ΣΧΕΔΙΑΣΗ ΕΙΚΟΝΙΚΩΝ ΔΙΚΤΥΩΝ (Διαφάνειες) Κώστας Λιμνιώτης ΤΕΙ ΛΑΜΙΑΣ

ΣΧΕΔΙΑΣΗ ΕΙΚΟΝΙΚΩΝ
ΔΙΚΤΥΩΝ
Κώστας Λιμνιώτης
ΤΕΙ ΛΑΜΙΑΣ
Γενικές αρχές του Δικτύου –

Η Αρχή «από άκρο σε άκρο»
(End-to-End Argument)
Εισαγωγή
Βασική αρχή του σχεδιαστή οποιουδήποτε

συστήματος είναι ο σαφής προσδιορισμός του πώς
κάθε συνάρτηση (λειτουργία) που υπεισέρχεται στο
σύστημα αλληλεπιδρά με τις υπόλοιπες.
Θέματα που ανακύπτουν στα τηλεπικοινωνιακά
συστήματα: πού θα υλοποιούνται οι συναρτήσεις?
Στο υποσύστημα που αποτελεί τον κορμό του δικτύου?
Στον πελάτη/χρήστη του δικτύου?
Από κοινού και στα δύο παραπάνω?
Η κάθε πλευρά (δίκτυο-χρήστης) θα έχει τις δικές της
συναρτήσεις?
Κώστας Λιμνιώτης - Σχεδίαση
Εικονικών Δικτύων 1 - Γενικές Αρχές του Δικτύου 2
Παράδειγμα: Μεταφορά αρχείων (File

Transfer)
Χρήστης Α Χρήστης Β
Δίκτυο μετάδοσης
Σκληρός δίσκος του χρήστη Α Σκληρός δίσκος του χρήστη Β

«Απειλές» για τη σωστή μεταφορά αρχείων
1. «Χτυπημένος» δίσκος του χρήστη A, στα sectors που

βρίσκεται το αρχείο
2. Σφάλματα software, είτε στο σύστημα αρχείων, είτε στο
πρωτόκολλο μεταφοράς, είτε στο τηλεπικοινωνιακό δίκτυο (για
παράδειγμα σφάλματα στο buffering ή στην αντιγραφή του
αρχείου)
3. Σφάλματα hardware
4. To τηλεπικοινωνιακό δίκτυο μπορεί να χάσει πακέτα, ή να
διπλοπαραδώσει κάποια κ.ο.κ.
5. Κάποιος από τους A,B να «καταρρεύσει» στα μισά της
διαδικασίας
6. …

Πώς αντιμετωπίζουμε τους κινδύνους?
Προσεχτική σχεδίαση του συστήματος

(πρωτόκολλα time-out/retry, κωδικοποίηση για
ανίχνευση σφαλμάτων, πολλαπλές αποστολές των
πακέτων κ.ο.κ.)
Ωστόσο:
Δεν υπάρχουν τέλεια προγράμματα (εξασφάλιση
μηδενικών σφαλμάτων software είναι ουσιαστικά
αδύνατη).
Αν τα σφάλματα έχουν μικρή πιθανότητα εμφάνισης
(ρεαλιστική θεώρηση), τότε η παραπάνω λύση κοστίζει

Εναλλακτική προσέγγιση (από άκρο σε
άκρο)
End-to-end check and retry
O Α υπολογίζει το checksum των δεδομένων του πριν τα αποστείλει.

O Β υπολογίζει το checksum αυτών που λαμβάνει. Αν ο κώδικας
βάσει του οποίου υπολογίζεται το checksum είναι κατάλληλα
επιλεγμένος, ταύτιση των παραπάνω δύο checksums συνεπάγεται
ορθή μεταφορά του αρχείου.
Αν τα checksums δεν συμφωνούν (κάτι που λογικά θα γίνεται
σπάνια), γίνεται επαναμετάδοση.
Ένα «αξιόπιστο» δίκτυο δεδομένων πώς

βοηθάει?
Μειώνει την πιθανότητα απώλειας ή

διπλοπαράδοσης πακέτων (απειλή 4), αλλά
οι υπόλοιπες απειλές παραμένουν. Συνεπώς,
ο checksum έλεγχος στα άκρα είναι
αναπόφευκτος. Συνεπώς:
Οι πρόσθετες τεχνικές για μείωση λαθών
μέσα στο τηλεπικοινωνιακό δίκτυο
αποφέρουν κόστος στη συνολική μετάδοση,
παρά όφελος.
End-to-End Argument
Μία συνάρτηση (λειτουργία) υλοποιείται

σωστά μόνο με πλήρη γνώση της εφαρμογής
που εκτελείται στα τελικά σημεία του
τηλεπικοινωνιακού δικτύου.
Είναι μία γενική αρχή που χρησιμοποιείται
σαν «οδηγός» στο σχεδιασμό πρωτοκόλλων
διαφόρων εφαρμογών.
Το Internet διαμορφώθηκε τις τελευταίες
δεκαετίες με βάση την παραπάνω αρχή.
Θέματα απόδοσης
Δεν αποκλείονται τεχνικές στο χαμηλό επίπεδο του

δικτύου:
δικτύου με κατάλληλη σχεδίαση, μπορούν να
βελτιώσουν τη συνολική απόδοση
Η κεντρική ιδέα είναι ότι δεν χρειάζεται το
τηλεπικοινωνιακό σύστημα να παρέχει τέλεια
αξιοπιστία.
Για το μηχανικό τηλεπικοινωνιών, η προσθήκη
τεχνικών ελέγχου μετάδοσης πρέπει να γίνεται
προσεχτικά ώστε πραγματικά να αποτελεί όφελος
και όχι επιβάρυνση του συστήματος.

Παράδειγμα 2: Εγγύηση παράδοσης
Το ACK μήνυμα στο ARPANET (RFNM – Request
For Next Message) αποδείχτηκε στην πράξη ότι δεν
βοήθησε τις ARPANET εφαρμογές. Γιατί?
Γνώση ότι εγγυημένα το μήνυμα έφτασε στον
παραλήπτη δεν είναι τόσο σημαντική από μόνη της
– αυτό που η εφαρμογή πραγματικά χρειάζεται να
ξέρει είναι αν ο παραλήπτης έδρασε στο μήνυμα
όπως ακριβώς επιβάλλει το εκάστοτε πρωτόκολλο.
Τα επιθυμητά ACKs είναι αυτά από άκρο σε άκρο,
που με απλά λόγια θα είναι της μορφής “I did it” – “I
didn’t”

Παράδειγμα 3: αποφυγή διπλότυπων

πακέτων μηνυμάτων
Ένα πακέτο μπορεί να σταλεί δύο φορές (λόγω π.χ.
κάποιου time-out/retry μηχανισμού όταν συμβαίνει
σφάλμα).
Ακόμα κι αν το δίκτυο ανιχνεύει διπλότυπα πακέτα
και δεν τα στέλνει, η εφαρμογή η ίδια μπορεί να
δημιουργήσει τέτοια (λόγω κάποιου δικού της
σφάλματος), τα οποία πακέτα για το δίκτυο
φαίνονται να είναι νέα!!
Ένα απλό παράδειγμα: μία σύνδεση (π.χ. telnet)
δείχνει να έχει κολλήσει και ο χρήστης επιχειρεί
ξανά. Η ίδια η εφαρμογή πρέπει να αναγνωρίσει τη
δεύτερη αίτηση ως ίδια με την πρώτη και να την
αγνοήσει
Παράδειγμα 4: Μετάδοση δεδομένων με
μυστικότητα
Αν το δίκτυο έχει μηχανισμούς μυστικότητας:
Αν το σύστημα μετάδοσης πραγματοποιεί
κρυπτογράφηση/αποκρυπτογράφηση, τότε αναγκαστικά η
διαχείριση των κλειδιών πρέπει να γίνεται εσωτερικά σε
αυτό – και κάτι τέτοιο ίσως αποτελεί αδύνατο σημείο για την
εξασφάλιση της ασφάλειας.
Τα μεταδιδόμενα δεδομένα μπορεί να τα «πειράξει» ένας
εισβολέας (hacker)
H πιστοποίηση ταυτότητας πρέπει αναπόφευκτα να
ελέγχεται από την εφαρμογή (με απλά λόγια από τους
τελικούς χρήστες).

Συμπέρασμα
Η ίδια η εφαρμογή πραγματοποιεί κρυπτογράφηση

από άκρο-σε-άκρο:
Έλεγχος πιστοποίησης ταυτότητας
Διαχειρίζεται η ίδια το κλειδί
Δεν υπάρχει ανάγκη το ίδιο το δίκτυο να παρέχει

μηχανισμούς κρυπτογράφησης
Εικονικά δίκτυα πάνω στο Internet: χρησιμοποιούν

ακριβώς αυτήν την τεχνική (κρυπτογράφηση από
άκρο σε άκρο)
Γενικές Αρχές των Εικονικών
Δικτύων
Εισαγωγή
Η ραγδαία ανάπτυξη του Internet έχει αλλάξει πλήρως το
γενικότερο τηλεπικοινωνιακό πλαίσιο στις τελευταίες δεκαετίες.
Προσφέρει πληθώρα υπηρεσιών, πολλές σε χαμηλό κόστος
(από χρήση απλών τηλεφωνικών γραμμών για μετάδοση
δεδομένων, μέχρι ζεύξεις πολύ υψηλής ταχύτητας για μετάδοση
εφαρμογών multimedia)
Προβλήματα (που ανέκυψαν λόγω της, πέρα από κάθε
προσδοκία, εξέλιξής του):
Η αύξηση των χρηστών δημιουργεί προβλήματα διαθέσιμου
εύρους ζώνης, το οποίο με τη σειρά του θέτει ζητήματα
αξιοπιστίας της μετάδοσης – π.χ. δεν πρέπει να χάνονται πακέτα,
δεν πρέπει οι καθυστερήσεις πακέτων να είναι μεγάλες κ.ο.κ.)
Προβλήματα ασφάλειας

Εικονικών Δικτύων 2 - Γενικές Αρχές των Εικονικών Δικτύων 2
Επίπεδα υπηρεσιών Internet
Δημόσιο επίπεδο
Έχει να κάνει με την ανάπτυξη της Internet τεχνολογίας
για υπηρεσίες που όλοι έχουν πρόσβαση (π.χ.
ηλεκτρονικό εμπόριο)
Ιδιωτικό επίπεδο
Έχει να κάνει με υπηρεσίες που χρησιμοποιούν την
υπάρχουσα δομή του Internet, αλλά απευθύνονται σε
λίγους – μόνο σε εξουσιοδοτημένα άτομα (π.χ. ένα
ιδιωτικό δίκτυο μιας εταιρίας με στόχο την ενδο-
επικοινωνία των στελεχών της ή την επικοινωνία τους με
τους απομακρυσμένους πελάτες της).

Προϊστορία ιδιωτικών δικτύων
Δεκαετία 1960: Μισθωμένη γραμμή για σύνδεση δύο

σημείων (endpoints) – χρήση modems 2400 bps
Η ζεύξη δεν ανήκε στο δημόσιο τηλεφωνικό δίκτυο (PSTN)
Το εύρος ζώνης της ζεύξης ήταν διαθέσιμο μόνο στον
πελάτη που την έχει εκμισθώσει
Πλεονεκτήματα: εξασφάλιση της μυστικότητας της μετάδοσης,
καθώς και εγγυημένη ύπαρξη εύρους ζώνης ανά πάσα στιγμή
Μειονεκτήματα: όχι «ευέλικτα» δίκτυα, καθώς και υψηλού
κόστους (η εταιρία πλήρωνε τη ζεύξη ακόμα κι αν δεν τη
χρησιμοποιούσε)

Προϊστορία ιδιωτικών δικτύων (ΙΙ)
Δεκαετία 1970: Υπηρεσίες ψηφιακών δεδομένων

(Digital Data Service – DDS)
Συνδέσεις 56 kbps για ιδιωτικά δίκτυα εταιριών
Τ1 υπηρεσίες: ταχύτητες μετάδοσης 1,544 Mbps
Αρχές 1990: Ανάγκη για μετάδοση φωνής και όχι

δεδομένων -> Τ1 υπηρεσίες σε εταιρίες για φτηνές
φωνητικές κλήσεις. Όμως:
η μείωση του κόστους των τηλεφωνικών κλήσεων που
ακολούθησε κατέστησε την εκμίσθωση T1 γραμμών για
τηλεφωνία οικονομικά ασύμφορη.
Ραγδαία αύξηση του αιτούμενου εύρους ζώνης για
μετάδοση δεδομένων

Προϊστορία ιδιωτικών δικτύων (ΙΙI)
Προβλήματα όλων των παραπάνω ιδιωτικών

δικτύων
Η εγκαθίδρυση ενός τέτοιου εικονικού δικτύου
είναι χρονοβόρα
Υψηλό κόστος συντήρησης και επεκτασιμότητας
Ανάγκη ύπαρξης modem banks για τους
«κινητούς» πελάτες

Εικονικά Ιδιωτικά Δίκτυα (Virtual Private
Networks – VPNs)
Ορισμός
Δίκτυο εικονικών ζεύξεων, για τη μετάδοση ιδιωτικής
πληροφορίας
Είναι δομημένο πάνω σε κάποιο δημόσιο υπάρχον δίκτυο
(κύρια στο Internet)
Επιθυμητά χαρακτηριστικά
Ασφάλεια
Εγγυημένη ποιότητα υπηρεσιών

Κίνητρα
Οικονομικά
Η χρήση της υπάρχουσας δημόσιας υποδομής
μειώνει το κόστος του δικτύου
Παύει η ανάγκη ύπαρξης μισθωμένων γραμμών
Μυστικότητα στις τηλεπικοινωνίες

Κρυπτογράφηση της μεταδιδόμενης πληροφορίας
Αποκλειστική χρήση του εικονικού δικτύου μόνο από

εξουσιοδοτημένους χρήστες
«Διαφανής» εξοπλισμός
Οι ISPs, κι όχι οι ίδιες οι εταιρίες που χρησιμοποιούν
τα VPNs, διαχειρίζονται το δίκτυο

Γενικά χαρακτηριστικά ενός VPN
Δημιουργεί ένα λογικό («ιδεατό») δίκτυο

πάνω σε πολλαπλές φυσικές ζεύξεις.
Υποστήριξη πολλαπλών πρωτοκόλλων

Βασική λειτουργία ενός VPN

Μία εταιρία ξεκινά μία ιδιωτική σύνδεση μέσω του ISP (Internet
Service Provider), ο οποίος είναι ο αποκλειστικός υπεύθυνος για
την περαιτέρω δρομολόγηση της μεταδιδόμενης πληροφορίας
(πάνω στην υποδομή του Internet).
H ζεύξη για μία συγκεκριμένη επικοινωνία δύο «τελικών
χρηστών» γίνεται δυναμικά: όταν ολοκληρωθεί η επικοινωνία, το
εύρος ζώνης αποδεσμεύεται.
Οι εικονικές ζεύξεις πραγματοποιούνται με ενθυλάκωση των
πακέτων δεδομένων σε ειδικά IP πακέτα, κατάλληλων για
μετάδοση σε δίκτυο internet (πρωτοκόλλου IP). Στην ορολογία
των VPNs, αυτές οι εικονικές ζεύξεις ονομάζονται τούνελ
(tunnels)

Σχηματική αναπαράσταση
Ένα tunnel μεταφέρει δεδομένα από ένα δίκτυο σε άλλο

Πλεονεκτήματα των VPNs
Λιγότερο κόστος, σε σχέση με τις μισθωμένες

γραμμές
«Ευελιξία» (flexibility)
Με τα παλιότερα εικονικά δίκτυα, άλλες τεχνολογίες που
ενυπάρχουν στο εσωτερικό της εταιρίας (DSL, ISDN κ.ο.κ.)
χρειάζονται πρόσθετο εξοπλισμό προκειμένου να
συμμετέχουν στο εικονικό δίκτυο. Στα VPN όλες οι
τεχνολογίες είναι συμβατές, αφού όλες μπορεί να τις
χειριστεί ο ISP.
Προσαρμοστικότητα (scalability)
Μειωμένες απαιτήσεις εξοπλισμού
Πλεονεκτήματα των VPNs
Προσαρμοστικότητα/Κλιμάκωση (scalability)
Γεωγραφική: οποιοσδήποτε χρήστης από οποιοδήποτε
μέρος κι αν βρίσκεται μπορεί να συνδεθεί στο VPN, αρκεί ο
ISP να διαθέτει POP (Point of Presence: σημείο
πρόσβασης στο internet που βρίσκεται σε κάθε ISP. Το
πλήθος τους σε έναν ISP προσδιορίζει το μέγεθός του).
Εύρους ζώνης: Μπορεί ένας υπολογιστής σε γραφείο που
ανήκει στο δίκτυο να χρειάζεται T1, ενώ ο υπολογιστής του
ίδιου εργαζόμενου που βρίσκεται στο σπίτι του να του αρκεί
μία dial-up σύνδεση.
Μειωμένες απαιτήσεις εξοπλισμού

Θέματα που ανακύπτουν στη σχεδίαση ενός

VPN
Ασφάλεια (Security)
Η μετάδοση μέσω των tunnels πρέπει να είναι κρυπτογραφημένη
(αν και αυτό είναι μεν αναγκαίο, αλλά όχι αρκετό για τη
γενικότερη μυστικότητα που θέλει να διατηρεί μία εταιρία).
Πιθανή συμφόρηση
Η κρυπτογράφηση και η αποκρυπτογράφηση απαιτούν
υπολογιστική ισχύ, συνεπώς μπορούν να ρίξουν την ολική
απόδοση. Για ζεύξεις υψηλού εύρους ζώνης είναι προτιμότερη η
hardware-based κρυπτογράφηση.
Η ενθυλάκωση των πακέτων μπορεί να κάνει το μέγεθός τους
μεγαλύτερο από ό,τι οι δρομολογητές μπορούν να χειριστούν. Σε
αυτήν την περίπτωση, τα πακέτα διασπώνται (fragmentation).
Αυτό επηρεάζει τη συνολική ποιότητα υπηρεσιών (Quality of
Service - QoS)
VPN (II)
Διαλειτουργικότητα (Interoperability)
Είναι ανοιχτό πρόβλημα. Τα PPTP και L2TP «ταιριάζουν»
καλύτερα σε client-initiated tunnels, ενώ το IPSec
προσφέρεται για LAN-to-LAN tunnels (θα αναλυθούν
παρακάτω).
Διαχείριση IP Διευθύνσεων (Addressing)
Μπορούν δύο ιδιωτικά δίκτυα με τον ίδιο χώρο IP
διευθύνσεων να επικοινωνήσουν μεταξύ τους?


VPN (III)
Αξιοπιστία και απόδοση (reliability-performance)

Υπόκεινται σε όσα προβλήματα μετάδοσης υπάρχουν στο
Internet. Ευαίσθητες είναι οι real-time εφαρμογές.
Υποστήριξη πολλαπλών πρωτοκόλλων
(multiprotocol support)
Το IPSec είναι σχεδιασμένο για TCP/IP, κι έτσι η μετάδοση
άλλων πακέτων (όχι IP) δεν είναι δυνατή – συνεπώς,
οδηγηθήκαμε στην ύπαρξη πολλών πρωτοκόλλων.

Βασική αρχιτεκτονική ενός Εικονικού
Δικτύου
Εικονικό Ιδιωτικό Δίκτυο

Λέγονται εικονικά γιατί δεν υπάρχει μόνιμα συνδεδεμένη γραμμή
– μία λογική σύνδεση αποκαθίσταται όταν ζητείται, και
απελευθερώνεται με το πέρας της συνδιαλλαγής. Επιπλέον, όλα
τα υπόλοιπα στοιχεία του δικτύου (δρομολογητές κτλ) είναι
διαφανή προς το χρήστη. Αυτό επιτυγχάνεται με το tunneling.
tunneling
Ένα tunnel δημιουργείται με την ενθυλάκωση ενός πακέτου
μηνύματος σε πακέτο άλλου πρωτοκόλλου. Ειδικά για τα VPN,
κατά την ενθυλάκωση γίνεται κρυπτογράφηση. H πύλη (gateway)
του δέκτη, αφού αποβάλλει την IP επικεφαλίδα,
αποκρυπτογραφεί και το προωθεί στον κατάλληλο προορισμό-
αποδέκτη.
Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

Εικονικών Δικτύων Δικτύου 2
Κατηγορίες VPNs με βάση τα άκρα των
tunnels
To άκρο ενός tunnel μπορεί να είναι είτε ένας
απλός χρήστης (ένα ανεξάρτητο computer
δηλαδή) είτε ένα LAN.
LAN-to-LAN tunneling. Μία πύλη ασφαλείας
(security gateway) είναι το Interface ανάμεσα στο
LAN και το tunnel
Client-to-LAN tunneling. Πραγματοποιείται όταν
ένας κινητός χρήστης θέλει να συνδεθεί σε ένα
LAN. O χρήστης εκτελεί κατάλληλο πρόγραμμα
στον υπολογιστή του για να συνδεθεί στην πύλη
του LAN
LAN-to-LAN tunnel
Δίκτυο 1
Gateway Tunnel Gateway
(NAC) Internet (NAS)
Δίκτυο 2
Δημιουργία λογικών δικτύων μεταξύ των

δικτύων 1 και 2

Client-to-LAN tunnel
Public Switched
Telephone Internet Service Provider
Network (PSTN)
Gateway Gateway
Tunnel
(NAS)
Internet
Home Network
Χρήστης
O χρήστης (ενδεχομένως κινητός) καλεί τον ISP για

IP υπηρεσίες. Στη συνέχεια, ο IP αναλαμβάνει τη
δημιουργία του tunnel με το δίκτυο

Σχηματική αναπαράσταση ενθυλάκωσης

πακέτων για δημιουργία tunnel

Εικονικό Ιδιωτικό Δίκτυο
Λέγονται ιδιωτικά γιατί παρέχουν μυστικότητα

(ασφάλεια) στη μετάδοση της πληροφορίας.
Τέσσερα πράγματα πρέπει να
εξασφαλίζονται, όσον αφορά την ασφάλεια:
Πιστοποίηση ταυτότητας (authentication)
Έλεγχος πρόσβασης (access control)
Μυστικότητα στη μετάδοση (confidentiality)
Ακεραιότητα των δεδομένων (data integrity)

Πρωτόκολλα VPN
Τα πρωτόκολλα στα VPN ανήκουν σε δύο

κατηγορίες:
Σε εκείνα που έχουν να κάνουν με την
ενθυλάκωση των πακέτων προκειμένου να
σχηματιστεί το tunnel, καθώς επίσης και με την
κρυπτογράφησή τους
Σε εκείνα που σχετίζονται με τη διαχείριση του
κλειδιού, με τεχνικές πιστοποίησης ταυτότητας και
γενικότερα με λειτουργίες που συντελούνται από
αποστολέα και παραλήπτη σχετικές με
κρυπτογραφικά πρωτόκολλα
VPN Πρωτόκολλα στο επίπεδο 2
Point to Point Tunneling Protocol (PPTP)

Microsoft, Ascend κ.ά.
Layer Two Forwarding (L2F)
Cisco
Layer Two Tunneling Protocol (L2TP)
Ενοποίηση PPTP και L2F σε ένα πρότυπο
(standard)
Όλα υποστηρίζουν tunneling.

VPN πρωτόκολλα σε υψηλότερα επίπεδα
IPSec: παρέχει ασφάλεια στο TCP/IP

επίπεδο. Εκτός από το tunneling, παρέχει
δηλαδή μηχανισμούς κρυπτογράφησης,
πιστοποίησης ταυτότητας, διαχείρισης
κλειδιού κτλ.
SOCKS: επιτρέπει σε δεδομένα να
διαπερνάνε έναν τοίχο ασφαλείας (firewall)
ανάλογα με την ταυτότητα του αποστολέα
(και όχι με βάση π.χ. τη UDP πόρτα που
αναγράφεται στο IP πακέτα)
Στρωμάτωση των πρωτοκόλλων στα VPN –
συσχέτιση με τα στρώματα OSI

Πρωτόκολλα Διαχείρισης
Για client-to-LAN tunnels: RADIUS

Για LAN-to-LAN tunnels: ISAKMP/Oakley
RADIUS:
υπεύθυνο για πιστοποίηση ταυτότητας και χρέωση.
Διατηρεί μία βάση δεδομένων για κάθε χρήστη,
περιέχοντας πληροφορίες όπως passwords (για
πιστοποίηση ταυτότητας), δικαιώματα πρόσβασης και
ποσοστό χρήσης δικτύου (για χρέωση).
Όταν ένας απομακρυσμένος χρήστης θέλει να συνδεθεί στο
VPN, το δίκτυο ρωτά το RADIUS σχετικά με το αν ο
χρήστης έχει δικαίωμα.

Δομικά στοιχεία VPN – Πύλες ασφαλείας
Υπάγονται σε 4 κατηγορίες:
Δρομολογητές (routers)
Κάνουν κρυπτογράφηση των πακέτων που λαμβάνουν και
προωθούν. Δύο είδη υπάρχουν στο εμπόριο: με add-on software ή
με ξεχωριστό κύκλωμα για την κρυπτογράφηση (το τελευταίο
χρησιμοποιείται όταν θέλουμε μεγάλη ταχύτητα). Βέβαια, αν πέσει η
απόδοση ενός router, πέφτει η απόδοση όλου του VPN.
Τοίχοι προστασίας (firewalls)
Φιλτράρουν τα δεδομένα, με βάση τη διεύθυνση που αναγράφει το
κάθε πακέτο. Σε μεγάλα δίκτυα με πολύ φόρτο, αν τα firewalls
πραγματοποιούν κρυπτογράφηση τότε πέφτει η συνολική απόδοση.
Integrated VPN hardware
Ειδικός εξοπλισμός για να παρέχει tunneling και κρυπτογράφηση. Τα
περισσότερα στο εμπόριο είναι για LAN-to-LAN τοπολογίες.
VPN software
Κατάλληλα για μικρά δίκτυα, χωρίς μεγάλο φόρτο. Επίσης πιο
οικονομική λύση.

Ασφάλεια σε ένα Internet VPN

Γενικά
Τα πρωτόκολλα TCP/IP δεν εμπεριέχουν

μηχανισμούς κρυπτογράφησης, συνεπώς κάθε
εφαρμογή πρέπει να περιέχει τους δικούς της
μηχανισμούς κρυπτογράφησης.
Κρυπτογραφικές τεχνικές μπορούν να υπάρξουν είτε
στο επίπεδο εφαρμογών (π.χ. το πρωτόκολλο PGP
(Pretty Good Privacy) για το e-mail ή τα SSL
(Secure Socket Layer) και Secure HTTP για Web
εφαρμογές) είτε στο επίπεδα ζεύξης δεδομένων ή
δικτύου.
Στα VPN η κρυπτογράφηση στο επίπεδο δικτύου
είναι σημαντική.

Εικονικών Δικτύων 4 - Ασφάλεια σε ένα Internet VPN 2
Ασφάλεια: σε ποιο επίπεδο?
Application Layer PGP, Kerberos, SSH, κ.ά.
Transport Layer Transport Layer Security (TLS)
Network Layer IP Security
Data Link Layer Hardware encryption

Κρυπτογραφικοί στόχοι
Εμπιστευτικότητα
Πιστοποίηση ταυτότητας αποστολέα
Ακεραιότητα δεδομένων
Επιθέσεις σε IP πρωτόκολλα
Spoofing
Session hijacking
Sniffing
Man-in-the-middle-attack

Spoofing (Εξαπάτηση)
Κάθε IP πακέτο περιέχει τις διευθύνσεις τόσο του αποστολέα
όσο και του παραλήπτη. Με το spoofing ένας «εχθρός» μπορεί
να χρησιμοποιήσει τη διεύθυνση κάποιου και να προσποιηθεί ότι
είναι αυτός.
Μόλις ο επιτιθέμενος X ανιχνεύσει μία επικοινωνία μεταξύ Α και
B:
Στέλνει στον B μήνυμα, αλλά βάζοντας τη διεύθυνση του Α ως
διεύθυνση αποστολέα
Ο B απαντά στον Α με κάποιους αριθμούς, αναμένοντας ο Α να
αποκριθεί σε αυτούς
Ο X στέλνει συνέχεια αλλεπάλληλα πακέτα στον A ώστε να τον
εμποδίσει να απαντήσει στις αιτήσεις του Β. Ταυτόχρονα, αν
καταφέρει και βρει τους αριθμούς πακέτων που στέλνει ο A (αυτό
στην πράξη είναι αρκετά εύκολο να γίνει) τότε απαντά αυτός στον
B κι έτσι αποκαθίσταται μία σύνδεση μεταξύ X και B. O Β
πιστεύει ότι επικοινωνεί με τον A.

Spoofing (Σχηματική αναπαράσταση)

Session hijacking (Υποκλοπή

συνδιάσκεψης)
Ο επιτιθέμενος, αντί να επιχειρήσει από την
αρχή τη δημιουργία σύνδεσης (όπως στο
spoofing), προσπαθεί να αποκτήσει
πρόσβαση σε μία υπάρχουσα.
Αρχικά, παρακολουθεί μία συνδιάσκεψη
προκειμένου να αναγνωρίσει την αρίθμηση
στα πακέτα που ανταλλάσσονται.
Στη συνέχεια στέλνει πακέτα στον Α
προσποιούμενος ότι είναι ο B, ενώ όπως και
στο spoofing «φορτώνει» τον A με πακέτα.
Session hijacking (σχηματική αναπαράσταση)

Sniffing
Μπορούν να υπάρξουν συσκευές

εφοδιασμένες με κατάλληλο software
(sniffers) οι οποίες παρακολουθούν και
καταγράφουν όλη την κίνηση του δικτύου.
Αυτές δεν ανιχνεύονται εύκολα. Αν και είναι
χρήσιμα εργαλεία για διαχειριστές, σε
κακόβουλα χέρια γίνονται επικίνδυνες.
Ελέγχοντας τις φυσικές συνδέσεις του
δικτύου μπορούμε να αποκλείσουμε την
ύπαρξη sniffer συσκευής.
Man-in-the-middle attack
Σε μία επικοινωνία
παρεμβάλλεται ένας τρίτος
(για παράδειγμα, μπορεί να
το κάνει αυτό αν
ανακαλύψει το κλειδί
κρυπτογράφησης, για το
οποίο πρέπει να υπάρξει
σωστός τρόπος ανταλλαγής
του μεταξύ των
συνδιαλεγομένων).

Σχήματα πιστοποίησης ταυτότητας
Στα υπάρχοντα VPN η πιστοποίηση ταυτότητας

γίνεται με κάποιον από τους ακόλουθους τρόπους
Παραδοσιακά password
One-time passwords
Συστήματα βασισμένα σε passwords (PAP, CHAP,
TACACS (Cisco), RADIUS)
Συστήματα βασισμένα σε hardware (smart cards, PC
cards)
Βιομετρικές τεχνικές (αναγνώριση φωνής, δακτυλικών
αποτυπωμάτων κ.ο.κ.)

Passwords
Παραδοσιακά Passwords: Πολύ ακατάλληλα. Σε

πρωτόκολλα όπως telnet και ftp στέλνονται απευθείας
μέσω του διαδικτύου – οποιοσδήποτε έχει πρόσβαση
στο τι μεταδίδεται στο διαδίκτυο, τα διαβάζει.
Passwords μίας χρήσης (one-time passwords): κάθε
χρήστης έχει διαφορετικό password κάθε φορά που
ξεκινά μια σύνδεση. Χαρακτηριστικό παράδειγμα το
σύστημα S/Key. Κάθε χρήστης δίνει μία φράση, από
την οποία το σύστημα γεννά διάφορα passwords,
διαφορετικό κάθε φορά που ξεκινά νέα σύνδεση. Η
φράση αυτή δεν «ταξιδεύει» στο Internet. Μειονέκτημά
του ότι διαχειρίζεται δύσκολα δίκτυα με πολύ μεγάλο
αριθμό χρηστών.

PAP (Password Authentication

Protocol)
Η σύνδεση αποκαθίσταται με δύο ενέργειες: ο αιτούμενος χρήστης δίνει
το ID και το password, και ο καλούμενος εξετάζοντας μία βάση
δεδομένων ελέγχει αν τα στοιχεία είναι σωστά. Αν ναι, στέλνει
επιβεβαίωση και η σύνδεση αποκαθίσταται. Χρησιμοποιείται στο
πρωτόκολλο PPP (Point-to-Point πρωτόκολλο).

Μειονεκτήματα του PAP
Τα passwords μεταδίδονται «ελεύθερα» στο

διαδίκτυο
Κάποιος μπορεί να επιχειρεί δοκιμάζοντας με
τυχαία passwords να επιτύχει πρόσβαση, μέχρις
ότου το μαντέψει το password.
Εναλλακτική επιλογή: CHAP

CHAP (Challenge Handshake

Authentication Protocol)
Το CHAP χρησιμοποιείται:
Για την έναρξη μίας επικοινωνίας
Περιοδικά, κατά την διάρκεια που πραγματοποιείται η επικοινωνία,

για επιβεβαίωση της ταυτότητας του συνδιαλεγομένου.
Λειτουργία
Ο εξυπηρετητής στέλνει ένα μήνυμα-πρόκληση (challenge

message).
O χρήστης απαντά με μία τιμή την οποία υπολογίζει, η οποία
εξαρτάται από το password
Ο εξυπηρετητής έχει κάνει τον ίδιο υπολογισμό και αν οι δύο
τιμές (η δική του και του χρήστη) ταυτίζονται, επιτρέπει
πρόσβαση. Διαφορετικά, η σύνδεση τερματίζεται.
CHAP (διάγραμμα)
•Η ερώτηση-πρόκληση πρέπει να είναι τέτοια ώστε, κάποιος που

βλέπει την ερώτηση και την απάντηση, να μην μπορεί να
αποκτήσει καμία πληροφορία για το password!!!
•Μειονέκτημα: δύσκολα διαχειρίσιμο σε δίκτυα με πολύ μεγάλο
αριθμό χρηστών

RADIUS (Remote Authentication Dial-In

User Service)
Μοντέλο πελάτη/εξυπηρετητή.

RADIUS (τρόπος λειτουργίας)
O RADIUS client είναι στην ουσία ένας NAS

(Network Access Server), ο οποίος δέχεται
την αίτηση για επικοινωνία και προωθεί την
αίτηση (password κτλ) στον server. O server
ρωτά μία βάση δεδομένων και αντίστοιχα
δέχεται ή απορρίπτει την αίτηση.
Η επικοινωνία client-server γίνεται
κρυπτογραφημένα.

Αρχές Κρυπτογραφίας
Οι αλγόριθμοι κρυπτογράφησης χρησιμοποιούν ένα ή

περισσότερα κλειδιά (keys).
Encryption Key Υποκλοπέας Decryption Key
Plaintext Ciphertext Original plaintext

Α Encryption Decryption Β
Όταν το κλειδί κρυπτογράφησης είναι ίδιο με το κλειδί

αποκρυπτογράφησης, τότε το σύστημα λέγεται συμμετρικού κλειδιού.
Διαφορετικά λέγεται ασύμμετρου ή δημοσίου κλειδιού.

Συμμετρικά κρυπτοσυστήματα
Αποστολέας P C P
Encryption Decryption Παραλήπτης
Ασφαλής μετάδοση του κλειδιού
Ο αποστολέας και ο παραλήπτης πρέπει από την αρχή να

συμφωνήσουν στη χρήση ενός κοινού κλειδιού, το οποίο μόνο αυτοί
γνωρίζουν.
Ένα «ασφαλές κανάλι επικοινωνίας» πρέπει να υπάρχει για την
επικοινωνία τους προκειμένου να ενημερώσει ο ένας τον άλλον για
τον κλειδί.

Κρυπτοσυστήματα Δημοσίου κλειδιού
Αποστολέας P C P
Encryption Decryption Παραλήπτης
Ee Dd
Προτάθηκαν το 1976
Κάθε συμμετέχων στο σύστημα κατέχει ένα ζευγάρι κλειδιών e και d, που το ένα
αντιστρέφει το άλλο: Dd(Ee(m))=m
Ένα από τα δύο κλειδιά μπορεί να είναι γνωστό, με την προϋπόθεση ότι η γνώση
αυτή δεν οδηγεί σε προσδιορισμό του άλλου κλειδιού. Το e μπορεί να είναι
δημόσιο (γνωστό), αλλά το d κρατείται μυστικό.
Η ανταλλαγή κλειδιών μεταξύ αποστολέα και παραλήπτη αντικαθίσταται από την
ύπαρξη ενός διαφανούς καταλόγου, στον οποίο όλοι έχουν πρόσβαση, και
περιέχει τα κλειδιά e όλων των συμμετοχόντων.

Τρόπος λειτουργίας
συστημάτων δημοσίου κλειδιού
Όταν ένα πρόσωπο A θέλει να στείλει ένα μήνυμα m σε ένα πρόσωπο
B, το δημόσιο κλειδί κρυπτογράφησης του παραλήπτη B
χρησιμοποιείται για τη δημιουργία του κρυπτογράμματος Ee(m).
Αφού το Ee είναι πλήρως διαθέσιμο σε κάποιον δημόσιο κατάλογο
στον οποίο έχουν όλοι πρόσβαση, ο οποιοσδήποτε μπορεί να
κρυπτογραφήσει ένα μήνυμα με προορισμό τον B. Ωστόσο, μόνο ο B,
ο οποίος έχει πρόσβαση στο ιδιωτικό του κλειδί αποκρυπτογράφησης
Dd μπορεί να ανακατασκευάσει το αρχικό μήνυμα, εφαρμόζοντας τον
αντίστροφο μετασχηματισμό Dd(Ee(m)).
Στο IPSec: συμμετρική κρυπτογράφηση, όπου όμως η
ανταλλαγή κλειδιού γίνεται με κρυπτογραφία δημοσίου κλειδιού.

Διανομή κλειδιού με χρήση

αλγορίθμου Δημοσίου κλειδιού
1. Δημιουργία
συμμετρικού κλεδιού
Αποστολέας A Παραλήπτης B
2. Κρυπτογράφηση 3. Αποστολή του συμμετρικού 4. Αποκρυπτογράφηση

Του κλειδιού με το κλειδιού (κρυπτογραφημένου) του συμμετρικού
Δημόσιο Κλειδί του B κλειδιού, με χρήση του
Ιδιωτικού κλειδιού του B
5. Χρήση του συμμετρικού κλειδιού
για κρυπτογράφηση του μηνύματος
Παράδειγμα –
Diffie-Hellman μέθοδος
1. Συμφωνία για το Diffie-Hellman ζευγάρι
p (πρώτος αριθμός) και g (γεννήτορας mod p)
Α Β
2. 2.
Δημιουργία Δημιουργία
τυχαίου τυχαίου
αριθμού x αριθμού y

Diffie-Hellman μέθοδος (II)
A B
3. 3.
Υπολογισμός Υπολογισμός
x’=gx mod p 4.
Ανταλλαγή x’, y’ y’=gy mod p
χωρίς ασφάλεια

Diffie-Hellman μέθοδος (III)
B
A
5. 5.
Υπολογισμός κλειδιού= Υπολογισμός κλειδιού=
y’x mod p x’y mod p
=g^xy mod p =gxy mod p
6. Κρυπτογράφηση με το παραπάνω
συμμετρικό κλειδί που υπολογίστηκε
Το πρωτόκολλο IPSec στο VPN

Εισαγωγή – Γενικά χαρακτηριστικά TCP/IP
Tα TCP/IP πρωτόκολλα δεν έχουν δικούς

τους μηχανισμούς κρυπτογράφησης.
Ένα IP πακέτο περιέχει πληροφορίες τόσο
για την πηγή όσο και για τον προορισμό,
καθώς και για το είδος των δεδομένων που
περιέχει.

Εικονικών Δικτύων 5 - Το πρωτόκολλο IPSec στο VPN 2
Κεφαλίδα IPv6 πακέτων

Η μεγέθους 40-byte IPv6 κεφαλίδα έχει τα εξής 8 πεδία:
•Version – η έκδοση του Internet πρωτοκόλλου.
•Traffic class – περιέχει πληροφορίες που αφορούν την
προτεραιότητα του πακέτου.
•Flow label – Όλα τα πακέτα που ανήκουν στην ίδια
ροή δεδομένων ταυτοποιούνται από το πεδίο αυτό. Με
βάση αυτό κάνουν και τη δρομολόγηση οι routers.
•Payload length – περιέχει πληροφορία σχετικά με το
μέγεθος του IP πακέτου.
•Next header – Υποδηλώνει το επόμενο,
ενθυλακωμένο στο IP, πρωτόκολλο
•Hop limit – Υποδηλώνει το μέγιστο πλήθος hops που
επιτρέπονται.
•Source address – Η διεύθυνση του αποστολέα
•Destination address –Η διεύθυνση του παραλήπτη

Ενθυλάκωση πακέτων στο TCP/IP
Original
Application Layer
Message
Transport Layer Header 3 Data 3

(TCP, UDP)
Network Layer Header 2 Data 2

(IP)
Data Link Header 1 Data 1

Layer

Ασφάλεια σε διάφορα επίπεδα

Πρωτόκολλο IPSec
IP Security (IPSec): Σύνολο πρωτοκόλλων ανεπτυγμένων από το
Internet Engineering Task Force (IETF) με στόχο την ασφαλή

μετάδοση και ανταλλαγή δεδομένων (packets) μέσω του
στρώματος IP
Αιτία ανάπτυξης IPSec: Αντιμετώπιση των ακόλουθων απειλών :
9 Απώλεια της Ιδιωτικότητας των Δεδομένων (Loss of Privacy)
9 Aπώλεια Ακεραιότητας Δεδομένων (Loss of Data Integrity)
9 Προσποίηση Ταυτότητας (Identity Spoofing)
9 Πρόσβαση μη εξουσιοδοτημένων χρηστών

Τι κάνει το IPSec??
Προσθέτει δύο κεφαλίδες – Κεφαλίδα πιστοποίησης (IP Authentication
Header - AH) για πιστοποίηση ταυτότητας και Ενθυλακωμένη Ασφάλεια
(Encapsulating Security Payload - ESP) για κρυπτογράφηση.
Μπορεί να χρησιμοποιηθεί και σε IPv4 (εκτός από τα IPv6) πακέτα.
Χρησιμοποιεί τα ακόλουθα:
Diffie-Hellman αλγορίθμους για την ανταλλαγή συμμετρικού κλειδιού
DES ή AES ή άλλους μπλοκ αλγορίθμους για την κρυπτογράφηση
Συναρτήσεις κατακερματισμού για την πιστοποίηση της ακεραιότητας
δεδομένων
Ψηφιακούς πιστοποιητές (digital certificates) για την επικύρωση των δημοσίων
κλειδιών

Τρόποι ή καταστάσεις λειτουργίας IPSec
Τρόπος μεταφοράς (Transport Mode) (κυρίως σε LAN):
Αρχικό IP πακέτο IP TCP Data

Header Header
Transport Mode IP IPSec TCP Data

προστατευμένο πακέτο Header Header Header
προστατευμένο
Τρόπος διόδου (Tunnel Mode) (κυρίως σε VPN):
Tunnel Mode New IP IPSec Original IP TCP Data

Προστατευμένο πακέτο Header Header Header Header
προστατευμένο
Περιγραφή τρόπων λειτουργίας IPSec
Tunnel mode:
To νέο IP πακέτο «ταξιδεύει»
από τον έναν δρομολογητή
στον άλλο χωρίς να μπορούν
να διαβάσουν το αρχικό πακέτο
που βρίσκεται ενθυλακωμένο.
Με ESP κρυπτογραφείται όλο
το αρχικό IP πακέτο
Με AH αυθεντικοποιείται όλο το Transport mode:
αρχικό IP πακέτο, καθώς και Χρησιμοποιείται για προστασία της
κάποια πεδία της νέας IP επικοινωνίας από άκρο-σε-άκρο (π.χ.
κεφαλίδας Client-server εφαρμογές).
Με ESP κρυπτογραφείται το αρχικό IP
payload (όχι η κεφαλίδα)
Με AH αυθεντικοποιείται το IP payload,
καθώς και κάποια πεδία της IP
κεφαλίδας
IPSec σε κατάσταση διόδου (tunnel mode)

IPSec σε κατάσταση μεταφοράς (transport

mode)

Πλεονεκτήματα/Μειονεκτήματα των δύο
τρόπων
Tunnel mode: επιτρέπει στους δρομολογητές να λειτουργούν ως
IPSec proxies, με άλλα λόγια το λειτουργικό σύστημα του χρήστη
δεν χρειάζεται τροποποίηση. Επιπρόσθετα, προστατεύει από τον
κίνδυνο ανάλυσης της κίνησης (αφού είναι κρυπτογραφημένα τα
πάντα, ακόμα και οι διευθύνσεις αποστολέα και παραλήπτη).
Από την άλλη μεριά όμως, απαιτείται επιπρόσθετη επεξεργασία
στα πακέτα, από ό,τι στο transport mode.
Transport mode: Σε κάθε πακέτο προστίθενται μόνο μερικά bytes
(η νέα κεφαλίδα). Επίσης, οι δρομολογητές βλέπουν τις
διευθύνσεις πηγής/προορισμού και συνεπώς μπορούν να
δρομολογήσουν κατά συγκεκριμένη QoS. Μειονέκτημα είναι ότι
ανάλυση κίνησης μπορεί πια να γίνει.

IPSec Security Associations

Δύο οντότητες (τελικοί χρήστες) που επιθυμούν να επικοινωνήσουν
πρέπει να συμφωνήσουν εκ των προτέρων στις παραμέτρους
επικοινωνίας, όσον αφορά την ασφάλεια
Η Συσχέτιση Ασφάλειας (Security Association - SA) είναι μία

συμφωνία των δύο άκρων για μεθόδους και αλγορίθμους ασφαλείας που
επιθυμούν να χρησιμοποιήσουν κατά τη σύνοδο:
αλγόριθμοι κρυπτογράφησης
αλγόριθμοι αυθεντικοποίησης
κλειδιά, διάρκεια ισχύος κλειδιών κτλ

Βασικές παράμετροι μιας SA
IP διεύθυνση πηγής και προορισμού

Ένα ID χρήστη
Πρωτόκολλο μεταφοράς (TCP ή UDP)
Τον αλγόριθμο για έλεγχο πιστοποίησης
ταυτότητας, καθώς και τα αντίστοιχα κλειδιά
Τον αλγόριθμο που χρησιμοποιείται για
κρυπτογράφηση, καθώς και τα κλειδιά
Τρόπος λειτουργίας του IPSec (transfer ή tunnel
mode)
Διάρκεια ζωής μιας SA

IPSec Security Associations (περιγραφή)

Κάθε SA είναι μονόδρομη: μία για τα εισερχόμενα και μία για τα εξερχόμενα μηνύματα
Αν ο A θέλει να επικοινωνήσει με τον B, τότε πρέπει:

Ο Α να διαθέτει SAout και SAin
O Β να δημιουργήσει μία SAout και μία SAin
Το SAout του χρήστη A και το SAin του B πρέπει να χρησιμοποιούν τους ίδιους αλγορίθμους.
Πολλαπλές SA μπορούν να υπάρχουν για την ίδια επικοινωνία ταυτόχρονα

(π.χ. για διαφορετικές εφαρμογές)
Μία SA περιγράφεται από την τριπλέτα
<SPI, διεύθυνση παραλήπτη, κρυπτογραφικές παράμετροι>

SPI (Security Parameter Index): ένας 32-bit αριθμός που δημιουργείται από τον
αποστολέα
Όταν λαμβάνεται ένα πακέτο, μπορεί να αυθεντικοποιείται και να
αποκρυπτογραφείται μόνο εάν ο παραλήπτης μπορεί να το συνδέσει με το
περιεχόμενο ενός SA
Στην ουσία, μία συσχέτιση ασφαλείας προσδιορίζεται πλήρως από το SPI και την
IP διεύθυνση του παραλήπτη.

Παράδειγμα SA
Στην ουσία, μέσω ενός SA έχουμε ένα

ασφαλές κανάλι επικοινωνίας (μέσω ενός
δημόσιου δικτύου (Internet)) με κάποιον
συγκεκριμένο χρήστη.
Κεφαλίδες AH και ESP

Η κεφαλίδα πιστοποίησης ταυτότητας (Authentication Header (AH)) παρέχει:
- Υπηρεσία ακεραιότητας δεδομένων. Ο παραλήπτης μπορεί να ανιχνεύσει τυχόν αλλοίωση των δεδομένων κατά τη
μετάδοση.
- Πιστοποίηση ταυτότητας αποστολέα
- Προστασία από επανάληψη πακέτων
Η Ασφαλής Ενθυλάκωση της πληροφορίας (Encapsulating Security Payload

(ESP)) παρέχει:
- Εμπιστευτικότητα (κρυπτογράφηση)
- Υπηρεσία ακεραιότητας δεδομένων
- Πιστοποίηση ταυτότητας αποστολέα
- Προστασία από επανάληψη πακέτων
Οι δύο κεφαλίδες μπορούν να χρησιμοποιηθούν είτε η κάθε μία μόνη της, είτε
συνδυασμένες και οι δύο μαζί. Όταν χρησιμοποιούνται ταυτόχρονα, ο AH έπεται του ESP.
Γιατί υπάρχουν δύο κεφαλίδες??
Κάποιες χώρες έχουν αυστηρούς νόμους ως προς την κρυπτογράφηση. Αν δεν υπάρχει η
δυνατότητα για κρυπτογράφηση, η κεφαλίδα πιστοποίησης (AH) παρέχει κάποιους μηχανισμούς
ασφάλειας και μπορεί να χρησιμοποιηθεί. Με απλά λόγια, η ύπαρξη και των δύο κεφαλίδων είναι
αυτή που εξασφαλίζει τη δυνατότητα διάδοσης του IPSec σε όλο το Internet.

ΑΗ – Transport και tunnel mode

Περιγραφή της κεφαλίδας πιστοποίησης

ταυτότητας (AH)
Περιέχει 5 πεδία:
Next Header field (π.χ. TCP,
UDP κ.ο.κ.)
Payload length
Security Parameter Index –
προσδιορίζει στον
παραλήπτη ποια
πρωτόκολλα ασφαλείας
χρησιμοποιήθηκαν από τον
αποστολέα
Sequence number
Authentication data – το
τμήμα εκείνο που
εξασφαλίζει την πιστοποίηση
ταυτότητας
To νέο IPv4 πακέτο (AH tunnel mode)

ESP – Transport και tunnel mode

Περιγραφή του ESP
Περιέχει τα πεδία:
Security Parameter Index (SPI)
Sequence number (μετρητής που
αυξάνεται κάθε φορά που ένα πακέτο
στέλνεται στον ίδιο παραλήπτη και υπό το
ίδιο SPI) – έτσι αντιμετωπίζεται το
πρόβλημα επανάληψης πακέτων από
κάποιον «επιτιθέμενο».
Padding: το πολύ 255 bytes (λόγω του
γεγονότος ότι κάποιοι αλγόριθμοι
κρυπτογράφησης απαιτούν τα δεδομένα
να είναι μήκους πολλαπλάσιου κάποιου
συγκεκριμένου αριθμού bytes).
Pad length: προσδιορίζει το μήκος του
padding
Next Header: προσδιορίζει ποια είναι η
επόμενη κεφαλίδα στο πακέτο
ICV: πεδίο που χρησιμοποιείται για την
πιστοποίηση της ταυτότητας (Προαιρετικό).

Σχόλια πάνω στο ESP

Υποστηρίζει διάφορες μεθόδους κρυπτογράφησης
Το ESP μπορεί προαιρετικά να έχει ένα πεδίο για πιστοποίηση
ταυτότητας – το μήκος του ποικίλει, ανάλογα τον αλγόριθμο
πιστοποίησης που χρησιμοποιείται. Ως προεπιλεγμένο αλγόριθμο έχει
τον HMAC με συναρτήσεις κατακερματισμού SHA-1 και MD5. Η
πιστοποίηση αυτή διαφέρει σε σχέση με αυτήν που παρέχει ο AH στο
ότι δεν προστατεύει την IP κεφαλίδα που είναι μπροστά από το ESP (αν
και προστατεύει την ενθυλακωμένη IP κεφαλίδα στον τρόπο λειτουργίας
διόδου (tunneling mode)).
Αν επιθυμούμε και εμπιστευτικότητα και πιστοποίηση ταυτότητας, είναι
καλύτερα να χρησιμοποιούμε μόνο ESP παρά ESP και ΑΗ ταυτόχρονα
(είναι πιο αποδοτικό, μια που απαιτείται μικρότερη επεξεργασία
πακέτων). Σε tunnel mode δεν υπάρχουν ποτέ ταυτόχρονα και οι δύο.
Συνδυασμός AH-ESP με τους διάφορους τρόπους λειτουργίας: πρώτα
κρυπτογράφηση και πιστοποίηση σε tunnel mode και κατόπιν εκ νέου
εφαρμογή AH ή ESP σε transport mode στο νέο πακέτο.

Το «νέο» IPv4 πακέτο (ESP tunnel mode)

Διαχείριση κλειδιών στο IPSec
Μέχρι το 1997, η ανταλλαγή κλειδιών που θα

χρησιμοποιούνταν στο IPSec γινόταν «με το χέρι»
(manual keying) (για παράδειγμα μέσω courier ή
δισκετών).
Η ανάγκη για μια αυτοματοποιημένη διαχείριση
κλειδιών οδήγησε στο IKE (Internet Key Exchange),
το οποίο προήλθε σαν επέκταση του
ΙSAKMP/Oakley.
Κάποιες εταιρίες (Sun Microsystems, Novell)
ανέπτυξαν ένα δικό τους πρωτόκολλο, το SKIP
(Simple Key management for IP), το οποίο όμως
δεν υιοθετήθηκε σαν standard από το IPSec.

Στόχοι του IKE
Να δίνει στους συνομιλούντες τη δυνατότητα

να συμφωνούν με ποια πρωτόκολλα θα
μιλούν, με ποιους αλγορίθμους και με ποια
κλειδιά
Η εξασφάλιση του να γνωρίζει ο καθένας από
την αρχή της επικοινωνίας ότι μιλάει
πράγματι με το σωστό άτομο (πιστοποίηση
ταυτότητας)
Εξασφάλιση του ότι η ανταλλαγή κλειδιών
γίνεται με ασφάλεια.
Φάσεις του IKE
Στην πρώτη φάση, οι δύο συνομιλούντες

εγκαθιδρύουν μία ασφαλή σύνδεση μεταξύ τους. Στη
δεύτερη φάση, οι συνομιλούντες ανταλλάζουν
γενικού σκοπού SAs. (ΠΡΟΣΟΧΗ: ο όρος
«συνομιλών» είναι γενικός – μπορεί να είναι είτε
ένας υπολογιστής είτε μια πύλη ασφαλείας).
Η πρώτη φάση έχει δύο πιθανούς τρόπους (modes)
λειτουργίας: τον κύριο τρόπο (Main mode) και τον
επιθετικό τρόπο (aggressive mode). H δεύτερη
φάση έχει τον γρήγορο τρόπο (quick mode).

Περιγραφή του κύριου τρόπου λειτουργίας
(main mode)
Χρησιμοποιείται, σε συνδυασμό με τον γρήγορο τρόπο της φάσης 2,
ως εξής:
Με τον κύριο τρόπο εγκαθιδρύεται μία προσωρινή SA (Security
Association)
Με τον γρήγορο τρόπο, μέσα σε αυτήν τη SA δημιουργείται μία νέα SA
Η επικοινωνία γίνεται με τη νέα SA μέχρι τέλους
Κατά τη διάρκεια εγκαθίδρυσης της πρώτης (προσωρινής) SA,
λαμβάνουν χώρα 3 ανταλλαγές μηνυμάτων (όπου κάθε ανταλλαγή
αντιστοιχεί σε μία αμφίδρομη επικοινωνία πομπού-δέκτη και δέκτη-
πομπού), οι οποίες είναι οι εξής :
1. Καθορίζονται οι αλγόριθμοι κρυπτογράφησης και πιστοποίησης
ταυτότητας. Ένα SA δημιουργείται ξεχωριστά για κάθε κατεύθυνση.
2. Εκτελείται ο αλγόριθμος Diffie-Hellman παραγωγής και ανταλλαγής κοινού
μυστικού κλειδιού. Επίσης ανταλλάζονται τυχαίοι αριθμοί (Nonce) με
σκοπό ο καθένας να τους «υπογράψει» (με κάποια συνάρτηση
κατακερματισμού), ώστε να πιστοποιήσει την ταυτότητά του
3. Γίνεται πιστοποίηση ταυτότητας

Απλοποιημένη σχηματική αναπαράσταση

του κύριου τρόπου (Main Mode)
Ο χρήστης που ξεκινά την επικοινωνία Ο χρήστης που απαντά
[Header, SA1]
[Header, SA1]
[Header, Key Exhange, Ni{, Cert_req}]
[Header, Key Exchange, Nr {, Cert_req}]
[Header, IDi, {CERT} sig]
[Header, IDr, {CERT} sig]

Συνάρτηση κατακερματισμού ή αλγόριθμος υπογραφής RSA,
που δρα πάνω στο Diffie-Hellman κλειδί, στο Nr και στο IDi
Περιγραφή του επιθετικού τρόπου
λειτουργίας (aggressive mode)
Λαμβάνει χώρα σε δύο ανταλλαγές
μηνυμάτων και όχι σε τρεις.
Είναι πιο γρήγορος από τον κύριο τρόπο.
Ωστόσο, το ID στέλνεται μη
κρυπτογραφημένο, οπότε κάποιος εχθρός
μπορεί να δει ποιος χρήστης ξεκινά μία SA
(επίθεση sniffing).

Απλοποιημένη σχηματική αναπαράσταση

του επιθετικού τρόπου (Aggressive Mode)
Ο χρήστης i που ξεκινά την επικοινωνία Ο χρήστης r που απαντά

[Header, SA1, KE, Ni, IDi]
[Header, SA2, KE, Nr,

IDr, [Cert]sig]
[Header, [Cert]sig]

Δεύτερη φάση IKE – Γρήγορος τρόπος
(Quick mode)
Χρησιμοποιείται για την εγκαθίδρυση της SA πάνω
στην οποία θα στηριχτεί το IPSec για την
επικοινωνία.
Όλα τα πακέτα είναι κρυπτογραφημένα και στην
αρχή τους έχουν μία τιμή που προέκυψε από
κατακερματισμό (με τη συνάρτηση κατακερματισμού
που έχει προσυμφωνηθεί στη φάση 1). Με την τιμή
αυτή γίνεται η αυθεντικοποίηση του πακέτου.
Μπορούν, προαιρετικά, να ανανεωθούν τα κλειδιά
επικοινωνίας.

Σχηματική αναπαράσταση της δεύτερης

φάσης του IKE (quick mode)

Λειτουργία του IPSec – πώς συνδυάζονται
όλα τα παραπάνω??
Η υλοποίηση μίας σύνδεσης
IPSec VPN πραγματοποιείται
μέσω δύο φάσεων:
Δημιουργία και
♦
λειτουργία του IKE/ISAKMP
SA (πιστοποίηση &
δημιουργία κλειδιών)
♦Δημιουργία και
λειτουργία του AH/ESP SA
(κοινή πολιτική IPSec &
χρήση κλειδιών)

Πού πρέπει να εκτελείται το IPSec

software?
Στις πύλες ασφαλείας
Στους κινητούς χρήστες
Στους κόμβους (hosts) των δικτύων
Για LAN-to-LAN VPNs, αρκεί να υπάρχει το software

στις πύλες ασφαλείας. Από την άλλη μεριά, όταν
κάποιος χρήστης θέλει να συνδεθεί από τον
υπολογιστή του σπιτιού του σε ένα VPN, πρέπει ο
υπολογιστής του να διαθέτει το κατάλληλο IPSec
software.
Εφαρμογές IPSec VPNs
Ασφαλής επικοινωνία μεταξύ δύο hosts ή μεταξύ δύο LANs
Απομακρυσμένη πρόσβαση μέσω dial-up σε ιδιωτικά δίκτυα
Μέγιστη δυνατή ασφάλεια σε περιπτώσεις χρηματοπιστωτικών
ιδρυμάτων,
χρηματιστηριακών εταιριών, κτλ
Internet Dial
IPsec VLANs
IPsec
IPsec
Firewall
Campus
Προβλήματα του IPSec

Τα μεγέθη των IP πακέτων μεγαλώνουν, συνεπώς μεγαλώνει ο
χρόνος επεξεργασίας τους και μειώνεται η συνολική απόδοση.
Μία λύση που εξετάζεται είναι η συμπίεση των πακέτων πριν την
κρυπτογράφηση.
Είναι σχεδιασμένο μόνο για IP – σε περιπτώσεις που υπάρχουν
ταυτόχρονα πολλά πρωτόκολλα (π.χ. της AppleTalk ή της
NETBEUI) δεν μπορεί να χρησιμοποιηθεί άμεσα.
Υπάρχουν διά νόμου απαγορεύσεις χρήσης συγκεκριμένων
κρυπτογραφικών πρωτοκόλλων σε κάποιες χώρες – συνεπώς,
δεν υπάρχουν παγκοσμίως κοινά αποδεχτά πρωτόκολλα για να
υπάρxουν ως παράμετροι στις SA.

Τo πρωτόκολλo PPTP στο VPN
Εισαγωγή
Για VPN μικρής γεωγραφικής εμβέλειας ή για περιπτώσεις όπου
η εταιρία ενδιαφέρεται απλά και μόνο στο να δώσει πρόσβαση
σε απομακρυσμένους κινητούς πελάτες της, τα πρωτόκολλα
PPTP και L2TP προτιμώνται από το IPSec (χωρίς αυτό να
σημαίνει ότι το IPSec δεν μπορεί να εφαρμοστεί και σε αυτές τις
περιπτώσεις).
Το PPTP είναι πρωτόκολλο εγκαθίδρυσης διόδου (tunneling)
που προτάθηκε από τη Microsoft και την Ascend. Σύντομα έγινε
δημοφιλές. Ταυτόχρονα η Cisco είχε προτείνει το L2F. Ως
διάδοχος αυτών των δύο εμφανίστηκε το L2TP, που
υποστηρίχτηκε από όλες τις εταιρίες για να γίνει πρότυπο.
Η εξάπλωση του PPTP οδηγεί στην ανάγκη το να αναλυθεί
ξέχωρα από το L2TP.

Εικονικών Δικτύων 6 - Τo πρωτόκολλo PPTP στο VPN 2
Τι είναι το PPTP?
Point-to-Point Tunneling Protocol:
δημιουργήθηκε από τις εταιρίες 3Com,
Ascend Communications, Microsoft, ECI
Telematics και US Robotics.
Στόχος ήταν το να καταστεί δυνατό ένας
χρήστης να συνδέεται απλά στον ISP μέσω
μίας απλής τηλεφωνικής κλήσης, και στη
συνέχεια μέσω αυτού να συνδέεται με
ασφάλεια στο ιδιωτικό δίκτυο.

Γενικά χαρακτηριστικά του PPTP

Βασίζεται στο βασικό πρωτόκολλο τηλεφωνικής πρόσβασης
(dial-up access) στο Ίντερνετ, το PPP (Point-to-Point-Protocol).
Ενθυλακώνει PPP πακέτα με τη χρήση μίας τροποποιημένης
έκδοσης του GRE πρωτοκόλλου (Generic Routing
Encapsulation), δίνοντας έτσι τη δυνατότητα να μπορούν να
χρησιμοποιηθούν και πακέτα που δεν είναι απαραίτητα IP, όπως
IPX, NETBEUI (πλεονέκτημά του έναντι του IPSec).
Έχει τους ίδιους μηχανισμούς πιστοποίησης ταυτότητας με το
PPP, δηλαδή PAP και CHAP. Επίσης το PPP χρησιμοποιείται για
την κρυπτογράφηση, αν και η Microsoft έχει αναπτύξει μία
καλύτερη μέθοδο κρυπτογράφησης, την MPPE (Microsoft Point-
to-Point Encryption). Πάντως η κρυπτογράφηση σε καμία από τις
δύο περιπτώσεις δεν είναι τόσο καλή όσο αυτή του IPSec.
Είναι πρωτόκολλο επιπέδου 2 του OSI.
Ορίζει διαφόρων ειδών διόδων (tunnels), αναλόγως των άκρων
της διόδου και των μηχανισμών πιστοποίησης.

Περιγραφή του PPP
Πρωτόκολλο επιπέδου 2: Περιλαμβάνει

τεχνικές για ενθυλάκωση πακέτων διαφόρων
τύπων, προκειμένου να μεταδοθούν σε μία
ζεύξη.
Περιέχει δύο σετ πρωτοκόλλων:
Link Control Protocols (LCP) για εγκαθίδρυση και
έλεγχο της ζεύξης μετάδοσης
Network Control Protocols (NCP) για εγκαθίδρυση
και έλεγχο διαφορετικών πρωτοκόλλων επιπέδου
δικτύου.

Λειτουργία του PPP

Ενθυλακώνει πακέτα IP, IPX και NETBEUEI σε PPP πλαίσια,
πραγματοποιώντας μία σημείο-προς-σημείο ζεύξη μεταξύ του
αποστολέα και του δέκτη. Για τη δημιουργία της σύνδεσης,
καθένας από τους συνδιαλεγομένους πρέπει πρώτα να στείλει
LCP πακέτα.
Η πιστοποίηση ταυτότητας γενικά είναι προαιρετική στο PPP:
ωστόσο, πρέπει οπωσδήποτε να υπάρχει όταν γίνεται εφαρμογή
του σε VPN. To PPP το πετυχαίνει αυτό είτε με PAP είτε με
CHAP (το δεύτερο είναι πιο ασφαλές).
Η IETF στο RFC 2284 πρότεινε πιο καλές τεχνικές πιστοποίησης
ταυτότητας, το Extensible Authentication Protocol (EAP), το
οποίο υποστηρίζει πολλές διαφορετικές τεχνικές πιστοποίησης.
Μετά την εγκαθίδρυση της ζεύξης, NCP πακέτα ανταλλάσσονται
για έλεγχο και προσδιορισμό των πρωτοκόλλων επιπέδου
δικτύου. Αφού προσδιοριστούν τα πρωτόκολλα αυτά, τα πλαίσια
τους (datagrams) μεταφέρονται πάνω στη ζεύξη.

Σχηματική αναπαράσταση του PPP

Δομή ενός πλαισίου PPP

•Flag: υποδηλώνει την αρχή του
πλαισίου – ισούται πάντα με
01111110.
•Address: Αποτελείται πάντα από

11111111 (μια που στο PPP η
ζεύξη είναι απευθείας, άρα δεν
χρειάζεται διεύθυνση παραλήπτη).
•Control: Αποτελείται στο PPP

πάντα από το byte 00000011.
•Data: Το ενθυλακωμένο πλαίσιο (datagram) του
•Protocol: 2 bytes, που επιπέδου δικτύου (ή πληροφορίες ελέγχου αν
προσδιορίζουν το πρωτόκολλο είναι PPP πλαίσιο ελέγχου). Το τέλος του
ανώτερου επιπέδου που ανιχνεύεται από ένα πεδίο flag.
ενθυλακώνεται στο PPP πλαίσιο •Frame Check Sequence (FCS): χρησιμοποιείται
για ανίχνευση σφαλμάτων στο PPP πλαίσιο

Εξάρτηση PPTP από PPP
To PPTP περιμένει από το PPP τις
ακόλουθες λειτουργίες:
Εγκαθίδρυση της φυσικής ζεύξης
Πιστοποίηση των χρηστών
Δημιουργία PPP πλαισίων
Στη συνέχεια, το PPTP ενθυλακώνει PPP

πακέτα, για τη μετάδοση μέσω μίας διόδου
(tunnel).

Πακέτα στο PPTP
Δύο ειδών:
Πακέτα ελέγχου
Πακέτα δεδομένων
Μετά την εγκατάσταση της PPTP διόδου, τα
δεδομένα μεταφέρονται μεταξύ του «πελάτη» (client)
και του PPTP εξυπηρετητή (server). O client μπορεί
να είναι είτε πρόγραμμα στον υπολογιστή ενός
χρήστη είτε πρόγραμμα στον ISP.
Τα δεδομένα μεταφέρονται σε IP πακέτα, που
εμπεριέχουν PPP πλαίσια. Τα IP πακέτα
δημιουργούνται με μια τροποποιημένη έκδοση
του GRE.

Σχηματικό παράδειγμα PPTP διόδου
PPTP Client Computer
PPP PPTP
Encapsulator Interface
PPTP Server Computer

PPP PPTP IP GRE Packets ISP Gateway
IP Packets Decapsulator Interface
IP Packets

Ενθυλάκωση PPTP
TCP/IP Packet
IP TCP Payload
Header Header Data
PPP PPP IP TCP Payload

Encapsulator Header Header Header Data
PPTP IP GRE PPP IP TCP Payload

Interface Header Header Header Header Data

Περιγραφή των RAS (Remote Access
Server) και NAS (Network Access Server)
REMOTE ACCESS SERVER: Συλλογή από modems και
κατάλληλο λογισμικό που επιτρέπει dial-in συνδέσεις.
Έχει Interface με έναν telecom operator (PSTN, ISDN).
Λαμβάνει κλήσεις μέσω dial-up.
Μηχανισμοί αυθεντικοποίησης:
•TACACS (Terminal Access Controller Access Control System)
• RADIUS (Remote Authentication of Dial-up Users Services)

Χρήση του RADIUS

Μοντέλο πελάτη-εξυπηρετητή. Χρησιμοποιεί NAS, ο οποίος στο
RADIUS δρα σαν πελάτης (client). O NAS είναι υπεύθυνος να
δέχεται τις αιτήσεις των χρηστών, να παίρνει ID και passwords
από αυτούς, και να τα προωθεί στον RADIUS server. O RADIUS
Server ενημερώνει για το αν εγκρίνει την πρόσβαση ή όχι.
O RADIUS διατηρεί μία κεντρική βάση δεδομένων των χρηστών
με τις αντίστοιχες υπηρεσίες.
Διατηρεί διάφορα στοιχεία της διόδου: το ποιο πρωτόκολλο
χρησιμοποιείται (PPTP ή L2TP), τη διεύθυνση του άκρου της
διόδου, καθώς και τη διεύθυνση του NAS (για πληροφορίες
στατιστικής φύσεως της χρήσης της ζεύξης).
Συχνά υπάρχουν και RADIUS proxy servers, οι οποίοι είναι
εγκατεστημένοι στους ISPs και ενημερώνονται ανά περιοδικά
διαστήματα από τον κεντρικό RADIUS server.

RADIUS με proxy server

Δίοδοι (tunnels)
Δίοδος (tunnel): τεχνική ενθυλάκωσης ενός πακέτου/πλαισίου σε
ένα άλλο πακέτο/πλαίσιο διαφορετικού πρωτοκόλλου. Η
δρομολόγησή του γίνεται σε ένα ιδεατό κύκλωμα (tunnel). Ο
δέκτης μετατρέπει το λαμβανόμενο πακέτο στην αρχική του
μορφή.
Στο PPTP, οι ζεύξεις γίνονται πάνω σε διόδους (tunnels)
Οι δυνατότητες του υπολογιστή του χρήστη καθορίζουν το άκρο
της διόδου: αν ο υπολογιστής έχει PPTP software τότε αυτός
είναι το άκρο της διόδου. Διαφορετικά, αν υποστηρίζει μόνο PPP
και όχι PPTP, τότε το άκρο της διόδου βρίσκεται στον ISP και
συγκεκριμένα στον RAS (Remote Access Server).
Οι δίοδοι μπορούν να είναι δύο ειδών: αυθόρμητες δίοδοι
(voluntary tunnels) και αναγκαστικές δίοδοι (compulsory
tunnels). Οι πρώτες δημιουργούνται μετά από αίτηση του
χρήστη, ενώ οι αναγκαστικές δημιουργούνται αυτόματα, χωρίς
καμία παρεμβολή από τον χρήστη.

Σχηματική αναπαράσταση διόδου
Software interfaces

Είδη διόδων (σχηματική αναπαράσταση)

Γενικά χαρακτηριστικά των διόδων
Μία αναγκαστική δίοδος έχει προκαθορισμένα
ακραία σημεία, άρα ο έλεγχος πρόσβασης είναι πιο
εύκολος. Δίνει επίσης τη δυνατότητα, αν η πολιτική
της εταιρίας είναι τέτοια, να μην έχουν πρόσβαση
στο Internet οι εργαζόμενοι αλλά να χρησιμοποιούν
τις Internet ζεύξεις για το VPN.
Επίσης στις αναγκαστικές διόδους μπορούν
πολλαπλές συνδέσεις να υπάρχουν πάνω σε μία
δίοδο. Ένα μειονέκτημα είναι ότι η σύνδεση του
υπολογιστή του χρήστη με τον RAS είναι έξω από τη
δίοδο και, συνεπώς, μη ασφαλής. Γενικά, οι
αυθόρμητες δίοδοι προσφέρουν μεγαλύτερη
ασφάλεια.
Υποκατηγορίες αναγκαστικών διόδων

Στατικές δίοδοι (static compulsory tunnels):
Realm-based: ο RAS ελέγχει ένα τμήμα του ονόματος του
χρήστη, τον τομέα (realm) και με βάση αυτό αποφασίζει τη
δρομολόγηση της διόδου αυτού του χρήστη
Automatic: Υπάρχει προεγκατεστημένος εξοπλισμός – ο
χρήστης καλεί ένα συγκεκριμένο τηλεφωνικό αριθμό για να
έχει πρόσβαση στο VPN (να ξεκινήσει μία δίοδος)
Δυναμικές δίοδοι (dynamic compulsory tunnels):

Με βάση την αίτηση κάθε χρήστη, γίνεται σύνδεσή του με
τον RAS. Χρειάζεται ένας RADIUS server για την
εξουσιοδότηση του χρήστη.

Περιγραφή των κλάσεων των διόδων
Οι στατικές δίοδοι χρειάζονται έναν NAS

(Network Access Server) για κάθε δίοδο.
Αυτό «κοστίζει» στον ISP. Συνεπώς, για
συστήματα με πολλούς ταυτόχρονους
χρήστες δεν συνιστάται αυτή η λύση.
Οι realm-based δίοδοι χειρίζονται όλους τους
χρήστες του ίδιου τομέα με τον ίδιο τρόπο –
αυτό μειώνει την «ευλυγισία» του
συστήματος.
Γενικός τρόπος λειτουργίας PPTP

Παρέχει νέο τρόπο για μεταφορά PPP πακέτων πάνω σε μη ασφαλή μέσο
(Internet)

Φάσεις λειτουργίας PPTP – Φάση 1
(χρήση του PPP)

Φάσεις λειτουργίας PPTP – Φάση 2

(λογική εγκαθίδρυση του PPTP)
Ανταλλάσσονται μηνύματα ελέγχου μεταξύ PPTP

client και PPTP Server (RAS) για τη διατήρηση αλλά
και τον τερματισμό (στο τέλος) της διόδου. Τα
μηνύματα αυτά ανταλλάσσονται με βάση τις IP
διευθύνσεις τους, στην 1723 TCP θύρα του RAS.
Τα PPTP μηνύματα ελέγχου ενθυλακώνονται σε
TCP/IP πακέτα

Φάσεις λειτουργίας PPTP – Φάση 3 (PPTP
tunelling – μεταφορά δεδομένων)
Το GRE είναι ένα απλό γενικής χρήσεως πρωτόκολλο για IP μετάδοση.

Χρησιμοποιείται από τους ISPs για να προωθούν πληροφορίες δρομολόγησης.

PPTP δίοδος, όταν ο ISP διαθέτει NAS

PPTP δίοδος, με ISP που διαθέτει RAS με
PPTP δυνατότητα

Πιστοποίηση ταυτότητας και

κρυπτογράφηση στο PPTP
Τεχνικές ίδιες με αυτές του PPP: CHAP, PAP (Βλέπε διαφάνειες
κεφαλαίου 4). Δεν είναι όμως πολύ ασφαλείς, αφού τα
passwords βρίσκονται σε κάποιον υπολογιστή.
Πρόταση της Microsoft: Microsoft Point-to-Point Encryption
(MPPE): κάνει ταυτόχρονα κρυπτογράφηση των δεδομένων (με
τα πρωτόκολλο RSA RC4) και πιστοποίηση ταυτότητας με το
MS-CHAP. Το κλειδί κρυπτογράφησης προκύπτει από εφαρμογή
μίας συνάρτησης κατακερματισμού στο password, το οποίο
βρίσκεται αποθηκευμένο και στον υπολογιστή του χρήστη αλλά
και στον server. Το κλειδί είναι μήκους 40bit, αλλά υπάρχει η
δυνατότητα με πρόσθετο software να γίνει 128 bit. H
κρυπτογράφηση γίνεται στον υπολογιστή του χρήστη, προτού τα
δεδομένα φτάσουν στον PPTP server – το οποίο προσδίδει
πρόσθετη ασφάλεια.

Μπορούν να υπάρξουν LAN-to-LAN
tunnels με PPTP?
Την αρχή την έκανε η Microsoft: Routing and
Remote Access Server (RRAS) στα Windows ΝΤ
(ακολούθησαν και άλλες εταιρίες).
RRAS: LAN-to-LAN δίοδοι μεταξύ δύο PPTP
servers, κατά πλήρη αναλογία με τα tunnels του
IPSec μεταξύ πυλών ασφαλείας (gateways). Όμως
το PPTP δεν υποστηρίζει διαχείριση κλειδιού (κάτι
ανάλογο του IKE): το CHAP ή το MS-CHAP παίζουν
τον ρόλο αυτό. Στην ουσία, κάθε ένας PPTP server
συμπεριφέρεται σαν client ως προς τον άλλον
(ζητάει πρόσβαση με βάση το password κ.ο.κ.)

Σύγκριση IPSec και PPTP

O PPTP server είναι
το ανάλογο της
πύλης ασφαλείας
(security gateway)
To πρόγραμμα
(software) του
PPTP client έχει
πολλά κοινά με το
software του IPSec
client, αν και δεν
κάνει ανταλλαγές
κλειδιών.

Δομικά στοιχεία για το PPTP
NAS (Network Access Server)

(υπευθυνότητα του ISP).
PPTP Server
PPTP Client

Περιγραφή των PPTP servers
Έχουν δύο κύριους ρόλους:

Είναι ακραία (τελικά) σημεία σε μία δίοδο
Προωθούν πακέτα από και προς το αντίστοιχο LAN
Επίσης «φιλτράρουν» τα πακέτα (PPTP filtering). Με
αυτόν τον τρόπο θέτει περιορισμούς στο ποιος θα
έχει πρόσβαση στο τοπικό δίκτυο.
Μόνο από την TCP/IP πόρτα 1723 περνούν τα
δεδομένα – αυτό καθιστά τα PPTP συστήματα
ευαίσθητα σε επιθέσεις.
Επέκταση των PPTP servers είναι τα λεγόμενα
tunnel switches (εισήχθηκαν στην αγορά από την
3Com)

Περιγραφή των PPTP clients
Αν ο ISP διαθέτει PPTP δυνατότητα, δεν

χρειάζεται πρόσθετο PPTP software στον
client. Αν δεν υπάρχει η δυνατότητα, τότε
ένας client δημιουργεί ένα tunnel, πρώτα
εγκαθιστώντας μία PPP σύνδεση με τον ISP.
Χρειάζεται συμβατότητα του PPTP software
του client με αυτό του server. Για
παράδειγμα, δεν υποστηρίζουν όλα MS-
CHAP κι έτσι δεν μπορούν να
εκμεταλλευθούν το RRAS.
Περιγραφή των NAS
Σχεδιάζονται με σκοπό να εξυπηρετούν

πολλές dial-in συνδέσεις και να παρέχουν
PPTP υπηρεσίες σε πολλές πλατφόρμες
(windows, unix, Macintosh).

Παράδειγμα: PPTP dial-in VPN
Μία εταιρία θέλει να χρησιμοποιήσει τον ISP

για VPN δυνατότητες. Συνεπώς, ο ISP
πρέπει να διαθέτει RADIUS Proxy Server και
NAS με PPTP δυνατότητες. Από την άλλη
μεριά, και η ίδια η εταιρία πρέπει να διαθέτει
έναν κεντρικό (master) RADIUS server και
έναν PPTP server.
Δεν χρειάζεται PPTP software στους
υπολογιστές των χρηστών (αφού διαθέτει
τέτοιες δυνατότητες ο ISP).
Παράδειγμα: PPTP dial-in VPN (σχήμα)
O RADIUS server παρέχει κεντρικοποιημένο έλεγχο πρόσβασης,

ανεξαρτήτως πρωτοκόλλου (είτε για Windowς NT χρήστες, είτε για
Novell Directory Services (NDS)).
Παράδειγμα: PPTP LAN-to-LAN VPN
Ένας Windows Server εγκαθίσταται σε κάθε

πλευρά, παίζοντας το ρόλο και δρομολογητή και
PPTP server. Επίσης, ο κάθε PPTP server πρέπει
να σεταριστεί ώστε να παίζει το ρόλο client για τον
άλλον (αν η εγκαθίδρυση της ζεύξης γίνεται μετά
από αίτηση του χρήστη και δεν είναι μόνιμη, η IP
διεύθυνση του NAS πρέπει να ληφθεί υπόψιν στο
παραπάνω σετάρισμα.
Για να καθορίζεται το ποιος έχει πρόσβαση, μπορεί
να υπάρχει είτε ένα κεντρικό domain είτε κάθε
χρήστης να έχει το δικό του.

Παράδειγμα: PPTP LAN-to-LAN VPN

(σχήμα)

Σχόλια πάνω στο PPTP
Το IP GRE δεν είναι εύκολα διαχειρίσιμο από

όλους τους «τοίχους ασφαλείας» (firewalls).
Τα VPN που στηρίζονται στο PPTP
εξαρτώνται πολύ από τα πρωτόκολλα που
διαθέτει ο ISP (σε αντίθεση με το IPSec).

Τo πρωτόκολλo L2TP
στο VPN
Γενικά στοιχεία για το L2TP
Αποτελεί εξέλιξη των προϋπαρχόντων PPTP και

L2F. Είναι λοιπόν επίσης πρωτόκολλο για ασφαλή
μετάδοση σε ένα δημόσιο δίκτυο μέσω
εγκαθίδρυσης διόδου.
Μπορεί να χρησιμοποιηθεί και σε δίκτυα μεταγωγής
πακέτων, όπως Frame Relay ή ATM.
Παρέχει και έλεγχο ροής – δηλαδή δεν αποδέχεται
κίνηση περισσότερη από αυτή που μπορεί να
διαχειριστεί το δίκτυο (αυτό το στοιχείο υπάρχει και
στο L2F).
Μπορεί να συνεργαστεί με το IPSec πρωτόκολλο –
υπ’ αυτήν την έννοια, παρέχει υπηρεσίες και
δεύτερου αλλά και τρίτου επιπέδου.
Εικονικών Δικτύων 7 - Τo πρωτόκολλo L2TP στο VPN 2
Λίγα λόγια για το L2F
Διαφορά του με το PPTP: δεν κάνει ενθυλάκωση

GRE – το ίδιο το πρωτόκολλο έχει δικούς του
μηχανισμούς ενθυλάκωσης.
Όπως και το PPTP, βασίζεται στο PPP για
εγκαθίδρυση μιας dial-in ζεύξης. Ωστόσο, για
πιστοποίηση ταυτότητας εκτός από το πρωτόκολλο
RADIUS υποστηρίζει και το TACACS. H
πιστοποίηση γίνεται σε δύο επίπεδα: μία από τον
ISP πριν την εγκατάσταση της διόδου και μία
μετέπειτα, από την αντίστοιχη πύλη (το άκρο της
διόδου).

Αρχιτεκτονική του L2TP
Το PPP ενθυλακώνει Apple Talk, IP, IPX και
NETBEUI πακέτα σε PPP πλαίσια και τα στέλνει
μέσω μιας σημείο-προς-σημείο ζεύξης.
To PPP δημιουργεί μία dial-up σύνδεση ενός
χρήστη με τον NAS. Το L2TP αναμένει από το
PPP να πραγματοποιήσει αυτή τη σύνδεση, να
κάνει μια πρώτη αυθεντικοποίηση (με PAP ή
CHAP) και να δημιουργήσει τα PPP πλαίσια.
Το L2TP αναλαμβάνει να ελέγξει αν ο server του
δικτύου στο οποίο ο χρήστης ζητάει πρόσβαση
επιτρέπει τη δημιουργία διόδου. Αν ναι, τότε
ενθυλακώνει PPP πακέτα και τα στέλνει μέσω της
διόδου.
Η δίοδος δημιουργείται μεταξύ του Access
Concentrator στον ISP και του Network Server
(εξηγούνται παρακάτω). Στην ίδια δίοδο μπορούν
να υπάρχουν ταυτόχρονα πολλές σύνοδοι
(επικοινωνίες): κάθε σύνοδος έχει ένα δικό της
μοναδικό αριθμό Call ID, που υπάρχει στην
επικεφαλίδα κάθε L2TP πακέτου.
Μπορούν επίσης να υπάρχουν ταυτόχρονα πολλές
διαφορετικές δίοδοι μεταξύ του ίδιου Access
Concentrator και του Access Server. Η κάθε μία
τότε μπορεί να ικανοποιεί διαφορετικό QoS.

Αρχιτεκτονική του L2TP (συνέχεια)

Όπως και το PPTP, υπάρχουν δύο είδη μηνυμάτων: μηνύματα ελέγχου
(control messages) και μηνύματα δεδομένων (data messages). Τα
μηνύματα ελέγχου χρησιμοποιούνται για εγκαθίδρυση και τερματισμού της
διόδου. Τα μηνύματα δεδομένων είναι στην ουσία τα ενθυλακωμένα PPP
πακέτα, συν μια επικεφαλίδα για το μέσο μετάδοσης (π.χ. Ethernet,
Frame Relay, X25, ATM).
Γίνεται επίσης έλεγχος ροής δεδομένων μεταξύ των δύο άκρων της
διόδου, που στην L2TP ορολογία αποκαλούνται L2TP Access
Concentrator (LAC) και L2TP Network Server (LNS). (O LAC είναι για το
L2TP ό,τι είναι ο RAS για το PPTP).
Οι ίδιες κατηγορίες διόδων που είδαμε και στο PPTP υποστηρίζονται και
εδώ – αυθόρμητες (voluntary) και αναγκαστικές (compulsory).

Σχηματική αναπαράσταση ενός VPN
tunnel, βασισμένο σε L2TP
Service Provider Customer
Premise
Equipment
Remote,
Telecommuter Employees
LAC Internet, LNS

Frame Relay,
ISDN PSTN ATM Network Corporate Network/
Servers
Analog
RADIUS RADIUS
= L2TP Encapsulated Tunnel

Δίοδοι στο L2TP
Στις αυθόρμητες
διόδους το ένα άκρο
είναι στον υπολογιστή
του χρήστη, ενώ στις
αναγκαστικές το άκρο
τους είναι το LAC.

Αυθεντικοποίηση (πιστοποίηση ταυτότητας)
στο L2TP
Στην πρώτη φάση, ο ISP χρησιμοποιεί το user name
του χρήστη για να τον αυθεντικοποιήσει – και στη
συνέχεια εγκαθιστά μία δίοδο με τον
απομακρυσμένο Network Server. Με την
εγκατάσταση της διόδου, ο LAC θα αποδώσει ένα
Call ID στη ζεύξη και θα προωθήσει την πληροφορία
σχετικά με την πιστοποίηση ταυτότητας.
Ο απομακρυσμένος server κάνει πιστοποίηση σε
μία δεύτερη φάση (είτε CHAP είτε PAP, με password
πληροφορίες που του στέλνει ο ISP).

Κρυπτογράφηση στο L2TP

Η κρυπτογράφηση του PPP δεν θεωρείται αρκετή: χρήση του IPSec για
καλύτερη κρυπτογράφηση.
Σε αναγκαστική δίοδο, ο χρήστης στέλνει PPP πακέτα στον LAC και η
δημιουργία διόδου μεταξύ του LAC και του απομακρυσμένου δικτύου γίνεται
ερήμην του – ο ίδιος ο χρήστης δεν κάνει καμία άλλη ενέργεια για τη
δημιουργία αυτής της διόδου. Το IPSec λοιπόν είναι η καλύτερη επιλογή για
τον χρήστη – στέλνει απευθείας κρυπτογραφημένα (και άρα ασφαλή) τα
δεδομένα. Το AH προστίθεται από τον LAC του ISP. O ESP προστίθεται
μόνο όταν ο προορισμός υποστηρίζει IPSec.
Σε αυθόρμητη δίοδο, ο AH εφαρμόζεται στον υπολογιστή του χρήστη
απευθείας (μια που είναι άκρο της διόδου). Αν ο LNS στον προορισμό δεν
υποστηρίζει IPSec, o ESP προστατεύει τα δεδομένα μόνο μέχρι να
καταφτάσουν στον LNS.
Σε IP δίκτυα, τα πακέτα μεταξύ LAC και LNS είναι συνήθως UDP (και όχι
TCP).
Το IKE χρησιμοποιείται για τη διαχείριση του κλειδιού (όταν το L2TP
είναι πάνω στο IP).

Σχηματικές αναπαραστάσεις της
ενθυλάκωσης των πρωτοκόλλων
Compulsory tunnel Voluntary tunnel

L2TP σύνοδος σε IP δίκτυα

Αναλυτική περιγραφή της λειτουργίας
ενός L2TP VPN
• Βήμα 1
– Ο χρήστης ζητά μία σύνδεση μέσω του LAC.
Βήμα 1 Service Provider
LAC
Remote, LNS
Telecommuter Internet, Corporate
Employees PSTN Frame Relay, Network/
ISDN ATM Network Servers
Analog
RADIUS RADIUS


ενός L2TP VPN (2)
• Βήμα 2
– Ο LAC στέλνει μία αίτηση αυθεντικοποίησης στον RADIUS
Server, ο οποίος θα πραγματοποιήσει πιστοποίηση ταυτότητας
και θα δώσει πληροφορίες για το είδος της διόδου και το άλλο
της άκρο
Service Provider
Remote,
Telecommuter LAC LNS
Employees Internet, Corporate
PSTN Frame Relay, Network/
Analog
Βήμα 2 RADIUS RADIUS

• Βήμα 3
– Η δίοδος έχει εγκατασταθεί, τα PPP πακέτα ενθυλακώνονται
σε L2TP πακέτα και μεταδίδονται από τον LAC στον LNS.
Service Provider
Βήμα 3
Remote, LAC
Telecommuter LNS
Employees Internet, Corporate
PSTN Frame Relay, Network/
Analog
RADIUS RADIUS


• Βήμα 4
– Ο LNS δρα ως τερματικός κόμβος της διόδου, όπου
επεξεργάζεται το L2TP πλαίσιο. Επανακτά το αρχικό PPP
πλαίσιο, το οποίο προωθείται από τον παραλήπτη στα
πρωτόκολλα ανώτερου επιπέδου.
Service Provider
Βήμα 4
LAC
Remote, LNS
Telecommuter Internet, Corporate
Employees PSTN Frame Relay, Network/
Analog
RADIUS RADIUS

Δομικά στοιχεία του L2TP

L2TP Network Server (LNS)

Είναι άκρα σε L2TP διόδους. Προωθούν τα λαμβανόμενα L2TP
πακέτα στον αντίστοιχο υπολογιστή του δικτύου, με βάση το
όνομά του ή τη διεύθυνσή του που ενυπάρχει στα PPP πακέτα.
Δεν κάνει φιλτράρισμα των πακέτων (κάτι που δεν ισχύει για το
PPTP). Το φιλτράρισμα στα L2TP VPNs γίνεται μόνο από
τοίχους ασφαλείας (firewalls).
Για να υποστηρίζουν το IPSec, πρέπει να ικανοποιούν, μεταξύ
άλλων, και τα ακόλουθα:
Υποστήριξη των κρυπτογραφικών αλγορίθμων που θα
χρησιμοποιηθούν
Υποστήριξη και AH και ESP

L2TP Access Concentrator – L2TP
software
LAC: Χρησιμοποιείται για την εγκαθίδρυση
της διόδου. Όταν ο ISP διαθέτει τέτοιον, ο
υπολογιστής του χρήστη δεν χρειάζεται να
έχει ειδικό L2TP software.
L2TP client software: πρέπει να
υποστηρίζει IPSec.

Μπορούν να υπάρξουν LAN-to-LAN

δίοδοι, πάνω σε L2TP?
Όπως και στο PPTP, η απάντηση είναι
καταφατική: κάθε άκρο της διόδου πρέπει να
δρα ταυτόχρονα και σαν LAC αλλά και σαν
LNS.

Σύγκριση με το PPTP
Μια που δεν υπάρχει GRE ενθυλάκωση, το

πρόβλημα συμβατότητας L2TP συσκευών με
τοίχους ασφαλείας (firewalls) δεν είναι τόσο μεγάλο
όσο στα PPTP.
Μεγαλύτερη ασφάλεια ως προς την ανάλυση
κίνησης (traffic analysis) από επιτιθέμενο: σε
αντίθεση με το PPTP, η επικοινωνία δεν γίνεται μόνο
μέσω μιας συγκεκριμένης UDP θύρας στον LNS (αν
και υπάρχει μια προκαθορισμένη θύρα ως βασική, η
1701). Οι διαχειριστές δικτύου μπορούν να
αλλάζουν αυτήν τη θύρα, δυσκολεύοντας έτσι το
έργο ενός επιτιθέμενου.
Κατηγοριοποίηση των Εικονικών Δικτύων
Με βάση την προηγούμενη ανάλυση, γίνεται φανερό ότι τα

Εικονικά Δίκτυα μπορούν να ταξινομηθούν με πολλούς τρόπους,
ανάλογα με την οπτική γωνία που τα εξετάζει κανείς.
Συγκεκριμένα, έχουμε τους ακόλουθους τρόπους ταξινόμησης:
Με βάση τα επίπεδα OSI στα οποία αντιστοιχούν τα πρωτόκολλα
που χρησιμοποιούνται για να δομήσουν ένα VPN. Ήδη είδαμε σε
αυτήν την κατηγορία τα IPSec VPN (επίπεδο 3), τα PPTP VPN
(επίπεδο 2), τα L2TP VPN (επίπεδο 2, αλλά και 3 όταν
υποστηρίζει IPSec), ενώ υπάρχουν και τα VPN επιπέδου 7.
Με βάση το είδος της διόδου. Έτσι έχουμε τα VPN με αυθόρμητη
δίοδο (voluntary tunnel) και τα VPN με αναγκαστική δίοδο
(compulsory tunnel)
Με βάση το ποιοι είναι οι τελικοί χρήστες. Έτσι έχουμε είτε τα
«πελάτης-προς-δίκτυο» VPNs (client-to-LAN) (που λέγονται
επίσης και εικονικά δίκτυα απομακρυσμένης πρόσβασης), είτε τα
«δίκτυο-προς-δίκτυο» VPNs (LAN-to-LAN).

Εικονικά δίκτυα βασισμένα στο SSL
Εισαγωγή
Το πρωτόκολλο SSL (Secure Socket Layer) αναπτύχθηκε από την
Netscape Communications Corporation για την ασφαλή επικοινωνία
ευαίσθητων πληροφοριών (π.χ. αριθμούς πιστωτικών καρτών)
Η πρώτη σχεδίαση του πρωτοκόλλου έγινε τον Ιούλιο του 1994 και
αποτελούσε την πρώτη έκδοση (version 1.0).
Τον Δεκέμβριο του 1994 εκδίδεται μια επαναθεώρηση του
πρωτοκόλλου, η δεύτερη έκδοση του (version 2.0).
Αναβαθμίστηκε σε SSL v.3.0 με δημόσια αναθεώρηση και
σημαντική συνεισφορά από τη βιομηχανία. Αυτή η νέα έκδοση του
πρωτοκόλλου SSL τέθηκε επισήμως σε κυκλοφορία το Δεκέμβριο
του 1995. Μετεξελίχτηκε στο TLS (Transport Layer Security)
Βασικό χαρακτηριστικό: παρέχει TCP/IP ασφάλεια μεταξύ δύο
συστημάτων, όπου το ένα δρα σαν πελάτης (client) και το άλλο σαν
εξυπηρετητής (server).

Εικονικών Δικτύων 8 - Εικονικά δίκτυα βασισμένα στο SSL 2
Αρχιτεκτονική του SSL
•Πιστοποίηση ταυτότητας μέσω

κρυπτογραφίας δημόσιου κλειδιού.
• Επιτυγχάνεται εμπιστευτικότητα των

μεταδιδόμενων δεδομένων,
• Προστατεύεται η ακεραιότητα των

δεδομένων, με χρήση MACs (πρωτόκολλα
με συναρτήσεις κατακερματισμού για
εξασφάλιση της ακεραιότητας των
δεδομένων).

Γενικά χαρακτηριστικά
Τα VPN βασισμένα σε SSL είναι πιο απλή λύση, σε σχέση με το

IPSec, για απομακρυσμένη πρόσβαση.
Υπάρχει όμως περιορισμένος αριθμός εφαρμογών για το SSL
HTTP, POP, IMAP, FTP, telnet
Είναι δομημένο ώστε να δουλεύει μόνο πάνω σε TCP πακέτα

Παρέχει υπηρεσίες ασφάλειας στο επίπεδο μεταφοράς
Το SSL είναι ανεξάρτητο από το λειτουργικό σύστημα και
επιτρέπει σε οποιονδήποτε κινητό χρήστη να συνδεθεί με
ασφάλεια, ακόμα και από ένα μη ασφαλές άκρο.
Τα SSL VPNs μπορούν να «περάσουν» πάνω από firewalls και
να αντιμετωπίσουν θέματα NAT (Network Address Translation),
ζητήματα τα οποία επιλύονται δύσκολα στην περίπτωση των
IPSec VPNs.
Έχει δύο στρώματα πρωτοκόλλων

Αρχιτεκτονική του SSL (στρωμάτωση των
πρωτοκόλλων)

Λειτουργία του SSL

SSL σύνοδος (session)
Μεταξύ πελάτη και εξυπηρετητή
Δημιουργείται από το Handshake Protocol (πρωτόκολλο
χειραψίας)
Ορίζει ένα σύνολο κρυπτογραφικών παραμέτρων
Σε μία σύνοδο μπορούν να υπάρχουν πολλές SSL συνδέσεις
(connections)
SSL σύνδεση (connection)
Μία διαφανής, peer-to-peer, σύνδεση, η οποία αντιστοιχίζεται σε
μία SSL session

SSL record protocol
Εμπιστευτικότητα (confidentiality)
Με χρήση συμμετρικής κρυπτογράφησης, με ένα διαμοιρασμένο
κλειδί που ορίστηκε στο Handshake Protocol
IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128
Συνήθως το μήνυμα συμπιέζεται πριν την κρυπτογράφηση
Ακεραιότητα δεδομένων
Χρήση MAC με ένα κοινό διαμοιρασμένο κλειδί
Προστασία από επιθέσεις τύπου επανεκπομπής μηνυμάτων

Τρόπος λειτουργίας του SSL record

protocol

Κρυπτογραφικοί αλγόριθμοι που
χρησιμοποιούνται στο SSL
Block Cipher Stream Cipher
Αλγόριθμος Μέγεθος κλειδιού Αλγόριθμος Μέγεθος κλειδιού
IDEA 128 RC4-40 40
RC2-40 40 RC4-128 128
DES-40 40
DES 56
3DES 168
Fortezza 80

SSL handshake protocol

Πραγματοποιεί μεταξύ client και server:
Πιστοποίηση ταυτότητας
Διαπραγμάτευση αλγορίθμων κρυπτογράφησης και
αλγορίθμων MAC
Διαπραγμάτευση των κλειδιών (παραγωγή ενός
κύριου (master) κλειδιού, από το οποίο παράγονται
κάποια υποκλειδιά που θα χρησιμοποιηθούν).

Ανταλλαγή μηνυμάτων στο SSL Handshake
Protocol
Φάση 1
Φάση 2
Φάση 3
Φάση 4
Τα χρωματισμένα μηνύματα
είναι προαιρετικά


Φάση 1
CÎS:
Ενημέρωση για το ποιους αλγόριθμους μπορεί να
υποστηρίξει
Αίτηση για αυθεντικοποίηση του εξυπηρετητή S
SÎ C:
Επιβεβαίωση των αλγορίθμων
Απόδοση ενός τυχαίου μοναδικού αριθμού στη
σύνδεση (connection id)

Φάση 2
SÎ C: Server certificate
Ο server αποδεικνύει την ταυτότητα του με την
αποστολή του ψηφιακού του πιστοποιητικού (το
οποίο φέρει την υπογραφή μίας διαπιστευμένης
αρχής).
Προαιρετικά, μπορεί να ζητήσει πιστοποίηση
ταυτότητας από τον client.


Φάση 3
CÎS:
Πιστοποίηση ταυτότητας (αν του έχει ζητηθεί)
Από κοινού απόφαση των κρυπτογραφικών αλγορίθμων
που θα χρησιμοποιηθούν, καθώς και του συμμετρικού
κλειδιού που θα χρησιμοποιηθεί, βάση της ακόλουθης
διαδικασίας:
Ο client παράγει έναν τυχαίο αριθμό τον οποίο στέλνει στο server, κρυπτογραφημένο με
το δημόσιο κλειδί του server (που έχει αποκτηθεί από το πιστοποιητικό του server).
β) Ο server απαντά με περισσότερα τυχαία δεδομένα (κρυπτογραφημένα με το δημόσιο
κλειδί του client, αν είναι διαθέσιμο. Αλλιώς, στέλνει τα δεδομένα μη κρυπτογραφημένα -
cleartext).
γ) Τα κλειδιά κρυπτογράφησης παράγονται από όλα αυτά τα τυχαία δεδομένα, με τη
χρήση των συναρτήσεων κατακερματισμού.

Φάση 4:
Επιβεβαίωση της διαδικασίας ανταλλαγής

κλειδιού – λήξη της διαδικασίας Handshake.

Αντοχή του SSL σε επιθέσεις
Ευαίσθητο στην ανάλυση κίνησης (οι IP διευθύνσεις

είναι μη κρυπτογραφημένες).
Dictionary attack – Brute Force attack
Ανθεκτικό, λόγω του μεγάλου μήκους του κλειδιού
Replay Attack
Ανθεκτικό, λόγω του μοναδικού αριθμού id (μεγέθους 128
bit) που χαρακτηρίζει την κάθε σύνοδο.
Man-in-the-Middle Attack
Ανθεκτικό, λόγω της πιστοποίησης ταυτότητας στην οποία
υποβάλλεται ο server.

VPN: SSL ή IPSEC?
SSL IPSEC
Εφαρμογές Ο,τιδήποτε σχετικό με web, Όλες όσες βασίζονται σε IP

ανταλλαγή αρχείων ή email
Κρυπτογράφηση Ισχυρή (128 bits) Ισχυρή (128 bits, 168 bits)
Πιστοποίηση ταυτότητας Ψηφιακά πιστοποιητικά Ψηφιακά πιστοποιητικά
Κόστος Χαμηλό Υψηλό
Πολυπλοκότητα Χαμηλή Υψηλή

υλοποίησης
Γενικά το SSL συνιστάται για συγκεκριμένες εφαρμογές, οι οποίες

είναι απομακρυσμένης πρόσβασης (πελάτης-προς-δίκτυο και όχι
δίκτυο-προς-δίκτυο). Δεν είναι κατάλληλο για μετάδοση φωνής

Δομικά στοιχεία ενός Εικονικού

Ιδιωτικού Δικτύου
- Παροχείς Υπηρεσιών Internet
(Internet Service Providers)
Γενικά
Τι ερωτήματα πρέπει να έχουν απαντηθεί, προτού επιχειρηθεί η
δόμηση ενός VPN?
Πόσοι χρήστες υπάρχουν σε κάθε πλευρά?
Τι είδους σύνδεση θα υπάρχει στο Internet? Μόνιμη ή κατόπιν

αίτησης (π.χ. Dial-up)?
Πόση περίπου κίνηση αναμένεται να υπάρξει από την κάθε πλευρά?
(καθώς και πώς μεταβάλλεται η κίνηση αναλόγως την ώρα ή τη
μέρα)
Θα υπάρχει η δυνατότητα σύνδεσης απομακρυσμένων χρηστών? Αν
ναι, πόσοι?
Τι εφαρμογές θα εξυπηρετούνται? (αυτό θα καθορίσει το κατά πόσον
υπάρχοντα WAN μπορούν να χρησιμοποιηθούν σαν βάση ενός
VPN).
Είναι όλα τα δεδομένα που θα αποστέλλονται της ίδιας βαρύτητας
και σημασίας? Δεδομένα που δεν είναι τόσο κρίσιμη η μυστικότητά
τους θα ήταν καλό να αντιμετωπίζονται διαφορετικά – αποφεύγοντας
έτσι κάποιο κόστος.
Προνοητικότητα για το τι αλλαγές αναμένεται να υπάρξουν στο
μέλλον, όσον αφορά τις ανάγκες του δικτύου
Εικονικών Δικτύων 9 - Παροχείς Υπηρεσιών Internet (ISPs) 2
H Ιεραρχία των ISPs
Περιφερειακά
δίκτυα
Networks
Access
Points (NAP)
Στην ουσία, το Internet στο σύνολό του είναι αποτέλεσμα της

διασύνδεσης των NAPs.

Point of Presence (POP)
Το POP είναι το τμήμα εκείνο του ISP στο
οποίο συνδέονται οι χρήστες, χειρίζεται τα
διάφορα εισερχόμενα είδη κίνησης και τα
προωθεί στο δίκτυο κορμού (από το οποίο
μεταβιβάζονται στο Internet).
Ένα POP περιέχει:
Συλλογή modems (modem bank) για dial-in
συνδέσεις
Δρομολογητές (routers)
Servers για mail (σε ορισμένες περιπτώσεις)
RADIUS Servers
Κριτήρια επιλογής ISP για τη δόμηση ενός

VPN
Η γεωγραφική κάλυψη που παρέχει. Για παράδειγμα, για ένα VPN
διακρατικό πρέπει να χρησιμοποιηθούν αναγκαστικά και NAPs, ενώ για
ένα VPN που περιορίζεται σε μία πόλη ενδεχομένως να αρκεί ένας
απλός τοπικός ISP.
Το είδος της πρόσβασης που θα παρέχει το VPN. Αν είναι μόνο
απομακρυσμένης πρόσβασης, τότε πρέπει να υπάρχουν POPs στα
μέρη από τα οποία οι χρήστες αναμένεται να συνδέονται. (για
περιπτώσεις roaming, κάποιες εταιρίες παρέχουν τη δυνατότητα
διασυνδεσιμότητας περισσότερων ISPs, δηλαδή ο χρήστης συνδέεται
κάθε φορά μέσω POP διαφορετικού ISP).
Τα χρησιμοποιούμενα πρωτόκολλα. Αν χρησιμοποιείται IPSec, όλοι οι
ISPs είναι κατάλληλοι μια που παρέχουν IPSec δυνατότητες. Αντίθετα,
δεν είναι εφοδιασμένοι όλοι οι ISPs με PPTP ή L2TP δυνατότητες.
Τέλος, πρέπει πάντα να έχουμε κατά νου ενδεχόμενη εξάπλωση του
VPN στο μέλλον (ποιες περιοχές θα καλύπτει, τι κίνηση θα εξυπηρετεί
κτλ) για τη σωστή επιλογή του ISP.

Ποια χαρακτηριστικά του ISP ενδιαφέρουν
τον σχεδιαστή ενός VPN?
Η ISP υποδομή (το δίκτυο που σχηματίζουν οι ISPs). H καλύτερη
περίπτωση για ένα VPN είναι μία full-mesh topology (ο κάθε ISP
συνδέεται άμεσα με όλους τους άλλους). Σήμερα, οι διαδικτυακές
υποδομές των ISPs δεν δημιουργούν πρόβλημα για οποιοδήποτε
είδος VPN.
Απόδοση: Πρέπει να ληφθεί υπ’ όψιν πόσο εύρος ζώνης έχει ήδη
διαθέσει ο ISP σε άλλους πελάτες. Γενικότερα, είναι αναγκαίος ο
έλεγχος του κατά πόσον ο ISP μπορεί να εξυπηρετήσει το εύρος
ζώνης που χρειάζεται για το VPN. Επίσης, έλεγχος του κατά πόσον
μπορεί να παρέχει το QoS που το εκάστοτε VPN απαιτεί.
Η ασφάλεια που παρέχει: πρέπει να παρέχει ένας ISP δικούς
του μηχανισμούς για έλεγχο της ασφάλειας των συστημάτων
του.

Διαλειτουργικότητα ISP και VPN

Αν ο ISP χρησιμοποιείται απλά και μόνο για
τη σύνδεση στο Internet, τότε δεν χρειάζονται
ιδιαίτερες απαιτήσεις διαλειτουργικότητας. Αν
όμως είναι αυτός που εγκαθιστά τη δίοδο,
τότε ζητήματα όπως το αν π.χ. υποστηρίζει
RADIUS είναι κρίσιμα.
Ζητήματα κρυπτογράφησης
Ποιους αλγόριθμους υποστηρίζει
Αν μπορεί να «μεταπηδάει» από τον έναν
αλγόριθμο στον άλλο

Συμφωνίες για επίπεδο υπηρεσιών (Service
Level Agreements (SLA) )
Είναι μία συμφωνία μεταξύ δύο πλευρών,
όσον αφορά το πώς θα συνεργαστούν για τη
διεκπεραίωση μίας συναλλαγής
(επικοινωνίας).
Κάθε ISP παρέχει μία SLA η οποία περιέχει
πληροφορίες για τα εξής:
Διαθεσιμότητα δικτύου
Απόδοση
Καθυστέρηση
Μέσος χρόνος επαναφοράς, μετά από βλάβη
Πού θα επιτελούνται οι βασικές λειτουργίες

του VPN?
Έχουμε ήδη δει ότι πολλές λειτουργίες μπορούν να
γίνουν από τους χρήστες του δικτύου (In-House
VPN) αλλά επίσης και από άλλους παροχείς – ISPs
(Outsourced VPNs). Στη δεύτερη περίπτωση γίνεται
πιο επιτακτική η ανάγκη ύπαρξης SLA (όπου ο κάθε
πάροχος υπηρεσιών καθορίζει την ποιότητα
υπηρεσιών που παρέχει).
Δεν είναι σαφής ο διαχωρισμός In-House με
Outsourced VPNs. Συνήθως τόσο οι χρήστες του
δικτύου όσο και κάποιος πάροχος επιτελούν
ταυτόχρονα λειτουργίες.

Διαχείριση ενός Εικονικού Ιδιωτικού
Δικτύου – Διαχείριση διευθύνσεων
Λίγα λόγια για τις IP διευθύνσεις
Για να είναι κάποιος στο Internet, πρέπει να έχει μια

μοναδική IP διεύθυνση – ένας 32-bit αριθμός.
Το πλήθος όλων των πιθανών IP διευθύνσεων είναι
4,294,967,296 (232). Ο πραγματικός αριθμός όμως
είναι σημαντικά μικρότερος (μεταξύ 3.2 και 3.3
δισεκατομμύρια) λόγω αφενός του ότι κάποιες
διευθύνσεις είναι ειδικά δεσμευμένες, αφετέρου
λόγω του ότι δομούνται σε διάφορες κλάσεις
(κλάσεις A,B,C).
Κώστας Λιμνιώτης - Σχεδίαση 10 - Διαχείριση ενός VPN - Διαχείριση

Εικονικών Δικτύων διευθύνσεων 2
Διαχείριση των διευθύνσεων
Dynamic Host Control Protocol (DHCP):

πρωτόκολλο για δυναμική απόδοση των IP
διευθύνσεων (καθιστώντας έτσι πιο ευέλικτο ένα
δίκτυο).
Όταν κάποιος συνδέεται, στέλνει μία DHCP αίτηση
(request) στον DHCP server για να του αποδώσει μία IP
διεύθυνση. Ο server θα στείλει μία απάντηση (reply). O
πελάτης (client) μπορεί είτε να αποδεχτεί είτε να περιμένει
απάντηση από άλλον server. Στη συνέχεια ενημερώνει τον
server που προτίμησε ότι τον αποδέχεται, και τέλος ο
server στέλνει ένα ACK που περιέχει την IP διεύθυνση συν
κάποιες παράμέτρους.
Ένας DHCP server μπορεί να κάνει και στατική απόδοση
διευθύνσεων (π.χ. σε mail servers)

Διαλειτουργικότητα DHCP και DNS
Για κάθε απόδοση διευθύνσεων που κάνει ο DHCP,

ενημερώνει τον DNS Server

Τι πρόβλημα υπάρχει στα VPN?
Ειδικά για εσωτερικά δίκτυα (intranets), οι πιθανές

IP διευθύνσεις είναι:
10.0.0.0 - 10.255.255.255 (Class A)
172.16.0.0 - 172.31.255.255 (Class B)
192.168.0.0 - 192.168.255.255 (Class C)
Οι διευθύνσεις αυτές χρησιμοποιούνται από

πολλούς οργανισμούς – δεν μπορούν να
χρησιμοποιηθούν για πρόσβαση στο internet,
γιατί θα βρεθούν δύο διαφορετικοί
υπολογιστές με την ίδια IP διεύθυνση.
Μια πρώτη λύση – proxy servers
Περιπτώσεις όπου υπάρχουν proxy servers

(π.χ. SOCKS server) αντιμετωπίζουν αυτό το
πρόβλημα – κι αυτό γιατί η δική τους
διεύθυνση αποστέλλεται στο δίκτυο και όχι η
πραγματική διεύθυνση των κόμβων. Ωστόσο,
αυτό δεν αποτελεί γενική λύση.
Οι Proxy servers εξειδικεύονται για κάποιο
συγκεκριμένο πρωτόκολλο (π.χ. HTTP,
HTTPS, FTP). Πρωτόκολλα που βασίζονται
στο UDP είναι πιο δύσκολα διαχειρίσιμα.
Παράδειγμα Proxy server
Gateway
FTP
Proxy
TCP Σύνδεση 1 TCP Σύνδεση 2

HTTPS
“Open https://webmail.teilam.gr” Server
Proxy
HTTP webmail.teilam.gr
Proxy
SOCKS
Server

Δεύτερη λύση - Network Address

Translation(NAT)
Η πύλη (gateway) επιτελεί πια ξεχωριστή λειτουργία
Οι IP διευθύνσεις αποστολέα και προορισμού αλλάζουν
(«μεταγλωτίζονται»)
Καμία αλλαγή δεν λαμβάνει χώρα στους εσωτερικούς κόμβους
του δικτύου
Καμία αλλαγή δεν χρειάζεται να γίνει στις εφαρμογές
Τα πρωτόκολλα που βασίζονται σε TCP λειτουργούν πολύ
καλά, αλλά δυστυχώς όχι τα υπόλοιπα
Παροχή ενός είδους ασφάλειας (μια που είναι «κρυμμένοι» οι
κόμβοι πίσω από την πύλη (gateway))

Παράδειγμα NAT
NAT Gateway
TCP Σύνδεση 1 TCP Σύνδεση 1

Address Server
Translator

Τεχνικές NAT
Στατική μεταγλώττιση διευθύνσεων

Μία συγκεκριμένη IP διεύθυνση μετατρέπεται
πάντα σε μία άλλη συγκεκριμένη (NAT-IP). Καμία
άλλη IP διεύθυνση δεν μετατρέπεται στην ίδια
NAT-IP.
Δυναμική μεταγλώττιση διευθύνσεων
Η NAT IP δεν είναι πάντα σταθερή για κάθε
συγκεκριμένο κόμβο – αλλάζει κάθε φορά που
επιχειρεί νέα σύνδεση (η συνηθέστερη
περίπτωση).
Λειτουργία της μεταγλώττισης των
διευθύνσεων
•Η εσωτερική διεύθυνση κάθε εξερχόμενου πακέτου ελέγχεται από τη NAT διαδικασία

για το αν πληρεί συγκεκριμένους κανόνες. Αν ναι, τότε του αποδίδεται μια νέα
διεύθυνση, από αυτές που διαθέτει ελεύθερες ο NAT μετασχηματισμός (στο σχήμα, οι
ελεύθερες διευθύνσεις βρίσκονται στο pool). Καταχωρείται επίσης σε μία βάση
δεδομένων (διαδικασία MAP στο σχήμα) η νέα διεύθυνση.
•Για κάθε εισερχόμενο πακέτο, ελέγχεται αυτή η βάση δεδομένων και, ανάλογα με το
περιεχόμενό της, γίνεται η δρομολόγηση του εισερχόμενου πακέτου.
Παράδειγμα TCP NAT

PROTO TCP 1. Host tries to connect PROTO TCP 2. NAT gateway sees SYN flag set,
SADDR 10.0.0.3 to web server at SADDR 24.1.70.210 adds new entry to its translation
DADDR 128.32.32.68 DADDR 128.32.32.68
SPORT 1049
128.32.32.68. It sends SPORT 40960
table. It then rewrites the packet
DPORT 80 out a SYN packet using DPORT 80 using gateway’s external IP address,
FLAGS SYN its internal IP address, FLAGS SYN 24.1.70.210. Updates the packet
CKSUM 0x1636 CKSUM 0x2436
10.0.0.3. checksum.
1 2
NAT
Gateway Server
Internet 128.32.32.68
10.0.0.3 4 10.0.0.1 24.1.70.210 3
PROTO TCP
NAT Translation Table PROTO TCP
SADDR 128.32.32.68 Client Server SADDR 128.32.32.68
DADDR 10.0.0.3 IPAddr Port IPAddr Port NATPort DADDR 24.1.70.210
SPORT 80 10.0.0.3 1049 128.32.32.68 80 40960 SPORT 80
DPORT 1049 . . . .. . . . .. . . DPORT 40960
FLAGS SYN, ACK FLAGS SYN, ACK
CKSUM 0x7841 CKSUM 0x8041
4. NAT gateway looks in its 3. Server responds to SYN

translation table, finds a match packet with a SYN,ACK packet.
for the source and destination The packet is sent to the NAT
addresses and ports, and gateway’s IP address.
rewrites the packet using the
internal IP address.
Ιδεατοί εξυπηρετητές NAT (Virtual
Servers ή Load Balancing)
Server
Public
Internet Private
NAT Server
ay
Gatew l Intranet
a
(Virtu
r)
Serve
Server
Server
Μία IP διεύθυνση αποδίδεται σε έναν ιδεατό server, ο οποίος δεν αντιστοιχεί σε

καμία πραγματική συσκευή. Υπάρχουν και κάποια «πραγματικά» IPs, που
αντιστοιχούν σε υπαρκτές συσκευές του ιδιωτικού δικτύου (του VPN για την
περίπτωση που εξετάζουμε). Οι εξωτερικοί χρήστες επιχειρούν σύνδεση στο
ιδιωτικό δίκτυο χρησιμοποιώντας ως διεύθυνση προορισμού των πακέτων τους
την ιδεατή IP διεύθυνση. Τότε ο NAT μετασχηματισμός εναλλάσσει τις IP
διευθύνσεις του ιδεατού server και ενός πραγματικού server (αναλόγως την
εφαρμογή που αιτείται ο χρήστης.)
Παράδειγμα NAT με ιδεατό server
Δημιουργία ιδεατής IP διεύθυνσης 138.201.14.100

Χρήση 2 servers μέσα στο δίκτυο, με IP διευθύνσεις
138.201.14.111 και 148.201.14.112.
Κάθε χρήστης που θέλει να συνδεθεί στο VPN
στέλνει στην ιδεατή διεύθυνση – υπάρχει
αλγόριθμος (ο οποίος ποικίλει από υλοποίηση σε
υλοποίηση) που καθορίζει σε ποιον πραγματικό
server του VPN θα δρομολογηθεί κάθε εισερχόμενο
πακέτο. Διατηρείται μία βάση με τις ενεργές κάθε
στιγμή συνδέσεις.

Σχηματική αναπαράσταση του
προηγούμενου παραδείγματος

Εξισορρόπηση φορτίου
Service Provider 1
Private NAT
Gateway Network X
Intranet
Service Provider 2
Υπάρχουν αλγόριθμοι που καθορίζουν το ποιος

server θα χρησιμοποιηθεί για τη σύνδεση,
αναλόγως το φορτίο που ήδη έχει επιβαρυνθεί ο
καθένας
Τοίχοι Ασφαλείας (firewalls)
Γενικά στοιχεία για τους τοίχους ασφαλείας

Οι τοίχοι ασφαλείας (firewalls) χρησιμοποιούνταν
ανέκαθεν για να προστατεύουν τα LANs από
εισερχόμενα μη εξουσιοδοτημένα πακέτα. Το
φιλτράρισμα αυτό γινόταν με βάση είτε το είδος του
πακέτου, είτε το είδος της εφαρμογής είτε της IP
διεύθυνσης.
Υπάρχουν τριών ειδών τοίχοι ασφαλείας:
Φίλτρα πακέτων (Packet filters)
Πύλες ασφαλείας (security gateways (proxies))
Έξυπνα φίλτρα (Smart filters ή stateful inspections
firewalls)

Εικονικών Δικτύων 11 - Τοίχοι ασφαλείας 2
Packet filters
Εξετάζουν στα
εισερχόμενα
πακέτα τις IP
διευθύνσεις
πηγής και
προορισμού και
επιτρέπουν
διέλευση, με
βάση κάποιους
κανόνες που έχει
θέσει ο
διαχειριστής του
δικτύου.

Πλεονεκτήματα-Μειονεκτήματα των
φίλτρων πακέτων
Εύκολη υλοποίηση
Είναι «διαφανή» στον χρήστη
Όμως
Γίνονται ολοένα και πιο σύνθετα, όσο οι κανόνες
φιλτραρίσματος αυξάνονται
Το φιλτράρισμα με βάση την IP διεύθυνση δεν είναι η
καλύτερη δυνατή λύση – θα ήταν καλύτερη κάποια
πιστοποίηση ταυτότητας του χρήστη που στέλνει τα πακέτα
Δεν προστατεύουν από επιθέσεις «man-in-the-middle»
Πολλές εφαρμογές δεν έχουν σταθερές IP θύρες στις
οποίες στέλνουν πακέτα, έτσι είναι δύσκολο να γίνουν
στατικοί κανόνες φιλτραρίσματος

Πύλες ασφαλείας (Application and security
gateways (proxies))
Αυτοί οι τοίχοι ασφαλείας επιτρέπουν στους χρήστες να
χρησιμοποιούν έναν proxy για να επικοινωνούν με ασφαλή
συστήματα, υποκρύπτοντας τα ασφαλή δεδομένα.
Ο proxy server δέχεται μία σύνδεση από τη μία πλευρά και, αν η
σύνδεση επιτρέπεται, δημιουργεί μια δεύτερη σύνδεση με τον
προορισμό από την άλλη πλευρά. Ο χρήστης που ζητά τη
σύνδεση δεν συνδέεται ποτέ κατευθείαν με τον προορισμό.
Ένας Proxy server προκειμένου να εξυπηρετεί διάφορα είδη
κίνησης, πρέπει να περιέχει πολλούς proxy agents. (όσο πιο
πολλά είδη κίνησης πρέπει να εξυπηρετεί, τόσους πιο πολλούς
proxy agents χρειάζεται).
Υπάρχουν οι circuit proxies και οι application proxies.

Πού τοποθετείται ένας circuit proxy?

Ανάμεσα στον δρομολογητή
δικτύου (network router) και
στο Internet.
Oι πραγματικές IP
διευθύνσεις δεν
μεταδίδονται στο Internet –
μόνο η διεύθυνση του
proxy.
Ένας circuit proxy δεν εξετάζει
ποτέ το είδος της εφαρμογής
στην οποία υπάγονται τα
πακέτα που δέχεται.
Είναι πιο αργοί από τα φίλτρα
πακέτων, γιατί δομούν εκ νέου
την IP διεύθυνση κάθε
πακέτου. Επίσης δεν είναι
διαφανείς προς τον χρήστη
(απαιτείται ειδικό λογισμικό
στο PC).

Application proxy
Εξετάζουν όλο το πακέτο (άρα και
την εφαρμογή στην οποία
ανήκουν). Έτσι αποθαρρύνουν το
IP spoofing.
Χρειάζεται ένας agent για κάθε IP
υπηρεσία (π.χ. HTTP, FTP, SMTP
κ.α.) για την οποία θέλουμε να
ελέγχουμε την πρόσβαση. Άρα για
κάθε νέα υπηρεσία υπάρχει
πρόβλημα αφού δεν μπορεί να
χρησιμοποιηθεί κάποιος υπάρχων
agent.
«Αναγνωρίζουν» χρήστες και
εφαρμογές – άρα, η πιστοποίηση
ταυτότητας είναι πιο ασφαλής.
Ωστόσο, είναι πιο αργοί από τους
circuit proxies.

SOCKS
Πρότυπο για circuit proxies.

Ένας SOCKS proxy επιτρέπει τη διέλευση
μόνο «ειδικών» SOCKS πακέτων, άρα
χρειάζεται ειδικό software που να μετατρέπει
κάθε πακέτο σε κατάλληλη μορφή.
Σχεδιασμένο για TCP αλλά και UDP
client/server εφαρμογές.

Έξυπνα φίλτρα (Smart filters ή stateful
inspections firewalls)
Stateful Multi-Layer Inspection (SMLI): τεχνική που
αναπτύχθηκε για δόμηση τοίχων ασφαλείας
μεγίστης δυνατής ασφάλειας και βέλτιστης δυνατής
απόδοσης.
Μοιάζει με τους Application proxies, υπό την έννοια
ότι εξετάζει όλο το πακέτο (τις κεφαλίδες όλων των
επιπέδων OSI). Χρησιμοποιεί όμως ειδικούς
αλγορίθμους (traffic-screening) για να καθορίζει ή μη
τη διέλευση των εισερχόμενων πακέτων. Κάθε
πακέτο συγκρίνεται με άλλα «φιλικά» πακέτα.

Σχηματική αναπαράσταση του SMLI

Πλεονεκτήματα του SMLI
Κλείνει όλες τις TCP θύρες και τις ανοίγει

δυναμικά, όταν κάποιες συνδέσεις τις
χρειάζονται.
Επιτρέπει επίσης και UDP φιλτράρισμα.
Λόγω της μεγάλης ασφάλειας που παρέχουν
χρησιμοποιούνται κατά κόρον στα VPN – αν
και συνδυάζονται και με proxies, για
αυθεντικοποίηση.

Τοίχοι ασφαλείας και Εικονικά Ιδιωτικά

Δίκτυα
Σε IPSec δίκτυα
όπου υπάρχει
φιλτράρισμα,
υπάρχει η
δυνατότητα να
επιτρέπονται
μόνο κάποιες
συγκεκριμένες
εφαρμογές (π.χ.
Email ή ftp).
Κρίσιμα θέματα για την εγκατάσταση
firewall σε ένα VPN
Να μπορεί να υποστηρίζει τους αλγόριθμους
κρυπτογράφησης που αναμένεται να χρησιμοποιηθούν
από το VPN.
Ειδικά για IPSec δίκτυα, να υποστηρίζουν όχι μόνο τις
κεφαλίδες ESP και AH, αλλά και τον ταυτόχρονο
συνδυασμό τους
Για PPTP δίκτυα, να επιτρέπουν διέλευση από τη θύρα
1723.
Το λειτουργικό σύστημα έχει κρίσιμο ρόλο – τα firewalls του
Unix είναι πιο ασφαλή από των Windows
Πολλά VPNs έχουν firewalls σαν άκρα της διόδου: αυτό
βοηθά πολύ την υλοποίησή τους, αλλά αν «καταρρεύσει»
το firewall καταρρέει ολόκληρο το VPN.

Δόμηση ενός Εικονικού Ιδιωτικού

Δικτύου πάνω σε MPLS
Τεχνολογία MPLS (Multi Protocol Label
Switching)
Αυξάνει την ευελιξία του IP
Η προώθηση πακέτων στηρίζεται σε ειδικές ετικέτες
(labels), που κατασκευάζονται και τοποθετούνται κατά την
εισαγωγή των πακέτων στο Δίκτυο Μεταγωγής / Κορμού.
Οι ετικέτες υποδεικνύουν τόσο τη δρομολόγηση των
πακέτων όσο και τα χαρακτηριστικά ποιότητας των
υπηρεσιών που παρέχονται από το δίκτυο.

Εικονικών Δικτύων 12 - VPN πάνω σε MPLS 2
Ορολογία και δομικά στοιχεία του MPLS

Ετικέτα (Label): Είναι η επικεφαλίδα/ετικέτα που χρησιμοποιείται από τους LSR για την
προώθηση των πακέτων
Δρομολογητής ετικέτας (Label Switch Router (LSR)): Αποτελεί την συσκευή κορμού του
δικτύου που μετάγει πακέτα εφοδιασμένα με το κατάλληλο label σύμφωνα με προϋπολογισμένους
πίνακες μεταγωγής
Δρομολογητής ετικέτας άκρου (Edge Label Switch Router (Edge LSR)): Είναι η συσκευή
στην "άκρη" του δικτύου κορμού, η οποία εκτελεί την αρχική επεξεργασία του κάθε πακέτου,
αναθέτοντάς του μία ετικέτα.
Μονοπάτι ετικέτας (Label Switched Path (LSP)): Είναι το "μονοπάτι" που ορίζεται από το
σύνολο των ετικετών μεταξύ των τελικών σημείων του δικτύου. Μπορεί να είναι είτε δυναμικό (η
συνηθέστερη περίπτωση) είτε στατικό.
Πρωτόκολλο διανομής ετικετών (Label Distribution Protocol (LDP)): Είναι το

πρωτόκολλο που αναθέτει ετικέτες για τη δημιουργία των LSPs, καθώς επίσης δίνει τη δυνατότητα
σε κάθε LSR να «μεταφράζει» την πληροφορία από τις ετικέτες. Η απόδοση των ετικετών γίνεται
σε συνδυασμό με άλλα γνωστά πρωτόκολλα δρομολόγησης (όπως για παράδειγμα το Open
Shortest Path First (OSPF) ή το Border Gateway Protocol (BGP).

Τεχνολογία MPLS

Πόσα είδη MPLS VPNs υπάρχουν?
MPLS VPN επιπέδου 3: βασίζονται στην

MPLS αρχιτεκτονική που έχει το δίκτυο
κορμού του ISP. H μετάδοση της
πληροφορίας γίνεται πάνω στο IP
πρωτόκολλο μόνο.
MPLS VPN επιπέδου 2: υποστηρίζουν όχι
μόνο IP αλλά διάφορες τεχνολογίες (ATM,
X25 κ.ά). Οι αναπτυσσόμενες δίοδοι είναι
ουσιαστικά το ιδεατό μονοπάτι LSP.
Layer 2 MPLS VPNs
Μετάδοση πλαισίων του επιπέδου 2 (οποιουδήποτε πρωτοκόλλου – π.χ. ATM, Ethernet
κτλ)
Αποφάσεις προώθησης με βάση την τιμή ετικέτας,
ετικέτας, και όχι τη διεύθυνση του
πακέτου
Κάθε πακέτο ενθυλακώνεται στο MPLS πρωτόκολλο (δηλαδή αποκτά ετικέτα) και μέσω
του LSP που έχει σχηματιστεί δρομολογείται προς τον προορισμό (όπου εκεί αποκαθίσταται
στην αρχική του μορφή).
Τα LSPs που παράγονται είναι στην ουσία ιδεατά κυκλώματα και αυτά αποτελούν τη δίοδο
(tunnel) του σχηματιζόμενου VPN.

Υλοποιήσεις Layer 2 MPLS VPNs

Draft-Martini: Σύνολο κανόνων που καθορίζουν το πώς γίνεται η
MPLS ενθυλάκωση. Έχει το πλεονέκτημα της υποστήριξης πολλών
διαφορετικών τεχνολογιών (ATM, Ethernet κτλ.). Χρησιμοποιεί το LDP για
τη σηματοδοσία.
Μειονέκτημα: δεν είναι κλιμακούμενο
Draft-Kompella: Σχεδιάστηκαν για να επιλύσουν τα προβλήματα των
Draft-Martini VPNs. Χρησιμοποιούν το πρωτόκολλο BGP και όχι το LDP για
τη δημιουργία tunnels. Αυτό είναι πλεονέκτημα αφενός γιατί το BGP
μπορεί ήδη να χρησιμοποιείται και για την υλοποίηση των L3 VPNs που
μπορεί να συνυπάρχουν στο δίκτυο κορμού, αφετέρου γιατί το BGP είναι
αυτοματοποιημένο και δεν χρειάζεται παρέμβαση του διαχειριστή

Εναλλακτική προσέγγιση L2 MPLS VPN -
VPLS
Virtual Private LAN
Services (VPLS):
Υλοποίηση μίας τοπολογίας
Ethernet, η οποία εκτείνεται
σε περισσότερα από ένα
μητροπολιτικά δίκτυα
Κάθε χρήστης συνδέεται με
άλλον σε άλλη πόλη, σαν να
ανήκαν στο ίδιο τοπικό δίκτυο
Ethernet
Εισαγωγή νέου Ethernet στο
VPLS μπορεί να γίνει είτε
αυτοματοποιημένα (η
συνηθέστερη περίπτωση) είτε
«χειροκίνητα» (manually)

Layer 3 MPLS VPNs – Είδη

δρομολογητών
Δροµ
Δροµολογητές CE (customer
(customer edge)
edge)
Είναι οι δρομολογητές που τους
διαχειρίζεται ο πελάτης και ανήκουν
συνήθως σε αυτόν
Δροµολογητές PE (provider edge)
Είναι οι δρομολογητές που
αποτελούν τα σηµεία εισόδου και
εξόδου των VPNs.
Ανήκουν διαχειριστικά στον ISP.
Aποτελούν το πιο σημαντικό τμήμα
στη «λογική» VPNs
Δροµ
Δροµολογητές P (provider
(provider))
Είναι οι δρομολογητές που
αποτελούν το δίκτυο κορµού του
ISP και ανήκουν και αυτοί
διαχειριστικά σε αυτόν.
Δε συμμετέχουν στη λογική VPN και
ο κύριος σκοπός τους είναι η
προώθηση των MPLS labels προς
τους PE routers
Δρομολογητές PE
Διαµοιράζουν τις πληροφορίες δροµολόγησης των διαφόρων VPNs
και ενηµερώνουν τους πίνακες δροµολόγησης που ανήκουν σε κάθε
VPN. Μεταφέρουν αυτή την πληροφορία μεταξύ τους με τη χρήση
του πρωτόκολλου BGP (Border Gateway Protocol).
Με τη χρήση του MPLS λοιπόν ανταλλάσουν MPLS ετικέτες και έτσι
είναι δυνατό κάθε στιγμή, ένα «μέλος» ενός VPN που συνδέεται σε
έναν συγκεκριμένο δρομολογητή PE να επικοινωνήσει με
οποιοδήποτε άλλο «μέλος» του ίδιου VPN που συνδέεται σε
κάποιον άλλο PE.
Επιπλέον είναι δυνατό, μέσω πολιτικής πρόσβασης στο BGP, να
επιτρέπεται ή να απαγορεύεται η πρόσβαση από/προς
συγκεκριμένα «μέλη» ενός VPN. (το BGP είναι πρωτόκολλο
δρομολόγησης που παρέχει τέτοιες δυνατότητες)
Για να αναγνωρίζει κάθε PE σε ποιο VPN ανήκει κάθε εισερχόμενο
πακέτο (μια που από κάθε PE μπορεί να περνάνε πολλά VPN)
χρησιμοποιείται μια δεύτερη ετικέτα.

Δρομολογητές P
Δεν συµµετέχουν στην δροµολόγηση των
VPNs. Συμμετέχουν μόνο στη δημιουργία
MPLS LSPs ανάμεσα στους δρομολογητές.
Αυτά τα LSPs χρησιμοποιούν οι PEs
προκειμένου να μεταφέρουν την κίνηση
ανάμεσα στα «μέλη» των VPNs.

Πίνακες δρομολόγησης
Mε τη χρήση του BGP, οι
δρομολογητές PE
«γνωρίζουν» τoυς
πίνακες δρομολόγησης
των διαφόρων VPNs που
συνδέονται σε άλλους
PE δρομολογητές.
Κάθε PE δρομολογητής
διατηρεί έναν
«υποπίνακα»
δρομολόγησης που
περιέχει μόνο την
πληροφορία
δρομολόγησης που
αφορά τον συγκεκριμένο
πελάτη και μόνον αυτόν.
Αυτό προσφέρει μέγιστη
ασφάλεια αφού ο
πίνακας δρομολόγησης
ανήκει μόνο σε
συγκεκριμένο πελάτη.

Τοπολογία BGP/MPLS VPNs

Kάθε PE δρομολογητής διατηρεί έναν «υποπίνακα» δρομολόγησης (Virtual Routing & Forwarding
Instance - VRF ) που περιέχει μόνο την πληροφορία δρομολόγησης που αφορά τον
συγκεκριμένο πελάτη και μόνον αυτόν

Aλληλοεπικάλυψη IP διευθύνσεων
VPN-IP διευθύνσεις: Μοναδικές διευθύνσεις που δημιουργούνται

συνδέοντας τον Route Distinguisher ή Route Descriptor (RD) με την IP
διεύθυνση του πελάτη
Μέλη ενός VPN µπορούν να είναι µόνο όσοι έχουν το κατάλληλο

διαχωριστή δρομολόγησης RD. Αυτή η ιδιότητα καθιστά την είσοδο μη
εξουσιοδοτημένων χρηστών στα MPLS VPNs θεωρητικά αδύνατη.

Εισαγωγή νέου κόμβου ενός παραρτήματος
Ο πάροχος πρέπει να κάνει τα εξής:

να ενηµερώσει τον δροµολογητή CE του νέου
παραρτήματος για τον τρόπο σύνδεσης στο
δίκτυο του παρόχου,
να διαµορφώσει τον PE δρομολογητή έτσι ώστε
να αναγνωρίζει τη συµµετοχή του συγκεκριμένου
CE στο συγκεκριμένο VPN.
Στη συνέχεια, το BGP που «τρέχει» στο
συγκεκριμένο PE ενηµερώνει αυτόµατα όλoυς
τους άλλους PEs για το νέο «μέλος».

ΣΧΕΔΙΑΣΗ ΕΙΚΟΝΙΚΩΝ ΔΙΚΤΥΩΝ (Διαφάνειες) Κώστας Λιμνιώτης ΤΕΙ ΛΑΜΙΑΣ

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ΣΧΕΔΙΑΣΗ ΕΙΚΟΝΙΚΩΝ ΔΙΚΤΥΩΝ (Διαφάνειες) Κώστας Λιμνιώτης ΤΕΙ ΛΑΜΙΑΣ

Uploaded by

Copyright:

Available Formats

ΣΧΕΔΙΑΣΗ ΕΙΚΟΝΙΚΩΝ

Γενικές αρχές του Δικτύου –

 Βασική αρχή του σχεδιαστή οποιουδήποτε

Παράδειγμα: Μεταφορά αρχείων (File

Σκληρός δίσκος του χρήστη Α Σκληρός δίσκος του χρήστη Β

Κώστας Λιμνιώτης - Σχεδίαση

1. «Χτυπημένος» δίσκος του χρήστη A, στα sectors που

Κώστας Λιμνιώτης - Σχεδίαση

Πώς αντιμετωπίζουμε τους κινδύνους?

 Προσεχτική σχεδίαση του συστήματος

Κώστας Λιμνιώτης - Σχεδίαση

 O Α υπολογίζει το checksum των δεδομένων του πριν τα αποστείλει.

Ένα «αξιόπιστο» δίκτυο δεδομένων πώς

 Μειώνει την πιθανότητα απώλειας ή

 Μία συνάρτηση (λειτουργία) υλοποιείται

 Δεν αποκλείονται τεχνικές στο χαμηλό επίπεδο του

Κώστας Λιμνιώτης - Σχεδίαση

Κώστας Λιμνιώτης - Σχεδίαση

Παράδειγμα 3: αποφυγή διπλότυπων

Κώστας Λιμνιώτης - Σχεδίαση

 Η ίδια η εφαρμογή πραγματοποιεί κρυπτογράφηση

 Δεν υπάρχει ανάγκη το ίδιο το δίκτυο να παρέχει

 Εικονικά δίκτυα πάνω στο Internet: χρησιμοποιούν

Κώστας Λιμνιώτης - Σχεδίαση

Κώστας Λιμνιώτης - Σχεδίαση

Προϊστορία ιδιωτικών δικτύων

 Δεκαετία 1960: Μισθωμένη γραμμή για σύνδεση δύο

Κώστας Λιμνιώτης - Σχεδίαση

 Δεκαετία 1970: Υπηρεσίες ψηφιακών δεδομένων

 Αρχές 1990: Ανάγκη για μετάδοση φωνής και όχι

Κώστας Λιμνιώτης - Σχεδίαση

Προϊστορία ιδιωτικών δικτύων (ΙΙI)

 Προβλήματα όλων των παραπάνω ιδιωτικών

Κώστας Λιμνιώτης - Σχεδίαση

Κώστας Λιμνιώτης - Σχεδίαση

 Μυστικότητα στις τηλεπικοινωνίες

 Αποκλειστική χρήση του εικονικού δικτύου μόνο από

Κώστας Λιμνιώτης - Σχεδίαση

 Δημιουργεί ένα λογικό («ιδεατό») δίκτυο

Κώστας Λιμνιώτης - Σχεδίαση

Βασική λειτουργία ενός VPN

Κώστας Λιμνιώτης - Σχεδίαση

Ένα tunnel μεταφέρει δεδομένα από ένα δίκτυο σε άλλο

Κώστας Λιμνιώτης - Σχεδίαση

Πλεονεκτήματα των VPNs

 Λιγότερο κόστος, σε σχέση με τις μισθωμένες

Κώστας Λιμνιώτης - Σχεδίαση

Θέματα που ανακύπτουν στη σχεδίαση ενός

Κώστας Λιμνιώτης - Σχεδίαση

Θέματα που ανακύπτουν στη σχεδίαση ενός

 Αξιοπιστία και απόδοση (reliability-performance)

Κώστας Λιμνιώτης - Σχεδίαση

Εικονικό Ιδιωτικό Δίκτυο

Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

Gateway Tunnel Gateway

(NAC) Internet (NAS)

 Δημιουργία λογικών δικτύων μεταξύ των

Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

 O χρήστης (ενδεχομένως κινητός) καλεί τον ISP για

Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

Σχηματική αναπαράσταση ενθυλάκωσης

Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

 Λέγονται ιδιωτικά γιατί παρέχουν μυστικότητα

Κώστας Λιμνιώτης - Σχεδίαση 3 - Βασική αρχιτεκτονική ενός Εικονικού

Βασική αρχή του σχεδιαστή οποιουδήποτε

Προσεχτική σχεδίαση του συστήματος

O Α υπολογίζει το checksum των δεδομένων του πριν τα αποστείλει.

Μειώνει την πιθανότητα απώλειας ή

Μία συνάρτηση (λειτουργία) υλοποιείται

Δεν αποκλείονται τεχνικές στο χαμηλό επίπεδο του

Η ίδια η εφαρμογή πραγματοποιεί κρυπτογράφηση

Δεν υπάρχει ανάγκη το ίδιο το δίκτυο να παρέχει

Εικονικά δίκτυα πάνω στο Internet: χρησιμοποιούν

Δεκαετία 1960: Μισθωμένη γραμμή για σύνδεση δύο

Δεκαετία 1970: Υπηρεσίες ψηφιακών δεδομένων

Αρχές 1990: Ανάγκη για μετάδοση φωνής και όχι

Προβλήματα όλων των παραπάνω ιδιωτικών

Μυστικότητα στις τηλεπικοινωνίες

Αποκλειστική χρήση του εικονικού δικτύου μόνο από

Δημιουργεί ένα λογικό («ιδεατό») δίκτυο

Λιγότερο κόστος, σε σχέση με τις μισθωμένες

Αξιοπιστία και απόδοση (reliability-performance)

Δημιουργία λογικών δικτύων μεταξύ των

O χρήστης (ενδεχομένως κινητός) καλεί τον ISP για

Λέγονται ιδιωτικά γιατί παρέχουν μυστικότητα

Τα πρωτόκολλα στα VPN ανήκουν σε δύο

Point to Point Tunneling Protocol (PPTP)

Όλα υποστηρίζουν tunneling.

IPSec: παρέχει ασφάλεια στο TCP/IP

Για client-to-LAN tunnels: RADIUS

Τα πρωτόκολλα TCP/IP δεν εμπεριέχουν

Μπορούν να υπάρξουν συσκευές

Στα υπάρχοντα VPN η πιστοποίηση ταυτότητας

Παραδοσιακά Passwords: Πολύ ακατάλληλα. Σε

Τα passwords μεταδίδονται «ελεύθερα» στο

Περιοδικά, κατά την διάρκεια που πραγματοποιείται η επικοινωνία,

Ο εξυπηρετητής στέλνει ένα μήνυμα-πρόκληση (challenge

O RADIUS client είναι στην ουσία ένας NAS

Οι αλγόριθμοι κρυπτογράφησης χρησιμοποιούν ένα ή

Ο αποστολέας και ο παραλήπτης πρέπει από την αρχή να

Tα TCP/IP πρωτόκολλα δεν έχουν δικούς