connection. Ova opcija
nam “govori” da se možemo konektovati na poslovnu mrežu koristeći virtualnu privatnu
konekciju koristeći internet usluge.
U polju Company Name ukucati naziv konekcije (na primjer IVAN VPN connection).
U polju VPN Server Selection ukucati ime ili adresu VPN servera (ja ću ovdje napisati
adresu VPN servera koju sam koristio u konkretnom primjeru, koji je objašnjen na kraju
rada).
Nakon toga kliknuti opciju Next, a sljedeći prozor nam omogućava da kreiranu konekciju
postavimo na desktop-u našeg računara – čekiranjem opcije Add a shortcut to this
connection to my desktop i kliknuti opciju Next.
Poslije kreirane konekcije na ekranu će se pojaviti novi prozor, u kom je potrebno upisati
nekoliko parametara i ćekirati nekoliko opcija. U poljima Username i Password ukucati
odgovarajuće parametre koje smo definisali u konkretnom primjeru. Poslije ukucavanja
username i pasworda čekirati opcije: Save this user name and password for the following
users i Anyone who uses this computer. Čekiranjem prve opcije korisnik kaže da mu se
snimi username i password , a čekiranjem druge opcije potvrdjuje da ti parametri budu
snimljeni nezavisno koliko user-a postoji na tom računaru.
Poslije toga kliknuti na opciju Properties, Security, Advanced i Settings. U polju Data
Encryption selektovati opciju Optional Encryption(connect even if no encryption).
Selektovai opcju Unencrypted password (PAP).
Na kartici Networkiing potrebno je izabrati tip VPN konekcije, Automatic, PPTP VPN,
L2TP IPSec VPN.
Poslije svih ovih radnji klijent uspješno uspostavlja VPN konekciju
7. Konkretan primjer VPN mreže
Popis opreme koja je korisćena
 VPN server Fujitsu-Siemens instalirao sam Linux operativni sistem sa dodatkom

ZeroShell Net Services.
 Računar 1
Operativni sistem Windows XP SP3
IP-adresa: 192.168.0.0/24
 Računar 2
Operativni sistem Windows XP SP3
IP-adresa: 192.168.0.0/24
D-Link wirless router DSL –G684-T
VPN klijent računar
Praktičan primjer VPN konekcije:
Na slici je prikazan postupak logovanja na Zeroshall server
Slika 6. Logovanje na ZeroShall server
Sada ću preko Web interfejsa konfigurisati parametre VPN mreže:

Za ETH00 konfigurisaću odgovarajuću IP adresu i Subnet Mask, klikom na dugme Add
IP.
Slika 7. Podešavanje parametara za ETH00
Kreiranje konfiguracije DB(database):

Kada popunimo sva polja kliknemo na dugme Create i time smo sačuvali konfiguraciju.
Poslije toga omogućimo konfiguraciju na dugme Enable database configuration.
Slika 8. Podešavanje konfiguracije
Slika 9. Podešavanje parametara za ETH01
U ruter meniju izaberemo NAT i postavimo Network Address Translation kao na slici:
Izvorna IP adresa na odlaznim paketima, kada je uključen NAT na eth01 biće automatski
prevedena koristeći routing tabelu a paketi će se proslijediti na odredište.
Slika 10. Podešavanje parametara za NAT
Slika 11. Podešavanje parametara za NAT
Kreiranje firewall sertifikata se odradjuje klikom na dugme „X.509 CA“ pa na SETUP.
Slika 12. Kreiranje firewall sertifikata
Slika 13. Kreiranje firewall sertifikata
Sada kreiramo user-e i klijente, koji će biti u stanju da se konektuju koristeći VPN. U
podmeniju USERS izaberemo ADD.
Popunimo polja postavljajući „jaku“ lozinku, koja je takodje mjera obezbjedjenja. Onda
smo sigurni u Host-to-Lan VPN (L2TP/Ipsec); ovo će omogućiti korisniku da uspostavi
sigurnu vezu. Sada izaberemo HOSTS i pritisnemo ADD.
Slika 14. Kreiranje usera
Slika 15. Kreiranje hostova-klijenata
„Izvoz“ sertifikata za udaljene host-ove:

Dok kreiramo host Dalmatinska.zeljkostankovic.com firewall kreira sertifikat-fajl za ovaj
host. Koristeći dugme EXPORT treba da sačuvamo u ekstenziji pem i pfx.
Slika 16. Kreiranje pem-sertifikata
Slika 17. Kreiranje sertifikata
Poslije toga izaberemo opciju Local Computer/Finish. Poslije Toga kliknemo desnim
tasterom miša na Personal/Import i importujemo sertifikat koji smo konfigurisali.
Sika 18. Prikaz kreiranog sertifikata
Slika 19. Importovanje sertifikata
Slika 20. Importovanje sertifikata
Slika 21. Ukucavanje odgovarajućeg password-a za importovani sertifikat
Slika 22. Uspješno importovani sertifikati
Sada moramo kreirati Microsoft VPN konekciju, koju sam detaljno opisao u ovom radu,
prije ovog konkretnog primjera-tako da ću se zadršati samo na glavna podešavanja. U
polju VPN Server Selection ukucati adresu eth01: 52.52.52.1.
Slika 23. Javna IP adresa (eth01)
Sad možemo vidjeti koji port protokoli moraju biti otvoreni (zatvoreni) u ovom VPN-u.
Eksterni host-klijent (10.10.10.1) i interni webserver (192.168.0.100) koriste 80 i 443 tcp
portove (http i https) .
Slika 24. Firewall-podešavanje protokola
8. Zaključak
VPN je privukao pažnju mnogih organizacija koje žele povećati svoje sposobnosti
umrežavanja i smanjiti njihove troškove. Uspjeh VPN-a u budućnosti zavise uglavnom o
razvoju tehnologije.
VPN zahtijeva dobro razumijevanje problema sigurnosti javnih mreža i preduzimanje
mjera opreza kod postavljanja. Osim toga dostupnost i performanse VPN-a neke
organizacije zavise o faktorima koji su izvan njihove kontrole, a zbog ne postojanja
standarda VPN tehnologije različitih proizvodjača često su nekompatibilne.
Najveća vrijednost VPN-a leži u potencijalnom smanjenju troškova kompanija.
Ukoliko cijene medjunarodnih poziva i zakupljenih vodova nastave padati sve ce manji
broj kompanija imati potrebu za prebacivanjem na VPN za udaljeni pristup. U protivnom
ako se VPN standardi usaglase i različiti proizvodi postanu kompatibilni povećati će se
potražnja. Uspjeh VPN-a takodje zavisi i o mogućnosti intraneta i ekstraneta da obave
adekvatno svoje zadatke.
Virtuelne privatne mreže su ekonomična zamjena za prave privatne mreže sa
iznajmljenim linijama. Privatnost ovih mreža,odredjena je bezbjednošću protokola koje
koriste. Tri najzastupljenija protokola u Virtuelnim privatnim mrežama, PPTP, L2TP i
Ipsec.
9. Literatura
[1] VPN Tutorial, An introduction to VPN software, VPN hardware and protocol
solutions http://compnetworking.about.com/od/vpn/l/aa010701a.htm
[2] How Virtual Private Networks Work by Jeff Tyson http://www.howstuffworks.com
[3] Virtual Private Networks (VPNs), International Engineering Consortium
http://www.iec.org
[4] International Technical Support Organization, A Comprehensive Guide to Virtual
Private Networks, Volume III: Cross-Platform Key and Policy Management, November
1999.
[5] Stallings, W.: Cryptography and Network Security, Prentice Hall, 1998.
[6] Rosen, E., Rekhter, Y.: BGP/MPLS IP Virtual Private Networks (VPNs), RFC 4364,
February 2006.
[7] Andrew S. Tanenbaum, Computer Networks, Third edition, Prentice-Hall, Inc., 1996.
[8] James F. Kurose, Keith W. Ross, Computer Networking: A Top Down Approach
Featuring the Internet, Addison Weslez, 2001
[9] http://www.netcraftsmen.net/
[10] http://www.cisco.com/
[11] www.google.com
[12] www.wikipedija.org

Bežicne Mreže-Seminarski Rad

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bežicne Mreže-Seminarski Rad

Uploaded by

Copyright:

Available Formats

Seminarski rad: VPN(Virtuale Private Network)

Bežične računarske mreže

Tema: VPN(Virtual Private Network)

Podgorica, Februar, 2009

VPN tehnologija mora osigurati sljedeće zahtjeve a to su:

 Upravljanje adresama – VPN je zadužen za dodjeljivanje klijentskih adresa

S obizirom na mogućnost primjene postoje sljedeća rješenja realizacije VPN:

 Intranet VPN- Koristi se za povezivanje više lokacija unutar jedne organizacije

Podjela VPN rješenja u zavisnosti od konfiguracije:

 “client-to-server” rješenja –Koristi se kod modemskih (Dial up) rješenja.Najčešći

Problem koji će biti prikazan u mom praktučnom primjeru je tipična računarska

Slika 1. Logička šema VPN mreže

2. Komponente VPN konekcije

VPN konekcija uključuje sljedeće komponente:

 VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata.

Slika 2. Tipična struktura VPN mreže

2.1 Remote-Access VPN

2.2 Intranet-based VPN

 ne postoji standardizovani pristup enkripciji

 odstupanje medju proizvodima različitih proizvodjača, što dovodi do

2.3 Extranet-based VPN

Kada su kompanije blisko povezane npr(kupac s dobavljačem ili poslovnim partnerom),

2.4 VPN Zasnovan na MPLS-u

ta labela se nalijepi ispred zaglavlja.Označeni paket se komutira kroz MPLS mrežu po

Slika 3.VPN mreža realizovana u MPLS tehnologiji

Ograničena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno

 U nekim slučajevima Firewall može da obezbijedi statistiku korišćenja.

nekih Firewall-a je da imaju mogućnost da trenutno blokiraju sav saobraćaj između

Slika 4. Prikaz VPN mreže sa firewall-om, konekcija klijenata

Simetrični (tajni) ključevi (Symmetric, Secret ili Private key)

Asimetrični (javni) ključevi (Asymmetric ili Public key)

DES (Data Encryption Standard)

RSA (Rivest, Shamir i Adalman)

 to je funkcija koja od teksta proizvoljne duplikate proizvodi 128 bitni

56 bitni 384 bitni

64 bitni 512 bitni

80bitni 768 bitni

112 bitni 1792 bitni

128bitni 2304 bitni

IPsec(IPsecurity) predstavlja skup protokola namijenjenih zasticenoj komunikaciji

Zaštitni mehanizmi IPsec-a zasnivaju se na:

 Sigurnosnim protokolima: Encapsulating Security Payload (ESP) i

IPsec je dizajniran tako da zadovolji dva osnovna zadatka:

 kriptovanje podataka koji se prenose (eng. payload)

4.2 AAA Server

AAA (authentication, authorization, accounting) serveri se koriste za sigurniji pristup u

Autorizacija (eng. Authorization) se odnosi na dozvolu pristupa različitim uslugama

IP paketi koji se razmjenjuju izmedju računara na krajevima VPN kanala su enkriptovani

Postoje tri ključna protokola tunelovanja:

- Point to Point Tunneling Protocol (PPTP) je razvio Microsoft, 3Com i Ascend.

PPTP protokol nema mehanizam autentifikacije mašine, a nivo bezbednosti

PPTP - princip rada:

Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta

Slika 5. Point to Point Tunneling Protocol - princip rada

Neophodna oprema i softwer:

Na poslovnoj-LAN mreži PPTP server.

ključevima (iako se preporučuje IPSec za enkripciju i upravljanje ključevima). L2TP

L2TP - princip rada:

Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta

Layer 2 Tunneling Protocol (L2TP)- princip rada

Slika 5. VPN tunel

Na slici 3 prikazano je VPN tunelovanje. Na jednoj strani imamo klijenta a na drugoj

6. Upustvo za kreiranje-podešavanje VPN konekcije u