MR - Virtuelne Privatne Mreže

Univerzitet Singidunum
Beograd, Bulevar Zorana inia br. 44

Departman za postdiplomske studije
Master studije

-Master rad-
Virtuelne privatne mree

- Studijski program-
Savremene informacione tehnologije

Univerzitet Singidunum
Beograd, Bulevar Zorana inia br.44

Mentor: Kandidat:

_______________________ _______________________
Prof. Dr Ranko Popovi Marijanovi Vuk
Br. Indeksa: 410280/2009

Beograd, 2011

Sadraj

1. Uvod......................................................................................................1
2. Metodologija naunog istraivanja.............................................................2
2.1. Predmet istraivanja....................................................................2
2.2. Ciljevi istraivanja.......................................................................2
2.3. Metodi i tok istraivakog procesa..............................................3
2.4. Struktura rada.............................................................................3
3. ta predstavljaju virtuelne privatne mree?..........................................4
4. Zato koristiti VPN?.............................................................................5
5. Klasifikacija virtuelnih privatnih mrea................................................6
5.1. Koncept realizacije.......................................................................6
5.1.1. VPN na nivou aplikacije........................................................6
5.1.2. VPN na mrenom sloju..........................................................7
5.1.3. VPN na nivou sloja veze.........................................................8
6. Scenario razvoja Virtuelnih privatnih mrea........................................9
6.1. Intranet........................................................................................9
6.2. Extranet..........................................................................................9
6.3. VPN du viestrukih autonomnih sistema................................10
6.4. Istovremeni VPN i Internet pristup...........................................11
6.5. Hijerarhijske VPN......................................................................13
6.6. Scenario viestrukog pristupa...................................................14
7. Bezbednost...............................................................................................15
7.1. Protokoli: PPTP, L2TP, Ipsec..................................................17
7.2. Analiza bezbednosti..................................................................20
8. Brzina i mogunosti.............................................................................22
9. Konfiguracija VPN konekcije..............................................................24
9.1. Kako radi VPN konekcija..........................................................24
9.1.1. Proces VPN konekcije-koraci................................................24
9.1.2. Prednosti VPN-a...................................................................24
9.2. Komponente VPN konekcije......................................................25
9.3. Encryption protokoli za VPN konekcije......................................25
9.4. Konfiguracioni zahtevi za VPN server.......................................26
9.5. Konfiguracija VPN-a za udaljene sajtove...................................27
10. Postavljanje VPN server.....................................................................28
11. VPN zasnovane na Internet protokolu i MPLS-u..............................29
11.1. Komutacija korenjem labela....................................................30
11.2. VPN zasnovane na MPLS-u.......................................................32
12. Open VPN.........................................................................................36
12.1. Ugraena sigurnost i kriptografski algoritmi..............................37
12.2. Praktini pr. spajanja dve lokacije upotrebom stat. kljua.........38
12.3. Praktini pr. spajanja dve lokacije upotrebom stat. sertifikata...41
13. Primer implementacije VPN-a...........................................................46
14. Postupak kreiranja Virtuelne private mree......................................48
15. Primer za implementaciju Cisco IPSec VPN servisa.........................55
16. Primer administracije VPN naloga u MUP-u Crne Gore...................58
17. Realizacija VPN-a u preduzeu Tehpro D.O.O. Beograd..................65
18. Zakljuak...........................................................................................74
19. Literatura..............................................................................................75
Virtuelne privatne mree Marijanovi Vuk

1

1. Uvod

Lokalne mree su svakodnevnica, sreemo ih na svakom koraku u poslovnim
okruenjima a sve vie i u kunim, kada je prisutno vie od jednog raunara. Osim toga,
nemali je broj sluajeva da jedna firma ima vie lokacija bilo u istom gradu ili u vie gradova
ili zemalja. Pretpostavimo li da na svakoj od tih lokacija postoji lokalna mrea, zahtev za
njihovo povezivanje i meusobnu razmenu podataka namee se sam od sebe. Jedan od
osnovnih naina za ostvarivanje takve veze koji se do sada koristio, a i dalje se koristi, je
povezivanje pomou iznajmljene linije, sa modemima i ruterima kao hardverskom podrkom.
Zakup linije na lokalnom nivou sada i nije previe skup pa tako ostaje samo izdatak za
odgovarajuu opremu.

Virtuelne privatne mree se zaista mnogo koriste i koristie se jos vie u budunosti.
Preveliko je interesovanje za njih i ako se ukuca naziv na Internetu kao rezultat dobija se
mnotvo radova i tekstova vezanih za VPN i to je ujedno i jedan od mnogo razloga zato je
ova tema odabrana. Najvie radova adekvatnih za prezetentaciju i obradu ove teme moe se
nai na sajtu jedne od najveih komjuterskih organizacija- IEEE Computer Society.

Virtualna privatna mrea VPN (Virtual Private Network) je tehnologija koja
omoguava sigurno povezivanje privatnih mrea u zajedniku virtualnu privatnu mreu kroz
javnu mrenu infrastrukturu. Virtualne privatne mree to ine preusmeravanjem putem
Interneta ili neke druge javne mree na nain koji prua istu sigurnost i znaaj kao i privatna
mrea. Virtualne privatne mree omoguavaju povezivanje geografski udaljenih lokacija na
nain koji je ekvivalentan korienju iznajmljenih linija.

VPN vam nudi prednosti modemske veze za telefonsko povezivanje uz jednostavnost i
fleksibilnost Internet veze. Internet veza omoguava vam da se poveete s resursima irom
sveta i istovremeno se, na veini mesta, poveete sa svojom kancelarijom tako da uputite
lokalni poziv najbliem telefonskom broju za pristup Internetu. Ako imate brzu internet vezu
kao to je kablovska ili digitalna pretplatnika linija (DSL) na raunaru i u kancelariji, sa
svojom firmom moete komunicirati pri punoj internet brzini. To je mnogo bre od bilo koje
modemske veze koja koristi analogni modem.Virtuelne privatne mree koriste veze ija je
autentinost proverena kako bi se samo ovlaeni korisnici mogli povezati s vaom mreom i
koristiti ifrovanje. Na taj nain ostali korisnici ne mogu presresti ni koristiti podatke koji
putuju putem Interneta.

Prednosti koje dolaze iz upotrebe Virtualne privatne mree su beskrajne. Neke od glavnih
ukljuuju brzinu, fleksibilnost, privatnost, finansijske pogodnosti. Pogodnosti za virtualnu
privatnu mreu ne treba podceniti. One su znaajne i mogu u potpunosti izmeniti nain na
koji radite svoj posao.


2

2. Metodologija naunog istraivanja

2.1 Predmet istraivanja
Predmet ovog istraivanja predstavljaju virtuelne privatne mree, njihov nain
funkcionisanja, razlozi zato se koriste i kako se dele, kako se konfiguriu i kako se realizuju.

Rad sadri kako teorijska objanjenja tako i praktine prikaze VPN. Date su definicije,
objanjene su prednosti korienja VPN-a, data je njihova podela a obuhvaena je i
bezbednost. Pokazano je kako se vri VPN konekcija i kako se postavlja VPN server. Postoje
i dva su primera u radu gde se na slikama vidi kako se one realizuju u stvarnim uslovima.

2.2 Ciljevi i zadaci istraivanja

Cilj rada je jednostavan teorijski prikaz pojma virtuelnih privatnih mrea, podele istih i
naina realizovanja njenih konekcija i postavljanja servera bez praktine primene koja je
planirana za drugi pristupni rad.

Nauni cilj ovog pristupnog rada je istraivanje i sistematizacija znanja o virtuelnim
privatnim mreama.

Drutveni cilj Kako ivimo u informatikom svetu u kojem raste broj korisnika kompjutera,
mobilnih telefona i PDA ureaja virtuelne privatne mree e sve vie zauzimati svoje mesto
jer mnoge firme ve imaju a mnoge e tek koristiti i uivati u pogodnostima virtuelnih
privatnih mrea pa ovde imamo nameru da objasnimo buduim korisnicima sve prednosti ove
tehnologije.

Osnovni pojmovi koji su od znaaja za rad su:

Virtuelne privatne mree,
IP,
MPLS.
VPN konekcija i VPN server
Open VPN
VPN server


3

2.3 Metodi i tok istraivakog procesa

Istraivanje je podrano saznanjima iz meunarodne naune i strune literature, odnosno
saznanjima drugih autora koji su u svojim lancima i knjigama istraivali problematiku
kojom se bavi i ovaj rad. U toku istraivanja, korieno je est principa naunog saznanja:
objektivnost, pouzdanost, optost, sistematinost, preciznost i istorinost ili razvojnost.

Na osnovu postavljenog cilja ovog istraivanja odabrane su metode koje e svojom
kombinacijom sainjavati metodiku rada. U izradi ovog rada korieno je vie metoda kao to
su: metoda modelovanja, metoda analize i sinteze, induktivna i deduktivna metoda i metoda
klasifikacije.

2.4 Struktura rada

Rad se sastoji iz 19 poglavlja. U uvodu je data osnovna definicija i prednosti VPN-a i
ukratko su dati najvaniji razlozi koji idu u prilog VPN-u.
Metodologija istraivanja je nakon uvoda i odmah posle slede dva poglavlja u kojima se
jasno stavlja do znanja ta predstavljaju VPN i zato ih trebamo koristiti. Logian redosled
podrazumevao bi klasifikaciju VPN-a i ona je u poglavlju 5. Zatim tu je scenario razvoja
VPN-a koji se sastoji iz est delova.
Poglavlje 7 tie se bezbednosti VPN dok u poglavlju 8 date su brzine i mogunosti u vidu
testiranja VPN kanala sa SDES simetrinom enkripcijom. Poglavlje 9 detaljno objanjava
konfiguraciju VPN konekcije a postavljanje VPN servera je dato u poglavlju 10. Virtuelne
privatne mree zasnovane na Internet protokolu i MPLS-u su u poglavlju 11.
Posebno interesantan pojam u radu odnosi se na OpenVpn i on je detaljno obraen u
poglavlju 12. Sa realizacijom u radu poinje se u poglavlju 13 gde je dat prvi primer
implementacije VPN-a. Odmah zatim nastavlja se sa realizacijom i vec u sledeem poglavlju
14 u najmanji korak dat je postupak kreiranja Virtuelne privatne mree. Poglavlje 15 sadri
primer za implementaciju Cisco IPSec VPN servisa. Zatim u poglavlju 16 dat je primer
administracije VPN naloga u Ministarstvu unutranjih poslova Crne Gore. U 17 poglavlju
data je realizacija VPN-a u preduzeu TEHPRO D.O.O. Beograd koja je i vrhunac ovoga
rada.
Svrha zakljuka u radu je da podseti na prednosti korenja VPN mrea kao i da podseti
na glavne elemente vezane za ovu temu.


4

3. ta predstavljaju virtuelne privatne mree?

Od vremena kada je ljudska populacija stekla mogunost komunikacije, imamo potrebu
da odreeni deo te konverzacije privatizujemo, odnosno ograniimo broj onih koji uestvuju
u toj komunikaciji. Bez obzira na prenosni medij, kreirane su razliite tehnologije za
skrivanje sadraja komunikacije od neeljenih slualaca: od obinog aputanja pa sve do
dananjih zatienih (skremblovanih) TV kanala. Privatnom konverzacijom razdvajamo
pozvani auditorijum od svih ostalih. Generalno gledano, postoje dva naina za privatizovanje
konverzacije: fizika separacija, gde samo odabrana publika moe da pristupi komunikaciji, i
ifriranje informacije, gde mnogi mogu da registruju odaslane signale, ali samo oni odabrani
mogu i da razumeju taj signal. Kada se komunikacija odvija u nekom od javnih medija,
skrivanje, tj. ifriranje informacije je jedina solucija.

U istorijskom smislu gledano, Internet je nova vrsta medija koja je napravila velike
izmene u nainu na koji ljudi meusobno komuniciraju, a istovremeno je fundamentalno
izmenio i socijalnu i komercijalnu interakciju. Pri tome, u sferi poslovanja Internet je rapidno
postao komunikacioni medij izbora. Zbog toga se ovde posebno istie problem poslovne
privatne komunikacije, jer je Internet javni medij. U tehnologiji virtuelnih privatnih mrea
(virtual private network - VPN), primenjene su brojne razliite mrene tehnologije radi
postizanja cilja - obezbeivanja privatnosti poslovne komunikacije unutar javne Internet
infrastrukture.

Koncept virtuelnih privatnih mrea (VPN) sastavljen je iz dva dela: virtuelne mree, koja
lei na vrhu sveprisutne interkonekcije na Internetu, i privatne mree za poverljivu
komunikaciju i ekskluzivnu upotrebu. U frazi VPN ono "virtuelna" implicira da ne postoji
izdvojena fizika mrena infrastruktura. Umesto toga, imamo fiziki jednu mrenu
infrastrukturu (Internet), koju deli veliki broj razliitih logikih mrea (podmrea). Na
primer, moete koristiti isti mreni pristupni tok za pristup Internetu, za konekciju na razliite
korporativne sajtove, i za pristup drugim poslovnim mreama. Ovakve virtuelne mree
omoguavaju konstrukciju dodatnih logikih mrea samo izmenom konfiguracije razliitih
ureaja. Ovakav pristup donosi bri razvoj i smanjenje trokova koji bi se utroili na
postavljanje fizike infrastrukture. Moda je i bitniji aspekt virtuelnih mrea "privatnost".
Osnovni cilj privatnih mrea je odravanje poverljivosti informacija (podataka), tako da oni
mogu biti primljeni samo od strane onih kojima su i upuene.


5

4. Zato koristiti VPN?

Nakon upoznavanja sa osnovnim konceptom virtuelnih privatnih mrea u prethodnom
prilogu, pokuaemo da vam navedemo nekoliko glavnih razloga za upotrebu Internet
orijentisanih VPN-a, umesto korienja mrea fiziki odvojenih od ostalih. Glavne prednosti
koje se stiu konverzijom postojeih izdvojenih privatnih mrea u Internet virtuelne privatne
mree su :
irok spektar primene - Internet nudi mnogo vei spektar primena u odnosu na
privatne mrene infrastrukture i one koje nude lokalne telekomunikacione kompanije.
Dodavanjem novih taaka spajanja privatnim mreama poveavamo mogunosti
poslovnih kontakata. Za razliku od Interneta, koji objedinjuje javne i privatne
konekcione take du itavog sveta, kod privatnih mrea (uglavnom lokalnog tipa)
servis-provajderi nude samo ogranien broj interkonekcija, a u vezi s tim i smanjene
mogunosti poslovanja. Internet predstavlja ogromnu interkonekciju heterogenih
(raznorodnih) mrea. Bilo koji host (to znai i va server) koji je spojen na mreu,
spojen je i na Internet, to znai da ima vezu sa bilo kojim hostom koji se nalazi sa
druge strane sveta. Taj drugi host moe biti vaa poslovnica udaljena fiziki i
hiljadama kilometara, to je praktino neizvodljivo spajanje u jednu privatnu fiziku
mreu.
Smanjenje trokova? - Jo jedna velika prednost koja se dobija uvoenjem Internet
zasnovanih virtuelnih privatnih mrea jeste i redukcija trokova poslovanja.
Najjednostavnije reeno, uvoenjem VPM mrea eliminisaete potrebu za
naruivanjem i izgradnjom veeg broja specijalnih infrastruktura koje e sluiti
razliitim tipovima komunikacionih potreba unutar kompanije. Zamislite samo koliko
bi iznosilo zakupljivanje telekomunikacione linije izmeu recimo Beograda i Moskve,
za potrebe firme. Mnogo je bolje iskoristiti viestruko jeftinije Internet veze.
Bezbednost - Kod VPN-a koriste se kriptografske tehnologije koje obezbeuju
poverljivost i integritet podataka koji se nalaze u tranzitu. Autentikacija i kontrola
pristupa ograniavaju pristup kompanijskoj mrei, i njenim resursima i servisima.
Kod tradicionalnih privatnih mrea, bezbednost tokom tranzita podataka lei na
provajderu telekomunikacionih usluga (telekom), tj. njegovoj sposobnosti
obezbeenja podataka. Tako na primer, frame relay mree nemaju ugraenu
mogunost ifriranja frame-ova podataka. Prema tome, ukoliko podaci budu
presretnuti od strane nepozvanih osoba, vrlo lako e biti dekodirani. Umesto toga, kod
VPN-a, podaci su zatieni kriptografijom.
E-Commerce - Sve vie i vie poslovanje biva uslovljeno upotrebom Internet servisa.
Elektronsko poslovanje (e-commerce) nije samo novi metod za prodaju robe krajnjim
kupcima ("B2C" skraenica za business-to-consumer) ve je i nain za komunikaciju i
poslovanje izmeu poslovnih subjekata ("B2B" skraenica za business-to-business).
Povezivanje i interakcija poslovnih subjekata je esencijalna stvar, a Internet je logian
izbor za ostvarivanje te interkonekcije.


6

5. Klasifikacija Virtuelnih privatnih mrea

Klasifikacija Virtuelnih privatnih mrea se ostvaruje kroz tri kategorije:

4.1 Koncept realizacije
4.2. Nain pristupa od strane korisnika
4.3 Bezbednost i zatita podataka

5.1. Koncept realizacije

U koncept realizacije spadaju:

VPN na nivou aplikacije (application-layer VPN)
VPN na nivou protokola mrenog sloja (network-layer VPN)
VPN na nivou protokola sloja veze (data-link layer VPN)

5.1.1. VPN na nivou aplikacije

Realizuje se korienjem DNS servera za formiranje VPN. DNS je veza izmeu naziva i
IP adresa raunara. IP adrese zavise od lokacije raunara i topologije mree dok su nazivi
nezavisni od fizike topologije mree. Svaka firma na internetu ima svoj domen (npr.
firma.cg.me) pa raunari registrovani unutar tog domena krajnjem korisniku stvaraju privid
pripadnosti istoj korporacijskoj mrei. Za krajnjeg korisnika lokacija pojedinih raunara nije
bitna - on e uvek koristiti nazive za pristup pojedinim raunarima u mrei.

Slika 1. VPN na nivou aplikacije


7

Prednosti ove vrste realizacije su jednostavna i jeftina implementacija-svodi se na
konfigurisanje DNS servera.

Nedostaci ove vrste realizacije su:

Pri promeni provajdera neophodna je renumeracija kompletne mree, kao i znatne izmene
podataka u DNS-u.
U toku renumeracije mrea uglavnom nije upotrebljiva.
Komplikovana za konfigurisanje i odravanje i upravljanje.
Sloenost odravanja poveava se kako se poveava broj lokacija.
DNS saobraaj moe lako da se laira od strane zlonamernika.
Mrea se nikakvim mehanizmima ne titi od zlonamernika.

5.1.2. VPN na mrenom sloju

Realizuje se kroz metodu kontrolisanog rutiranja koja se koristi uglavnom u
okruenjima gde korisnici ne pristupaju direktno internetu i kroz metodu logikih tunela. Da
bi se prva ostvarila trebaju se obaviti dve radnje na ruteru i to :

- Iskljuiti default putanju (0.0.0.0).
- Ubaciti statike putanje (static routes) ka mrei provajdera, za sve IP
mree koje se koriste unutar korporacijske mree.

Slika 2. VPN na mrenom sloju, reenje sa javnim adresama


8

Prednost ove metode ogleda se u tome da je reenje krajnje jednostavno jer se svodi na
dodatnu konfiguraciju rutera. Dodatni nivo zatite moe da se ostvari korienjem firewall
servera na pojedinim lokacijama.

to se tie metode logikih tunela pre svega emo objasniti sta su logiki tuneli. Logiki
tuneli su mehanizmi prenosa poruka raznih protokola unutar IP datagrama. Omoguavaju
formiranje VPN koje koriste kako IP, tako i sve ostale esto koriene protokole: IPX,
DECnet, SNA itd. Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se vri na
dva jasno definisana rutera u mrei (tunnel endpoints).

Logiki tuneli mogu biti uspostavljeni:

- Izmeu dve fiksne take u mrei (point-to-point)
- Izmeu jedne i vie fiksnih taaka u mrei (point-to-multipoint).

Slika 3. VPN na mrenom sloju, metoda logikih tunela

5.1.3. VPN na nivou sloja veze

Tu se takoe pominje metoda logikih tunela-MPLS. Ta metoda je nastala iz layer 2
tehnologija tipa Frame Relay i ATM. Svakom IP datagramu dodaje se labela koja oznaava
kojoj VPN taj datagram pripada. MPLS VPN mree su skalabilne jer se veoma lako proiruju
dodavanjem novog vora u mreu to nije sluaj sa tunelima nastalim enkapsulacijom
saobraaja u IP datagram. Za sada se iskljuivo koriste u IP mreama.


9

6. Scenario razvoja Virtuelnih privatnih mrea

6.1. Intranet (veza sajtova u istoj organizaciji)

U ovom sluaju VPN je formirana izmeu sajtova koji pripadaju istoj organizaciji. To je
sluaj kada se razliite filijale meusobno povezuju ili kada se povezuju sa upravom. Na slici
4. na provajderove rutere PE (Provider Edge Device) se vezuju sajtovi korisnika preko
korisnikovog krajnjeg ureaja CE rutera. Ta veza moe biti ostvarena na razliite
naine (npr. statikim rutiranjem, preko ATM VC)

Slika 4. Primer intranet scenarija

6.2. Extranet (veza sajtova koji pripadaju razliitim organizacijama)

U ovom scenariju, dve ili vie oraganizacija imaju pristup ogranienom broju zajednikih
lokacija. Osnovna razlika izmeu extraneta i interneta je da provajder mora eksplicitno da
konfigurie dostupnost izmeu VPN i da obezbedi postojanje neke vrste kontrolnog
pristupnog mehanizma pri povezivanju razliitih organizacija. Ta kontrola pristupa moe biti
ostvarena firewall-om, listom pristupa na ruterima ili slicnim mehanizmima koji e omoguiti
primenu kontrole pristupa zasnovanu na postojanju polisa tranzitnom saobraaju. Svi ti
mehanizmi kontrole pristupa mogu biti postignuti korienjem posebnih ureaja ili mogu biti
biti integrisani u PE ureajima. Taj scenario je prikazan na slici 5. U tom primeru su
formirane dve VPN koje povezuju Kompaniju X i Kompaniju Y. Za kontrolu pristupa koristi
se firewall. Dodatni mehanizmi autentifikacije kao to je razmenjivanje sertifikata o
autoritetu je takoe poeljno. Mogue je da sajt pripada i viestrukim VPN, koji mogu da

10

ukljuuju sa jedne strane intranet, a sa druge extranet. Extranet moe da postoji du
backbone-a jednog provajdera ili du vie backbone-a ili autonomnih sistema.

Slika 5. Primer Extranet scenarija

6.3. VPN du viestrukih autonomnih sistema ili provajdera servisa:

Po ovom scenariju virtuelna privatna mrea moe da se iri preko mrea vie provajdera
servisa ili Autonomnih sistema . Osnovni predmet u tim sluajevima je pitanje komunikacije i
sigurnosti izmeu PE ureaja koji pripadaju razliitim AS. Komunikacija izmeu njih moe
biti ostvarena na razliite naine u zavisnosti od pristupa koji je primenjen pri formiranju IP
VPN. Pitanje sigurnosti izmeu PE koji pripadaju razliitim AS moze biti reeno korienjem
PE-PE tunela ( na primer IPSec tuneli mogu biti korieni da obezbede enkripciju du AS).
VPN ruta distribucije preko AS treba da bude ostvarena tako da izgleda kao da postoji jedan
tunel od ulaznog PE u jednom AS do izlaznog PE u drugoj AS. Ovaj scenario je prikazan na
slici 6. Isprekidana linija prikazuje kako se tunel "ulaz PE - izlaz PE" pojavljuje kada je
komunikacija izmeu AS ispravno ostvarena. Naravno, pri tome treba voditi rauna o
preduslovu da bi ta veza bila ostvarena, a to je postojanje dogovora o poverenju izmeu
ukljuenih provajdera servisa.


11

Slika 6. VPN preko vie Autonomnih sistema

6.4. Istovremeni VPN i Internet pristup

Mnogim hostovima na Internetu treba istovremeno omoguiti i pristup Internetu, kao i
drugim VPN sajtovima. Tu je mogao da nastane problem jer mnoga preduzea koriste
sopstveni privatni adresni prostor. Generalno postoje tri naina kako VPN mogu da koriste
globalno jedinstvene adrese za komunikaciju sa drugim hostovima.

da svi sistemi na privatnoj mrei koriste globalno jedinstvene IP adrese, to ba i nije
odgovarajuce kada su adrese vec dodeljene, jer ih treba menjati.
ako samo mali broj korisnika treba da ima mogunost pristupa Internetu onda samo
njima dodeliti javne IP adrese Uobiajeno je u mnogim firmama da neki korisnici imaju
privatne IP adrese, a da istovremeno neki sistemi koriste javne.
korienje Network Address Translator (NAT) servera u privatnoj mrei moe da
omogui korisnicima VPN kojima su dodeljene privatne IP adrese da pristupe Internetu.

Postoje i metode u okviru BGP/MPLS VPN modela koje mogu da iskoriste to. Jedan
nain za to je i korienje ne-VRF Internet pristupnog mehanizma. Korisnici VPN sajta mogu
direktno da pristupe Internetu preko Internet gateway-a. On moe da se ostvari na ne-VRF
interfejsu ili na CE ruteru ili na nekom drugom ruteru na korisnikoj strani. Interfejs na ruteru
koji omoguava Internet pristup je konfigurisan tako da ima funkciju Internet firewall-a i
NAT (slika 7). Sada kako bi se omoguilo korisnicima VPN da pristupe javnom Internetu,
CE1 na sajtu 1 alje default rutu PE1, koja se postavlja u njegovu VRF, a zatim je BGP
protokolom alje PE2 ruteru, a on dalje CE2 na sajtu 2 i CE3 na sajtu 3. Kao rezultat toga svi
hostovi VPN prosleuju Internet saobraaj CE1 ruteru na sajtu 1, koji rutira saobraaj preko
NAT interfejs na Internet. NAT translira svaku privatnu izvorinu adresu u javnu adresu.
Kako bi se omoguilo hostovima na Intranetu da odgovore hostovima na VPN, CE1 dodaje
javni IP prefiks u Internet tabelu rutiranja. Kada paket stigne na CE1 NAT interfejs, NAT
servis translira javne u privatne odredine adrese.

12

Slika 7. Primer uspostavljanja default rute za istovremeni
pristup VPN i Internetu

Saobraaj koji sa Interneta stie na odgovarajui sajt u VPN prosleuje se Internet rutama
koji vode na sajtove u VPN. Unutranja struktura VPN je nevidljiva za Internet. Postojanje
firewall moe biti poeljno kako bi se smanjio pristup privatnim mreama sa Interneta (slika
8).

Slika 8. Istovremeni VPN i Internet pristup


13

6.5. Hijerarhijske VPN (VPN unutar VPN)

Slika 9. Hijerarhijske VPN

U ovom scenariju provajderi servisa koji obezbeuju VPN mogu u stvari biti korisnici
nekog veeg provajdera. Takav provajder moe biti jedna velika VPN sa vie malih VPN u
okviru nje. Logiki tuneli Nivoa 2 VPN su prikazani isprekidanom linijom, dok puna linija
predstavlja stvarne CE1-CE1 (tj. PE2-PE2) tunele preko velike mree provajdera servisa.
Stoga, CE ureaji Nivoa 1 VPN treba da budu ukljueni u mehanizme uspostavljanja VPN.


14

6.6. Scenario viestrukog pristupa

IP VPN treba da podrava vie tipova pristupnih scenarija, na primer treba da budu
podrani statiko rutiranje, ATM PVC, korienje razliitih protokola rutiranja, xDSL
modema i dial pristup. Pri tome se mogu koristiiti razliiti ureaji za razdvajanje razliitih
pristupnih mehanizama ili te funkcije mogu biti integrisane u PE ureajima. Na slici 10. je
ilustrovan IP VPN sa podrkom za razliite pristupne mehanizme.

Slika 10. Scenario viestrukog pristupa


15

7. Bezbednost

Virtuelna privatna mrea (VPN) predstavlja poseban nain komunikacije raunara preko
Internet ili Intranet infrastrukture. Tri su osnovne primene VPN-a:
- Pristup udaljenom raunaru
- Povezivanje lokalnih mrea preko Interneta
- Povezivanje lokalnih mrea preko Intraneta

Najvaniji razlog korienja virtualnih privatnih mrea je ekonomski, ali virtualne
privatne mree pruaju i sledee sigurnosne prednosti:

Omoguena je sveukupna kriptografija podataka Virtualne privatne mree obuhvataju
celi promet koji se koristi, odnosno svi mreni podaci koji se prenose su kriptovani. Na taj se
nain osigurava mreni promet, tako da neovlaene osobe nisu u mogunosti doi do
informacije koje unutranji raunar koristi, koji je korieni protokol itd.

Mogunost udaljenog korienja protokola koje je teko osigurati na drugi nain.
Pojedine protokole je zbog svoje funkcionalnost vrlo teko koristiti u sigurnom okruenju
koje se postie korienjem paketnog filtriranja i proxy servisa. Virtualne privatne mree
omoguavaju kriptovanjem podataka siguran udaljen pristup korienjem ovih protokola.

Bilo da se radi o povezivanju samo jednog raunara na udaljenu mreu (kao u prvoj
primeni), ili da se putem VPN-a povezuju dve mree na udaljenim lokacijama (druga
primena), komunikacija izmeu subjekata ove strukture zatiena je enkripcijom ije
parametre dogovaraju obe strane. Izbor enkripcijskog algoritma i duine kljua je od
sutinskog znaaja za sigurnost uspostavljene komunikacije, i tek u sluaju tree primene,
gde komunikacija izmeu mrea nije javna, enkripcija igra neto manju ulogu.

Na slici je prikazan najei nain upotrebe VPN-a. Dve lolkalne mree povezane su
VPN kanalom u jedinstvenu celinu korienjem Internet infrastrukture.

Slika 11. Struktura VPN-a izmee dva LAN-a


16

IP paketi koji se razmenjuju izmeu raunara na krajevima VPN kanala su enkriptovani i
neitljivi ostalim korisnicima Interneta. Unutar lokalnih mrea koje se ovim putem povezuju
paketi su dekriptovani, i itljivi raunarima lanovima mree. Na taj nain se postie isti
efekat kao u sluaju dve mree spojene posebnim lokalnim ili iznajmljenim linkom, uz sve
prednosti takvog naina povezivanja. Ovakva veza se zbog svojih karakteristika naziva i
VPN IP tunel, a sam postupak spajanja IP tunelovanje.

Osnovna prednost VPN tunela je to se njegovom upotrebom po ceni pristupa javnoj
mrei (Internetu) omoguava sigurna razmena podataka sa korisnikih raunara iz dve ili vie
udaljenih mrea kao da se one nalaze na istoj lokaciji, i spojene su u lokalnu mreu. Cene
iznajmljivanja posebnog linka kojim bi se povezale udaljene mree su u pravilu viestruko
vee.

Enkripcijski protokoli VPN-a osiguravaju takoe i autentikaciju tj. dokazivanje identiteta
izmeu raunara ili ureaja na krajevima tunela. Prenos komunikacionih parametara je
enkriptovan, a enkripcijski kljuevi se menjaju u toku same komunikacije. Pravilnom
konfiguracijom operativnih sistema raunara koja ine lokalne mree, mogue je dalje
sprovesti i odgovarajuu autorizacionu politiku, tj. odrediti koji e resursi biti dodeljeni kojim
korisnicima u povezanim mreama. Pri tom se korisnici iz udaljene mree u potpunosti mogu
tretirati kao lokalni korisnici, sa svim pravima i ogranienjima (npr. prilikom odreivanja
prava pristupa deljenim direktorijima u Microsoft mreama).

Bezbednost je integralni deo VPN usluge. Postoji veliki broj pretnji VPN mreama:

-Neovlaeni pristup VPN saobraaju
-Izmena sadraja VPN saobraaja
-Ubacivanje neovlaenog saobraaja u VPN (spoofing)
-Brisanje VPN saobraaja
-DoS (denial of service) napadi
-Napadi na infrastrukturu mree preko softvera za upravljanje mreom
-Izmene konfiguracije VPN mree
-Napadi na VPN protokole

Odbrana od VPN napada realizuje se i na korisnikom i na nivou provajdera VPN usluga:

-Kriptozatita paketa
-Kriptozatita kontrolnog saobraaja
-Filteri
-Firewall
-Kontrola pristupa
-Izolacija


17

Analize bezbednosti mree na Internetu su ukazale da su Virtuelne privatne mree danas
najbezbednija tehnologija za komunikaciju svih vrsta podataka preko otvorene javne globalne
mree kao to je Internet. One emuliraju vezu taka-taka tunelovanjem podataka, sa
enkapsulacijom i enkripcijom pomou bezbedonosnih protokola, ime ostvaruju privatnost,
integritet i raspoloivost, to su osnovni elementi bezbednosti svake mree. Ipak i ove mree
pokazuju ranjivost na neke standardne napade Internet okruenja i generalno tretiranje ovih
mrea kao bezbedne ne opstaje, pa su u ovom poglavlju razmatrani bezbedonosni aspekti
postojeih standardnih tipova ovih mrea.

Analizirane su tri vrste Virtuelnih privatnih mrea, sa standardnim protokolima
PPTP(Point-to-Point Tunneling Protocol),L2TP(Layer 2 Tunneling Protocol) i IPsec(IP
Security Protocol), i ugraenim bezbedonosnim funkcijama, i izvrena je komparacija u
odnosu na kriterijum otpornosti na standardne napade na Internetu. Pored analize
bezbedonosnih elemenata protokola , uvedena je i njihova ocena otpornosti na napade u
Internet okruenju, koja daje odgovore na pitanja o nivoima bezbednosti Virtuelnih privatnih
mrea sa ovim protokolima.

7.1. Protokoli: PPTP, L2TP, Ipsec

Tipovi Virtuelnih privatnih mrea se zasnivaju na implementaciji vise razliitih protokola
od kojih su protokoli PPTP,L2TP i IPsec najzastupljeniji.

Protokol PPTP je najstariji protokol za realizaciju Virtuelnih rivatnih mrea i bazira se
na PPP(Point-to-Point) protokolu najpoznatijem mrenom protokolu komunikacije od take
do take. PPTP protokol vri enkapsulaciju PPP paketa od polazne take, preko Interneta, do
odredita. Za autentifikaciju korisnika koristi PPP protokole PAP(Password Authentication
Protocol) ili CHAP(Challenge Handshake Authentication Protocol). PAP protocol predstavlja
standardnu proceduru logovanja klijenta kod servera sa korisnikim imenom i lozinkom.
CHAP protocol koristi perodino generisani string koji server alje klijentu. Ovaj primenjuje
Hash funkciju na taj string i otisak kao rezultat vraa serveru. Server obavlja istu Hash
operaciju, i autentifikuje klijenta ako je rezultat isti sa onim dobijenim od klijenta.
Za tunelovanje PPP paketa preko Interneta PPTP protokol koristi GRE(Generic Routing
Encapsulation) protokol. GRE je opti protokol koji enkapsulira bilo koji protokol od jedne
do druge take u mrei.
Kriptovanje tunelovanih PPP paketa u PPTP protokolu vri MPPE (Microsoft Point-to-
Point Encryption) protokol. MPPE protokol koristi za kriptovanje RSA RC4 algoritam, sa
kluevima duine 40 ili 128 bita koji se menjaju periodino. Slike 11 i 12 prikazuju izgled
PPTP datagrama i GRE zaglavlja respektivno. PPTP protokol je protokol drugog nivoa OSI
modela i omoguuje enkapsulaciju (GRE zaglavlje), pored IP protokola, jo i drugih
protokola vieg nivoa, kao to su IPX i NetBEUI. Polje Call ID u GRE zaglavlju definie
sesije kojima pripadaju PPP paketi. Paketi u okviru sesije su numerisani (polje Sequence
Number) i sa potvrdom paketa ( polje Acknowledgment Number) obavlja se kontrola toka
paketa.


18

Slika 11.

Slika 12.

L2TP je sledei protokol Virtuelnih Privatnih Mrea. Osim preko Interneta ovaj protokol
omoguuje enkapsulaciju PPP paketa jos i preko X.25, Frame Relay i ATM mrea. Za
transport preko Interneta koristi UDP(User Datagram Protocol) protokol, port 1701. L2TP
protokol ima pored poruka podataka i kontrolne poruke za odravanje tunela, a i mogunost
kompresije zaglavlja ime se poveava propusna mo veze. Za autentifikaciju korisnika
L2TP protokol se oslanja na PPP protokole PAP i CHAP. Format L2TP zaglavlja je prikazan
na slici 13. Polje Tunnel ID slui za identifikaciju tunela, poto protokol moe da obezbedi
vie tunela po jednoj konekciji, a Session ID dvobajtno polje u zaglavlju definie sesiju kojoj
pripadaju paketi. Kontrolu toka obezbeuju polja Ns i Nr iz zaglavlja. Ns definie redosled
poslate kontrolne poruke ili poruke podataka, a Nr odreuje broj sledee poruke koja se
oekuje u prijemu. Bit P u zaglavlju obezbeuje prioritetni tretman poruke u prenosu, a bit T
ukazuje da li je poruka kontrolna ili je poruka podataka. Protokol L2TP nema mogunost
enkripcije i pri korienju preko Interneta za to koristi protokol IPsec.

Protokol IPsec je namenski bezbedonosni protokol koji poseduje sve atribute za
formiranje Virtuelnih privatnih mrea preko Interneta. Sa enkapsulacijom IPsec protokol
omoguuje autentifikaciju i enkripciju svakog IP paketa u prenosu. To je veoma sloen
protokol koji sadri dva tipa AH(Authentication Header) i ESP(Encapsulating Security
Payload), a svaki taj tip ima dva moda transport i tunel. ESP format IPsec protokola
obezbeuje autentifikaciju, integritet i privatnost podataka, dok AH format obezbeuje samo
autentifikaciju i integritet. U transpornom modu svaki od ova dva tipa bezbedno prenose
postojei IP paket od izvora do odredita, dok u tunel modu se postojei paket stavlja unutar

19

novog IP paketa sa IP adresom gejtveja virtuelne privatne mree koji je krajnja taka tunela.
Ipsec protokol ukljuuje u sebe vei broj drugih protokola pomou kojih obavlja funkcije
autentifikacije, integriteta i privatnosti, kao osnovnoh bezbedonosnih elemenata virtuelne
privatne mree. Za autentifikaciju IPsec protokol koristi PKI (Public Key Infrastructure)
tehniku javnog i privatnog kljua sa infrastrukturom Digitalnog sertifikata preko
Sertifikacionih tela (X.509 Sertificate). IKE (Internet Key Exchange) protokol sa Diffie-
Hellman algoritmom se koriste u procesu razmene kjueva i pregovaranju bezbedonosnih
elemenata. U okviru IPsec protokola integritet podataka obezbeuju protokoli HMAC-MD5 i
HMAC-SHA-1, a privatnost IP paketa je obezbeena enkripcijom sa 3DES (DES)
algoritmom. S obzirom da IPsec AH tip ne obuhvata enkripciju, za virtuelne privatne mree
koristi se uglavnom ESP tip, i to tunel mod, koji obuhvata enkripciju i IP zaglavlja polaznog
paketa. Na slici 14. je prikazana enkapsulacija IP paketa sa IPsec ESP protokolom u tunel
modu. Orginalni IP paket je kriptovan i autentifikovan sa ESP zaglavljem i prirepkom , a
novo IP zaglavlje definie IP adresu krajnje take tunela. Slika 15. predstavlja IPsec ESP
zaglavlje u tunel modu. Polje SPI (Security Parameter Index) definie bezbedonosne
elemente komunikacije autentifikacioni mehanizam, kriptografski algoritam i upravljanje
kljuevima. Polje Sequence Number sadri broja kojim otpremna strana numerie pakete
radi kontrole, za koje u prijemu moe da se koristi odgovor.

Slika 13.

Slika 14.


20

Slika 15.

7.2. ANALIZA BEZBEDNOSTI

Bezbednost je jedan od osnovnih zahteva za Virtuelne privatne mree. Nju ugroava
veliki broj napada, koji se mogu svrstati u vei broj grupa kao to su: napadi autentifikacije,
kriptografski napadi, napadi integriteta, falsifikovanje servera, falsifikovanje paketa, napadi
uskraivanja usluga i pasivno monitorovanje. Otpornost protokola PPTP, L2TP i IPsec na ove
napade, odnosno njihovih bezbedonosnih mehanizama se analizira u ovom delu i daje se
jedna kvantitativna ocena stepena bezbednosti.
Analiza autentifikacionih mehanizama PAP i CHAP protokola PPTP ukazuje na veliku
podlonost napadima. PAP protokol skoro da ne predstavlja zatitu, jer postoje pristupani
alati s kojima se relativno brzo razbija lozinka (password). CHAP protokol je otporniji od
PAP-a, ali je njegova slabost to se hash funkcija primenjena na string (challenge) rauna na
osnovu lozinke, to omoguava napad na hash funkciju slinim alatima kao za napad na PAP.
I PAP i CHAP protokol autentifikuju korisnika a ne mainu raunar (server), niti paket. U
fazi pregovaranja komunikacionih parametara PPTP protokol se oslanja na PPP
konfiguracione pakete koji sadre otvorene IP adrese, to je podlono napadima
monitorovanja, preuzimanja i falsifikovanja. U PPTP protokolu korieni protokol za
enkripciju paketa MPPE, iako se zasniva na RSA RC4 standardu sa kljuem od 40 ili 125
bita, ima slabost u tome to se kljuevi izvode iz lozinke, pa spada u manje bezbedne
kriptografske algoritme. PPTP tunelovanje sa GRE protokolom ima istu slabost otvorene faze

21

pregovaranja veze, gde je mogue snimanje i modifikovanje paketa i razbijanje tunela. Sam
GRE protokol ima slabost na dupliranje redoslednog broja paketa ime se postie
desinhronizacija GRE kanala. Kontrolne poruke PPTP protokola su neautentifikovane i
nezatiene, pa je PPTP protokol otvoren za napade falsifikovanja identiteta servera,
falsifikovanje paketa, napade integriteta podataka i za napade uskraivanja usluga.
S obzirom da L2TP protokol za autentifikaciju koristi PPP mehanizme PAP i CHAP,
L2TP tunel je takoe ranjiv na napade. String (challenge, secret) je kod autentifikatora u
otvorenom obliku, to pogoduje napadima na hash funkciju I otkrivanju identiteta. Postoji
mogunost zloupotrebe tunela u sluaju prediktivnog naina dodeljivanja broja identifikatora
tunela i broja identifikatora sesije. L2TP protokol nema mehanizme za zatitu od napada
integriteta, falsifikovanje servera i paketa i od napada uskraivanja usluga kao ni PPTP
protokol, ali ima prednosti u performansama podrava vie tunela od jedne do druge krajnje
take, prenosi direktno vei broj protokola i ima mogunost kompresije zaglavlja. Prednost
mu je i to moe da se integrie sa IPsec protokolom i koristi njegove zatitne mehanizme.
IPsec protokol prua znatno vei broj bezbedonosnih servisa od predhodna dva protokola.
PKI infrastruktura javnog kljua, verifikacija kljueva od strane Sertifikacionog tela (CA) i
IKE mehanizam upravljanja kljuevima obezbeuju bezbedan kontrolni kanal u fazi
pregovaranja bezbedonosnih atributa izmeu dva raunara, koji se ovim mehanizmima
meusobno autentifikuju na zatien nain. I AH i ESP format IPsec protokola autentifikuju
svaki paket, a sa HMAC-MD5 ili HMAC-SHA-1 hash funkcijama obezbeuju i integritet
podataka svakog paketa. ESP tunelovanje i kriptovanje podataka paketa i orginalnog IP
zaglavlja sa 3DES algoritmom je potpuno otporno na kriptografske napade, s obzirom da
algoritam 3DES sa kljuem od 168 bita i HMAC-SHA-1 hash funkcija jo uvek nisu
kompromitovani. IPsec protokol ima sve mehanizme zatite od standardnih napada na
Internetu, ugraen je u protokole IPv4 i IPv6 i otvoren je za ugradnju novih zatitnih
mehanizama za sluajeve kompromitovanja postojeih. Najtea odbrana na Internetu je od
napada uskraivanja usluga, jer ti napadi potiu uglavnom od slabosti TCP/IP protokola na
koji se IPsec protokol oslanja. I IPsec protokol ima svoje slabosti. Uspostavljeni tunel ne
mora uvek da jepotpuno bezbedan, jer se tunel uspostavlja automatski pregovaranjem
bezbedonosnih atributa raunara krajnjih taaka tunela, i ako ne postoje sa obe strane
mehanizmi najveeg stepena zatite, koriste se oni raspoloivi sa niim stepenom zatite
(klju sa manjim brojem bita, slabija hash funkcija). Jedna slabost IKE protokola koji nema
indikaciju predajnoj strani da je sesija prekinuta, ostavlja mogunost napada na server ako je
korien slabiji klju. U tom sluaju uspostavljeni i vei period obnavljanja kljua poveava
mogunost uspenog napada. IPsec protokol nema mogunost direktnog prenoenja drugih
protokola preko IP mree, pa se sa aspekta funkcionalnosti, performansi i interoperabilnosti
tada koristi hibridni protokol L2TP/IPsec, koji je proirenje L2TP protokola sa
bezbedonosnim mehanizmima IPsec protokola.

Iako su virtualne privatne mree vaan sigurnosni alat, prisutni su sledei nedostaci:

Opasnost za raunare spojene na javnu mreu. Virtualna privatna mrea koristi aktuelnu
mreu koja nije privatna, odnosno sigurna mrea. Raunari prikljueni u virtualnim privatnim
mreama moraju biti spojeni na tu aktuelnu mreu pa su u opasnosti od neovlaenih upada.
Na primer, ukoliko koristimo virtualne privatne mree za spajanje unutranje mree s
mobilnim korisnicima koji su spojeni na Internet, njihovi raunari mogu biti napadnuti s
Interneta.

Opasnost od neovlaenih upada u unutranju mreu. Prikljuenjem raunara u virtualnu
privatnu mreu, taj raunar postaje legitimni lan unutranje, privatne mree. Ukoliko je na

22

raunaru virtualne privatne mree napravljen neovlaeni upad, napada je u mogunosti
preko virtualne private mree ugroziti sigurnost ostalih raunara unutranje mree. Virtualne
private mree se koriste za pruanje pristupa raunarima koji su manje sigurni od raunara
unutranje mree. Na primer, kod prenosnih raunara postoji opasnost od krae, kunim
raunarima deca imaju pristup itd.

8. Brzina i mogunosti

Mogunosti VPN-a, i ovakvog naina povezivanja udaljenih mrea nisu ni izdaleka
iscrpljene do sad reenim ukljuujui i prvi pristupni rad. Deljenje lokalnih aplikacija izmeu
udaljenih mrea je samo jedna od moguih dodatnih primena, a sigurnost mrea mogue je
unaprediti i primenom filtera za IP pakete na odreenim portovima, kao i logiranjem IP
prometa u svrhu kasnije analize.
Osnovni preduslov za implementaciju distribuiranih aplikacija predstavlja i brzina
komunikacije izmeu pojedinih komponenti distribuiranog sistema, u ovom sluaju lokalnih
mrea povezanih VPN-om. Testiranje brzine i propusnosti VPN komunikacijskog kanala
proverili smo koristei program Performance Test 4.0. Njegov mreni test generise promet
izmeu dve take u mrei u proizvoljnom vremenskom intervalu, u ovom sluaju 20 s. Ako je
izmeu merenih taaka uspostavljen VPN kanal osiguran 3DES enkripcijom, rezultati nam
daju prosenu brzinu linka od 728,1 kbit/s ili 0,711 Mbit/s (Sl. 21).

Slika 16. Testiranje VPN kanala sa 3DES simetrinom enkripcijom


23

U sluaju neto slabije enkripcije DES, sigurnost sistema je za nekoliko smanjena, ali
brzina dostie i do 1600 kbit/s, dok je prosena brzina 1381 kbit/s ili 1,35 Mbit/s (Sl. 22).

Slika 17. Testiranje VPN kanala sa DES simetrinom enkripcijom

Spremnost korisnika da rtvuje deo sigurnosti radi brzine komunikacije odreuje i izbor
enkripcije. U svakom sluaju, enkripcija DES se moe preporuiti samo ukoliko distribuirana
aplikacija zahteva brzinu prenosa veu od 1 Mbit/s.


24

9. Konfiguracija VPN konekcije

9.1. Kako radi VPN konekcija

Routing and Remote Access service nudi VPN servise tako da korisnici mogu da pristupe
mrei organizacije na siguran nain ifrovanjem podataka izmeu dva kompjutera kroz
deljenu javnu mreu. Paketi koji budu uhvaeni na deljenoj ili javnoj mrei ne mogu se
proitati bez Encryption Keys (kljueva za ifrovanje). Link u kom su privatni podaci
kapsulirani i ifrovani je VPN konekcija. VPN konekcija se takoe naziva i VPN tunel.

9.1.1. Proces VPN konekcije je opisan u sledeim koracima:

- VPN klijent pokuava da uspostavi VPN konekciju ka Remote Access Serveru-VPN
serveru koji je konektovan na Internet. VPN server se ponaa kao Gateway i normalno je
konfigurisan da nudi pristup ka celoj mrei na kojoj je VPN server povezan.
- VPN server odgovara na virtualni poziv.
- VPN server autentifikuje subjekta koji je napravio poziv i proverava njegovu autorizaciju
da bi dopustio korisniku da se konektuje na mreu.
- VPN server izvrava transfer podataka izmeu VPN klijenta i mrene organizacije.

9.1.2. Prednosti VPN

VPN dozvoljava korisnicima ili organizacijama da se konektuju na udaljene servere,
manje kancelarije i na mree drugih organizacija preko javne mree (Interneta) i to sve preko
veoma sigurne konekcije. U svim ovim sluajevima, sigurna konekcija se pojavljuje
korisniku kao Private Network Communication uprkos injenici da komunikacija ide preko
javne mree (Interneta). Ostale prednosti su:

- Prednosti u ceni: VPN ne koristi telefonsku liniju i zahteva manje hardvera (Internet
Service Provider ISP odrava sav komunikacioni hardver).
- Poveana sigurnost: Osetljivi podaci su sakriveni od neautorizovanih korisnika, ali su
pristupani za korisnike koji su proli proces autorizacije. VPN server prisiljava na
autentifikaciju i ifrovanje.
- Podrka za mrene protokole: Moemo udaljeno da startujemo bilo koju aplikaciju koja
zavisi od najeih mrenih protokola, kao to je TCP-IP protokol.
- Sigurnost IP adresa: Iz razloga to su informacije koje se alju preko VPN ifrovane,
adresa koju smo odredili je zatiena i saobraaj koji se alje preko Interneta e imati
vidiljivu samo eksternu IP adresu.


25

9.2. Komponente VPN konekcije

VPN konekcija ukljuuje sledee komponente:

- VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata, kao to je na
primer server konfigurisan sa Routing and Remote Access servisom.
- VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru.
- Tranzit mrea: Deljena ili javna mrea kroz koju prolaze kapsulirani podaci.
- VPN konekcija ili VPN tunel: Deo konekcije u kojoj su nai podaci ifrovani i kapsulirani.
- Tunneling protokoli: Protokoli koji se koriste za upravljanje tunelima i za kapsuliranje
privatnih podataka (na primjer, Point-to-Point Tunneling Protocol PPTP).
- Podaci koji se alju kroz Tunel: Podaci koji se obino alju kroz privatni Point-to-Point
link.
- Autentifikacija: Identitet klijenta i servera u VPN konekciji se autentifikuju. Da bi se
osiguralo da primljeni podaci predstavljaju podatke koje je stvarno poslao lan konekcije
(VPN klijent) i da podaci nisu prestretnuti i modifikovani, VPN takoe autentifikuje podatke
koje su poslati.
- Adrese i lociranje Name servera: VPN server je odgovoran za dodeljivanje IP adresa koje
dodeljuje preko defoltnog protokola, DHCP ili iz skupa statikih IP adresa koji je kreirao
administrator. VPN server takoe locira i daje adrese DNS i WINS servera VPN klijentima.

9.3. Encryption protokoli za VPN konekcije

Postoje dva tipa Tunneling protokola koje koristi Windows Server 2003 familija kad eli
da zatiti komunikaciju:

- Point-to-Point Tunneling Protocol (PPTP): Koristi User-Level PPP autentifikacione
motode i Microsoft Point-to-Point Ecryption (MPPE) za ifrovanje podataka.
- Layer Two Tunneling Protocol with Internet Protocol Security (L2TP-IPSec): Koristi
User-Level PPP autentifikacione metode preko konekcije koja je ifrovana koristei IPSec.
IPSec zahteva autentifikaciju hosta koristei Kerberos protokol, Preshared Keys ili sertifikate
na nivou kompjutera (Computer-level).

Preporuuje se da koristimo L2TP-IPSec sa sertifikatima za sigurnu VPN autentifikaciju.
Koristei Internet Protocol Security (IPSec) autentifikaciju i ifrovanje, transfer podataka
kroz L2TP-enabled VPN je sigurna unutar jednog LAN-a u mrei organizacije.

VPN klijent i VPN server moraju da podravaju i L2TP i IPSec. Klijentska podrka za L2TP
je ugraena u Windows XP Remote Access Client, a VPN server podrka za L2TP je
ugraena u sve Windows Server 2003 verzije operativnog sistema.
Podrka na serveru za L2TP je instalirana kada instaliramo Routing and Remote Access
servis. U zavisnosti od naih odluka, kada startujemo Routing and Remote Access Server
Setup Wizard, L2TP je konfigurisan da ima 5 ili 128 L2TP portova.


26

9.4. Konfiguracioni zahtevi za VPN Server

Pre nego to budemo mogli da konfiguriemo VPN konekciju, moramo da omoguimo
Routing and Remote Access servis. Omguavanjem Routing and Remote Access servisa
startujemo Routing and Remote Access Setup Wizard uz iju pomo moemo da
konfiguriemo na VPN server. Ako smo na serveru jo ranije omoguili Routing and
Remote Access servis, moemo da konfiguriemo VPN Network Access sa Remote Access
Server Properties-a.

Sledea tabela izlistava informacije koje je potrebno da znamo pre konfiguracije Remote
Access-VPN servera.


27

9.5. Konfiguracija VPN-a za udaljene sajtove ( lokacije )

Kada konfiguriemo Site-to-Site VPN konekcije, potrebno je da konfiguriemo sledee
konekcije:

-Determing the tunneling protocol to use ISA server podrava nekoliko tunneling
protokola. Potrebno je da izaberemo odgovarajuci protokol na osnovu zahteva nae
organizacijei VPN gateway servere koje emo da izgradimo u svakom sajtu.

-Configure remote site network Da bi omoguili Site-to-Site VPN-ove, moramo da
kreiramo remote-site mreu na ISA serveru. Svi klijentski kompjuteri u udaljenom sajtu su
locirani u ovoj mrei. ISA server koristi ovu mreu kao i bilo koju drugu mreu.

-Configure VPN Client Acess Zbog toga to ISA server vidi Remote-site mreu kao sto
vidi bilo koju drugu mreu, moramo da konfiguriemo postavke za VPN klijentski pristup na
ISA serveru da bi omoguili pristup udaljenim klijentima, internoj mrei ili bilo kojoj drugoj
mrei. Moemo da koristimo pravila pristupa ili pravila objavljivanja da bi omoguili da
interni resursi budu dostupni klijentima u udaljenim kancelarijama.

-Configure the Remote-site VPN gateway Nakon to smo jednom konfigurisali ISA
server u Head (glavnoj) kancelariji, potrebno je takoe konfigurisati udaljene VPN servere.
Ovaj Remote-office VPN gateway server moze biti drugi kompjuter na kome radi ISA server
ili na kome radi Windows server koji je konfigurisan kao RRAS ili neki drugi VPN gateway
server drugog proizvoaa. Tana konfiguracija ovih gateway servera zavisi od tipa servera
koji se koristi na udaljenom sajtu.


28

10. Postavljanje VPN servera

Postavljanje VPN servera moe znaajno da utie na sigurnost mree koja sadri
zatitni zid ili NAT ureaj. Prikladno postavljanje VPN servera u odnosu na zatitni zid
doprinosi funkcionalnosti, dostupnosti i postizanju ciljeva infrastrukture udaljenog pristupa
bez opasnosti po sigurnost mree.

Slika18. Postavljanje VPN servera

Razmotrite upotrebu zatitnog zida kao VPN servera ako:
Zatitni zid ima mogunost da funkcionie kao VPN server
Zatitni zid ima mogunost da upravalja VPN konekcijama

Razmotrite postavljanje VPN servera sa spoljanje strane zatitnog zida ako:
Izlaganje VPN servera direktno Internetu ne ugroava bezbednosni aspekt dizajna
Sigurnosni rizik povezan sa dozvolom pristupa celokupnom VPN IP adresnom opsegu
kroz zatitni zid nije prihvatljiv
Svi osetljivi podaci se nalaze iza zatitnog zida i udaljeni pristup kroz zatitni zid je
ogranien na VPN server

29

Postavite VPN server sa unutranje strane zatitnog zida ako:
Dodatni rizk bezbednosti izlaganjem VPN servera direktno Internetu ugroava
sigurnosni aspekt dizajna
Sigurnosni rizik povezan sa dozvolom pristupa celokupnom VPN IP adresnom opsegu
kroz zatitni jeste prihvatljiv

U sluaju da se VPN server nalazi sa unutranje strane zatitnog zida morate konfigurisati
filtere zatitnog zida da proputaju sav PPTP i L2TP saobraaj kroz celokupan VPN IP
adresni opseg.

11. VPN zasnovane na Internet protokolu I MPLS-u

Mree zasnovane na Internet protokolu IP dominiraju u oblasti telekomunikacionih mrea
u prethodne dve decenije. S obzirom na svoju jednostavnost Internet servisi kao to su www,
e-mail, FTP itd., postali su opte prihvaeni standardi i uneli su pravu revoluciju i u ivot
obinog oveka. Vie se skoro i ne moe zamisliti rad bez mogunosti pristupa Internetu, a E-
biznis i intraneti i ekstraneti su neminovnost dananjeg poslovanja. Usled toga broj korisnika
sve vie raste (broj hostova na Internetu se priblino udvostruava svake godine), ali rastu i
zahtevi korisnika u pogledu brzine, vrste i kvaliteta ponuenih servisa. Pored toga sve je
izraenija potreba za multimedijalnom primenom to zahteva mnogo vie od mree nego to
je tradicionalni put saobraaja preko Interneta kakav je FTP (File Transfer Protocol).

Arhitektura Interneta je zasnovana na konceptu prosleivanja datagrama. Svaki IP
datagram se rutira korak po korak ka krajnjem odreditu u skladu sa jedinstvenom IP
odredinom adresom, koja se nalazi u IP zaglavlju. Svaki ruter na koji se naie e pregledati
tu adresu i potraiti put u svojoj tabeli rutiranja kako bi pronaao odgovarajui izlazni
interfejs za sledei korak. Sam IP ne obezbeuje pouzdanu isporuku podataka. Protokoli viih
slojeva kakav je TCP (Transport Control Protocol) prate putanju datagrama i vre ponovno
slanje ako je to neophodno, u sluaju neispravnog prenosa. Ti protokoli ne obezbeuju prenos
u realnom vremenu, tako da IP sam po sebi ne nudi nikakvu mogunost obezbeivanja
kvaliteta servisa korisnicima (nema mogunosti QOS (Quality of Service) garancije). Javna i
privatne IP mree se sve vie koriste za prenos aplikacija, audio i video tokova, kod kojih ne
mogu da se toleriu nepredvidljivi gubitci. Karakteristike QoS kao to su: minimizacija
vremena kanjenja, minimizacija varijacija kanjenja, obezbeivanje potrebnog propusnog
opsega, moraju da se obezbede. Pored toga veliki problem za provajdere Internet servisa
(Internet Service Provider ISP) je da ponude reenja koja ce omoguiti skalabilnost ali i
ponudu ugovorenog kvaliteta usluge SLA, (Service level agreement). Kako bi svi ti uslovi
bili zadovoljeni vremenom su se javljali mnogi protokoli koji su svaki od problema reavali
pojedinano. Uvoenje protokola kao to su: protokol rezervacije resursa RSVP (Recourse

30

Reservation Protocol), diferencijalni servisi DiffServ (Differentiated services), sve je vie
komplikovalo rutiranje.

Razvojem ATM tehnologije, koja je ponuena za izgradnju okosnicu (backbone)
Interneta omoguen je prenos podataka i multimealnih informacija preko jedne mree
potujui pri tome dogovoren kvalitet servisa. Ipak problem preslikavanja IP protokola u
ATM je kompleksan i usled svoje komplikovanosti i problema skalbilnosti i za sada ne
predstavlja pravo reenje. Tako, da bi se zadovoljile potrebe za skalbilnou, boljim
performansama rutiranja, upravljanjem saobraajem na osnovu administrativno zadatih
pravila itd. zapoet je rad na definisanju novog protokola zasnovanog na komutaciji
korienjem labela (Multi Protocol label Switching).

11.1. Komutacija korienjem labela

MPLS kombinuje skalabilnost i fleksibilnost komutiranja sa kontrolom saobraaja. U
stvari MPLS ne nasleuje ATM vec ga dopunjuje; zamena labela koja se koristi predstavlja
isti mehanizam koji ATM komutatori koriste za prosleivanje ATM elija, s tim to se
informacija o labeli nalazi u ATM zaglavlju, u VPI i VCI poljima. Bez MPLS, IP transport
preko ATM mrea zahteva sloene protokole za mapiranje IP adresa u ATM adrese, rutiranje
i za ATM komutacione tabele. U tom sluaju su neophodni protokoli za ostvarivanje sprega
izmeu mrea PNNI (Private Network Network Interface), protokol za razreavanje adresa
ATM ARP (Addresss Resolution Protocol) i protokol za za rutiranje izmeu podmrea NHRP
(Next Hop Resolution Protocol). MPLS sada zadovoljava i ono najvanije: ouvava i koristi
postojee i profitabilne tehnologije Frame Relay i ATM. Paketi koji ulaze u MPLS domen su
paketi 3. sloja OSI modela, IP paketi. Ulazni ruter MPLS domena, LSR (Label Switching
Router) analizira zaglavlje IP paketa i na osnovu dostupnih informacija dodeljuje mu
odgovarajuu labelu. To LSR radi uz pomo tabele koja mapira informaciju o klasi
prosleivanja u informaciju o labeli koja se koristi pri prosleivanju, FEC (Forwarding
Equivalence Class) to NHLFE (Next Hop Label Forwarding Entry) Map, koja sadri
informacije neophodne za dodeljivanje labela neoznaenim paketima koji ulaze u MPLS
domen. Na slici 12. je prikazano funkcionisanje MPLS-a i metoda zamena labela koja se
koristi.

Labele se definiu kao kratki identifikatori lokalnog znaaja i fiksne duine koji se nalaze
u zaglavlju paketa i koji logiki predstavljaju FEC kome je paket dodeljen. FEC je klasa
ekvivalencije u prosleivanju paketa, koja se odreuje na osnovu odredita paketa i dodatnih
pravila rutiranja. U MPLS protokolu svi paketi koji pripadaju jednoj klasi ekvivalencije bie
prosleeni na isti izlaz u datom voru. Nakon toga LSR odreuje sledei skok za dati paket.
Podaci o njemu se nalaze u NHLFE tabeli. Kada paket izae iz ulaznog LSR njemu je
dodeljena labela na osnovu koje ce naredni LSR vriti prosleivanje. Iz ovoga se vidi da se
analiza mrenog sloja paketa vri samo u ulaznom LSR pa je samim tim smanjeno i vreme
potrebno da se paket obradi i prosledi, a na taj nain su znaajno poboljane performanse
rutiranja. Kada paket stigne do izlaznog LSR-a labela se skida i paket e opet postati obian
IP paket, a dalje prosleivanje e biti zasnovano samo na njegovom zaglavlju. Dakle u MPLS
domenu prosleivanje paketa je zasnovano samo na 32-obitnoj labeli koja se dodeljuje paketu
iza zaglavlja sloja 2 i ispred IP zaglavlja. Putanja koju paket prolazi i koja je odreena
labelom (pripadnou nekog paketa odreenoj FEC klasi) zovemo LSP Label Switching

31

Path. Cilj MPLS protokola je da se svakom paketu koji ulazi u MPLS domen odmah pridrui
LSP putanja kojom e paket prolaziti kroz domen, tj. da na samom ulazu bude poznata cela
putanja paketa.

Slika19. Funkcionisanje MPLS-a

Za uspostavljanje LSP putanje odgovoran je protokol za distribuciju labela LDP (Label
Distribution Protocol). To je skup procedura pomocu kojih jedan LSR ruter informie drugi o
znaenju labela koje se koriste za prosleivanje saobraaja izmeu LSR rutera u MPLS
domenu, tj. pomou kojih LSR uspostavljaju LSP putanje kroz mreu, preslikavajui
informacije o rutiranju sa mrenog nivoa u direktno komutirane putanje nivoa linka podataka
(data link) nivoa. Korienjem protokola za distribuiranje labela u saradnji sa protokolima
rutiranja OSPF (Open Shortest Path First), RIP (Routing Information Protocol), BGP
(Border Gateway Protocol) uspostavlja se putanja kroz MPLS mreu i rezerviu neophodni
resursi za zadovoljavanje pre-definisanih zahteva za datu putanju. Pri tome svaki LSR donosi
odluku prosleivanja jedino u skladu sa sadrajem labele. LDP ima sledece karakteristike:

Poseduje mehanizme za omoguavanje LSR-ima da pronau jedni druge i uspostave
komunikaciju.

Definie etiri klase poruka: DISCOVERY, ADJ ACENCY, LABEL ADVERTISMENT I
NOTIFICATION.

Funkcionie preko TCP kako bi se obezbedila pouzdanost poruka (kada nije potrebna
potvrda prijema poruke koristi se UDP)

Dizajniran je da bude lako proiriv

Dva LSR koji koriste LDP da razmene preslikavanje labela i FEC nazivaju se LDP parovi
i oni razmjenjuju 4 tipa LDP poruka:


32

Poruke otkrivanja, za pronalaenje LSR rutera

Poruke sesije, za uspostavljanje odravanje i zatvaranje sesija izmeu LDP parova

Poruke oglaavanja, za stvaranje, menjanje i brisanje labela u FEC klase

Poruke obavetenja, za signalizaciju greaka

MPLS donosi i mnoge pogodnosti u odnosu na IP mree:

Traffic Engineering sposobnost uspostavljanja putanje saobraaja i uspostavljanje
performansi karakteristinih za odreenu klasu saobaraaja. Traffic engineering omoguava
ISP da prebace saobraaj sa najkrae putanje izraunate korienjem IGP (Interior Gateway
Protocol) protokola na potencijalno manje zakrenu putanju.

VPN -ISP-i su ponudili korisnicima VPN MPLS kao jednostavno reenje za obezbeivanje
privatnosti podataka i podrku za korienje ne-jedinstvenih privatnih IP adresa, jer se tu
odluke prosleivanja donose samo u skladu sa vrednocu labele, a ne
odredine IP adrese koja se nalazi u zaglavlju paketa.

Eliminacija viih slojeva - tipicno veina koristi sveobuhvatan model gde je ATM
koriena na sloju 2 i IP na sloju 3. Korienjem MPLS mogue je mnoge funkcije ATM
upravljake ravni prebaciti na nivo 3, a time se pojednostavljuje upravljanje mreom kao i
sloenost mree.

11.2. VPN zasnovane na MPLS-u

Velike firme koje imaju filijale na razliitim lokacijama morale su da povezuju raunare
radi efikasnijeg poslovanja. Njima je potrebna privatna mrea VPN (Virtual Private Network)
koju bi mogli da administriraju u skladu sa sopstvenim potrebama sigurnosti, rutiranja i
dozvola. Virtualnost se ogleda u tome to ta infrastruktura koja se koristi u toj mrei ne
pripada samo njoj. Ona u stvari pripada provajderima Internet servisa, jedom ili vie njih i
predstavlja backbone koji mogu da koriste jedna ili vie VPN. Postoje dva tipa praktine
realizacije mree preko koje mogu da se ostvare VPN.

To je:

Overlay model VPN mree:

Taj model je danas jo uvek prisutniji i podrazumeva da se na svakoj korisnickoj lokaciji
nalazi jedan ili vie rutera, koji su sa ruterima na drugim udaljenim lokacijama povezani
point-to point (tacka - tacka) vezama (iznajmljenim linijama, ATM ili Frame Relay vezama).

33

Ovaj model efikasno funkcionie ali postoji znaajan problem skalabilnosti, i zahteva koji se
postavljaju korisnicima da sami upravljaju ruterima koji
odravaju vezu izmeu udaljenih lokacija, kao i problemi menjanja konfiguracije pri svakom
novom dodavanju nove lokacije.

Peer model VPN mrea

Ovaj model treba da omogui provajderima opsluivanje veoma velikog broja korisnika,
i ujedno preuzmanje funkcije administriranja njihovih mrea tako da oni mogu da se posvete
samo svom primarnom biznisu, ne uputajuci se u pravila IP rutiranja. Peer model se sastoji
od 4 komponente:

- ogranicena distribucija informacija o rutama: poto su korisnicki ruteri direktno spojeni na
rutere VPN provajdera, moramo na neki nacin ograniciti protok, tako da samo ruteri koji
pripadaju istoj VPN mrei mogu razmenjivati saobraaj.

- upotreba viestrukih tabela rutiranja: neophodno je da PE ruter odrava ne jednu, ve vie
tabela rutiranja jer on najcee slui za povezivanje vie VPN korisnika, pa njegova tabela
rutiranja sadri u sebi sve rute dobijene od svih lokacija koje su preko njega povezane.

- korienje novog tipa adresa (VPN-IP adrese)

- upotreba MPLS protokola

Primer peer mree je prikazan na slici 13. Sa CE (Customer Edge) su ozaeni ruteri na
korisnikim lokacijama, a sa PE (Provider Edge) ruteri provajdera koji su direktno vezani na
korisnike, pri emu izmeu njih mora biti obezbeena direktna IP veza. Sa P su oznaeni
core ruteri backbone-a. CE ureaj moe biti vezan na PE ruter bilo kojim tipom linka
podataka (na primer ATM VCC, Frame Relay, Ethernet...).Korisnika lokacija moe biti
vezana na provajdera preko vie PE rutera, a PE ruter moe obezbevati vezu za vie od
jedne korisnike lokacije. Ovaj model nosi naziv peer zato to korisniki ruteri direktno
razmenjuju saobraaj sa ruterima VPN provajdera, za razliku od overlay modela gde su
koriniki ruteri na udaljenim lokacijama direktno povezani jedni sa drugima, bilo putem
virtuelnh kola na data link sloju, bilo putem IP tunela.


34

Slika 20. Peer model VPN mree

Svaka VPN nosi oznaku koja u implementaciji predstavlja 8-o bajtnu oznaku rute Route
Distinguisher RD [1] (slika 14.). Ona se sastoji od tri polja:

Tip 2 okteta

AS broj autonomnog sistema koji je dodeljen VPN provajderu -2 okteta

VPN broj 4 okteta

RD se koristi kao prefiks IP adresama tog sajta. Konfigurie se na interfejsu koji je vezan
za odreenu lokaciju. Na primer podmrea 10.1.1.0 za VPN 15 se razlikuje od podmree
10.1.1.0 za VPN 354. Sa gledita MPLS VPN provajdera to su u stvari adrese 15:10.1.1.0 i
354:10.1.1.0 Dodeljivanje 8-o bajtne oznake rute ispred IP adrese dobija se VPN-IP adresa.
Sa stanovita BGP protokola, rukovanje rutama koje imaju VPN-IP adrese se ne razlikuje od
standardne procedure za IP adrese, zahvaljujuci osobini BGP protokola da generiki rukuje
adresama, bez obzira na njihov format. Na ovaj nain se samo prenosi informacije o VPN
drugim ruterima koji imaju interfejse sa istom vrednocu RD. Na taj nain se spreava
sluajno curenje informacija korisnika A korisniku B. To takoe znaci da svaki PE ruter
samo prati rute korisnika koji su povezani na taj PE, a ne prefikse za sve lokacije i korisnike
koji su vezani na ISP. Pri tome ostaje problem i injenica da su to VPN-IP rute, a da je ipak
mrea provajdera zasnovana na IP
protokolu, tako da je u PE ruterima neophodno da se izvri pretvaranje IP u VPN-IP adrese.
To se ostvaruje tako to ruter identifikuje VPN mreu kojoj korisnik pripada na osnovu
interfejsa po kojem stie paket i dodeljuje VPN IP adresu koristei oznaku rute za datu VPN
mreu. Zatim tu VPN-IP rutu prosleuje svojim BGP susedima koristeci BGP opti
(community) atribut za datu mreu. Pri tome se javljaju sledeci problemi:

neophodno je konvertovati IP zaglavlje tako da se koriste due adrese na ulaznim PE
ruterima;
unutranji ruteri treba da znaju kako da prosleuju ovaj novi mreni protocol;
neophodno je na izlaznim ruterima ponovo izvriti konverziju u IP adrese;

Zato se reenje za taj problem nalo uvoenjem MPLS-a. Sa stanovita MPLS-a ulazni
PE ruter nije nita drugo do ulazni LSR ruter. Kada ulazni PE ruter primi IP paket od CE
rutera, on konsultuje svoju odgovarajucu FIB tabelu rutiranja (identifikovanu na osnovu porta
po kom je doao IP paket). Na osnovu informacije iz tabele rutiranja, utvruje se sledeci hop
paketa kao i labela koja ce biti stavljena na njegovo IP zaglavlje. U stvari na paket se
stavljaju 2 labele: prva na vrhu steka labela, govori o putanji paketa kroz mreu VPN
provajdera do izlaznog PE rutera i prosleuje se LDP protokolom. Druga labela ispod
predhodne, govori izlaznom PE ruteru kako i kom korisniku treba proslediti paket koji je
primljen i prosleuje se BGP protokolom, upotrebom VPN-IP adresa.


35

Slika 21. Uvoenje Route Distinguisher-a


36

12. Open VPN

Danas veina kompanija ima potrebu stalnog ili povremenog vanjskog povezivanja na
lokalnu mreu. Veina odustaje od sigurnog povezivanja u VPN zbog cene gotovih ureaja
koji bi to omoguili, ali i zbog njihovog komplikovanog odravanja. Glavna prednost Open
VPN-a je njegova jednostavnost u primeni. Koristi vrlo napredne kriptografske algoritme, ali
ne optereuje previe raunara na kojem je instaliran. Generisanje sertifikata i kljueva je vrlo
jednostavno i brzo, ukoliko se prati prikazana procedura opisana u nastavku poglavlja. Uz sve
to je i besplatan, pa se za manje korisnike moe smatrati povoljnijim reenjem od kupovine
skupih IPSEC firewall-a.

Open VPN je aplikacija koja se u osnovi koristi iz komandne linije i moe se pokrenuti
kao servis unutar operacionog sistema. Aplikacija se moe pokretati na vie naina koristei
podeavanja unutar konfiguracione datoteke, a za puni opis svih moguih opcija preporuuje
se lista na web stranicama autora: http://openvpn.net/man.html.

OpenVPN moemo koristiti za stalno (site-to-site) i povremeno (client) povezivanje
pojedinih lokacija i ureaja. Podeavanje je u osnovi slino u oba sluaja jer uvek instaliramo
istu aplikaciju na svim raunarima unutar VPN mree. Osnovno podeavanje je vrlo
jednostavno, ali kompleksnost primene raste zavisno od sloenosti topologije mree. Tada su
potrebna i dodatna znanja o sigurnosti raunarnih mrea, naroito o infrastrukturi javnih
kljueva (PKI).

OpenVPN koristi SSL/TSL (Secure socket layer/Transport layer security) protokol za
uspostavljanje komunikacije izmeu pojedinih taaka VPN mree. Na taj nain se ostvaruje
slina sigurnost kao i u mreama gde se primenjuje IPsec (IP security) protokol. Za razliku
od drugih SSL VPN-ova gde se klijenti posebno ne podeavaju, a veza se uspostavlja
iskljuivo kroz web browser na strani klijenta, kod Open VPN-a se klijent posebno podeava.
Ista aplikacija se instalira na serveru i klijentu pa se Open VPN moe smatrati P2P (peer-to-
peer) aplikacijom. Svi data paketi se usmeravaju na jedan UDP ili TCP port po izboru (po
definciji se koristi UDP protokol i port 1194). Sav tako usmeren mreni promet se enkriptuje
i alje na drugu taku VPN mree u odlasku ili dekriptuje ako je re o dolaznom prometu.
Aplikacija je realizovana pod Open Source GNU licencom i moe se instalirati na MS
Windows XP, Linux, Mac OS X, OpenBSD, FreeBSD, NetBSD operacionim sistemima.


37

12.1. Ugraena sigurnost i kriptografski algoritmi

Osnovna ideja svih danas dostupnih VPN reenja se svodi na zatitu od pasivnih i
aktivnih napada. Pasivni napada je onaj koji prislukuje kanal komunikacije, ali ne deluje
aktivno na informacije. Enkripcija podataka moe reiti ovakav problem. Aktivni napada
moe ubaciti sebe u komunikaconi kanal, dodavati, menjati ili brisati podatke u
komunikacionom kanalu. Aktivni napada se u literaturi na engleskom jeziku obino naziva
man-in- the-middle (ovek u sredini).

Veina korisnika smatra da se VPN sigurnost uglavnom sastoji od mnotva primenjenih
enkripcijskih algoritama kojima reavamo prislukivanje komunikacije. Postavlja se pitanje
da li je to dovoljno. Sa stanovita sigurnosti VPN mora reiti i puno vaniji problem, a to je
autentifikacija korisnika i onemoguavanje aktivnih napada. U primeni to znai potpisivanje
svakog komunikacijskog paketa, tako da primalac sigurno zna da poruka dolazi iz proverenog
izvora. Potpisivanje paketa izvodi se funkcijama saimanja. OpenVPN koristi HMAC
(keyed-hash message authentication code) funkciju za autentifikaciju paketa. HMAC spada u
podgrupu MAC ( message authentication code ) funkcija i upotrebljava se uz standardne
kriptografske funkcije saimanja (MD5 ili SHA) i sigurnosni klju.

Konstrukciju i analizu HMAC algoritma su prvi put prikazali: Mihir Bellare, Ran Canetti,
i Hugo Krawczyk, 1996. godine.

HMAC autentifikacija komunikacionih paketa nije dovoljna za zatitu od tzv. napada
ponavljanjem (replay attack). Npr. napada moe snimiti enkriptovani, njemu zanimljivi
promet (npr. Novana transakcija) i onda ga reprodukovati. Ukoliko sistem nema zatitu od
takvog napada, mogue je imati niz takvih upitnih transakcija. Reenje ovog problema bi bilo
dodavanje jedinstvenih vremenskih oznaka na svaki paket. Primalac podataka mora tada
paziti da ne primi dva puta pakete s istom vremenskom oznakom. Open VPN koristi tzv.
SWA algoritam (Sliding Window Algorithm) za spreavanje aktivnog napada ponavljanjem.

Za kriptovanje podataka OpenVPN koristi gotovu OpenSSL biblioteku funkcija. Pri tome
je mogue koristiti statike kljueve koje razmenjuju uesnici u komunikaciji, u
jednostavnijoj primeni. Meutim, mogue je koristiti i RSA infrastrukturu javnih kljueva za
reavanje osetljive take u HMAC autentifikaciji, a to je razmena kljua.

Infrastruktura javnih kljueva je prvi put predstavljena 1977. godine u asopisu The
Scientific American , kada su autori: Ronald L. Rivest, Adi Shamir i Leonard M. Adleman
predstavili svoju primenu RSA algoritma u kriptografiji s javnim kljuevima i digitalnim
potpisom. Zanimljivo je da su autori ponudili puni opis algoritma bilo kome ko poalje
potansku omotnicu s plaenim potanskim odgovorom. To je rezultovalo ogromnim
odzivom i frustracijom u NSA (National security agency) jer je prvi put na taj nain masovno
distribuiran kriptografski algoritam. Meutim, postupak irenja je bio u skladu s tada vaeim
zakonima, jer uprkos masovnosti nije bio javan.


38

Postupak upotrebe javnog kljua je bio inovativan upravo zbog toga jer je uveo sigurnu
razmenu simetrinog kljua kriptovanja, bez upotrebe sigurnog medija. U primeni to znai da
je za komunikaciju izmeu dve take potrebno generisati javni i par privatnih kljueva. Svaki
uesnik u komunikaciji zadrava vlastiti privatni klju koji se nikad ne razmenjuje s drugim
uesnikom. Njime dekriptuje poruke koje su kriptovane javnim kljuem i koji je slobodno
dostupan svima koji ele uestvovati u komunikaciji. Problem autentifikacije je reen
uvoenjem sertifikata, potpisanih u sertifikacionom centru (CA), koji utvruje identitet
uesnika u komunikaciji.

12.2. Praktini primer spajanja dve lokacije upotrebom statikog kljua

Nakon preuzimanja instalacionog paketa, kopiraju se instalacione datoteke na raunar
koje e postati VPN server. U ovom primeru e to biti raunar sa MS Windows XP
operacionim sistemom. Pokretanjem instalacionog postupka podeava se OpenVPN,
OpenVPN GUI konfiguracioni program i alat za kreiranje sertifikata.

Moe se uoiti da je na raunaru instalirana nova mrena kartica pod imenom : Win32
Adapter v8. Novoinstalirana mrena kartica predstavlja virtualni ureaj preko kojeg podaci
mogu prolaziti na dva naina. Ukoliko se promet preusmerava na postojeu mrenu karticu
ugraenu u raunar, tada je to tzv. bridge nain rada. U protivnom se sva podeavanja na
virtualnom adapteru obavljaju kao da je re o pravoj mrenoj kartici, s vlastitom IP
adresom i tada je to tzv. router nain rada.

Prvo i osnovno podeavanje na serveru obavlja se na postavkama unutar konfiguracione
datoteke. Za poetak se moemo posluiti primerom takve datoteke koji se nalazi u mapi:
C:\ProgramFiles\OpenVPN\sample-config, pod imenom: sample.opvpn.txt., a koji se kopira
u C:\ProgramFiles\OpenVPN\config pod imenom: server.ovpn.

Konfiguracionu datoteku otvaramo i u tekst editoru i potraimo pojam u kojem se nalazi
tekst: remote myremote.

Ako elimo dozvoliti pristup sa tano odreene adrese npr. 213.191.134.11, tada ta linija
treba glasiti: remote 213.191.134.11. Ukoliko elimo dozvoliti pristup sa bilo koje IP adrese,
tada se jednostavno ovu linija brie ili se komentarie sa ; na poetku.

Po definiciji se sva komunikcija odvija preko UDP protokola i porta 1194. Ukoliko se to
menja, potrebno je promeniti linije koje poinju sa port (podeavanje porta) i proto (odabir
protokola). Zatim se bira nain spajanja na server. Ako elimo podesiti povezivanje dve
mree sklonimo komentare se reda sa tekstom: dev tap. U protivnom je re o spajanju sa vie
razliitih lokacija na jednu centralnu i tada se bira: dev tun protokol.


39

Za poetak je prikazana jednostavnija varijanta spajanja dve mree (u ovom primeru
spajanje dva raunara s Windows XP operacionim sistemom).

U tom sluaju generie se statiki klju kojim se kriptuje komunikacija izmeu dve
lokacije. Unutar programa bira se naredba: Generate a static OpenVPN key, nakon ega se u
mapi C:\ProgramFiles\OpenVPN\config stvara 2048 bitni klju za kriptovanje komunikacije
pod imenom key.txt. Da bi klju postao vaei mora se u konfiguracionoj datoteci dodati
linija: secret key.txt. Preostaje jo konfigurisanje dva parametra: verb i mute. Parametar
verb odreuje koliko se detaljno belei trenutno stanje aplikacije u log datoteci. Minimalna
vrednost je 0 (belee se samo greke), a maksimalna 11. Parametar mute definie koliko
puta se pokuava ponoviti povezivanje, ukoliko prvo povezivanje nije bilo uspeno.

Poetna konfiguraciona datoteka na strani servera bi mogla biti ovako postavljena:

dev tap
proto udp
secret key.txt
persist-tun
ifconfig 192.168.122.1 255.255.255.0
verb 4
mute 10

Klijent se podeava gotovo istim parametrima kao i server, uz nekoliko odstupanja. Tako
parametar remote na strani klijenta predstavlja javnu IP adresu mree kojoj se pristupa.
Takoe je uobiajeno na strani klijenta postaviti ifconfig parametar kojim se definie IP
adresa koju e klijent dobiti prilikom povezivanja na udaljenu mreu.

Pretpostavimo da se klijent spaja na udaljenu mreu s javnom IP adresom:
213.191.134.11. Tada bi konfiguraciona datoteka na strani klijenta mogla biti:

remote 213.191.134.11
dev tap
ifconfig 192.168.122.100 255.255.255.0
secret key.txt
verb 4
mute 10

Na kraju treba odluiti na koji nain e se pokrenuti aplikacija na udaljenim raunarima.
Moe se koristiti tzv. usmereni (routing) ili preklopljeni (bridged) nain rada.

U ovom primeru spajaju se dva udaljena raunara pa je mogue primeniti jednostavniju,
bridged konfiguraciju kod koje se sav promet s virtualnog adaptera preusmerava na mrenu
karticu koja je fiziki instalirana na raunaru.

Ukoliko je operacioni sistem na raunarima MS Windows XP, povezivanje mrenih
adaptera na ovaj nain je vrlo jednostavno. Na popisu mrenih adaptera odabere se s liste
TAP adapter i postojea mrena kartica kombinacijom CTRL tipke i leve tipke na miu.


40

Slika 22. Odabir mrenih kartica za povezivanje

Aktivira se desna tipka mia i odabere naredbu Bridge Connections.

Slika 23. Povezivanje odabranih mrenih kartica

Rezultat je nova mrena kartica sastavljena od OpenVPN i stvarne mrene kartice.

Slika 24. Rezulat povezivanja virtualne i stvarne mrene kartice

Duplim klikom na GUI ikonu (openvpn-gui-1.0.3.exe) smetenu na radnoj povrini
pokree se OpenVPN na raunarima. Rezultat pokretanja je nova sliica u taskbar-u. Desnom
tipkom mia, otvara se mogunost pokretanja eljene konfiguracione datoteke:


41

Slika 25. Odabir aktivne konfiguracije

Ukoliko je sve dobro podeeno, rezultat je poruka da je spajanje uspeno i da je
konfigurisana besplatna VPN veza izmeu dve odvojene mree spojene na zajedniki subnet.

12.3. Praktini primer spajanja dve lokacije upotrebom sertifikata

Upotreba statikog kljua je vrlo jednostavna za podeavanje, ali ima ozbiljan nedostatak.
U sluaju krae kljua, napada moe bez potekoa upadati u kanal komunikacije. Takoe
se ne mogu primeniti svi postupci autentifikacije na strani serverskog raunara (npr. dodatna
autorizacija lozinkom). Za uspostavljanje infrastrukture javnog kljua mora se definisati CA
centar na sigurnom raunaru. U ovom primeru, mogue je za tu svrhu koristiti raunar koji
uopte nema nikakav mreni pristup.

Generisanje sertifikata opisano je u nekoliko taaka:

1. Proveri se verzija OpenSSL biblioteka na serveru i klijentu.

Poeljno je da budu iste. Pokrene se prozor s komandnom linijom i izabere mapa:
c:\Program Files\OpenVPN\bin i pokrene se openssl.exe Nakon toga zadaje se naredba:
version i na ekranu se ispie verzija biblioteke.

2. Podeavaju se podaci o vlasniku generisanih sertifikata.


42

Da bi se to obavilo, potrebno je pokrenuti init-config.bat datoteku u mapi: c:\Program
Files\OpenVPN\easy-rsa. Rezultat je vars.bat datoteka, generisana u istoj mapi. Postavlja se
veliina kljua na 2048 bita, i podeavaju preostali parametri za generisanje npr.

set KEY_SIZE=2048
set KEY_COUNTRY=HR
set KEY_PROVINCE=SI
set KEY_CITY=SIBENIK
set KEY_ORG=COMPCO
set KEY_EMAIL=frane.urem@compco.hr

Pokrene se ureeni vars.bat, a nakon njega clean-all.bat, kako bi se oistila mapa s
kljuevima.

3. Stvara se CA root sertifikat pokretanjem build-ca.bat.

Prilikom generisanja potrebno je upisati podatke kao i u vars.bat datoteci. Za polje
Common Name moe se upisati naziv kompanije koja izdaje sertifikat s dodatkom -CA,
kao u primeru.

Slika 26. Kreiranje CA root sertifikata

Konani rezultat su: ca.cert i ca.key u mapi c:\Program FIles\OpenVPN\easy-rsa\keys.
Ca.key je privatni CA klju i mora se uvati na vrlo sigurnom raunaru koji nema pristup
mrei.


43

Slika 27. Lista generisanih CA root datoteka

4. Zatim se kreira sertifikat i privatni klju za VPN server.

To se izvodi pokretanjem naredbe : build-key-server.bat server. Upisuju se traeni podaci
o izdanom sertifikatu kao i kod kreiranja javnog CA sertifikata. Rezultat pokretanja su
privatni klju i sertifikat za server (server.key, server.crt), potpisani CA kljuem, izdati na
rok od 10 godina. Rok izdavanja moemo kontrolisati unutar build-keyserver.bat datoteke.

Slika 28. Kreiranje sertifikata i kljua za server

5. Kreiraju se sertifikati i kljuevi za klijente koji e pristupati serveru.

To se izvodi pokretanjem: build-key <ime klijenta> , npr. ukoliko su 3 klijenta (klijent1,
klijent2, klijent3), pokrene se tri puta build-key.bat, za svakog klijenta posebno:

build-key klijent1
build-key klijent2

44

build-key klijent3

Rezultat su parovi kljueva i sertifikata za svakog klijenta, u podmapi \keys.

6. Generie se Diffie Hellman parametar.

To se izvodi pokretanjem build-dh.bat. Rezultat je veliki, sluajno generisani prim broj,
koji se kopira samo na server. Ovaj postupak traje najdue, a moe se ubrzati unoenjem
malo entropije u sistem, npr. nasuminim pomicanjem mia.

7. Unosi se dodatna sigurnost generisanjem tzv. ta kljueva.

To se izvodi pokretanjem naredbe: openvpn --genkey --secret ta.key Rezultat je klju za
HMAC potpisivanje paketa, u svrhu dodatne autorizacije. Kljuevi se moraju sigurno
razmeniti sa serverom i klijentima, i iskopirati u podmapu \keys .

Na kraju je potrebno iskopirati generisane kljueve, prema sledeoj tablici:

Ime datoteke:

Koristi ga: Svrha: Tajnost:
ca.crt Server i svi klijenti Root CA certifikat NE

ca.key
Samo sigurno
raunalo za
generiranje kljueva

Root CA klju

DA
dh{n}.pem Samo server Diffie-Hellman
parametar
NE
server.crt Samo server Server certifikat NE
server.key Samo server Server klju DA
client1.crt Klijent1 klijent1 certifikat NE
client1.key Klijent1 klijent1 klju DA
client2.key Klijent2 klijent2 klju DA
client3.key Samo klijent3 klijent3 klju DA

Tablica 1: Raspodela Sertifikata, u primeru : jedan server, tri klijenta


45

Konfiguracione datoteke se podeavaju kao i u primeru sa statikim kljuem, ali se
umesto statikog kljua zadaju imena sertifikata i kljueva za server i klijente. Primer
konfiguracijske datoteke za server:

dev tap
proto udp
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
persist-tun
ifconfig 192.168.122.1 255.255.255.0
verb 4
mute 10

Primjer konfiguracione datoteke za klijenta, koji pristupa na udaljenu IP adresu
213.191.134.11:

remote 213.191.134.11
dev tap
ifconfig 192.168.122.100 255.255.255.0
ca ca.crt
cert klijent1.crt
key klijent1.key
verb 4
mute 10

Sva ostala podeavanja su ista kao i u primeru sa statikim kljuem.


46

13. Primer implementacije VPN-a

Karakteristian sluaj primene VPN-a u modernom poslovanju je dakle deljenje podataka
izmeu udaljenih lokalnih mrea. U ovom primeru date su dve lokalne mree sa deljenim
direktorijima koji moraju, uz odgovarajuu autentikaciono-autorizacijsku politiku, biti
dostupni korisnicima iz dveju mrea.
VPN tunel odravaju posebni usmerivaki ureaji (VPN routeri) opremljeni ethernet
portovima, koji upotrebljavaju IPSec protokol. IPSec je tzv. layer 3 protokol, koji podrava
siguran prenos podataka kroz IP mree. IPSec podaci organizovani su u posebne pakete
(IPSec tunel paketi), koji u osnovi predstavljaju enkapsulirane IP pakete, enkriptovane
kriptografskim algoritmom dogovorenim izmeu dve strane IP tunela.

Slika 29. Konfiguracija pristupa udaljenom deljenom direktorijumu

Prva lokalna mrea, sa skupom adresa 192.168.0.1/255.255.255.0 ima deljeni
direktorijum na raunaru sa operativnim sistemom Windows 2000 Server sa adresom
192.168.0.2. Ako je na tom raunaru dozvoljen pristup korisniku guest, tada e raunar iz
druge lokalne mree sa skupom adresa 192.168.2.1/255.255.255.0, operativnim sistemom
Windows 2000 Server i adresom 192.168.2.2 primeniti sledei postupak kako bi pristupio
tom deljenom direktorijumu.


47

Slika 30. Udaljeni deljeni direktoriumj u lokalnom My Computer prozoru

U meniju Windows Explorer aplikacije ii na Tools -> Map Network Drive, nakon ega
se pojavljuje dijaloki okvir u koji treba uneti osnovne podatke o udaljenom deljenom
direktorijumu (kao na Sl.29).
Nakon unoenja ovih podataka operativni sistem e traiti username i password za
korisnika koji pristupa direktorijumu, i u sluaju uspene autorizacije napraviti novi virtualni
disk - lokalnu sliku udaljenog deljenog direktorijuma (Sl. 30). Prava pisanja i itanja na
novom disku odreena su autorizacionom politikom raunara na kojem se deljeni
direktorijum nalazi ili domena iji je lan.
Pri svemu ovome treba jo naglasiti da je su deljeni direktorijumi dobijeni ovim
postupkom izolovani od Internet okruenja koje se koristi za prenos podataka koji se nalaze u
njima. Njihova "nevidljivost" korisnicima Interneta proistie iz injenice da se nalaze na
raunarima koji direktno nisu lanovi Interneta, ve su im date adrese koje pripadaju
njihovim lokalnim mreama. Sigurnost podataka koji se prenose Internetom osigurava
ekripcija u IP tunelu formiranom u sklopu VPN-a. U ovom sluaju primenjuje se 3DES
algoritam za simetrinu enkripciju koji koristi klju efektivne duine od 128 bita.


48

14. Postupak kreiranja Virtualne privatne mree

U ovom poglavlju e biti prikazan postupak kreiranja Virtuelne privatne mree unutar
Windows XP operacionog sistema.
Poto Windows XP ima sve predispozicije za kreiranje VPN konekcije bez dodatnog
softvera proces se odvija na sledei nain:

1. Prvo to trebate napraviti je provera da ste uredno spojeni na Internet..
2. Kliknite Start pa Control Panel.
3. Odaberite Network Connections.
4. Kliknite Create a new connection.

Slika 31.

5. U Network Connection Wizard u odaberite Next.
6. Kliknite Connect to the network at my workplace i odaberite Next.

49

Slika 32.

7. Odaberite Virtual Private Network connection pa Next.

Slika 33.

50

8. Unesite proizvoljno ime vae VPN konekcije, u ovom sluaju je to Posao.
Odaberite Next.

Slika 34.
9. U sluaju da ste pitani da li ete koristiti dial-up vezu ili ve spojenu preko DSL-a (ili
neeg treeg) odaberite: Do not dial the initial connection pa Next.
10. Unesite IP adresu ili Hostname gde ete se spajati (te podatke obino dobijete od
administratora).
11. U sluaju da ste pitani elite li koristiti Smart Card odaberite Do not use my smart
card.
12. Sada odaberite elite li preicu na vaoj radnoj povrini ili ne i kliknite Finish.
13. Nakon to je konekcija napravljena moda e se automatski pokuati spojiti preko
VPN a, ako ne, odaberite Control Panel, pa u Network Connections i desnim klikom na
Vau kreiranu VPN konekciju odaberite Properties.

Slika 35.

51

14 . U prvoj opciji (tabu) General moete promeniti IP adresu ili Hostname na koji se
spajate kao i automatsko spajanje na Internet prilikom pokretanja VPN konekcije (vredi samo
za dial-up konekcije). Takoe imate opciju da li elite status da ste spojeni u Taskbar -u
(Show icon in notification area when connected).

Slika 36.

15. Sljedea opcija (tab) je Options u kojoj moete puno toga podesiti. Tu su stvari
kao Include Windows logon domain pomou koje e vam traiti podatke spajanja na
domenu pri pristupu VPN-u ili Redial attempts to znai nakon koliko vremena da se
ponovno spaja ako konekcija nije uspostavljena.

52

Slika 37.

16. Nakon Options -a dolazi nam opcija Security u kojoj u principu postavljate tip
enkripcije i sigurnosti spajanja Vae VPN konekcije. Te podatke uglavnom dobijete od
administratora poto je on odredio tip enkripcije.

Slika 38.

53

17. U opciji Networking moete odabrati koji protokli i servisi e biti koriteni
tokom VPN konekcije.

Slika 39.
18. I poslednja opcija je Advanced u kojoj moete konfigurisati Firewall i Sharing
(zajedniko korienje).

Slika 40.

54

19. Nakon to ste konfigurisali VPN konekciju sve je spremno i za spajanje. Odaberite
Vau VPN konekciju i nakon unosa korisnikog imena (User name) i ifre (Password)
kliknite Connect. Isto tako za kraj veze odaberite konekciju i kliknite Disconnect.

Slika 41.


55

15. Primer za implementaciju Cisco IPSec VPN servisa

VPN koristi javnu mrenu infrastrukturu uz ouvanje privatnosti kroz bezbednosne
procedure i protokole kao to je IPSec. Sistem funkcionie tako to se podaci ifruju na
predajnoj strani i deifruju na prijemnoj strani. Komunikacija se odvija kroz "tunel" to
obezbeuje dodatni nivo sigurnosti, koji obuhvata ifrovanje podataka i mrenih adresa
uesnika u komunikaciji.

Slika 42 : Primer implementacije Cisco IPSec VPN servisa

Cisco IPSec VPN omoguava:

- Povezivanje teritorijalno udaljenih kancelarija kompanije u jedinstvenu privatnu
mreu.
- Sigurnu vezu radi pristupa bazama podataka, svim dokumentima i programskim
aplikacijama dostupnim zaposlenima u kompaniji.
- Pristup e-mail serveru, potrebnim adresama i brojevima telefona iz Vaeg adresara;
- itanje elektronske pote i odgovaranje na hitne obaveze bez obzira na vreme i mesto
na kome se trenutno nalazite.
- Pouzdanu i efikasnu komunikaciju sa mobilnim timovima kompanije uz bolju
koordinaciju i organizaciju poslovanja (npr. slanje narudbina sa terena).


56

Administracija korisnickih naloga omoguena je preko web aplikacije VPN Admin Panel.
Web aplikacija ima sledee karakteristike:

- Kreiranje VPN korisnikih naloga.
- Prikaz aktivnih VPN sesija na ruteru u realnom vremenu.
- Izmena podataka i brisanje korisnikih naloga.
- Pregled svih ostvarenih sesija za svaki korisniki nalog.

Za instalaciju web aplikacije VPN Admin Panel neophodno je obezbediti raunar sa
Windows operativnim sistemom sa instaliranom komponentom IIS (Internet Information
Services).

Slika 43: VPN Admin Panel Prikaz liste VPN korisnika


57

Svaki kreirani VPN nalog automatski dobija fiksnu IP adresu, to omoguava veu
kontrolu pristupa, koja se moe ostvariti primenom pristupnih lista (eng. access list) na Cisco
ruteru.

Slika 44: VPN Admin Panel Stranica za dodavanje VPN naloga

VPN konekcija se ostvaruje preko aplikacije Cisco VPN Client. U zavisnosti od verzije
operativnog sistema na raunaru korisnika (32-bit ili 64-bit), neophodno je instalirati
odgovarajuu verziju aplikacije.

Slika 45: Cisco VPN Client Izgled glavnog prozora


58

16. Primer administracije VPN naloga u MUP-u Crne Gore

Primer administracije VPN naloga na aktivnom direktorijumu koji se nalazi na Windows
Serveru 2003, 64/bit.

Kreiranje VPN korisnika u AD-u. Prati se procedura:

Slika 46.


59

Slika 47. Setovanje password-a za korisnika

Slika 48.

60

Slika 49. Prikaz korisnika u AD bazi

S obzirom da se radi o poverljivim podacima Ministarstva Crne Gore u programu Paint su
izbrisani folderi na aktivnom direktorijumu kao i podaci i statusi korisnika koji su ve
postojali u mrei. Selektovan je na slici novi dodati korisnik iz prethodno prikazane
procedure.

Desnim klikom na korisnika moemo:
-Dodati korisnika grupi
-Setovati password
-Brisati nalog
-Menjati nalog
-Disable-ovati nalog (privremeno)


61

Slika 50. Setovanje korisnika u AD bazi

Na nalogu korisnika imamo niz mogunosti gde moemo podeavati prava korisnika i
unositi odreene informacije o njemu.

Slika 51. Prikaz prozora za logovanje od kue

Unosi se ime koje je dodelio administrator.

62

Slika 52. Prikaz naloga sa nazivom za logovanje

Na polju Account options mozemo podeavati odreenu password politiku. U ovom
sluaju poeljno je staviti da se password ne menja jer je po default podeeno da se password
menja nakon 42 dana.


63

Slika 53. Prikaz dodavanja informacija o organizaciji korisnika

Slika 54. Prikaz dodeljivanja lanstva korisniku


64

Slika 55. Pretraga korisnika u AD-u

Kao to vidimo pretraga se moe izvriti na osnovu niza karakteristika i informacija o
korisniku koje se dodaju u prethodno prikazanom prozoru na slici 38.


65

17. Realizacija VPN-a u preduzeu TEHPRO D.O.O. Beograd

11250 Beograd, Jugoslovenska 2
Tel: 011/2580-785, 2580-795; Fax: 011/2580-778
office@tehpro.co.yu www.tehpro.co.yu
TEHPRO d.o.o. - Drutvo za usluge u oblasti zatite

Preduzee TEHPRO je osnovano 1991. godine. Osnovna delatnost je pruanje usluga u
oblastima:

bezbednost i zdravlje na radu,
zatita od poara,
zatita ivotne sredine

Od 1996. godine na trite Srbije plasira lina zatitna sredstva, instrumente i sisteme za
detekciju eksplozivnih i toksinih gasova proizvoaa MSA AUER. Usledila je distribucija i
zastupnitvo i drugih renomiranih svetskih proizvoaa sredstava i opreme za linu i
kolektivnu zatitu.

Od osnivanja preduzee neprestano ulae u svoj razvoj, sa teitem na obrazovanje i
usavravanje kadrova, i ulaganje u opremu. Poslednjih godina, okosnicu razvoja ine
inenjering i savremeno opremljene ekipe koje pruaju kompleksne usluge iz osnovne
delatnosti.

U okviru svojih inenjerskih delatnosti preduzee TEHPRO je sposobno da realizuje
kompletne projekte. Poseduje sve licence i zakonska ovlaenja za projektovanje, izvoenje,
zastupanje stranih partnera i firmi, trgovinu, uvoz i izvoz komponenti, sistema, ureaja,
sertifikaciju i putanje u rad.

Kao odgovor na sve veu potrebu za obuenim kadrom u oblasti bezbednosti zdravlja na
radu, pokrenut je i centar za edukaciju. Organizovanjem kurseva, seminara i savetovanja kao
i izdavanjem strune literature zaokruen je skup edukativnih aktivnosti koje za cilj imaju
unapreenje sistema bezbednosti i zdravlja na radu.


66

Preduzee TEHPRO sa seditem u Beogradu
trenutno pokriva vei deo Srbije preko svojih radnih jedinica.

Tehpro - RJ Kruevac
062/808-****

Tehpro - RJ Ni
062/808-****

Tehpro - RJ aak
062/808-****

Tehpro - RJ Parain
062/808-****

Tehpro - RJ Smederevo
062/808-****

Tehpro - RJ Panevo
062/808-****

Zbog sve kompleksnijih poslovnih poduhvata, irenja firme i otvaranja novih radnih
jednica, javila se potreba unutar preduzea da se svi raunari poveu unutar jedne mree radi
lakeg deljenja podataka i meusobne komunikacije. Firma sada broji 68 raunara za ije
potrebe je i realizovana VPN mrea. Uvoenjem VPN-a firma je umnogome napredovala a
najvee prednosti odrazile su se na :
smanjenje trokova poslovanja i utedu vremena putem efikasnije komunikacije;
centralizovano poslovanje i upravljanje preko novih ili postojeih programa za
knjigovodstvo, menadment, magacinsko poslovanje, finansije i sl. ;
primenu integralnih sistema IP video nadzora i korporativne IP telefonije .


67

Trenutno je u procesu uvoenje VoIP VPN usluge ime e se praktino sve lokacije
povezati u jedinstvenu korporativnu telefonsku mreu. Svi pozivi izmeu ovih lokacija e biti
potpuno besplatni, a udaljene lokacije e moi da koriste sve pogodnosti koje su dostupne u
seditu kompanije.
VPN u preduzeu TEHPRO D.O.O. realizovan je na Microsoft platformi u okviru Small
Bussines Servera. Obzirom da je sve u okviru Small Bussines servera glavna pogodnost je da
je administracija mnogo laka jer na istom serveru su i VPN i ostali servisi koji mogu da rade
na jednoj maini. Poboljana je i kompatibilnost jer je svaki segment pod okriljem
Microsofta.

Kada govorimo o nepogodnostima prvo sa ime se moemo susresti je situacija kada port
na ruteru nije otvoren. U sluaju da jeste (obzirom da je u pitanju softverski VPN), ruter
proputa paket i server vri autentifikaciju i dekripciju. Autentifikacija se vri preko CHAP
protokola i Microsoft CHAP Version 2. Drugi problem moe biti da paket bude pogreno
prosleen. Problemi se mogu javiti i zavisno od operativnog sistema. U ovom sluaju se radi
o Windows 7 OS-u a njemu je zatita pri konekciji postavljena na najvii nivo tako da se
morao smanjiti nivo sigurnosti kako se pokuaj konekcije ne bi odbio.

Sledei problem koji se moe desiti je da server ima konflikt sa DHCP-om oko davanja
adresa. Da ne bi dolo do zabune potrebno je rei DHCP-u da Vi (server) dajete adrese
korisnicima. Da bi se izbegao taj problem moete i podesiti da, recimo prvih 50 adresa budu
za interne korisnike i da budu fiksne, a za udaljene korisnike napraviti od 51 pa na dalje,
zavisno o koliko subneta se radi.

to se tie nekih podeavanja u ovom sluaju panja treba biti skrenuta na podeavanje
prosleivanja portova na ruteru tako da VPN paketi se dalje prosleuju VPN serveru. Zatim,
kod klijenta na konekciji treba odekirati opciju Use dafault gateway on remote desktop.
Problematino je i moe oteati saobraaj jer za eksterne adrese svaki upit bi iao preko
glavnog servera (kojeg bi koristio kao default gateway).

Ovaj VPN za komunikaciju koristi L2TP/SSL, PPTP i SSTP protokole. Vano je
napomenuti i to da je ruter nameten da proputa unapred postavljene portove.


68

Na slikama koje slede videe se deo realizacije VPN-a u preduzeu Tehpro d.o.o. :

Slika 56. Pravljenje VPN konekcije na strani klijenta


69

Slika 57. Pravljenje VPN konekcije na strani klijenta na security tab-u

Slika 58. Advanced settings (tu se nalazi default gateway o kome prethodno je bilo rei)


70

Slika 59. Konektovanje na server

Konektovanje na server vri se preko Remote desktopa koji se pokree komandom
mstsc. To je osnovni alat administrator.


71

Slika 60. Prikaz klijenta

Desnim klikom na klijenta moe se videti njegov trenutni status na mrei, koliko dugo je
online, moe se diskonektovati a moze mu se i poslati privatna poruka.

Slika 61 . Davanje dozvole klijentu da se konektuje na VPN server

72

Slika 62. Kreiranje novog korisnika na server

Slika 63. Odreivanje password-a korisniku


73

Slika 64. Zavrni prozor u Wizardu za kreiranje novog korisnika

Slika 65. Prikaz RAS konzole (Routing an Remote Access)


74

18. Zakljuak

VPN je privukao panju mnogih organizacija koje ele poveati svoje sposobnosti
umreavanja i smanjiti njihove trokove. Uspeh VPN-a u budunosti zavisi uglavnom od
razvoja tehnologije.

VPN zahteva dobro razumevanje problema sigurnosti javih mrea i preduzimanje mera
opreza kod postavljanja. Osim toga dostupnost i performanse VPN-a neke organizacije zavise
od faktora koji su izvan njihove kontrole, a zbog nepostojanja standarda VPN tehnologije
razliitih proizvoaa esto su nekompatibilne.

Najvea vrednost VPN-a lei u potencijalnom smanjenju trokova firmi. Zato ako se VPN
standardi usaglase i razliiti proizvodi postanu kompatibilni poveae se potranja. Uspeh
VPN-a takoe zavisi i od mogunosti intraneta i ekstraneta da obave adekvatno svoje
zadatke.

Rad sadri kako teorijska objanjenja tako i praktine prikaze VPN. Date su definicije,
objanjene su prednosti korienja VPN-a, data je njihova podela a obuhvaena je i
bezbednost. Pokazano je kako se vri VPN konekcija i kako se postavlja VPN server. Postoje
i dva su primera u radu gde se na slikama vidi kako se one realizuju u stvarnim uslovima.


75

19. Literatura

[1] Implementation of Virtual private network based on IPSec, J ianwu Wu, 2009 ETP
International Conference on Future Computer and Communication, 2009 IEEE.

[2] Open VPN: building and operating virtual private networks, Markus Feilner, 2006.

[3] Virtual Private Groups for Protecting Critical Infrastructure Networks, Richard C.
OBrien and Charles N. Payne, Jr. , 2009 IEEE.

[4] VPN Applications Guide: Real Solutions for Enterprise Networks, Dave McDysan, 0- m
471-37175-0.

[5] Ministarstvo za Informaciono drutvo, Crna Gora, 2010.

[6] MPLS and VPN Architectures, Volume II, Ivan Pepelnjak CCIE, J im Guichard CCIE,
Jeff Apcar, Cisco Press.

[7] Business Data Communications & Networking, Dennis FitzGerald, Wiley Computer
Publishing.

[8] VPN Connections Options Expand, InfoWorld - Nov 5, 2001 - Page 33.

[9] Virtual Private Groups for Protecting Critical Infrastructure Networks, Richard C.
OBrien and Charles N. Payne, Jr. , 2009 IEEE.

[10] Open VPN: building and operating virtual private networks, Markus Feilner, 2006.

[11] On the Design of Scalable, Self-Configuring Virtual Networks, David Isaac Wolinsky,
Yonggang Liu, Pierre St. Juste, Girish Venkatasubramanian, Renato Figueiredo, 2009 IEEE

MR - Virtuelne Privatne Mreže

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MR - Virtuelne Privatne Mreže

Uploaded by

Copyright:

Available Formats

Univerzitet Singidunum

Beograd, Bulevar Zorana inia br. 44

You might also like