_______________________ _______________________ Prof. Dr Ranko Popovi Marijanovi Vuk Br. Indeksa: 410280/2009
Beograd, 2011
Sadraj
1. Uvod......................................................................................................1 2. Metodologija naunog istraivanja.............................................................2 2.1. Predmet istraivanja....................................................................2 2.2. Ciljevi istraivanja.......................................................................2 2.3. Metodi i tok istraivakog procesa..............................................3 2.4. Struktura rada.............................................................................3 3. ta predstavljaju virtuelne privatne mree?..........................................4 4. Zato koristiti VPN?.............................................................................5 5. Klasifikacija virtuelnih privatnih mrea................................................6 5.1. Koncept realizacije.......................................................................6 5.1.1. VPN na nivou aplikacije........................................................6 5.1.2. VPN na mrenom sloju..........................................................7 5.1.3. VPN na nivou sloja veze.........................................................8 6. Scenario razvoja Virtuelnih privatnih mrea........................................9 6.1. Intranet........................................................................................9 6.2. Extranet..........................................................................................9 6.3. VPN du viestrukih autonomnih sistema................................10 6.4. Istovremeni VPN i Internet pristup...........................................11 6.5. Hijerarhijske VPN......................................................................13 6.6. Scenario viestrukog pristupa...................................................14 7. Bezbednost...............................................................................................15 7.1. Protokoli: PPTP, L2TP, Ipsec..................................................17 7.2. Analiza bezbednosti..................................................................20 8. Brzina i mogunosti.............................................................................22 9. Konfiguracija VPN konekcije..............................................................24 9.1. Kako radi VPN konekcija..........................................................24 9.1.1. Proces VPN konekcije-koraci................................................24 9.1.2. Prednosti VPN-a...................................................................24 9.2. Komponente VPN konekcije......................................................25 9.3. Encryption protokoli za VPN konekcije......................................25 9.4. Konfiguracioni zahtevi za VPN server.......................................26 9.5. Konfiguracija VPN-a za udaljene sajtove...................................27 10. Postavljanje VPN server.....................................................................28 11. VPN zasnovane na Internet protokolu i MPLS-u..............................29 11.1. Komutacija korenjem labela....................................................30 11.2. VPN zasnovane na MPLS-u.......................................................32 12. Open VPN.........................................................................................36 12.1. Ugraena sigurnost i kriptografski algoritmi..............................37 12.2. Praktini pr. spajanja dve lokacije upotrebom stat. kljua.........38 12.3. Praktini pr. spajanja dve lokacije upotrebom stat. sertifikata...41 13. Primer implementacije VPN-a...........................................................46 14. Postupak kreiranja Virtuelne private mree......................................48 15. Primer za implementaciju Cisco IPSec VPN servisa.........................55 16. Primer administracije VPN naloga u MUP-u Crne Gore...................58 17. Realizacija VPN-a u preduzeu Tehpro D.O.O. Beograd..................65 18. Zakljuak...........................................................................................74 19. Literatura..............................................................................................75 Virtuelne privatne mree Marijanovi Vuk
1
1. Uvod
Lokalne mree su svakodnevnica, sreemo ih na svakom koraku u poslovnim okruenjima a sve vie i u kunim, kada je prisutno vie od jednog raunara. Osim toga, nemali je broj sluajeva da jedna firma ima vie lokacija bilo u istom gradu ili u vie gradova ili zemalja. Pretpostavimo li da na svakoj od tih lokacija postoji lokalna mrea, zahtev za njihovo povezivanje i meusobnu razmenu podataka namee se sam od sebe. Jedan od osnovnih naina za ostvarivanje takve veze koji se do sada koristio, a i dalje se koristi, je povezivanje pomou iznajmljene linije, sa modemima i ruterima kao hardverskom podrkom. Zakup linije na lokalnom nivou sada i nije previe skup pa tako ostaje samo izdatak za odgovarajuu opremu.
Virtuelne privatne mree se zaista mnogo koriste i koristie se jos vie u budunosti. Preveliko je interesovanje za njih i ako se ukuca naziv na Internetu kao rezultat dobija se mnotvo radova i tekstova vezanih za VPN i to je ujedno i jedan od mnogo razloga zato je ova tema odabrana. Najvie radova adekvatnih za prezetentaciju i obradu ove teme moe se nai na sajtu jedne od najveih komjuterskih organizacija- IEEE Computer Society.
Virtualna privatna mrea VPN (Virtual Private Network) je tehnologija koja omoguava sigurno povezivanje privatnih mrea u zajedniku virtualnu privatnu mreu kroz javnu mrenu infrastrukturu. Virtualne privatne mree to ine preusmeravanjem putem Interneta ili neke druge javne mree na nain koji prua istu sigurnost i znaaj kao i privatna mrea. Virtualne privatne mree omoguavaju povezivanje geografski udaljenih lokacija na nain koji je ekvivalentan korienju iznajmljenih linija.
VPN vam nudi prednosti modemske veze za telefonsko povezivanje uz jednostavnost i fleksibilnost Internet veze. Internet veza omoguava vam da se poveete s resursima irom sveta i istovremeno se, na veini mesta, poveete sa svojom kancelarijom tako da uputite lokalni poziv najbliem telefonskom broju za pristup Internetu. Ako imate brzu internet vezu kao to je kablovska ili digitalna pretplatnika linija (DSL) na raunaru i u kancelariji, sa svojom firmom moete komunicirati pri punoj internet brzini. To je mnogo bre od bilo koje modemske veze koja koristi analogni modem.Virtuelne privatne mree koriste veze ija je autentinost proverena kako bi se samo ovlaeni korisnici mogli povezati s vaom mreom i koristiti ifrovanje. Na taj nain ostali korisnici ne mogu presresti ni koristiti podatke koji putuju putem Interneta.
Prednosti koje dolaze iz upotrebe Virtualne privatne mree su beskrajne. Neke od glavnih ukljuuju brzinu, fleksibilnost, privatnost, finansijske pogodnosti. Pogodnosti za virtualnu privatnu mreu ne treba podceniti. One su znaajne i mogu u potpunosti izmeniti nain na koji radite svoj posao.
Virtuelne privatne mree Marijanovi Vuk
2
2. Metodologija naunog istraivanja
2.1 Predmet istraivanja Predmet ovog istraivanja predstavljaju virtuelne privatne mree, njihov nain funkcionisanja, razlozi zato se koriste i kako se dele, kako se konfiguriu i kako se realizuju.
Rad sadri kako teorijska objanjenja tako i praktine prikaze VPN. Date su definicije, objanjene su prednosti korienja VPN-a, data je njihova podela a obuhvaena je i bezbednost. Pokazano je kako se vri VPN konekcija i kako se postavlja VPN server. Postoje i dva su primera u radu gde se na slikama vidi kako se one realizuju u stvarnim uslovima.
2.2 Ciljevi i zadaci istraivanja
Cilj rada je jednostavan teorijski prikaz pojma virtuelnih privatnih mrea, podele istih i naina realizovanja njenih konekcija i postavljanja servera bez praktine primene koja je planirana za drugi pristupni rad.
Nauni cilj ovog pristupnog rada je istraivanje i sistematizacija znanja o virtuelnim privatnim mreama.
Drutveni cilj Kako ivimo u informatikom svetu u kojem raste broj korisnika kompjutera, mobilnih telefona i PDA ureaja virtuelne privatne mree e sve vie zauzimati svoje mesto jer mnoge firme ve imaju a mnoge e tek koristiti i uivati u pogodnostima virtuelnih privatnih mrea pa ovde imamo nameru da objasnimo buduim korisnicima sve prednosti ove tehnologije.
Osnovni pojmovi koji su od znaaja za rad su:
Virtuelne privatne mree, IP, MPLS. VPN konekcija i VPN server Open VPN VPN server
Virtuelne privatne mree Marijanovi Vuk
3
2.3 Metodi i tok istraivakog procesa
Istraivanje je podrano saznanjima iz meunarodne naune i strune literature, odnosno saznanjima drugih autora koji su u svojim lancima i knjigama istraivali problematiku kojom se bavi i ovaj rad. U toku istraivanja, korieno je est principa naunog saznanja: objektivnost, pouzdanost, optost, sistematinost, preciznost i istorinost ili razvojnost.
Na osnovu postavljenog cilja ovog istraivanja odabrane su metode koje e svojom kombinacijom sainjavati metodiku rada. U izradi ovog rada korieno je vie metoda kao to su: metoda modelovanja, metoda analize i sinteze, induktivna i deduktivna metoda i metoda klasifikacije.
2.4 Struktura rada
Rad se sastoji iz 19 poglavlja. U uvodu je data osnovna definicija i prednosti VPN-a i ukratko su dati najvaniji razlozi koji idu u prilog VPN-u. Metodologija istraivanja je nakon uvoda i odmah posle slede dva poglavlja u kojima se jasno stavlja do znanja ta predstavljaju VPN i zato ih trebamo koristiti. Logian redosled podrazumevao bi klasifikaciju VPN-a i ona je u poglavlju 5. Zatim tu je scenario razvoja VPN-a koji se sastoji iz est delova. Poglavlje 7 tie se bezbednosti VPN dok u poglavlju 8 date su brzine i mogunosti u vidu testiranja VPN kanala sa SDES simetrinom enkripcijom. Poglavlje 9 detaljno objanjava konfiguraciju VPN konekcije a postavljanje VPN servera je dato u poglavlju 10. Virtuelne privatne mree zasnovane na Internet protokolu i MPLS-u su u poglavlju 11. Posebno interesantan pojam u radu odnosi se na OpenVpn i on je detaljno obraen u poglavlju 12. Sa realizacijom u radu poinje se u poglavlju 13 gde je dat prvi primer implementacije VPN-a. Odmah zatim nastavlja se sa realizacijom i vec u sledeem poglavlju 14 u najmanji korak dat je postupak kreiranja Virtuelne privatne mree. Poglavlje 15 sadri primer za implementaciju Cisco IPSec VPN servisa. Zatim u poglavlju 16 dat je primer administracije VPN naloga u Ministarstvu unutranjih poslova Crne Gore. U 17 poglavlju data je realizacija VPN-a u preduzeu TEHPRO D.O.O. Beograd koja je i vrhunac ovoga rada. Svrha zakljuka u radu je da podseti na prednosti korenja VPN mrea kao i da podseti na glavne elemente vezane za ovu temu.
Virtuelne privatne mree Marijanovi Vuk
4
3. ta predstavljaju virtuelne privatne mree?
Od vremena kada je ljudska populacija stekla mogunost komunikacije, imamo potrebu da odreeni deo te konverzacije privatizujemo, odnosno ograniimo broj onih koji uestvuju u toj komunikaciji. Bez obzira na prenosni medij, kreirane su razliite tehnologije za skrivanje sadraja komunikacije od neeljenih slualaca: od obinog aputanja pa sve do dananjih zatienih (skremblovanih) TV kanala. Privatnom konverzacijom razdvajamo pozvani auditorijum od svih ostalih. Generalno gledano, postoje dva naina za privatizovanje konverzacije: fizika separacija, gde samo odabrana publika moe da pristupi komunikaciji, i ifriranje informacije, gde mnogi mogu da registruju odaslane signale, ali samo oni odabrani mogu i da razumeju taj signal. Kada se komunikacija odvija u nekom od javnih medija, skrivanje, tj. ifriranje informacije je jedina solucija.
U istorijskom smislu gledano, Internet je nova vrsta medija koja je napravila velike izmene u nainu na koji ljudi meusobno komuniciraju, a istovremeno je fundamentalno izmenio i socijalnu i komercijalnu interakciju. Pri tome, u sferi poslovanja Internet je rapidno postao komunikacioni medij izbora. Zbog toga se ovde posebno istie problem poslovne privatne komunikacije, jer je Internet javni medij. U tehnologiji virtuelnih privatnih mrea (virtual private network - VPN), primenjene su brojne razliite mrene tehnologije radi postizanja cilja - obezbeivanja privatnosti poslovne komunikacije unutar javne Internet infrastrukture.
Koncept virtuelnih privatnih mrea (VPN) sastavljen je iz dva dela: virtuelne mree, koja lei na vrhu sveprisutne interkonekcije na Internetu, i privatne mree za poverljivu komunikaciju i ekskluzivnu upotrebu. U frazi VPN ono "virtuelna" implicira da ne postoji izdvojena fizika mrena infrastruktura. Umesto toga, imamo fiziki jednu mrenu infrastrukturu (Internet), koju deli veliki broj razliitih logikih mrea (podmrea). Na primer, moete koristiti isti mreni pristupni tok za pristup Internetu, za konekciju na razliite korporativne sajtove, i za pristup drugim poslovnim mreama. Ovakve virtuelne mree omoguavaju konstrukciju dodatnih logikih mrea samo izmenom konfiguracije razliitih ureaja. Ovakav pristup donosi bri razvoj i smanjenje trokova koji bi se utroili na postavljanje fizike infrastrukture. Moda je i bitniji aspekt virtuelnih mrea "privatnost". Osnovni cilj privatnih mrea je odravanje poverljivosti informacija (podataka), tako da oni mogu biti primljeni samo od strane onih kojima su i upuene.
Virtuelne privatne mree Marijanovi Vuk
5
4. Zato koristiti VPN?
Nakon upoznavanja sa osnovnim konceptom virtuelnih privatnih mrea u prethodnom prilogu, pokuaemo da vam navedemo nekoliko glavnih razloga za upotrebu Internet orijentisanih VPN-a, umesto korienja mrea fiziki odvojenih od ostalih. Glavne prednosti koje se stiu konverzijom postojeih izdvojenih privatnih mrea u Internet virtuelne privatne mree su : irok spektar primene - Internet nudi mnogo vei spektar primena u odnosu na privatne mrene infrastrukture i one koje nude lokalne telekomunikacione kompanije. Dodavanjem novih taaka spajanja privatnim mreama poveavamo mogunosti poslovnih kontakata. Za razliku od Interneta, koji objedinjuje javne i privatne konekcione take du itavog sveta, kod privatnih mrea (uglavnom lokalnog tipa) servis-provajderi nude samo ogranien broj interkonekcija, a u vezi s tim i smanjene mogunosti poslovanja. Internet predstavlja ogromnu interkonekciju heterogenih (raznorodnih) mrea. Bilo koji host (to znai i va server) koji je spojen na mreu, spojen je i na Internet, to znai da ima vezu sa bilo kojim hostom koji se nalazi sa druge strane sveta. Taj drugi host moe biti vaa poslovnica udaljena fiziki i hiljadama kilometara, to je praktino neizvodljivo spajanje u jednu privatnu fiziku mreu. Smanjenje trokova? - Jo jedna velika prednost koja se dobija uvoenjem Internet zasnovanih virtuelnih privatnih mrea jeste i redukcija trokova poslovanja. Najjednostavnije reeno, uvoenjem VPM mrea eliminisaete potrebu za naruivanjem i izgradnjom veeg broja specijalnih infrastruktura koje e sluiti razliitim tipovima komunikacionih potreba unutar kompanije. Zamislite samo koliko bi iznosilo zakupljivanje telekomunikacione linije izmeu recimo Beograda i Moskve, za potrebe firme. Mnogo je bolje iskoristiti viestruko jeftinije Internet veze. Bezbednost - Kod VPN-a koriste se kriptografske tehnologije koje obezbeuju poverljivost i integritet podataka koji se nalaze u tranzitu. Autentikacija i kontrola pristupa ograniavaju pristup kompanijskoj mrei, i njenim resursima i servisima. Kod tradicionalnih privatnih mrea, bezbednost tokom tranzita podataka lei na provajderu telekomunikacionih usluga (telekom), tj. njegovoj sposobnosti obezbeenja podataka. Tako na primer, frame relay mree nemaju ugraenu mogunost ifriranja frame-ova podataka. Prema tome, ukoliko podaci budu presretnuti od strane nepozvanih osoba, vrlo lako e biti dekodirani. Umesto toga, kod VPN-a, podaci su zatieni kriptografijom. E-Commerce - Sve vie i vie poslovanje biva uslovljeno upotrebom Internet servisa. Elektronsko poslovanje (e-commerce) nije samo novi metod za prodaju robe krajnjim kupcima ("B2C" skraenica za business-to-consumer) ve je i nain za komunikaciju i poslovanje izmeu poslovnih subjekata ("B2B" skraenica za business-to-business). Povezivanje i interakcija poslovnih subjekata je esencijalna stvar, a Internet je logian izbor za ostvarivanje te interkonekcije.
Virtuelne privatne mree Marijanovi Vuk
6
5. Klasifikacija Virtuelnih privatnih mrea
Klasifikacija Virtuelnih privatnih mrea se ostvaruje kroz tri kategorije:
4.1 Koncept realizacije 4.2. Nain pristupa od strane korisnika 4.3 Bezbednost i zatita podataka
5.1. Koncept realizacije
U koncept realizacije spadaju:
VPN na nivou aplikacije (application-layer VPN) VPN na nivou protokola mrenog sloja (network-layer VPN) VPN na nivou protokola sloja veze (data-link layer VPN)
5.1.1. VPN na nivou aplikacije
Realizuje se korienjem DNS servera za formiranje VPN. DNS je veza izmeu naziva i IP adresa raunara. IP adrese zavise od lokacije raunara i topologije mree dok su nazivi nezavisni od fizike topologije mree. Svaka firma na internetu ima svoj domen (npr. firma.cg.me) pa raunari registrovani unutar tog domena krajnjem korisniku stvaraju privid pripadnosti istoj korporacijskoj mrei. Za krajnjeg korisnika lokacija pojedinih raunara nije bitna - on e uvek koristiti nazive za pristup pojedinim raunarima u mrei.
Slika 1. VPN na nivou aplikacije
Virtuelne privatne mree Marijanovi Vuk
7
Prednosti ove vrste realizacije su jednostavna i jeftina implementacija-svodi se na konfigurisanje DNS servera.
Nedostaci ove vrste realizacije su:
Pri promeni provajdera neophodna je renumeracija kompletne mree, kao i znatne izmene podataka u DNS-u. U toku renumeracije mrea uglavnom nije upotrebljiva. Komplikovana za konfigurisanje i odravanje i upravljanje. Sloenost odravanja poveava se kako se poveava broj lokacija. DNS saobraaj moe lako da se laira od strane zlonamernika. Mrea se nikakvim mehanizmima ne titi od zlonamernika.
5.1.2. VPN na mrenom sloju
Realizuje se kroz metodu kontrolisanog rutiranja koja se koristi uglavnom u okruenjima gde korisnici ne pristupaju direktno internetu i kroz metodu logikih tunela. Da bi se prva ostvarila trebaju se obaviti dve radnje na ruteru i to :
- Iskljuiti default putanju (0.0.0.0). - Ubaciti statike putanje (static routes) ka mrei provajdera, za sve IP mree koje se koriste unutar korporacijske mree.
Slika 2. VPN na mrenom sloju, reenje sa javnim adresama
Virtuelne privatne mree Marijanovi Vuk
8
Prednost ove metode ogleda se u tome da je reenje krajnje jednostavno jer se svodi na dodatnu konfiguraciju rutera. Dodatni nivo zatite moe da se ostvari korienjem firewall servera na pojedinim lokacijama.
to se tie metode logikih tunela pre svega emo objasniti sta su logiki tuneli. Logiki tuneli su mehanizmi prenosa poruka raznih protokola unutar IP datagrama. Omoguavaju formiranje VPN koje koriste kako IP, tako i sve ostale esto koriene protokole: IPX, DECnet, SNA itd. Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se vri na dva jasno definisana rutera u mrei (tunnel endpoints).
Logiki tuneli mogu biti uspostavljeni:
- Izmeu dve fiksne take u mrei (point-to-point) - Izmeu jedne i vie fiksnih taaka u mrei (point-to-multipoint).
Slika 3. VPN na mrenom sloju, metoda logikih tunela
5.1.3. VPN na nivou sloja veze
Tu se takoe pominje metoda logikih tunela-MPLS. Ta metoda je nastala iz layer 2 tehnologija tipa Frame Relay i ATM. Svakom IP datagramu dodaje se labela koja oznaava kojoj VPN taj datagram pripada. MPLS VPN mree su skalabilne jer se veoma lako proiruju dodavanjem novog vora u mreu to nije sluaj sa tunelima nastalim enkapsulacijom saobraaja u IP datagram. Za sada se iskljuivo koriste u IP mreama.
Virtuelne privatne mree Marijanovi Vuk
9
6. Scenario razvoja Virtuelnih privatnih mrea
6.1. Intranet (veza sajtova u istoj organizaciji)
U ovom sluaju VPN je formirana izmeu sajtova koji pripadaju istoj organizaciji. To je sluaj kada se razliite filijale meusobno povezuju ili kada se povezuju sa upravom. Na slici 4. na provajderove rutere PE (Provider Edge Device) se vezuju sajtovi korisnika preko korisnikovog krajnjeg ureaja CE rutera. Ta veza moe biti ostvarena na razliite naine (npr. statikim rutiranjem, preko ATM VC)
Slika 4. Primer intranet scenarija
6.2. Extranet (veza sajtova koji pripadaju razliitim organizacijama)
U ovom scenariju, dve ili vie oraganizacija imaju pristup ogranienom broju zajednikih lokacija. Osnovna razlika izmeu extraneta i interneta je da provajder mora eksplicitno da konfigurie dostupnost izmeu VPN i da obezbedi postojanje neke vrste kontrolnog pristupnog mehanizma pri povezivanju razliitih organizacija. Ta kontrola pristupa moe biti ostvarena firewall-om, listom pristupa na ruterima ili slicnim mehanizmima koji e omoguiti primenu kontrole pristupa zasnovanu na postojanju polisa tranzitnom saobraaju. Svi ti mehanizmi kontrole pristupa mogu biti postignuti korienjem posebnih ureaja ili mogu biti biti integrisani u PE ureajima. Taj scenario je prikazan na slici 5. U tom primeru su formirane dve VPN koje povezuju Kompaniju X i Kompaniju Y. Za kontrolu pristupa koristi se firewall. Dodatni mehanizmi autentifikacije kao to je razmenjivanje sertifikata o autoritetu je takoe poeljno. Mogue je da sajt pripada i viestrukim VPN, koji mogu da Virtuelne privatne mree Marijanovi Vuk
10
ukljuuju sa jedne strane intranet, a sa druge extranet. Extranet moe da postoji du backbone-a jednog provajdera ili du vie backbone-a ili autonomnih sistema.
Slika 5. Primer Extranet scenarija
6.3. VPN du viestrukih autonomnih sistema ili provajdera servisa:
Po ovom scenariju virtuelna privatna mrea moe da se iri preko mrea vie provajdera servisa ili Autonomnih sistema . Osnovni predmet u tim sluajevima je pitanje komunikacije i sigurnosti izmeu PE ureaja koji pripadaju razliitim AS. Komunikacija izmeu njih moe biti ostvarena na razliite naine u zavisnosti od pristupa koji je primenjen pri formiranju IP VPN. Pitanje sigurnosti izmeu PE koji pripadaju razliitim AS moze biti reeno korienjem PE-PE tunela ( na primer IPSec tuneli mogu biti korieni da obezbede enkripciju du AS). VPN ruta distribucije preko AS treba da bude ostvarena tako da izgleda kao da postoji jedan tunel od ulaznog PE u jednom AS do izlaznog PE u drugoj AS. Ovaj scenario je prikazan na slici 6. Isprekidana linija prikazuje kako se tunel "ulaz PE - izlaz PE" pojavljuje kada je komunikacija izmeu AS ispravno ostvarena. Naravno, pri tome treba voditi rauna o preduslovu da bi ta veza bila ostvarena, a to je postojanje dogovora o poverenju izmeu ukljuenih provajdera servisa.
Virtuelne privatne mree Marijanovi Vuk
11
Slika 6. VPN preko vie Autonomnih sistema
6.4. Istovremeni VPN i Internet pristup
Mnogim hostovima na Internetu treba istovremeno omoguiti i pristup Internetu, kao i drugim VPN sajtovima. Tu je mogao da nastane problem jer mnoga preduzea koriste sopstveni privatni adresni prostor. Generalno postoje tri naina kako VPN mogu da koriste globalno jedinstvene adrese za komunikaciju sa drugim hostovima.
da svi sistemi na privatnoj mrei koriste globalno jedinstvene IP adrese, to ba i nije odgovarajuce kada su adrese vec dodeljene, jer ih treba menjati. ako samo mali broj korisnika treba da ima mogunost pristupa Internetu onda samo njima dodeliti javne IP adrese Uobiajeno je u mnogim firmama da neki korisnici imaju privatne IP adrese, a da istovremeno neki sistemi koriste javne. korienje Network Address Translator (NAT) servera u privatnoj mrei moe da omogui korisnicima VPN kojima su dodeljene privatne IP adrese da pristupe Internetu.
Postoje i metode u okviru BGP/MPLS VPN modela koje mogu da iskoriste to. Jedan nain za to je i korienje ne-VRF Internet pristupnog mehanizma. Korisnici VPN sajta mogu direktno da pristupe Internetu preko Internet gateway-a. On moe da se ostvari na ne-VRF interfejsu ili na CE ruteru ili na nekom drugom ruteru na korisnikoj strani. Interfejs na ruteru koji omoguava Internet pristup je konfigurisan tako da ima funkciju Internet firewall-a i NAT (slika 7). Sada kako bi se omoguilo korisnicima VPN da pristupe javnom Internetu, CE1 na sajtu 1 alje default rutu PE1, koja se postavlja u njegovu VRF, a zatim je BGP protokolom alje PE2 ruteru, a on dalje CE2 na sajtu 2 i CE3 na sajtu 3. Kao rezultat toga svi hostovi VPN prosleuju Internet saobraaj CE1 ruteru na sajtu 1, koji rutira saobraaj preko NAT interfejs na Internet. NAT translira svaku privatnu izvorinu adresu u javnu adresu. Kako bi se omoguilo hostovima na Intranetu da odgovore hostovima na VPN, CE1 dodaje javni IP prefiks u Internet tabelu rutiranja. Kada paket stigne na CE1 NAT interfejs, NAT servis translira javne u privatne odredine adrese. Virtuelne privatne mree Marijanovi Vuk
12
Slika 7. Primer uspostavljanja default rute za istovremeni pristup VPN i Internetu
Saobraaj koji sa Interneta stie na odgovarajui sajt u VPN prosleuje se Internet rutama koji vode na sajtove u VPN. Unutranja struktura VPN je nevidljiva za Internet. Postojanje firewall moe biti poeljno kako bi se smanjio pristup privatnim mreama sa Interneta (slika 8).
Slika 8. Istovremeni VPN i Internet pristup
Virtuelne privatne mree Marijanovi Vuk
13
6.5. Hijerarhijske VPN (VPN unutar VPN)
Slika 9. Hijerarhijske VPN
U ovom scenariju provajderi servisa koji obezbeuju VPN mogu u stvari biti korisnici nekog veeg provajdera. Takav provajder moe biti jedna velika VPN sa vie malih VPN u okviru nje. Logiki tuneli Nivoa 2 VPN su prikazani isprekidanom linijom, dok puna linija predstavlja stvarne CE1-CE1 (tj. PE2-PE2) tunele preko velike mree provajdera servisa. Stoga, CE ureaji Nivoa 1 VPN treba da budu ukljueni u mehanizme uspostavljanja VPN.
Virtuelne privatne mree Marijanovi Vuk
14
6.6. Scenario viestrukog pristupa
IP VPN treba da podrava vie tipova pristupnih scenarija, na primer treba da budu podrani statiko rutiranje, ATM PVC, korienje razliitih protokola rutiranja, xDSL modema i dial pristup. Pri tome se mogu koristiiti razliiti ureaji za razdvajanje razliitih pristupnih mehanizama ili te funkcije mogu biti integrisane u PE ureajima. Na slici 10. je ilustrovan IP VPN sa podrkom za razliite pristupne mehanizme.
Slika 10. Scenario viestrukog pristupa
Virtuelne privatne mree Marijanovi Vuk
15
7. Bezbednost
Virtuelna privatna mrea (VPN) predstavlja poseban nain komunikacije raunara preko Internet ili Intranet infrastrukture. Tri su osnovne primene VPN-a: - Pristup udaljenom raunaru - Povezivanje lokalnih mrea preko Interneta - Povezivanje lokalnih mrea preko Intraneta
Najvaniji razlog korienja virtualnih privatnih mrea je ekonomski, ali virtualne privatne mree pruaju i sledee sigurnosne prednosti:
Omoguena je sveukupna kriptografija podataka Virtualne privatne mree obuhvataju celi promet koji se koristi, odnosno svi mreni podaci koji se prenose su kriptovani. Na taj se nain osigurava mreni promet, tako da neovlaene osobe nisu u mogunosti doi do informacije koje unutranji raunar koristi, koji je korieni protokol itd.
Mogunost udaljenog korienja protokola koje je teko osigurati na drugi nain. Pojedine protokole je zbog svoje funkcionalnost vrlo teko koristiti u sigurnom okruenju koje se postie korienjem paketnog filtriranja i proxy servisa. Virtualne privatne mree omoguavaju kriptovanjem podataka siguran udaljen pristup korienjem ovih protokola.
Bilo da se radi o povezivanju samo jednog raunara na udaljenu mreu (kao u prvoj primeni), ili da se putem VPN-a povezuju dve mree na udaljenim lokacijama (druga primena), komunikacija izmeu subjekata ove strukture zatiena je enkripcijom ije parametre dogovaraju obe strane. Izbor enkripcijskog algoritma i duine kljua je od sutinskog znaaja za sigurnost uspostavljene komunikacije, i tek u sluaju tree primene, gde komunikacija izmeu mrea nije javna, enkripcija igra neto manju ulogu.
Na slici je prikazan najei nain upotrebe VPN-a. Dve lolkalne mree povezane su VPN kanalom u jedinstvenu celinu korienjem Internet infrastrukture.
Slika 11. Struktura VPN-a izmee dva LAN-a
Virtuelne privatne mree Marijanovi Vuk
16
IP paketi koji se razmenjuju izmeu raunara na krajevima VPN kanala su enkriptovani i neitljivi ostalim korisnicima Interneta. Unutar lokalnih mrea koje se ovim putem povezuju paketi su dekriptovani, i itljivi raunarima lanovima mree. Na taj nain se postie isti efekat kao u sluaju dve mree spojene posebnim lokalnim ili iznajmljenim linkom, uz sve prednosti takvog naina povezivanja. Ovakva veza se zbog svojih karakteristika naziva i VPN IP tunel, a sam postupak spajanja IP tunelovanje.
Osnovna prednost VPN tunela je to se njegovom upotrebom po ceni pristupa javnoj mrei (Internetu) omoguava sigurna razmena podataka sa korisnikih raunara iz dve ili vie udaljenih mrea kao da se one nalaze na istoj lokaciji, i spojene su u lokalnu mreu. Cene iznajmljivanja posebnog linka kojim bi se povezale udaljene mree su u pravilu viestruko vee.
Enkripcijski protokoli VPN-a osiguravaju takoe i autentikaciju tj. dokazivanje identiteta izmeu raunara ili ureaja na krajevima tunela. Prenos komunikacionih parametara je enkriptovan, a enkripcijski kljuevi se menjaju u toku same komunikacije. Pravilnom konfiguracijom operativnih sistema raunara koja ine lokalne mree, mogue je dalje sprovesti i odgovarajuu autorizacionu politiku, tj. odrediti koji e resursi biti dodeljeni kojim korisnicima u povezanim mreama. Pri tom se korisnici iz udaljene mree u potpunosti mogu tretirati kao lokalni korisnici, sa svim pravima i ogranienjima (npr. prilikom odreivanja prava pristupa deljenim direktorijima u Microsoft mreama).
Bezbednost je integralni deo VPN usluge. Postoji veliki broj pretnji VPN mreama:
-Neovlaeni pristup VPN saobraaju -Izmena sadraja VPN saobraaja -Ubacivanje neovlaenog saobraaja u VPN (spoofing) -Brisanje VPN saobraaja -DoS (denial of service) napadi -Napadi na infrastrukturu mree preko softvera za upravljanje mreom -Izmene konfiguracije VPN mree -Napadi na VPN protokole
Odbrana od VPN napada realizuje se i na korisnikom i na nivou provajdera VPN usluga:
Analize bezbednosti mree na Internetu su ukazale da su Virtuelne privatne mree danas najbezbednija tehnologija za komunikaciju svih vrsta podataka preko otvorene javne globalne mree kao to je Internet. One emuliraju vezu taka-taka tunelovanjem podataka, sa enkapsulacijom i enkripcijom pomou bezbedonosnih protokola, ime ostvaruju privatnost, integritet i raspoloivost, to su osnovni elementi bezbednosti svake mree. Ipak i ove mree pokazuju ranjivost na neke standardne napade Internet okruenja i generalno tretiranje ovih mrea kao bezbedne ne opstaje, pa su u ovom poglavlju razmatrani bezbedonosni aspekti postojeih standardnih tipova ovih mrea.
Analizirane su tri vrste Virtuelnih privatnih mrea, sa standardnim protokolima PPTP(Point-to-Point Tunneling Protocol),L2TP(Layer 2 Tunneling Protocol) i IPsec(IP Security Protocol), i ugraenim bezbedonosnim funkcijama, i izvrena je komparacija u odnosu na kriterijum otpornosti na standardne napade na Internetu. Pored analize bezbedonosnih elemenata protokola , uvedena je i njihova ocena otpornosti na napade u Internet okruenju, koja daje odgovore na pitanja o nivoima bezbednosti Virtuelnih privatnih mrea sa ovim protokolima.
7.1. Protokoli: PPTP, L2TP, Ipsec
Tipovi Virtuelnih privatnih mrea se zasnivaju na implementaciji vise razliitih protokola od kojih su protokoli PPTP,L2TP i IPsec najzastupljeniji.
Protokol PPTP je najstariji protokol za realizaciju Virtuelnih rivatnih mrea i bazira se na PPP(Point-to-Point) protokolu najpoznatijem mrenom protokolu komunikacije od take do take. PPTP protokol vri enkapsulaciju PPP paketa od polazne take, preko Interneta, do odredita. Za autentifikaciju korisnika koristi PPP protokole PAP(Password Authentication Protocol) ili CHAP(Challenge Handshake Authentication Protocol). PAP protocol predstavlja standardnu proceduru logovanja klijenta kod servera sa korisnikim imenom i lozinkom. CHAP protocol koristi perodino generisani string koji server alje klijentu. Ovaj primenjuje Hash funkciju na taj string i otisak kao rezultat vraa serveru. Server obavlja istu Hash operaciju, i autentifikuje klijenta ako je rezultat isti sa onim dobijenim od klijenta. Za tunelovanje PPP paketa preko Interneta PPTP protokol koristi GRE(Generic Routing Encapsulation) protokol. GRE je opti protokol koji enkapsulira bilo koji protokol od jedne do druge take u mrei. Kriptovanje tunelovanih PPP paketa u PPTP protokolu vri MPPE (Microsoft Point-to- Point Encryption) protokol. MPPE protokol koristi za kriptovanje RSA RC4 algoritam, sa kluevima duine 40 ili 128 bita koji se menjaju periodino. Slike 11 i 12 prikazuju izgled PPTP datagrama i GRE zaglavlja respektivno. PPTP protokol je protokol drugog nivoa OSI modela i omoguuje enkapsulaciju (GRE zaglavlje), pored IP protokola, jo i drugih protokola vieg nivoa, kao to su IPX i NetBEUI. Polje Call ID u GRE zaglavlju definie sesije kojima pripadaju PPP paketi. Paketi u okviru sesije su numerisani (polje Sequence Number) i sa potvrdom paketa ( polje Acknowledgment Number) obavlja se kontrola toka paketa.
Virtuelne privatne mree Marijanovi Vuk
18
Slika 11.
Slika 12.
L2TP je sledei protokol Virtuelnih Privatnih Mrea. Osim preko Interneta ovaj protokol omoguuje enkapsulaciju PPP paketa jos i preko X.25, Frame Relay i ATM mrea. Za transport preko Interneta koristi UDP(User Datagram Protocol) protokol, port 1701. L2TP protokol ima pored poruka podataka i kontrolne poruke za odravanje tunela, a i mogunost kompresije zaglavlja ime se poveava propusna mo veze. Za autentifikaciju korisnika L2TP protokol se oslanja na PPP protokole PAP i CHAP. Format L2TP zaglavlja je prikazan na slici 13. Polje Tunnel ID slui za identifikaciju tunela, poto protokol moe da obezbedi vie tunela po jednoj konekciji, a Session ID dvobajtno polje u zaglavlju definie sesiju kojoj pripadaju paketi. Kontrolu toka obezbeuju polja Ns i Nr iz zaglavlja. Ns definie redosled poslate kontrolne poruke ili poruke podataka, a Nr odreuje broj sledee poruke koja se oekuje u prijemu. Bit P u zaglavlju obezbeuje prioritetni tretman poruke u prenosu, a bit T ukazuje da li je poruka kontrolna ili je poruka podataka. Protokol L2TP nema mogunost enkripcije i pri korienju preko Interneta za to koristi protokol IPsec.
Protokol IPsec je namenski bezbedonosni protokol koji poseduje sve atribute za formiranje Virtuelnih privatnih mrea preko Interneta. Sa enkapsulacijom IPsec protokol omoguuje autentifikaciju i enkripciju svakog IP paketa u prenosu. To je veoma sloen protokol koji sadri dva tipa AH(Authentication Header) i ESP(Encapsulating Security Payload), a svaki taj tip ima dva moda transport i tunel. ESP format IPsec protokola obezbeuje autentifikaciju, integritet i privatnost podataka, dok AH format obezbeuje samo autentifikaciju i integritet. U transpornom modu svaki od ova dva tipa bezbedno prenose postojei IP paket od izvora do odredita, dok u tunel modu se postojei paket stavlja unutar Virtuelne privatne mree Marijanovi Vuk
19
novog IP paketa sa IP adresom gejtveja virtuelne privatne mree koji je krajnja taka tunela. Ipsec protokol ukljuuje u sebe vei broj drugih protokola pomou kojih obavlja funkcije autentifikacije, integriteta i privatnosti, kao osnovnoh bezbedonosnih elemenata virtuelne privatne mree. Za autentifikaciju IPsec protokol koristi PKI (Public Key Infrastructure) tehniku javnog i privatnog kljua sa infrastrukturom Digitalnog sertifikata preko Sertifikacionih tela (X.509 Sertificate). IKE (Internet Key Exchange) protokol sa Diffie- Hellman algoritmom se koriste u procesu razmene kjueva i pregovaranju bezbedonosnih elemenata. U okviru IPsec protokola integritet podataka obezbeuju protokoli HMAC-MD5 i HMAC-SHA-1, a privatnost IP paketa je obezbeena enkripcijom sa 3DES (DES) algoritmom. S obzirom da IPsec AH tip ne obuhvata enkripciju, za virtuelne privatne mree koristi se uglavnom ESP tip, i to tunel mod, koji obuhvata enkripciju i IP zaglavlja polaznog paketa. Na slici 14. je prikazana enkapsulacija IP paketa sa IPsec ESP protokolom u tunel modu. Orginalni IP paket je kriptovan i autentifikovan sa ESP zaglavljem i prirepkom , a novo IP zaglavlje definie IP adresu krajnje take tunela. Slika 15. predstavlja IPsec ESP zaglavlje u tunel modu. Polje SPI (Security Parameter Index) definie bezbedonosne elemente komunikacije autentifikacioni mehanizam, kriptografski algoritam i upravljanje kljuevima. Polje Sequence Number sadri broja kojim otpremna strana numerie pakete radi kontrole, za koje u prijemu moe da se koristi odgovor.
Slika 13.
Slika 14.
Virtuelne privatne mree Marijanovi Vuk
20
Slika 15.
7.2. ANALIZA BEZBEDNOSTI
Bezbednost je jedan od osnovnih zahteva za Virtuelne privatne mree. Nju ugroava veliki broj napada, koji se mogu svrstati u vei broj grupa kao to su: napadi autentifikacije, kriptografski napadi, napadi integriteta, falsifikovanje servera, falsifikovanje paketa, napadi uskraivanja usluga i pasivno monitorovanje. Otpornost protokola PPTP, L2TP i IPsec na ove napade, odnosno njihovih bezbedonosnih mehanizama se analizira u ovom delu i daje se jedna kvantitativna ocena stepena bezbednosti. Analiza autentifikacionih mehanizama PAP i CHAP protokola PPTP ukazuje na veliku podlonost napadima. PAP protokol skoro da ne predstavlja zatitu, jer postoje pristupani alati s kojima se relativno brzo razbija lozinka (password). CHAP protokol je otporniji od PAP-a, ali je njegova slabost to se hash funkcija primenjena na string (challenge) rauna na osnovu lozinke, to omoguava napad na hash funkciju slinim alatima kao za napad na PAP. I PAP i CHAP protokol autentifikuju korisnika a ne mainu raunar (server), niti paket. U fazi pregovaranja komunikacionih parametara PPTP protokol se oslanja na PPP konfiguracione pakete koji sadre otvorene IP adrese, to je podlono napadima monitorovanja, preuzimanja i falsifikovanja. U PPTP protokolu korieni protokol za enkripciju paketa MPPE, iako se zasniva na RSA RC4 standardu sa kljuem od 40 ili 125 bita, ima slabost u tome to se kljuevi izvode iz lozinke, pa spada u manje bezbedne kriptografske algoritme. PPTP tunelovanje sa GRE protokolom ima istu slabost otvorene faze Virtuelne privatne mree Marijanovi Vuk
21
pregovaranja veze, gde je mogue snimanje i modifikovanje paketa i razbijanje tunela. Sam GRE protokol ima slabost na dupliranje redoslednog broja paketa ime se postie desinhronizacija GRE kanala. Kontrolne poruke PPTP protokola su neautentifikovane i nezatiene, pa je PPTP protokol otvoren za napade falsifikovanja identiteta servera, falsifikovanje paketa, napade integriteta podataka i za napade uskraivanja usluga. S obzirom da L2TP protokol za autentifikaciju koristi PPP mehanizme PAP i CHAP, L2TP tunel je takoe ranjiv na napade. String (challenge, secret) je kod autentifikatora u otvorenom obliku, to pogoduje napadima na hash funkciju I otkrivanju identiteta. Postoji mogunost zloupotrebe tunela u sluaju prediktivnog naina dodeljivanja broja identifikatora tunela i broja identifikatora sesije. L2TP protokol nema mehanizme za zatitu od napada integriteta, falsifikovanje servera i paketa i od napada uskraivanja usluga kao ni PPTP protokol, ali ima prednosti u performansama podrava vie tunela od jedne do druge krajnje take, prenosi direktno vei broj protokola i ima mogunost kompresije zaglavlja. Prednost mu je i to moe da se integrie sa IPsec protokolom i koristi njegove zatitne mehanizme. IPsec protokol prua znatno vei broj bezbedonosnih servisa od predhodna dva protokola. PKI infrastruktura javnog kljua, verifikacija kljueva od strane Sertifikacionog tela (CA) i IKE mehanizam upravljanja kljuevima obezbeuju bezbedan kontrolni kanal u fazi pregovaranja bezbedonosnih atributa izmeu dva raunara, koji se ovim mehanizmima meusobno autentifikuju na zatien nain. I AH i ESP format IPsec protokola autentifikuju svaki paket, a sa HMAC-MD5 ili HMAC-SHA-1 hash funkcijama obezbeuju i integritet podataka svakog paketa. ESP tunelovanje i kriptovanje podataka paketa i orginalnog IP zaglavlja sa 3DES algoritmom je potpuno otporno na kriptografske napade, s obzirom da algoritam 3DES sa kljuem od 168 bita i HMAC-SHA-1 hash funkcija jo uvek nisu kompromitovani. IPsec protokol ima sve mehanizme zatite od standardnih napada na Internetu, ugraen je u protokole IPv4 i IPv6 i otvoren je za ugradnju novih zatitnih mehanizama za sluajeve kompromitovanja postojeih. Najtea odbrana na Internetu je od napada uskraivanja usluga, jer ti napadi potiu uglavnom od slabosti TCP/IP protokola na koji se IPsec protokol oslanja. I IPsec protokol ima svoje slabosti. Uspostavljeni tunel ne mora uvek da jepotpuno bezbedan, jer se tunel uspostavlja automatski pregovaranjem bezbedonosnih atributa raunara krajnjih taaka tunela, i ako ne postoje sa obe strane mehanizmi najveeg stepena zatite, koriste se oni raspoloivi sa niim stepenom zatite (klju sa manjim brojem bita, slabija hash funkcija). Jedna slabost IKE protokola koji nema indikaciju predajnoj strani da je sesija prekinuta, ostavlja mogunost napada na server ako je korien slabiji klju. U tom sluaju uspostavljeni i vei period obnavljanja kljua poveava mogunost uspenog napada. IPsec protokol nema mogunost direktnog prenoenja drugih protokola preko IP mree, pa se sa aspekta funkcionalnosti, performansi i interoperabilnosti tada koristi hibridni protokol L2TP/IPsec, koji je proirenje L2TP protokola sa bezbedonosnim mehanizmima IPsec protokola.
Iako su virtualne privatne mree vaan sigurnosni alat, prisutni su sledei nedostaci:
Opasnost za raunare spojene na javnu mreu. Virtualna privatna mrea koristi aktuelnu mreu koja nije privatna, odnosno sigurna mrea. Raunari prikljueni u virtualnim privatnim mreama moraju biti spojeni na tu aktuelnu mreu pa su u opasnosti od neovlaenih upada. Na primer, ukoliko koristimo virtualne privatne mree za spajanje unutranje mree s mobilnim korisnicima koji su spojeni na Internet, njihovi raunari mogu biti napadnuti s Interneta.
Opasnost od neovlaenih upada u unutranju mreu. Prikljuenjem raunara u virtualnu privatnu mreu, taj raunar postaje legitimni lan unutranje, privatne mree. Ukoliko je na Virtuelne privatne mree Marijanovi Vuk
22
raunaru virtualne privatne mree napravljen neovlaeni upad, napada je u mogunosti preko virtualne private mree ugroziti sigurnost ostalih raunara unutranje mree. Virtualne private mree se koriste za pruanje pristupa raunarima koji su manje sigurni od raunara unutranje mree. Na primer, kod prenosnih raunara postoji opasnost od krae, kunim raunarima deca imaju pristup itd.
8. Brzina i mogunosti
Mogunosti VPN-a, i ovakvog naina povezivanja udaljenih mrea nisu ni izdaleka iscrpljene do sad reenim ukljuujui i prvi pristupni rad. Deljenje lokalnih aplikacija izmeu udaljenih mrea je samo jedna od moguih dodatnih primena, a sigurnost mrea mogue je unaprediti i primenom filtera za IP pakete na odreenim portovima, kao i logiranjem IP prometa u svrhu kasnije analize. Osnovni preduslov za implementaciju distribuiranih aplikacija predstavlja i brzina komunikacije izmeu pojedinih komponenti distribuiranog sistema, u ovom sluaju lokalnih mrea povezanih VPN-om. Testiranje brzine i propusnosti VPN komunikacijskog kanala proverili smo koristei program Performance Test 4.0. Njegov mreni test generise promet izmeu dve take u mrei u proizvoljnom vremenskom intervalu, u ovom sluaju 20 s. Ako je izmeu merenih taaka uspostavljen VPN kanal osiguran 3DES enkripcijom, rezultati nam daju prosenu brzinu linka od 728,1 kbit/s ili 0,711 Mbit/s (Sl. 21).
Slika 16. Testiranje VPN kanala sa 3DES simetrinom enkripcijom
Virtuelne privatne mree Marijanovi Vuk
23
U sluaju neto slabije enkripcije DES, sigurnost sistema je za nekoliko smanjena, ali brzina dostie i do 1600 kbit/s, dok je prosena brzina 1381 kbit/s ili 1,35 Mbit/s (Sl. 22).
Slika 17. Testiranje VPN kanala sa DES simetrinom enkripcijom
Spremnost korisnika da rtvuje deo sigurnosti radi brzine komunikacije odreuje i izbor enkripcije. U svakom sluaju, enkripcija DES se moe preporuiti samo ukoliko distribuirana aplikacija zahteva brzinu prenosa veu od 1 Mbit/s.
Virtuelne privatne mree Marijanovi Vuk
24
9. Konfiguracija VPN konekcije
9.1. Kako radi VPN konekcija
Routing and Remote Access service nudi VPN servise tako da korisnici mogu da pristupe mrei organizacije na siguran nain ifrovanjem podataka izmeu dva kompjutera kroz deljenu javnu mreu. Paketi koji budu uhvaeni na deljenoj ili javnoj mrei ne mogu se proitati bez Encryption Keys (kljueva za ifrovanje). Link u kom su privatni podaci kapsulirani i ifrovani je VPN konekcija. VPN konekcija se takoe naziva i VPN tunel.
9.1.1. Proces VPN konekcije je opisan u sledeim koracima:
- VPN klijent pokuava da uspostavi VPN konekciju ka Remote Access Serveru-VPN serveru koji je konektovan na Internet. VPN server se ponaa kao Gateway i normalno je konfigurisan da nudi pristup ka celoj mrei na kojoj je VPN server povezan. - VPN server odgovara na virtualni poziv. - VPN server autentifikuje subjekta koji je napravio poziv i proverava njegovu autorizaciju da bi dopustio korisniku da se konektuje na mreu. - VPN server izvrava transfer podataka izmeu VPN klijenta i mrene organizacije.
9.1.2. Prednosti VPN
VPN dozvoljava korisnicima ili organizacijama da se konektuju na udaljene servere, manje kancelarije i na mree drugih organizacija preko javne mree (Interneta) i to sve preko veoma sigurne konekcije. U svim ovim sluajevima, sigurna konekcija se pojavljuje korisniku kao Private Network Communication uprkos injenici da komunikacija ide preko javne mree (Interneta). Ostale prednosti su:
- Prednosti u ceni: VPN ne koristi telefonsku liniju i zahteva manje hardvera (Internet Service Provider ISP odrava sav komunikacioni hardver). - Poveana sigurnost: Osetljivi podaci su sakriveni od neautorizovanih korisnika, ali su pristupani za korisnike koji su proli proces autorizacije. VPN server prisiljava na autentifikaciju i ifrovanje. - Podrka za mrene protokole: Moemo udaljeno da startujemo bilo koju aplikaciju koja zavisi od najeih mrenih protokola, kao to je TCP-IP protokol. - Sigurnost IP adresa: Iz razloga to su informacije koje se alju preko VPN ifrovane, adresa koju smo odredili je zatiena i saobraaj koji se alje preko Interneta e imati vidiljivu samo eksternu IP adresu.
Virtuelne privatne mree Marijanovi Vuk
25
9.2. Komponente VPN konekcije
VPN konekcija ukljuuje sledee komponente:
- VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata, kao to je na primer server konfigurisan sa Routing and Remote Access servisom. - VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru. - Tranzit mrea: Deljena ili javna mrea kroz koju prolaze kapsulirani podaci. - VPN konekcija ili VPN tunel: Deo konekcije u kojoj su nai podaci ifrovani i kapsulirani. - Tunneling protokoli: Protokoli koji se koriste za upravljanje tunelima i za kapsuliranje privatnih podataka (na primjer, Point-to-Point Tunneling Protocol PPTP). - Podaci koji se alju kroz Tunel: Podaci koji se obino alju kroz privatni Point-to-Point link. - Autentifikacija: Identitet klijenta i servera u VPN konekciji se autentifikuju. Da bi se osiguralo da primljeni podaci predstavljaju podatke koje je stvarno poslao lan konekcije (VPN klijent) i da podaci nisu prestretnuti i modifikovani, VPN takoe autentifikuje podatke koje su poslati. - Adrese i lociranje Name servera: VPN server je odgovoran za dodeljivanje IP adresa koje dodeljuje preko defoltnog protokola, DHCP ili iz skupa statikih IP adresa koji je kreirao administrator. VPN server takoe locira i daje adrese DNS i WINS servera VPN klijentima.
9.3. Encryption protokoli za VPN konekcije
Postoje dva tipa Tunneling protokola koje koristi Windows Server 2003 familija kad eli da zatiti komunikaciju:
- Point-to-Point Tunneling Protocol (PPTP): Koristi User-Level PPP autentifikacione motode i Microsoft Point-to-Point Ecryption (MPPE) za ifrovanje podataka. - Layer Two Tunneling Protocol with Internet Protocol Security (L2TP-IPSec): Koristi User-Level PPP autentifikacione metode preko konekcije koja je ifrovana koristei IPSec. IPSec zahteva autentifikaciju hosta koristei Kerberos protokol, Preshared Keys ili sertifikate na nivou kompjutera (Computer-level).
Preporuuje se da koristimo L2TP-IPSec sa sertifikatima za sigurnu VPN autentifikaciju. Koristei Internet Protocol Security (IPSec) autentifikaciju i ifrovanje, transfer podataka kroz L2TP-enabled VPN je sigurna unutar jednog LAN-a u mrei organizacije.
VPN klijent i VPN server moraju da podravaju i L2TP i IPSec. Klijentska podrka za L2TP je ugraena u Windows XP Remote Access Client, a VPN server podrka za L2TP je ugraena u sve Windows Server 2003 verzije operativnog sistema. Podrka na serveru za L2TP je instalirana kada instaliramo Routing and Remote Access servis. U zavisnosti od naih odluka, kada startujemo Routing and Remote Access Server Setup Wizard, L2TP je konfigurisan da ima 5 ili 128 L2TP portova.
Virtuelne privatne mree Marijanovi Vuk
26
9.4. Konfiguracioni zahtevi za VPN Server
Pre nego to budemo mogli da konfiguriemo VPN konekciju, moramo da omoguimo Routing and Remote Access servis. Omguavanjem Routing and Remote Access servisa startujemo Routing and Remote Access Setup Wizard uz iju pomo moemo da konfiguriemo na VPN server. Ako smo na serveru jo ranije omoguili Routing and Remote Access servis, moemo da konfiguriemo VPN Network Access sa Remote Access Server Properties-a.
Sledea tabela izlistava informacije koje je potrebno da znamo pre konfiguracije Remote Access-VPN servera.
Virtuelne privatne mree Marijanovi Vuk
27
9.5. Konfiguracija VPN-a za udaljene sajtove ( lokacije )
Kada konfiguriemo Site-to-Site VPN konekcije, potrebno je da konfiguriemo sledee konekcije:
-Determing the tunneling protocol to use ISA server podrava nekoliko tunneling protokola. Potrebno je da izaberemo odgovarajuci protokol na osnovu zahteva nae organizacijei VPN gateway servere koje emo da izgradimo u svakom sajtu.
-Configure remote site network Da bi omoguili Site-to-Site VPN-ove, moramo da kreiramo remote-site mreu na ISA serveru. Svi klijentski kompjuteri u udaljenom sajtu su locirani u ovoj mrei. ISA server koristi ovu mreu kao i bilo koju drugu mreu.
-Configure VPN Client Acess Zbog toga to ISA server vidi Remote-site mreu kao sto vidi bilo koju drugu mreu, moramo da konfiguriemo postavke za VPN klijentski pristup na ISA serveru da bi omoguili pristup udaljenim klijentima, internoj mrei ili bilo kojoj drugoj mrei. Moemo da koristimo pravila pristupa ili pravila objavljivanja da bi omoguili da interni resursi budu dostupni klijentima u udaljenim kancelarijama.
-Configure the Remote-site VPN gateway Nakon to smo jednom konfigurisali ISA server u Head (glavnoj) kancelariji, potrebno je takoe konfigurisati udaljene VPN servere. Ovaj Remote-office VPN gateway server moze biti drugi kompjuter na kome radi ISA server ili na kome radi Windows server koji je konfigurisan kao RRAS ili neki drugi VPN gateway server drugog proizvoaa. Tana konfiguracija ovih gateway servera zavisi od tipa servera koji se koristi na udaljenom sajtu.
Virtuelne privatne mree Marijanovi Vuk
28
10. Postavljanje VPN servera
Postavljanje VPN servera moe znaajno da utie na sigurnost mree koja sadri zatitni zid ili NAT ureaj. Prikladno postavljanje VPN servera u odnosu na zatitni zid doprinosi funkcionalnosti, dostupnosti i postizanju ciljeva infrastrukture udaljenog pristupa bez opasnosti po sigurnost mree.
Slika18. Postavljanje VPN servera
Razmotrite upotrebu zatitnog zida kao VPN servera ako: Zatitni zid ima mogunost da funkcionie kao VPN server Zatitni zid ima mogunost da upravalja VPN konekcijama
Razmotrite postavljanje VPN servera sa spoljanje strane zatitnog zida ako: Izlaganje VPN servera direktno Internetu ne ugroava bezbednosni aspekt dizajna Sigurnosni rizik povezan sa dozvolom pristupa celokupnom VPN IP adresnom opsegu kroz zatitni zid nije prihvatljiv Svi osetljivi podaci se nalaze iza zatitnog zida i udaljeni pristup kroz zatitni zid je ogranien na VPN server Virtuelne privatne mree Marijanovi Vuk
29
Postavite VPN server sa unutranje strane zatitnog zida ako: Dodatni rizk bezbednosti izlaganjem VPN servera direktno Internetu ugroava sigurnosni aspekt dizajna Sigurnosni rizik povezan sa dozvolom pristupa celokupnom VPN IP adresnom opsegu kroz zatitni jeste prihvatljiv
U sluaju da se VPN server nalazi sa unutranje strane zatitnog zida morate konfigurisati filtere zatitnog zida da proputaju sav PPTP i L2TP saobraaj kroz celokupan VPN IP adresni opseg.
11. VPN zasnovane na Internet protokolu I MPLS-u
Mree zasnovane na Internet protokolu IP dominiraju u oblasti telekomunikacionih mrea u prethodne dve decenije. S obzirom na svoju jednostavnost Internet servisi kao to su www, e-mail, FTP itd., postali su opte prihvaeni standardi i uneli su pravu revoluciju i u ivot obinog oveka. Vie se skoro i ne moe zamisliti rad bez mogunosti pristupa Internetu, a E- biznis i intraneti i ekstraneti su neminovnost dananjeg poslovanja. Usled toga broj korisnika sve vie raste (broj hostova na Internetu se priblino udvostruava svake godine), ali rastu i zahtevi korisnika u pogledu brzine, vrste i kvaliteta ponuenih servisa. Pored toga sve je izraenija potreba za multimedijalnom primenom to zahteva mnogo vie od mree nego to je tradicionalni put saobraaja preko Interneta kakav je FTP (File Transfer Protocol).
Arhitektura Interneta je zasnovana na konceptu prosleivanja datagrama. Svaki IP datagram se rutira korak po korak ka krajnjem odreditu u skladu sa jedinstvenom IP odredinom adresom, koja se nalazi u IP zaglavlju. Svaki ruter na koji se naie e pregledati tu adresu i potraiti put u svojoj tabeli rutiranja kako bi pronaao odgovarajui izlazni interfejs za sledei korak. Sam IP ne obezbeuje pouzdanu isporuku podataka. Protokoli viih slojeva kakav je TCP (Transport Control Protocol) prate putanju datagrama i vre ponovno slanje ako je to neophodno, u sluaju neispravnog prenosa. Ti protokoli ne obezbeuju prenos u realnom vremenu, tako da IP sam po sebi ne nudi nikakvu mogunost obezbeivanja kvaliteta servisa korisnicima (nema mogunosti QOS (Quality of Service) garancije). Javna i privatne IP mree se sve vie koriste za prenos aplikacija, audio i video tokova, kod kojih ne mogu da se toleriu nepredvidljivi gubitci. Karakteristike QoS kao to su: minimizacija vremena kanjenja, minimizacija varijacija kanjenja, obezbeivanje potrebnog propusnog opsega, moraju da se obezbede. Pored toga veliki problem za provajdere Internet servisa (Internet Service Provider ISP) je da ponude reenja koja ce omoguiti skalabilnost ali i ponudu ugovorenog kvaliteta usluge SLA, (Service level agreement). Kako bi svi ti uslovi bili zadovoljeni vremenom su se javljali mnogi protokoli koji su svaki od problema reavali pojedinano. Uvoenje protokola kao to su: protokol rezervacije resursa RSVP (Recourse Virtuelne privatne mree Marijanovi Vuk
30
Reservation Protocol), diferencijalni servisi DiffServ (Differentiated services), sve je vie komplikovalo rutiranje.
Razvojem ATM tehnologije, koja je ponuena za izgradnju okosnicu (backbone) Interneta omoguen je prenos podataka i multimealnih informacija preko jedne mree potujui pri tome dogovoren kvalitet servisa. Ipak problem preslikavanja IP protokola u ATM je kompleksan i usled svoje komplikovanosti i problema skalbilnosti i za sada ne predstavlja pravo reenje. Tako, da bi se zadovoljile potrebe za skalbilnou, boljim performansama rutiranja, upravljanjem saobraajem na osnovu administrativno zadatih pravila itd. zapoet je rad na definisanju novog protokola zasnovanog na komutaciji korienjem labela (Multi Protocol label Switching).
11.1. Komutacija korienjem labela
MPLS kombinuje skalabilnost i fleksibilnost komutiranja sa kontrolom saobraaja. U stvari MPLS ne nasleuje ATM vec ga dopunjuje; zamena labela koja se koristi predstavlja isti mehanizam koji ATM komutatori koriste za prosleivanje ATM elija, s tim to se informacija o labeli nalazi u ATM zaglavlju, u VPI i VCI poljima. Bez MPLS, IP transport preko ATM mrea zahteva sloene protokole za mapiranje IP adresa u ATM adrese, rutiranje i za ATM komutacione tabele. U tom sluaju su neophodni protokoli za ostvarivanje sprega izmeu mrea PNNI (Private Network Network Interface), protokol za razreavanje adresa ATM ARP (Addresss Resolution Protocol) i protokol za za rutiranje izmeu podmrea NHRP (Next Hop Resolution Protocol). MPLS sada zadovoljava i ono najvanije: ouvava i koristi postojee i profitabilne tehnologije Frame Relay i ATM. Paketi koji ulaze u MPLS domen su paketi 3. sloja OSI modela, IP paketi. Ulazni ruter MPLS domena, LSR (Label Switching Router) analizira zaglavlje IP paketa i na osnovu dostupnih informacija dodeljuje mu odgovarajuu labelu. To LSR radi uz pomo tabele koja mapira informaciju o klasi prosleivanja u informaciju o labeli koja se koristi pri prosleivanju, FEC (Forwarding Equivalence Class) to NHLFE (Next Hop Label Forwarding Entry) Map, koja sadri informacije neophodne za dodeljivanje labela neoznaenim paketima koji ulaze u MPLS domen. Na slici 12. je prikazano funkcionisanje MPLS-a i metoda zamena labela koja se koristi.
Labele se definiu kao kratki identifikatori lokalnog znaaja i fiksne duine koji se nalaze u zaglavlju paketa i koji logiki predstavljaju FEC kome je paket dodeljen. FEC je klasa ekvivalencije u prosleivanju paketa, koja se odreuje na osnovu odredita paketa i dodatnih pravila rutiranja. U MPLS protokolu svi paketi koji pripadaju jednoj klasi ekvivalencije bie prosleeni na isti izlaz u datom voru. Nakon toga LSR odreuje sledei skok za dati paket. Podaci o njemu se nalaze u NHLFE tabeli. Kada paket izae iz ulaznog LSR njemu je dodeljena labela na osnovu koje ce naredni LSR vriti prosleivanje. Iz ovoga se vidi da se analiza mrenog sloja paketa vri samo u ulaznom LSR pa je samim tim smanjeno i vreme potrebno da se paket obradi i prosledi, a na taj nain su znaajno poboljane performanse rutiranja. Kada paket stigne do izlaznog LSR-a labela se skida i paket e opet postati obian IP paket, a dalje prosleivanje e biti zasnovano samo na njegovom zaglavlju. Dakle u MPLS domenu prosleivanje paketa je zasnovano samo na 32-obitnoj labeli koja se dodeljuje paketu iza zaglavlja sloja 2 i ispred IP zaglavlja. Putanja koju paket prolazi i koja je odreena labelom (pripadnou nekog paketa odreenoj FEC klasi) zovemo LSP Label Switching Virtuelne privatne mree Marijanovi Vuk
31
Path. Cilj MPLS protokola je da se svakom paketu koji ulazi u MPLS domen odmah pridrui LSP putanja kojom e paket prolaziti kroz domen, tj. da na samom ulazu bude poznata cela putanja paketa.
Slika19. Funkcionisanje MPLS-a
Za uspostavljanje LSP putanje odgovoran je protokol za distribuciju labela LDP (Label Distribution Protocol). To je skup procedura pomocu kojih jedan LSR ruter informie drugi o znaenju labela koje se koriste za prosleivanje saobraaja izmeu LSR rutera u MPLS domenu, tj. pomou kojih LSR uspostavljaju LSP putanje kroz mreu, preslikavajui informacije o rutiranju sa mrenog nivoa u direktno komutirane putanje nivoa linka podataka (data link) nivoa. Korienjem protokola za distribuiranje labela u saradnji sa protokolima rutiranja OSPF (Open Shortest Path First), RIP (Routing Information Protocol), BGP (Border Gateway Protocol) uspostavlja se putanja kroz MPLS mreu i rezerviu neophodni resursi za zadovoljavanje pre-definisanih zahteva za datu putanju. Pri tome svaki LSR donosi odluku prosleivanja jedino u skladu sa sadrajem labele. LDP ima sledece karakteristike:
Poseduje mehanizme za omoguavanje LSR-ima da pronau jedni druge i uspostave komunikaciju.
Definie etiri klase poruka: DISCOVERY, ADJ ACENCY, LABEL ADVERTISMENT I NOTIFICATION.
Funkcionie preko TCP kako bi se obezbedila pouzdanost poruka (kada nije potrebna potvrda prijema poruke koristi se UDP)
Dizajniran je da bude lako proiriv
Dva LSR koji koriste LDP da razmene preslikavanje labela i FEC nazivaju se LDP parovi i oni razmjenjuju 4 tipa LDP poruka:
Virtuelne privatne mree Marijanovi Vuk
32
Poruke otkrivanja, za pronalaenje LSR rutera
Poruke sesije, za uspostavljanje odravanje i zatvaranje sesija izmeu LDP parova
Poruke oglaavanja, za stvaranje, menjanje i brisanje labela u FEC klase
Poruke obavetenja, za signalizaciju greaka
MPLS donosi i mnoge pogodnosti u odnosu na IP mree:
Traffic Engineering sposobnost uspostavljanja putanje saobraaja i uspostavljanje performansi karakteristinih za odreenu klasu saobaraaja. Traffic engineering omoguava ISP da prebace saobraaj sa najkrae putanje izraunate korienjem IGP (Interior Gateway Protocol) protokola na potencijalno manje zakrenu putanju.
VPN -ISP-i su ponudili korisnicima VPN MPLS kao jednostavno reenje za obezbeivanje privatnosti podataka i podrku za korienje ne-jedinstvenih privatnih IP adresa, jer se tu odluke prosleivanja donose samo u skladu sa vrednocu labele, a ne odredine IP adrese koja se nalazi u zaglavlju paketa.
Eliminacija viih slojeva - tipicno veina koristi sveobuhvatan model gde je ATM koriena na sloju 2 i IP na sloju 3. Korienjem MPLS mogue je mnoge funkcije ATM upravljake ravni prebaciti na nivo 3, a time se pojednostavljuje upravljanje mreom kao i sloenost mree.
11.2. VPN zasnovane na MPLS-u
Velike firme koje imaju filijale na razliitim lokacijama morale su da povezuju raunare radi efikasnijeg poslovanja. Njima je potrebna privatna mrea VPN (Virtual Private Network) koju bi mogli da administriraju u skladu sa sopstvenim potrebama sigurnosti, rutiranja i dozvola. Virtualnost se ogleda u tome to ta infrastruktura koja se koristi u toj mrei ne pripada samo njoj. Ona u stvari pripada provajderima Internet servisa, jedom ili vie njih i predstavlja backbone koji mogu da koriste jedna ili vie VPN. Postoje dva tipa praktine realizacije mree preko koje mogu da se ostvare VPN.
To je:
Overlay model VPN mree:
Taj model je danas jo uvek prisutniji i podrazumeva da se na svakoj korisnickoj lokaciji nalazi jedan ili vie rutera, koji su sa ruterima na drugim udaljenim lokacijama povezani point-to point (tacka - tacka) vezama (iznajmljenim linijama, ATM ili Frame Relay vezama). Virtuelne privatne mree Marijanovi Vuk
33
Ovaj model efikasno funkcionie ali postoji znaajan problem skalabilnosti, i zahteva koji se postavljaju korisnicima da sami upravljaju ruterima koji odravaju vezu izmeu udaljenih lokacija, kao i problemi menjanja konfiguracije pri svakom novom dodavanju nove lokacije.
Peer model VPN mrea
Ovaj model treba da omogui provajderima opsluivanje veoma velikog broja korisnika, i ujedno preuzmanje funkcije administriranja njihovih mrea tako da oni mogu da se posvete samo svom primarnom biznisu, ne uputajuci se u pravila IP rutiranja. Peer model se sastoji od 4 komponente:
- ogranicena distribucija informacija o rutama: poto su korisnicki ruteri direktno spojeni na rutere VPN provajdera, moramo na neki nacin ograniciti protok, tako da samo ruteri koji pripadaju istoj VPN mrei mogu razmenjivati saobraaj.
- upotreba viestrukih tabela rutiranja: neophodno je da PE ruter odrava ne jednu, ve vie tabela rutiranja jer on najcee slui za povezivanje vie VPN korisnika, pa njegova tabela rutiranja sadri u sebi sve rute dobijene od svih lokacija koje su preko njega povezane.
- korienje novog tipa adresa (VPN-IP adrese)
- upotreba MPLS protokola
Primer peer mree je prikazan na slici 13. Sa CE (Customer Edge) su ozaeni ruteri na korisnikim lokacijama, a sa PE (Provider Edge) ruteri provajdera koji su direktno vezani na korisnike, pri emu izmeu njih mora biti obezbeena direktna IP veza. Sa P su oznaeni core ruteri backbone-a. CE ureaj moe biti vezan na PE ruter bilo kojim tipom linka podataka (na primer ATM VCC, Frame Relay, Ethernet...).Korisnika lokacija moe biti vezana na provajdera preko vie PE rutera, a PE ruter moe obezbevati vezu za vie od jedne korisnike lokacije. Ovaj model nosi naziv peer zato to korisniki ruteri direktno razmenjuju saobraaj sa ruterima VPN provajdera, za razliku od overlay modela gde su koriniki ruteri na udaljenim lokacijama direktno povezani jedni sa drugima, bilo putem virtuelnh kola na data link sloju, bilo putem IP tunela.
Virtuelne privatne mree Marijanovi Vuk
34
Slika 20. Peer model VPN mree
Svaka VPN nosi oznaku koja u implementaciji predstavlja 8-o bajtnu oznaku rute Route Distinguisher RD [1] (slika 14.). Ona se sastoji od tri polja:
Tip 2 okteta
AS broj autonomnog sistema koji je dodeljen VPN provajderu -2 okteta
VPN broj 4 okteta
RD se koristi kao prefiks IP adresama tog sajta. Konfigurie se na interfejsu koji je vezan za odreenu lokaciju. Na primer podmrea 10.1.1.0 za VPN 15 se razlikuje od podmree 10.1.1.0 za VPN 354. Sa gledita MPLS VPN provajdera to su u stvari adrese 15:10.1.1.0 i 354:10.1.1.0 Dodeljivanje 8-o bajtne oznake rute ispred IP adrese dobija se VPN-IP adresa. Sa stanovita BGP protokola, rukovanje rutama koje imaju VPN-IP adrese se ne razlikuje od standardne procedure za IP adrese, zahvaljujuci osobini BGP protokola da generiki rukuje adresama, bez obzira na njihov format. Na ovaj nain se samo prenosi informacije o VPN drugim ruterima koji imaju interfejse sa istom vrednocu RD. Na taj nain se spreava sluajno curenje informacija korisnika A korisniku B. To takoe znaci da svaki PE ruter samo prati rute korisnika koji su povezani na taj PE, a ne prefikse za sve lokacije i korisnike koji su vezani na ISP. Pri tome ostaje problem i injenica da su to VPN-IP rute, a da je ipak mrea provajdera zasnovana na IP protokolu, tako da je u PE ruterima neophodno da se izvri pretvaranje IP u VPN-IP adrese. To se ostvaruje tako to ruter identifikuje VPN mreu kojoj korisnik pripada na osnovu interfejsa po kojem stie paket i dodeljuje VPN IP adresu koristei oznaku rute za datu VPN mreu. Zatim tu VPN-IP rutu prosleuje svojim BGP susedima koristeci BGP opti (community) atribut za datu mreu. Pri tome se javljaju sledeci problemi:
neophodno je konvertovati IP zaglavlje tako da se koriste due adrese na ulaznim PE ruterima; unutranji ruteri treba da znaju kako da prosleuju ovaj novi mreni protocol; neophodno je na izlaznim ruterima ponovo izvriti konverziju u IP adrese;
Zato se reenje za taj problem nalo uvoenjem MPLS-a. Sa stanovita MPLS-a ulazni PE ruter nije nita drugo do ulazni LSR ruter. Kada ulazni PE ruter primi IP paket od CE rutera, on konsultuje svoju odgovarajucu FIB tabelu rutiranja (identifikovanu na osnovu porta po kom je doao IP paket). Na osnovu informacije iz tabele rutiranja, utvruje se sledeci hop paketa kao i labela koja ce biti stavljena na njegovo IP zaglavlje. U stvari na paket se stavljaju 2 labele: prva na vrhu steka labela, govori o putanji paketa kroz mreu VPN provajdera do izlaznog PE rutera i prosleuje se LDP protokolom. Druga labela ispod predhodne, govori izlaznom PE ruteru kako i kom korisniku treba proslediti paket koji je primljen i prosleuje se BGP protokolom, upotrebom VPN-IP adresa.
Virtuelne privatne mree Marijanovi Vuk
35
Slika 21. Uvoenje Route Distinguisher-a
Virtuelne privatne mree Marijanovi Vuk
36
12. Open VPN
Danas veina kompanija ima potrebu stalnog ili povremenog vanjskog povezivanja na lokalnu mreu. Veina odustaje od sigurnog povezivanja u VPN zbog cene gotovih ureaja koji bi to omoguili, ali i zbog njihovog komplikovanog odravanja. Glavna prednost Open VPN-a je njegova jednostavnost u primeni. Koristi vrlo napredne kriptografske algoritme, ali ne optereuje previe raunara na kojem je instaliran. Generisanje sertifikata i kljueva je vrlo jednostavno i brzo, ukoliko se prati prikazana procedura opisana u nastavku poglavlja. Uz sve to je i besplatan, pa se za manje korisnike moe smatrati povoljnijim reenjem od kupovine skupih IPSEC firewall-a.
Open VPN je aplikacija koja se u osnovi koristi iz komandne linije i moe se pokrenuti kao servis unutar operacionog sistema. Aplikacija se moe pokretati na vie naina koristei podeavanja unutar konfiguracione datoteke, a za puni opis svih moguih opcija preporuuje se lista na web stranicama autora: http://openvpn.net/man.html.
OpenVPN moemo koristiti za stalno (site-to-site) i povremeno (client) povezivanje pojedinih lokacija i ureaja. Podeavanje je u osnovi slino u oba sluaja jer uvek instaliramo istu aplikaciju na svim raunarima unutar VPN mree. Osnovno podeavanje je vrlo jednostavno, ali kompleksnost primene raste zavisno od sloenosti topologije mree. Tada su potrebna i dodatna znanja o sigurnosti raunarnih mrea, naroito o infrastrukturi javnih kljueva (PKI).
OpenVPN koristi SSL/TSL (Secure socket layer/Transport layer security) protokol za uspostavljanje komunikacije izmeu pojedinih taaka VPN mree. Na taj nain se ostvaruje slina sigurnost kao i u mreama gde se primenjuje IPsec (IP security) protokol. Za razliku od drugih SSL VPN-ova gde se klijenti posebno ne podeavaju, a veza se uspostavlja iskljuivo kroz web browser na strani klijenta, kod Open VPN-a se klijent posebno podeava. Ista aplikacija se instalira na serveru i klijentu pa se Open VPN moe smatrati P2P (peer-to- peer) aplikacijom. Svi data paketi se usmeravaju na jedan UDP ili TCP port po izboru (po definciji se koristi UDP protokol i port 1194). Sav tako usmeren mreni promet se enkriptuje i alje na drugu taku VPN mree u odlasku ili dekriptuje ako je re o dolaznom prometu. Aplikacija je realizovana pod Open Source GNU licencom i moe se instalirati na MS Windows XP, Linux, Mac OS X, OpenBSD, FreeBSD, NetBSD operacionim sistemima.
Virtuelne privatne mree Marijanovi Vuk
37
12.1. Ugraena sigurnost i kriptografski algoritmi
Osnovna ideja svih danas dostupnih VPN reenja se svodi na zatitu od pasivnih i aktivnih napada. Pasivni napada je onaj koji prislukuje kanal komunikacije, ali ne deluje aktivno na informacije. Enkripcija podataka moe reiti ovakav problem. Aktivni napada moe ubaciti sebe u komunikaconi kanal, dodavati, menjati ili brisati podatke u komunikacionom kanalu. Aktivni napada se u literaturi na engleskom jeziku obino naziva man-in- the-middle (ovek u sredini).
Veina korisnika smatra da se VPN sigurnost uglavnom sastoji od mnotva primenjenih enkripcijskih algoritama kojima reavamo prislukivanje komunikacije. Postavlja se pitanje da li je to dovoljno. Sa stanovita sigurnosti VPN mora reiti i puno vaniji problem, a to je autentifikacija korisnika i onemoguavanje aktivnih napada. U primeni to znai potpisivanje svakog komunikacijskog paketa, tako da primalac sigurno zna da poruka dolazi iz proverenog izvora. Potpisivanje paketa izvodi se funkcijama saimanja. OpenVPN koristi HMAC (keyed-hash message authentication code) funkciju za autentifikaciju paketa. HMAC spada u podgrupu MAC ( message authentication code ) funkcija i upotrebljava se uz standardne kriptografske funkcije saimanja (MD5 ili SHA) i sigurnosni klju.
Konstrukciju i analizu HMAC algoritma su prvi put prikazali: Mihir Bellare, Ran Canetti, i Hugo Krawczyk, 1996. godine.
HMAC autentifikacija komunikacionih paketa nije dovoljna za zatitu od tzv. napada ponavljanjem (replay attack). Npr. napada moe snimiti enkriptovani, njemu zanimljivi promet (npr. Novana transakcija) i onda ga reprodukovati. Ukoliko sistem nema zatitu od takvog napada, mogue je imati niz takvih upitnih transakcija. Reenje ovog problema bi bilo dodavanje jedinstvenih vremenskih oznaka na svaki paket. Primalac podataka mora tada paziti da ne primi dva puta pakete s istom vremenskom oznakom. Open VPN koristi tzv. SWA algoritam (Sliding Window Algorithm) za spreavanje aktivnog napada ponavljanjem.
Za kriptovanje podataka OpenVPN koristi gotovu OpenSSL biblioteku funkcija. Pri tome je mogue koristiti statike kljueve koje razmenjuju uesnici u komunikaciji, u jednostavnijoj primeni. Meutim, mogue je koristiti i RSA infrastrukturu javnih kljueva za reavanje osetljive take u HMAC autentifikaciji, a to je razmena kljua.
Infrastruktura javnih kljueva je prvi put predstavljena 1977. godine u asopisu The Scientific American , kada su autori: Ronald L. Rivest, Adi Shamir i Leonard M. Adleman predstavili svoju primenu RSA algoritma u kriptografiji s javnim kljuevima i digitalnim potpisom. Zanimljivo je da su autori ponudili puni opis algoritma bilo kome ko poalje potansku omotnicu s plaenim potanskim odgovorom. To je rezultovalo ogromnim odzivom i frustracijom u NSA (National security agency) jer je prvi put na taj nain masovno distribuiran kriptografski algoritam. Meutim, postupak irenja je bio u skladu s tada vaeim zakonima, jer uprkos masovnosti nije bio javan.
Virtuelne privatne mree Marijanovi Vuk
38
Postupak upotrebe javnog kljua je bio inovativan upravo zbog toga jer je uveo sigurnu razmenu simetrinog kljua kriptovanja, bez upotrebe sigurnog medija. U primeni to znai da je za komunikaciju izmeu dve take potrebno generisati javni i par privatnih kljueva. Svaki uesnik u komunikaciji zadrava vlastiti privatni klju koji se nikad ne razmenjuje s drugim uesnikom. Njime dekriptuje poruke koje su kriptovane javnim kljuem i koji je slobodno dostupan svima koji ele uestvovati u komunikaciji. Problem autentifikacije je reen uvoenjem sertifikata, potpisanih u sertifikacionom centru (CA), koji utvruje identitet uesnika u komunikaciji.
12.2. Praktini primer spajanja dve lokacije upotrebom statikog kljua
Nakon preuzimanja instalacionog paketa, kopiraju se instalacione datoteke na raunar koje e postati VPN server. U ovom primeru e to biti raunar sa MS Windows XP operacionim sistemom. Pokretanjem instalacionog postupka podeava se OpenVPN, OpenVPN GUI konfiguracioni program i alat za kreiranje sertifikata.
Moe se uoiti da je na raunaru instalirana nova mrena kartica pod imenom : Win32 Adapter v8. Novoinstalirana mrena kartica predstavlja virtualni ureaj preko kojeg podaci mogu prolaziti na dva naina. Ukoliko se promet preusmerava na postojeu mrenu karticu ugraenu u raunar, tada je to tzv. bridge nain rada. U protivnom se sva podeavanja na virtualnom adapteru obavljaju kao da je re o pravoj mrenoj kartici, s vlastitom IP adresom i tada je to tzv. router nain rada.
Prvo i osnovno podeavanje na serveru obavlja se na postavkama unutar konfiguracione datoteke. Za poetak se moemo posluiti primerom takve datoteke koji se nalazi u mapi: C:\ProgramFiles\OpenVPN\sample-config, pod imenom: sample.opvpn.txt., a koji se kopira u C:\ProgramFiles\OpenVPN\config pod imenom: server.ovpn.
Konfiguracionu datoteku otvaramo i u tekst editoru i potraimo pojam u kojem se nalazi tekst: remote myremote.
Ako elimo dozvoliti pristup sa tano odreene adrese npr. 213.191.134.11, tada ta linija treba glasiti: remote 213.191.134.11. Ukoliko elimo dozvoliti pristup sa bilo koje IP adrese, tada se jednostavno ovu linija brie ili se komentarie sa ; na poetku.
Po definiciji se sva komunikcija odvija preko UDP protokola i porta 1194. Ukoliko se to menja, potrebno je promeniti linije koje poinju sa port (podeavanje porta) i proto (odabir protokola). Zatim se bira nain spajanja na server. Ako elimo podesiti povezivanje dve mree sklonimo komentare se reda sa tekstom: dev tap. U protivnom je re o spajanju sa vie razliitih lokacija na jednu centralnu i tada se bira: dev tun protokol.
Virtuelne privatne mree Marijanovi Vuk
39
Za poetak je prikazana jednostavnija varijanta spajanja dve mree (u ovom primeru spajanje dva raunara s Windows XP operacionim sistemom).
U tom sluaju generie se statiki klju kojim se kriptuje komunikacija izmeu dve lokacije. Unutar programa bira se naredba: Generate a static OpenVPN key, nakon ega se u mapi C:\ProgramFiles\OpenVPN\config stvara 2048 bitni klju za kriptovanje komunikacije pod imenom key.txt. Da bi klju postao vaei mora se u konfiguracionoj datoteci dodati linija: secret key.txt. Preostaje jo konfigurisanje dva parametra: verb i mute. Parametar verb odreuje koliko se detaljno belei trenutno stanje aplikacije u log datoteci. Minimalna vrednost je 0 (belee se samo greke), a maksimalna 11. Parametar mute definie koliko puta se pokuava ponoviti povezivanje, ukoliko prvo povezivanje nije bilo uspeno.
Poetna konfiguraciona datoteka na strani servera bi mogla biti ovako postavljena:
dev tap proto udp secret key.txt persist-tun ifconfig 192.168.122.1 255.255.255.0 verb 4 mute 10
Klijent se podeava gotovo istim parametrima kao i server, uz nekoliko odstupanja. Tako parametar remote na strani klijenta predstavlja javnu IP adresu mree kojoj se pristupa. Takoe je uobiajeno na strani klijenta postaviti ifconfig parametar kojim se definie IP adresa koju e klijent dobiti prilikom povezivanja na udaljenu mreu.
Pretpostavimo da se klijent spaja na udaljenu mreu s javnom IP adresom: 213.191.134.11. Tada bi konfiguraciona datoteka na strani klijenta mogla biti:
remote 213.191.134.11 dev tap ifconfig 192.168.122.100 255.255.255.0 secret key.txt verb 4 mute 10
Na kraju treba odluiti na koji nain e se pokrenuti aplikacija na udaljenim raunarima. Moe se koristiti tzv. usmereni (routing) ili preklopljeni (bridged) nain rada.
U ovom primeru spajaju se dva udaljena raunara pa je mogue primeniti jednostavniju, bridged konfiguraciju kod koje se sav promet s virtualnog adaptera preusmerava na mrenu karticu koja je fiziki instalirana na raunaru.
Ukoliko je operacioni sistem na raunarima MS Windows XP, povezivanje mrenih adaptera na ovaj nain je vrlo jednostavno. Na popisu mrenih adaptera odabere se s liste TAP adapter i postojea mrena kartica kombinacijom CTRL tipke i leve tipke na miu.
Virtuelne privatne mree Marijanovi Vuk
40
Slika 22. Odabir mrenih kartica za povezivanje
Aktivira se desna tipka mia i odabere naredbu Bridge Connections.
Slika 23. Povezivanje odabranih mrenih kartica
Rezultat je nova mrena kartica sastavljena od OpenVPN i stvarne mrene kartice.
Slika 24. Rezulat povezivanja virtualne i stvarne mrene kartice
Duplim klikom na GUI ikonu (openvpn-gui-1.0.3.exe) smetenu na radnoj povrini pokree se OpenVPN na raunarima. Rezultat pokretanja je nova sliica u taskbar-u. Desnom tipkom mia, otvara se mogunost pokretanja eljene konfiguracione datoteke:
Virtuelne privatne mree Marijanovi Vuk
41
Slika 25. Odabir aktivne konfiguracije
Ukoliko je sve dobro podeeno, rezultat je poruka da je spajanje uspeno i da je konfigurisana besplatna VPN veza izmeu dve odvojene mree spojene na zajedniki subnet.
12.3. Praktini primer spajanja dve lokacije upotrebom sertifikata
Upotreba statikog kljua je vrlo jednostavna za podeavanje, ali ima ozbiljan nedostatak. U sluaju krae kljua, napada moe bez potekoa upadati u kanal komunikacije. Takoe se ne mogu primeniti svi postupci autentifikacije na strani serverskog raunara (npr. dodatna autorizacija lozinkom). Za uspostavljanje infrastrukture javnog kljua mora se definisati CA centar na sigurnom raunaru. U ovom primeru, mogue je za tu svrhu koristiti raunar koji uopte nema nikakav mreni pristup.
Generisanje sertifikata opisano je u nekoliko taaka:
1. Proveri se verzija OpenSSL biblioteka na serveru i klijentu.
Poeljno je da budu iste. Pokrene se prozor s komandnom linijom i izabere mapa: c:\Program Files\OpenVPN\bin i pokrene se openssl.exe Nakon toga zadaje se naredba: version i na ekranu se ispie verzija biblioteke.
2. Podeavaju se podaci o vlasniku generisanih sertifikata.
Virtuelne privatne mree Marijanovi Vuk
42
Da bi se to obavilo, potrebno je pokrenuti init-config.bat datoteku u mapi: c:\Program Files\OpenVPN\easy-rsa. Rezultat je vars.bat datoteka, generisana u istoj mapi. Postavlja se veliina kljua na 2048 bita, i podeavaju preostali parametri za generisanje npr.
set KEY_SIZE=2048 set KEY_COUNTRY=HR set KEY_PROVINCE=SI set KEY_CITY=SIBENIK set KEY_ORG=COMPCO set KEY_EMAIL=frane.urem@compco.hr
Pokrene se ureeni vars.bat, a nakon njega clean-all.bat, kako bi se oistila mapa s kljuevima.
3. Stvara se CA root sertifikat pokretanjem build-ca.bat.
Prilikom generisanja potrebno je upisati podatke kao i u vars.bat datoteci. Za polje Common Name moe se upisati naziv kompanije koja izdaje sertifikat s dodatkom -CA, kao u primeru.
Slika 26. Kreiranje CA root sertifikata
Konani rezultat su: ca.cert i ca.key u mapi c:\Program FIles\OpenVPN\easy-rsa\keys. Ca.key je privatni CA klju i mora se uvati na vrlo sigurnom raunaru koji nema pristup mrei.
Virtuelne privatne mree Marijanovi Vuk
43
Slika 27. Lista generisanih CA root datoteka
4. Zatim se kreira sertifikat i privatni klju za VPN server.
To se izvodi pokretanjem naredbe : build-key-server.bat server. Upisuju se traeni podaci o izdanom sertifikatu kao i kod kreiranja javnog CA sertifikata. Rezultat pokretanja su privatni klju i sertifikat za server (server.key, server.crt), potpisani CA kljuem, izdati na rok od 10 godina. Rok izdavanja moemo kontrolisati unutar build-keyserver.bat datoteke.
Slika 28. Kreiranje sertifikata i kljua za server
5. Kreiraju se sertifikati i kljuevi za klijente koji e pristupati serveru.
To se izvodi pokretanjem: build-key <ime klijenta> , npr. ukoliko su 3 klijenta (klijent1, klijent2, klijent3), pokrene se tri puta build-key.bat, za svakog klijenta posebno:
Rezultat su parovi kljueva i sertifikata za svakog klijenta, u podmapi \keys.
6. Generie se Diffie Hellman parametar.
To se izvodi pokretanjem build-dh.bat. Rezultat je veliki, sluajno generisani prim broj, koji se kopira samo na server. Ovaj postupak traje najdue, a moe se ubrzati unoenjem malo entropije u sistem, npr. nasuminim pomicanjem mia.
7. Unosi se dodatna sigurnost generisanjem tzv. ta kljueva.
To se izvodi pokretanjem naredbe: openvpn --genkey --secret ta.key Rezultat je klju za HMAC potpisivanje paketa, u svrhu dodatne autorizacije. Kljuevi se moraju sigurno razmeniti sa serverom i klijentima, i iskopirati u podmapu \keys .
Na kraju je potrebno iskopirati generisane kljueve, prema sledeoj tablici:
Ime datoteke:
Koristi ga: Svrha: Tajnost: ca.crt Server i svi klijenti Root CA certifikat NE
ca.key Samo sigurno raunalo za generiranje kljueva
Root CA klju
DA dh{n}.pem Samo server Diffie-Hellman parametar NE server.crt Samo server Server certifikat NE server.key Samo server Server klju DA client1.crt Klijent1 klijent1 certifikat NE client1.key Klijent1 klijent1 klju DA client2.crt Klijent2 klijent2 certifikat NE client2.key Klijent2 klijent2 klju DA client3.crt Klijent3 klijent3 certifikat NE client3.key Samo klijent3 klijent3 klju DA
Tablica 1: Raspodela Sertifikata, u primeru : jedan server, tri klijenta
Virtuelne privatne mree Marijanovi Vuk
45
Konfiguracione datoteke se podeavaju kao i u primeru sa statikim kljuem, ali se umesto statikog kljua zadaju imena sertifikata i kljueva za server i klijente. Primer konfiguracijske datoteke za server:
dev tap proto udp ca ca.crt cert server.crt key server.key dh dh1024.pem persist-tun ifconfig 192.168.122.1 255.255.255.0 verb 4 mute 10
Primjer konfiguracione datoteke za klijenta, koji pristupa na udaljenu IP adresu 213.191.134.11:
remote 213.191.134.11 dev tap ifconfig 192.168.122.100 255.255.255.0 ca ca.crt cert klijent1.crt key klijent1.key verb 4 mute 10
Sva ostala podeavanja su ista kao i u primeru sa statikim kljuem.
Virtuelne privatne mree Marijanovi Vuk
46
13. Primer implementacije VPN-a
Karakteristian sluaj primene VPN-a u modernom poslovanju je dakle deljenje podataka izmeu udaljenih lokalnih mrea. U ovom primeru date su dve lokalne mree sa deljenim direktorijima koji moraju, uz odgovarajuu autentikaciono-autorizacijsku politiku, biti dostupni korisnicima iz dveju mrea. VPN tunel odravaju posebni usmerivaki ureaji (VPN routeri) opremljeni ethernet portovima, koji upotrebljavaju IPSec protokol. IPSec je tzv. layer 3 protokol, koji podrava siguran prenos podataka kroz IP mree. IPSec podaci organizovani su u posebne pakete (IPSec tunel paketi), koji u osnovi predstavljaju enkapsulirane IP pakete, enkriptovane kriptografskim algoritmom dogovorenim izmeu dve strane IP tunela.
Slika 29. Konfiguracija pristupa udaljenom deljenom direktorijumu
Prva lokalna mrea, sa skupom adresa 192.168.0.1/255.255.255.0 ima deljeni direktorijum na raunaru sa operativnim sistemom Windows 2000 Server sa adresom 192.168.0.2. Ako je na tom raunaru dozvoljen pristup korisniku guest, tada e raunar iz druge lokalne mree sa skupom adresa 192.168.2.1/255.255.255.0, operativnim sistemom Windows 2000 Server i adresom 192.168.2.2 primeniti sledei postupak kako bi pristupio tom deljenom direktorijumu.
Virtuelne privatne mree Marijanovi Vuk
47
Slika 30. Udaljeni deljeni direktoriumj u lokalnom My Computer prozoru
U meniju Windows Explorer aplikacije ii na Tools -> Map Network Drive, nakon ega se pojavljuje dijaloki okvir u koji treba uneti osnovne podatke o udaljenom deljenom direktorijumu (kao na Sl.29). Nakon unoenja ovih podataka operativni sistem e traiti username i password za korisnika koji pristupa direktorijumu, i u sluaju uspene autorizacije napraviti novi virtualni disk - lokalnu sliku udaljenog deljenog direktorijuma (Sl. 30). Prava pisanja i itanja na novom disku odreena su autorizacionom politikom raunara na kojem se deljeni direktorijum nalazi ili domena iji je lan. Pri svemu ovome treba jo naglasiti da je su deljeni direktorijumi dobijeni ovim postupkom izolovani od Internet okruenja koje se koristi za prenos podataka koji se nalaze u njima. Njihova "nevidljivost" korisnicima Interneta proistie iz injenice da se nalaze na raunarima koji direktno nisu lanovi Interneta, ve su im date adrese koje pripadaju njihovim lokalnim mreama. Sigurnost podataka koji se prenose Internetom osigurava ekripcija u IP tunelu formiranom u sklopu VPN-a. U ovom sluaju primenjuje se 3DES algoritam za simetrinu enkripciju koji koristi klju efektivne duine od 128 bita.
Virtuelne privatne mree Marijanovi Vuk
48
14. Postupak kreiranja Virtualne privatne mree
U ovom poglavlju e biti prikazan postupak kreiranja Virtuelne privatne mree unutar Windows XP operacionog sistema. Poto Windows XP ima sve predispozicije za kreiranje VPN konekcije bez dodatnog softvera proces se odvija na sledei nain:
1. Prvo to trebate napraviti je provera da ste uredno spojeni na Internet.. 2. Kliknite Start pa Control Panel. 3. Odaberite Network Connections. 4. Kliknite Create a new connection.
Slika 31.
5. U Network Connection Wizard u odaberite Next. 6. Kliknite Connect to the network at my workplace i odaberite Next. Virtuelne privatne mree Marijanovi Vuk
49
Slika 32.
7. Odaberite Virtual Private Network connection pa Next.
Slika 33. Virtuelne privatne mree Marijanovi Vuk
50
8. Unesite proizvoljno ime vae VPN konekcije, u ovom sluaju je to Posao. Odaberite Next.
Slika 34. 9. U sluaju da ste pitani da li ete koristiti dial-up vezu ili ve spojenu preko DSL-a (ili neeg treeg) odaberite: Do not dial the initial connection pa Next. 10. Unesite IP adresu ili Hostname gde ete se spajati (te podatke obino dobijete od administratora). 11. U sluaju da ste pitani elite li koristiti Smart Card odaberite Do not use my smart card. 12. Sada odaberite elite li preicu na vaoj radnoj povrini ili ne i kliknite Finish. 13. Nakon to je konekcija napravljena moda e se automatski pokuati spojiti preko VPN a, ako ne, odaberite Control Panel, pa u Network Connections i desnim klikom na Vau kreiranu VPN konekciju odaberite Properties.
Slika 35. Virtuelne privatne mree Marijanovi Vuk
51
14 . U prvoj opciji (tabu) General moete promeniti IP adresu ili Hostname na koji se spajate kao i automatsko spajanje na Internet prilikom pokretanja VPN konekcije (vredi samo za dial-up konekcije). Takoe imate opciju da li elite status da ste spojeni u Taskbar -u (Show icon in notification area when connected).
Slika 36.
15. Sljedea opcija (tab) je Options u kojoj moete puno toga podesiti. Tu su stvari kao Include Windows logon domain pomou koje e vam traiti podatke spajanja na domenu pri pristupu VPN-u ili Redial attempts to znai nakon koliko vremena da se ponovno spaja ako konekcija nije uspostavljena. Virtuelne privatne mree Marijanovi Vuk
52
Slika 37.
16. Nakon Options -a dolazi nam opcija Security u kojoj u principu postavljate tip enkripcije i sigurnosti spajanja Vae VPN konekcije. Te podatke uglavnom dobijete od administratora poto je on odredio tip enkripcije.
Slika 38. Virtuelne privatne mree Marijanovi Vuk
53
17. U opciji Networking moete odabrati koji protokli i servisi e biti koriteni tokom VPN konekcije.
Slika 39. 18. I poslednja opcija je Advanced u kojoj moete konfigurisati Firewall i Sharing (zajedniko korienje).
Slika 40. Virtuelne privatne mree Marijanovi Vuk
54
19. Nakon to ste konfigurisali VPN konekciju sve je spremno i za spajanje. Odaberite Vau VPN konekciju i nakon unosa korisnikog imena (User name) i ifre (Password) kliknite Connect. Isto tako za kraj veze odaberite konekciju i kliknite Disconnect.
Slika 41.
Virtuelne privatne mree Marijanovi Vuk
55
15. Primer za implementaciju Cisco IPSec VPN servisa
VPN koristi javnu mrenu infrastrukturu uz ouvanje privatnosti kroz bezbednosne procedure i protokole kao to je IPSec. Sistem funkcionie tako to se podaci ifruju na predajnoj strani i deifruju na prijemnoj strani. Komunikacija se odvija kroz "tunel" to obezbeuje dodatni nivo sigurnosti, koji obuhvata ifrovanje podataka i mrenih adresa uesnika u komunikaciji.
Slika 42 : Primer implementacije Cisco IPSec VPN servisa
Cisco IPSec VPN omoguava:
- Povezivanje teritorijalno udaljenih kancelarija kompanije u jedinstvenu privatnu mreu. - Sigurnu vezu radi pristupa bazama podataka, svim dokumentima i programskim aplikacijama dostupnim zaposlenima u kompaniji. - Pristup e-mail serveru, potrebnim adresama i brojevima telefona iz Vaeg adresara; - itanje elektronske pote i odgovaranje na hitne obaveze bez obzira na vreme i mesto na kome se trenutno nalazite. - Pouzdanu i efikasnu komunikaciju sa mobilnim timovima kompanije uz bolju koordinaciju i organizaciju poslovanja (npr. slanje narudbina sa terena).
Virtuelne privatne mree Marijanovi Vuk
56
Administracija korisnickih naloga omoguena je preko web aplikacije VPN Admin Panel. Web aplikacija ima sledee karakteristike:
- Kreiranje VPN korisnikih naloga. - Prikaz aktivnih VPN sesija na ruteru u realnom vremenu. - Izmena podataka i brisanje korisnikih naloga. - Pregled svih ostvarenih sesija za svaki korisniki nalog.
Za instalaciju web aplikacije VPN Admin Panel neophodno je obezbediti raunar sa Windows operativnim sistemom sa instaliranom komponentom IIS (Internet Information Services).
Slika 43: VPN Admin Panel Prikaz liste VPN korisnika
Virtuelne privatne mree Marijanovi Vuk
57
Svaki kreirani VPN nalog automatski dobija fiksnu IP adresu, to omoguava veu kontrolu pristupa, koja se moe ostvariti primenom pristupnih lista (eng. access list) na Cisco ruteru.
Slika 44: VPN Admin Panel Stranica za dodavanje VPN naloga
VPN konekcija se ostvaruje preko aplikacije Cisco VPN Client. U zavisnosti od verzije operativnog sistema na raunaru korisnika (32-bit ili 64-bit), neophodno je instalirati odgovarajuu verziju aplikacije.
Slika 45: Cisco VPN Client Izgled glavnog prozora
Virtuelne privatne mree Marijanovi Vuk
58
16. Primer administracije VPN naloga u MUP-u Crne Gore
Primer administracije VPN naloga na aktivnom direktorijumu koji se nalazi na Windows Serveru 2003, 64/bit.
Kreiranje VPN korisnika u AD-u. Prati se procedura:
Slika 46.
Virtuelne privatne mree Marijanovi Vuk
59
Slika 47. Setovanje password-a za korisnika
Slika 48. Virtuelne privatne mree Marijanovi Vuk
60
Slika 49. Prikaz korisnika u AD bazi
S obzirom da se radi o poverljivim podacima Ministarstva Crne Gore u programu Paint su izbrisani folderi na aktivnom direktorijumu kao i podaci i statusi korisnika koji su ve postojali u mrei. Selektovan je na slici novi dodati korisnik iz prethodno prikazane procedure.
Desnim klikom na korisnika moemo: -Dodati korisnika grupi -Setovati password -Brisati nalog -Menjati nalog -Disable-ovati nalog (privremeno)
Virtuelne privatne mree Marijanovi Vuk
61
Slika 50. Setovanje korisnika u AD bazi
Na nalogu korisnika imamo niz mogunosti gde moemo podeavati prava korisnika i unositi odreene informacije o njemu.
Slika 51. Prikaz prozora za logovanje od kue
Unosi se ime koje je dodelio administrator. Virtuelne privatne mree Marijanovi Vuk
62
Slika 52. Prikaz naloga sa nazivom za logovanje
Na polju Account options mozemo podeavati odreenu password politiku. U ovom sluaju poeljno je staviti da se password ne menja jer je po default podeeno da se password menja nakon 42 dana.
Virtuelne privatne mree Marijanovi Vuk
63
Slika 53. Prikaz dodavanja informacija o organizaciji korisnika
Slika 54. Prikaz dodeljivanja lanstva korisniku
Virtuelne privatne mree Marijanovi Vuk
64
Slika 55. Pretraga korisnika u AD-u
Kao to vidimo pretraga se moe izvriti na osnovu niza karakteristika i informacija o korisniku koje se dodaju u prethodno prikazanom prozoru na slici 38.
Virtuelne privatne mree Marijanovi Vuk
65
17. Realizacija VPN-a u preduzeu TEHPRO D.O.O. Beograd
11250 Beograd, Jugoslovenska 2 Tel: 011/2580-785, 2580-795; Fax: 011/2580-778 office@tehpro.co.yu www.tehpro.co.yu TEHPRO d.o.o. - Drutvo za usluge u oblasti zatite
Preduzee TEHPRO je osnovano 1991. godine. Osnovna delatnost je pruanje usluga u oblastima:
bezbednost i zdravlje na radu, zatita od poara, zatita ivotne sredine
Od 1996. godine na trite Srbije plasira lina zatitna sredstva, instrumente i sisteme za detekciju eksplozivnih i toksinih gasova proizvoaa MSA AUER. Usledila je distribucija i zastupnitvo i drugih renomiranih svetskih proizvoaa sredstava i opreme za linu i kolektivnu zatitu.
Od osnivanja preduzee neprestano ulae u svoj razvoj, sa teitem na obrazovanje i usavravanje kadrova, i ulaganje u opremu. Poslednjih godina, okosnicu razvoja ine inenjering i savremeno opremljene ekipe koje pruaju kompleksne usluge iz osnovne delatnosti.
U okviru svojih inenjerskih delatnosti preduzee TEHPRO je sposobno da realizuje kompletne projekte. Poseduje sve licence i zakonska ovlaenja za projektovanje, izvoenje, zastupanje stranih partnera i firmi, trgovinu, uvoz i izvoz komponenti, sistema, ureaja, sertifikaciju i putanje u rad.
Kao odgovor na sve veu potrebu za obuenim kadrom u oblasti bezbednosti zdravlja na radu, pokrenut je i centar za edukaciju. Organizovanjem kurseva, seminara i savetovanja kao i izdavanjem strune literature zaokruen je skup edukativnih aktivnosti koje za cilj imaju unapreenje sistema bezbednosti i zdravlja na radu.
Virtuelne privatne mree Marijanovi Vuk
66
Preduzee TEHPRO sa seditem u Beogradu trenutno pokriva vei deo Srbije preko svojih radnih jedinica.
Tehpro - RJ Kruevac 062/808-****
Tehpro - RJ Ni 062/808-****
Tehpro - RJ aak 062/808-****
Tehpro - RJ Parain 062/808-****
Tehpro - RJ Smederevo 062/808-****
Tehpro - RJ Panevo 062/808-****
Zbog sve kompleksnijih poslovnih poduhvata, irenja firme i otvaranja novih radnih jednica, javila se potreba unutar preduzea da se svi raunari poveu unutar jedne mree radi lakeg deljenja podataka i meusobne komunikacije. Firma sada broji 68 raunara za ije potrebe je i realizovana VPN mrea. Uvoenjem VPN-a firma je umnogome napredovala a najvee prednosti odrazile su se na : smanjenje trokova poslovanja i utedu vremena putem efikasnije komunikacije; centralizovano poslovanje i upravljanje preko novih ili postojeih programa za knjigovodstvo, menadment, magacinsko poslovanje, finansije i sl. ; primenu integralnih sistema IP video nadzora i korporativne IP telefonije .
Virtuelne privatne mree Marijanovi Vuk
67
Trenutno je u procesu uvoenje VoIP VPN usluge ime e se praktino sve lokacije povezati u jedinstvenu korporativnu telefonsku mreu. Svi pozivi izmeu ovih lokacija e biti potpuno besplatni, a udaljene lokacije e moi da koriste sve pogodnosti koje su dostupne u seditu kompanije. VPN u preduzeu TEHPRO D.O.O. realizovan je na Microsoft platformi u okviru Small Bussines Servera. Obzirom da je sve u okviru Small Bussines servera glavna pogodnost je da je administracija mnogo laka jer na istom serveru su i VPN i ostali servisi koji mogu da rade na jednoj maini. Poboljana je i kompatibilnost jer je svaki segment pod okriljem Microsofta.
Kada govorimo o nepogodnostima prvo sa ime se moemo susresti je situacija kada port na ruteru nije otvoren. U sluaju da jeste (obzirom da je u pitanju softverski VPN), ruter proputa paket i server vri autentifikaciju i dekripciju. Autentifikacija se vri preko CHAP protokola i Microsoft CHAP Version 2. Drugi problem moe biti da paket bude pogreno prosleen. Problemi se mogu javiti i zavisno od operativnog sistema. U ovom sluaju se radi o Windows 7 OS-u a njemu je zatita pri konekciji postavljena na najvii nivo tako da se morao smanjiti nivo sigurnosti kako se pokuaj konekcije ne bi odbio.
Sledei problem koji se moe desiti je da server ima konflikt sa DHCP-om oko davanja adresa. Da ne bi dolo do zabune potrebno je rei DHCP-u da Vi (server) dajete adrese korisnicima. Da bi se izbegao taj problem moete i podesiti da, recimo prvih 50 adresa budu za interne korisnike i da budu fiksne, a za udaljene korisnike napraviti od 51 pa na dalje, zavisno o koliko subneta se radi.
to se tie nekih podeavanja u ovom sluaju panja treba biti skrenuta na podeavanje prosleivanja portova na ruteru tako da VPN paketi se dalje prosleuju VPN serveru. Zatim, kod klijenta na konekciji treba odekirati opciju Use dafault gateway on remote desktop. Problematino je i moe oteati saobraaj jer za eksterne adrese svaki upit bi iao preko glavnog servera (kojeg bi koristio kao default gateway).
Ovaj VPN za komunikaciju koristi L2TP/SSL, PPTP i SSTP protokole. Vano je napomenuti i to da je ruter nameten da proputa unapred postavljene portove.
Virtuelne privatne mree Marijanovi Vuk
68
Na slikama koje slede videe se deo realizacije VPN-a u preduzeu Tehpro d.o.o. :
Slika 56. Pravljenje VPN konekcije na strani klijenta
Virtuelne privatne mree Marijanovi Vuk
69
Slika 57. Pravljenje VPN konekcije na strani klijenta na security tab-u
Slika 58. Advanced settings (tu se nalazi default gateway o kome prethodno je bilo rei)
Virtuelne privatne mree Marijanovi Vuk
70
Slika 59. Konektovanje na server
Konektovanje na server vri se preko Remote desktopa koji se pokree komandom mstsc. To je osnovni alat administrator.
Virtuelne privatne mree Marijanovi Vuk
71
Slika 60. Prikaz klijenta
Desnim klikom na klijenta moe se videti njegov trenutni status na mrei, koliko dugo je online, moe se diskonektovati a moze mu se i poslati privatna poruka.
Slika 61 . Davanje dozvole klijentu da se konektuje na VPN server Virtuelne privatne mree Marijanovi Vuk
72
Slika 62. Kreiranje novog korisnika na server
Slika 63. Odreivanje password-a korisniku
Virtuelne privatne mree Marijanovi Vuk
73
Slika 64. Zavrni prozor u Wizardu za kreiranje novog korisnika
Slika 65. Prikaz RAS konzole (Routing an Remote Access)
Virtuelne privatne mree Marijanovi Vuk
74
18. Zakljuak
VPN je privukao panju mnogih organizacija koje ele poveati svoje sposobnosti umreavanja i smanjiti njihove trokove. Uspeh VPN-a u budunosti zavisi uglavnom od razvoja tehnologije.
VPN zahteva dobro razumevanje problema sigurnosti javih mrea i preduzimanje mera opreza kod postavljanja. Osim toga dostupnost i performanse VPN-a neke organizacije zavise od faktora koji su izvan njihove kontrole, a zbog nepostojanja standarda VPN tehnologije razliitih proizvoaa esto su nekompatibilne.
Najvea vrednost VPN-a lei u potencijalnom smanjenju trokova firmi. Zato ako se VPN standardi usaglase i razliiti proizvodi postanu kompatibilni poveae se potranja. Uspeh VPN-a takoe zavisi i od mogunosti intraneta i ekstraneta da obave adekvatno svoje zadatke.
Rad sadri kako teorijska objanjenja tako i praktine prikaze VPN. Date su definicije, objanjene su prednosti korienja VPN-a, data je njihova podela a obuhvaena je i bezbednost. Pokazano je kako se vri VPN konekcija i kako se postavlja VPN server. Postoje i dva su primera u radu gde se na slikama vidi kako se one realizuju u stvarnim uslovima.
Virtuelne privatne mree Marijanovi Vuk
75
19. Literatura
[1] Implementation of Virtual private network based on IPSec, J ianwu Wu, 2009 ETP International Conference on Future Computer and Communication, 2009 IEEE.
[2] Open VPN: building and operating virtual private networks, Markus Feilner, 2006.
[3] Virtual Private Groups for Protecting Critical Infrastructure Networks, Richard C. OBrien and Charles N. Payne, Jr. , 2009 IEEE.
[4] VPN Applications Guide: Real Solutions for Enterprise Networks, Dave McDysan, 0- m 471-37175-0.
[5] Ministarstvo za Informaciono drutvo, Crna Gora, 2010.
[6] MPLS and VPN Architectures, Volume II, Ivan Pepelnjak CCIE, J im Guichard CCIE, Jeff Apcar, Cisco Press.
[7] Business Data Communications & Networking, Dennis FitzGerald, Wiley Computer Publishing.
[9] Virtual Private Groups for Protecting Critical Infrastructure Networks, Richard C. OBrien and Charles N. Payne, Jr. , 2009 IEEE.
[10] Open VPN: building and operating virtual private networks, Markus Feilner, 2006.
[11] On the Design of Scalable, Self-Configuring Virtual Networks, David Isaac Wolinsky, Yonggang Liu, Pierre St. Juste, Girish Venkatasubramanian, Renato Figueiredo, 2009 IEEE