Elektrotehnički fakultet Univerziteta u Beogradu

Katedra za Telekomunikacije

1
 Virtuelne privatne mreže
Virtual Private Networks (VPN)

Berislav Todorović Nenad Krajnović

beri@etf.bg.ac.yu krajko@etf.bg.ac.yu

2
virtual (adj.) - Simulated;
performing the functions of
something that isn’t really
there.

The New Hacker’s

Dictionary

3
 Osnovni finansijski aspekti
realizacije WAN mreža

• Cenu korporacijske WAN mreže prvestveno određuju:

– Cena opreme.
– Cena zakupa telekomunikacionih resursa.
• Cena korišćenja telekomunikacionih resursa zavisi od:
– Izbora telekomunikacionog operatora.
– Kapaciteta pojedinih telekomunikacionih linkova.
– Topologije mreže - dužine pojedinih trasa.
• U domaćim uslovima:
– Korisnici su ograničeni na jednog operatora - PT “Telekom Srbija”.
– Mreža n x 64k nije završena => protoci 64, 128 ili 2048 kbit/s.
– Zakup digitalnih linkova je izuzetno skupa usluga, pogotovo međumesnih.
4
 Centralizacija ...

64 K
128 K 64 K
2M 128 K

1M
64 K 64 K

64 K 2 M

5
 Regionalizacija ...
Niš

Beograd
2M
2M

2M
Novi
Sad
Kragujevac 6
 Virtuelizacija ...
Niš

Novi
Sad
Beograd
Kragujevac 7
 Virtuelna privatna
Kragujevac
mreža (VPN)!
Niš

Internet ISP
ISP
ISP
Novi
ISP
Sad

Beograd ISP 8
 VPN van nacionalnih
okvira!
Company B Company A

Company A Company B

Vienna ISP ISP Budapest

ISP
Internet Belgrade

Company A
9
 Opšti pojmovi

Virtuelna privatna mreža:

• Skup uređaja, povezanih korišćenjem Interneta ili tuđe privatne
mreže kao transportnog medijuma, koji krajnjem korisniku daje
privid potpuno ili delimično izolovane privatne mreže.
Prednosti:
• Za korporacijsku mrežu, Internet predstavlja transportna mreža.
• Sa stanovišta krajnjeg korisnika mreža se ponaša isto kao i WAN.
• Privid privatnosti obezbeđuje se različitim mehanizmima
• Sa stanovišta vlasnika mreže - jevtiniji troškovi eksploatacije.
• Mreža može da bude potpuno ili delimično izolovana od Interneta.
Uzgredne pojave:
• Bezbednost i zaštite podataka rešava se namenskim rešenjima!10
 Klasifikacija VPN

Koncepti realizacije:
• VPN na nivou aplikacije (application-layer VPN)
• VPN na nivou protokola mrežnog sloja (network-layer VPN)
• VPN na nivou protokola sloja veze (data-link layer VPN)
Način pristupa od strane korisnika:
• VPN sa permanentnim pristupom.
• VPN sa semiperm. pristupom (virtual private dial-in net - VPDN)
Bezbednost i zaštita podataka:
• VPN sa minimalnim obezbeđenjem (router access lists, firewall)
• VPN sa kriptozaštitom. 11
 VPN na nivou aplikacije

• Tipičan primer - korišćenje DNS servisa za formiranje VPN.

• DNS - veza između naziva i IP adresa računara:
– IP adrese (npr. 10.1.2.3)
10.1.2.3 - zavise od lokacije računara i topologije mreže.
– Nazivi (npr. www.firma.co.yu)
www.firma.co.yu su nezavisni od fizičke topologije mreže.
– DNS - obezbeđuje prevođenje naziva u adrese i obrnuto.
• Svaka firma na Internetu ima svoj domen - npr. firma.co.yu.
firma.co.yu
• Računari registrovani unutar tog domena krajnjem korisniku
stvaraju privid pripadnosti istoj korporacijskoj mreži.
• Za kranjeg korisnika lokacija pojedinih računara nije bitna - on će
uvek koristiti nazive za pristup pojedinim računarima u mreži.

12
 VPN na nivou aplikacije

172.16.12.1 192.168.20.67
Vienna1.example.com
Bud1.example.com

172.16.12 /24
192.168.20.64 /26

Domain:
Vienna ISP ISP Budapest
example.com

ISP
Internet Belgrade

DNS
172.19 /16 13
 VPN na nivou aplikacije
pro et contra

Prednosti:
• Jednostavna i jevtina implementacija - svodi se na konfigurisanje
DNS servera.
Nedostaci:
• Pri promeni provajdera neophodna je renumeracija kompletne
mreže, kao i znatne izmene podataka u DNS-u.
• U toku renumeracije mreža uglavnom nije upotrebljiva.
• Komplikovana za konfigurisanje i održavanje i upravljanje.
• Složenost održavanja povećava se kako se povećava broj lokacija.
• DNS saobraćaj može lako da se lažira od strane zlonamernika.
• Mreža se nikakvim mehanizmima ne štiti od zlonamernika. 14
 VPN na mrežnom sloju
Metoda kontrolisanog rutiranja

• Koristi se uglavnom u okruženjima gde korisnici ne pristupaju

direktno Internetu.
• Na ruteru treba:
– Isključiti default putanju (0.0.0.0).
– Ubaciti statičke putanje (static routes) ka mreži provajdera, za sve IP mreže
koje se koriste unutar korporacijske mreže.
• Prednost - rešenje je kranje jednostavno - svodi se na dodatnu
konfiguraciju rutera.
• Dodatni nivo zaštite može da se ostvari korišćenjem firewall
servera na pojedinim lokacijama.

15
 VPN na mrežnom sloju
Rešenje sa javnim adresama
Static route:
192.168.20.64/26
172.16.12 /24 192.168.20.64 /26

Vienna ISP
ISP Budapest

St
at
1 7 ic r ISP
2. ou
Internet
19 te
/1 :
Belgrade
6
172.19 /16
16
 VPN na mrežnom sloju
Metoda logičkih tunela

• Logički tuneli - mehanizam prenosa poruka raznih protokola (IP i

IPX datagrama, DECnet i SNA paketa itd.) unutar IP datagrama.
• Omogućavaju formiranje VPN koje koriste kako IP, tako i sve
ostale često korišćene protokole: IPX, DECnet, SNA itd.
• Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se
vrši na dva jasno definisana rutera u mreži (tunnel endpoints).
• Logički tuneli mogu biti uspostavljeni:
– Između dve fiksne tačke u mreži (point-to-point)
– Između jedne i više fiksnih tačaka u mreži (point-to-multipoint).
• U IP mrežama - omogućavaju transparentno korišćenje privatnih
adresa, uz minimalnu rekonfiguraciju pri promeni provajdera.
17
 VPN na mrežnom sloju
Metoda logičkih tunela

10.1.3.0 /24
195.1.1.1 195.2.3.1 10.1.1.0 /24
Router Router
Internet
10.1.3.5 10.1.3.1 10.1.1.1 10.1.1.5

A B

195.1.1.1 195.2.1.3
10.1.3.5 10.1.1.5 10.1.3.5 10.1.1.5 10.1.3.5 10.1.1.5
DATA DATA DATA
18
 VPN sa dial-in pristupom
(VPDN)

• Veza između udaljene i centralne filijale uspostavlja se po potrebi.

• Idealno rešenje za povezivanje lokacija sa malim brojem zaposlenih.
• Tipičan primer - off-shore kompanije sa 2-3 službenika.
• Druga česta primena - trgovački putnici, koji pristupaju korp. mreži.
• Troškovi - zakup jednog dial-in naloga kod lokalnog provajdera.
• U odnosu na klasični dial-in pristup, u VPDN moraju da se reše:
– Kontrola pristupa delovima korporacijske privatne mreže (AAA funkcije).
– Logički tunel između korisnikovog računara i intranet mreže, radi mogućnosti
korišćenja privatnog adresnog prostora.
• Poznata rešenja:
– PPTP (Point-to-Point Tunneling Protocol) - Microsoft.
19
– L2TP (Layer 2 Tunneling Protocol) - Microsoft. & Cisco
 PPTP - Princip rada

• Korisnik uspostavlja klasičnu dial-in vezu sa lokalnim provajderom

korišćenjem PPP protokola.
• Korisnikov računar uspostavlja kontrolnu sesiju sa udaljenim PPTP
serverom (lociranim na korporacijskoj mreži).
• Sesija se uspostavlja korišćenjem TCP protokola
• Korisnikov računar zahteva formiranje tunela sa PPTP serverom.
• PPTP server proverava korisnikov identitet (AAA funkcije).
• Ako je korisnik naveo ispravne podatke - korisničko ime i lozinku,
između korisnikovog računara i PPTP servera uspostaviće se tunel.
• Po uspostavljenom tunelu moguće je prenositi kako IP datagrame,
tako i pakete drugih protokola (IPX, DECnet, SNA itd.).
20
PPTP - Princip rada

Router Router

Access Company PPTP

server Internet network
server

ISP

21
 PPTP
Neophodna oprema i softver

• Na korporacijskoj mreži - PPTP server.

• Na strani korisnika - softver za dial-in pristup koji podržava PPTP.
• Standardni Windows 95 DialUp Networking, počev od OSR-2,
podržava PPTP!
• Na access serverima lokalnih provajdera, kojima udaljene filijale
pristupaju mreži, nisu potrebne nikakve izmene.
• Sami provajderi neće uočiti nikakvu razliku između normalnog IP
saobraćaja i saobraćaja koji se prenosi PPTP tunelima.
• Uvođenjem dodatnog softvera za kriptozaštitu na nivou pojedinih
aplikacija moguće je dodatno obezbediti komunikaciju.
22
 L2TP - Princip rada

• Korisnik uspostavlja klasičnu dial-in vezu sa lokalnim provajderom

korišćenjem PPP protokola.
• Access server provajdera uspostavlja logički tunel preko Interneta sa
L2TP serverom, lociranim na korporacijskoj mreži.
• Logički tunel može da bude uspostavljen permanentno ili na zahtev
korisnika.
• Access server provajdera prosleđuje korisničko ime i lozinku L2TP
serveru, koji obavi autentifikaciju korisnika.
• Ako je identitet korisnika ispravan, access server će:
– Prihvatati PPP pakete od korisnika, skidati im zaglavlje i CRC.
– Prepakovati tako dobijeni paket u L2TP paket.
– Proslediti L2TP paket kroz logički tunel ka L2TP serveru. 23
L2TP - Princip rada

Router Router

Access Company L2TP

server Internet network
server

ISP

24
 L2TP
Neophodna oprema i softver

• Na korporacijskoj mreži - L2TP server.

• Na strani korisnika - standardan softver za dial-in pristup.
• Na access serverima lokalnih provajdera, kojima udaljene filijale
pristupaju mreži - instalirana i konfigurisana podrška za L2TP.
• L2TP zahteva intervenciju provajdera, što mu daje mogućnost
naplate dodatne usluge.
• Pogodno za programere, locirane na području jedne tranzitne
centrale, koji poslove obavljaju od kuće (telecommuting)
• Uvođenjem dodatnog softvera za kriptozaštitu na nivou pojedinih
aplikacija moguće je dodatno obezbediti komunikaciju.
25
 Praktični aspekti korišćenja
VPN

• Performanse VPN zavise isključivo od izbora Internet provajdera.

• Kad god je to moguće, koristiti usluge jednog provajdera.
• Neophodno je detaljno analizirati mrežu provajdera sa stanovišta:
– Topologije mreže, protoci na okosnici (backbone) i poprečnim linkovima.
– Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN.
– Mogućnost pružanja dodatnih servisa (npr. L2TP tunneling).
– Cena zakupa linka i usluga provajdera.
• Kad god je to moguće, primeniti odgovarajuće mere zaštite (access
lists, firewall, kriptozaštita itd.).

26
 Mogućnosti korišćenja VPN
u Srbiji i SCG

• Za sada - tržište Internet usluga u Srbiji je potpuno liberalno.

• Pokrivena su skoro sva značajnija tranzitna područja u Srbiji.
• U mnogim tranzitnim područjima korisnici imaju mogućnost izbora
više provajdera.
• Interkonekcije među skoro svim većim Internet provajderima
(provajderima sa međunarodnim linkovima) postoje - uglavnom u
Beogradu. Lokalnih interkonekcija za sada nema.
• Sličan je i slučaj u Crnoj Gori.

27