Professional Documents
Culture Documents
ΔΙΚΤΥΩΝ
Κώστας Λιμνιώτης
ΤΕΙ ΛΑΜΙΑΣ
Δίκτυο μετάδοσης
Θέματα απόδοσης
Συμπέρασμα
Εισαγωγή
Η ραγδαία ανάπτυξη του Internet έχει αλλάξει πλήρως το
γενικότερο τηλεπικοινωνιακό πλαίσιο στις τελευταίες δεκαετίες.
Προσφέρει πληθώρα υπηρεσιών, πολλές σε χαμηλό κόστος
(από χρήση απλών τηλεφωνικών γραμμών για μετάδοση
δεδομένων, μέχρι ζεύξεις πολύ υψηλής ταχύτητας για μετάδοση
εφαρμογών multimedia)
Προβλήματα (που ανέκυψαν λόγω της, πέρα από κάθε
προσδοκία, εξέλιξής του):
Η αύξηση των χρηστών δημιουργεί προβλήματα διαθέσιμου
εύρους ζώνης, το οποίο με τη σειρά του θέτει ζητήματα
αξιοπιστίας της μετάδοσης – π.χ. δεν πρέπει να χάνονται πακέτα,
δεν πρέπει οι καθυστερήσεις πακέτων να είναι μεγάλες κ.ο.κ.)
Προβλήματα ασφάλειας
Επιθυμητά χαρακτηριστικά
Ασφάλεια
Εγγυημένη ποιότητα υπηρεσιών
Κίνητρα
Οικονομικά
Η χρήση της υπάρχουσας δημόσιας υποδομής
μειώνει το κόστος του δικτύου
Παύει η ανάγκη ύπαρξης μισθωμένων γραμμών
Προσαρμοστικότητα/Κλιμάκωση (scalability)
Γεωγραφική: οποιοσδήποτε χρήστης από οποιοδήποτε
μέρος κι αν βρίσκεται μπορεί να συνδεθεί στο VPN, αρκεί ο
ISP να διαθέτει POP (Point of Presence: σημείο
πρόσβασης στο internet που βρίσκεται σε κάθε ISP. Το
πλήθος τους σε έναν ISP προσδιορίζει το μέγεθός του).
Εύρους ζώνης: Μπορεί ένας υπολογιστής σε γραφείο που
ανήκει στο δίκτυο να χρειάζεται T1, ενώ ο υπολογιστής του
ίδιου εργαζόμενου που βρίσκεται στο σπίτι του να του αρκεί
μία dial-up σύνδεση.
Μειωμένες απαιτήσεις εξοπλισμού
Διαλειτουργικότητα (Interoperability)
Είναι ανοιχτό πρόβλημα. Τα PPTP και L2TP «ταιριάζουν»
καλύτερα σε client-initiated tunnels, ενώ το IPSec
προσφέρεται για LAN-to-LAN tunnels (θα αναλυθούν
παρακάτω).
Διαχείριση IP Διευθύνσεων (Addressing)
Μπορούν δύο ιδιωτικά δίκτυα με τον ίδιο χώρο IP
διευθύνσεων να επικοινωνήσουν μεταξύ τους?
LAN-to-LAN tunnel
Δίκτυο 1
Δίκτυο 2
Home Network
Χρήστης
Πρωτόκολλα VPN
Πρωτόκολλα Διαχείρισης
Υπάγονται σε 4 κατηγορίες:
Δρομολογητές (routers)
Κάνουν κρυπτογράφηση των πακέτων που λαμβάνουν και
προωθούν. Δύο είδη υπάρχουν στο εμπόριο: με add-on software ή
με ξεχωριστό κύκλωμα για την κρυπτογράφηση (το τελευταίο
χρησιμοποιείται όταν θέλουμε μεγάλη ταχύτητα). Βέβαια, αν πέσει η
απόδοση ενός router, πέφτει η απόδοση όλου του VPN.
Τοίχοι προστασίας (firewalls)
Φιλτράρουν τα δεδομένα, με βάση τη διεύθυνση που αναγράφει το
κάθε πακέτο. Σε μεγάλα δίκτυα με πολύ φόρτο, αν τα firewalls
πραγματοποιούν κρυπτογράφηση τότε πέφτει η συνολική απόδοση.
Integrated VPN hardware
Ειδικός εξοπλισμός για να παρέχει tunneling και κρυπτογράφηση. Τα
περισσότερα στο εμπόριο είναι για LAN-to-LAN τοπολογίες.
VPN software
Κατάλληλα για μικρά δίκτυα, χωρίς μεγάλο φόρτο. Επίσης πιο
οικονομική λύση.
Εμπιστευτικότητα
Πιστοποίηση ταυτότητας αποστολέα
Ακεραιότητα δεδομένων
Επιθέσεις σε IP πρωτόκολλα
Spoofing
Session hijacking
Sniffing
Man-in-the-middle-attack
Spoofing (Εξαπάτηση)
Κάθε IP πακέτο περιέχει τις διευθύνσεις τόσο του αποστολέα
όσο και του παραλήπτη. Με το spoofing ένας «εχθρός» μπορεί
να χρησιμοποιήσει τη διεύθυνση κάποιου και να προσποιηθεί ότι
είναι αυτός.
Μόλις ο επιτιθέμενος X ανιχνεύσει μία επικοινωνία μεταξύ Α και
B:
Στέλνει στον B μήνυμα, αλλά βάζοντας τη διεύθυνση του Α ως
διεύθυνση αποστολέα
Ο B απαντά στον Α με κάποιους αριθμούς, αναμένοντας ο Α να
αποκριθεί σε αυτούς
Ο X στέλνει συνέχεια αλλεπάλληλα πακέτα στον A ώστε να τον
εμποδίσει να απαντήσει στις αιτήσεις του Β. Ταυτόχρονα, αν
καταφέρει και βρει τους αριθμούς πακέτων που στέλνει ο A (αυτό
στην πράξη είναι αρκετά εύκολο να γίνει) τότε απαντά αυτός στον
B κι έτσι αποκαθίσταται μία σύνδεση μεταξύ X και B. O Β
πιστεύει ότι επικοινωνεί με τον A.
Sniffing
Αρχές Κρυπτογραφίας
Αποστολέας P C P
Encryption Decryption Παραλήπτης
Αποστολέας P C P
Encryption Decryption Παραλήπτης
Ee Dd
Προτάθηκαν το 1976
Κάθε συμμετέχων στο σύστημα κατέχει ένα ζευγάρι κλειδιών e και d, που το ένα
αντιστρέφει το άλλο: Dd(Ee(m))=m
Ένα από τα δύο κλειδιά μπορεί να είναι γνωστό, με την προϋπόθεση ότι η γνώση
αυτή δεν οδηγεί σε προσδιορισμό του άλλου κλειδιού. Το e μπορεί να είναι
δημόσιο (γνωστό), αλλά το d κρατείται μυστικό.
Η ανταλλαγή κλειδιών μεταξύ αποστολέα και παραλήπτη αντικαθίσταται από την
ύπαρξη ενός διαφανούς καταλόγου, στον οποίο όλοι έχουν πρόσβαση, και
περιέχει τα κλειδιά e όλων των συμμετοχόντων.
Αποστολέας A Παραλήπτης B
Α Β
2. 2.
Δημιουργία Δημιουργία
τυχαίου τυχαίου
αριθμού x αριθμού y
A B
3. 3.
Υπολογισμός Υπολογισμός
x’=gx mod p 4.
Ανταλλαγή x’, y’ y’=gy mod p
χωρίς ασφάλεια
B
A
5. 5.
Υπολογισμός κλειδιού= Υπολογισμός κλειδιού=
y’x mod p x’y mod p
=g^xy mod p =gxy mod p
6. Κρυπτογράφηση με το παραπάνω
συμμετρικό κλειδί που υπολογίστηκε
Κώστας Λιμνιώτης - Σχεδίαση
Εικονικών Δικτύων 4 - Ασφάλεια σε ένα Internet VPN 26
Original
Application Layer
Message
Τι κάνει το IPSec??
Προσθέτει δύο κεφαλίδες – Κεφαλίδα πιστοποίησης (IP Authentication
Header - AH) για πιστοποίηση ταυτότητας και Ενθυλακωμένη Ασφάλεια
(Encapsulating Security Payload - ESP) για κρυπτογράφηση.
Μπορεί να χρησιμοποιηθεί και σε IPv4 (εκτός από τα IPv6) πακέτα.
Χρησιμοποιεί τα ακόλουθα:
Diffie-Hellman αλγορίθμους για την ανταλλαγή συμμετρικού κλειδιού
DES ή AES ή άλλους μπλοκ αλγορίθμους για την κρυπτογράφηση
Συναρτήσεις κατακερματισμού για την πιστοποίηση της ακεραιότητας
δεδομένων
Ψηφιακούς πιστοποιητές (digital certificates) για την επικύρωση των δημοσίων
κλειδιών
προστατευμένο
Τρόπος διόδου (Tunnel Mode) (κυρίως σε VPN):
προστατευμένο
Κώστας Λιμνιώτης - Σχεδίαση
Εικονικών Δικτύων 5 - Το πρωτόκολλο IPSec στο VPN 8
Tunnel mode:
To νέο IP πακέτο «ταξιδεύει»
από τον έναν δρομολογητή
στον άλλο χωρίς να μπορούν
να διαβάσουν το αρχικό πακέτο
που βρίσκεται ενθυλακωμένο.
Με ESP κρυπτογραφείται όλο
το αρχικό IP πακέτο
Με AH αυθεντικοποιείται όλο το Transport mode:
αρχικό IP πακέτο, καθώς και Χρησιμοποιείται για προστασία της
κάποια πεδία της νέας IP επικοινωνίας από άκρο-σε-άκρο (π.χ.
κεφαλίδας Client-server εφαρμογές).
Με ESP κρυπτογραφείται το αρχικό IP
payload (όχι η κεφαλίδα)
Με AH αυθεντικοποιείται το IP payload,
καθώς και κάποια πεδία της IP
κεφαλίδας
Κώστας Λιμνιώτης - Σχεδίαση
Εικονικών Δικτύων 5 - Το πρωτόκολλο IPSec στο VPN 9
IPSec σε κατάσταση διόδου (tunnel mode)
Οι δύο κεφαλίδες μπορούν να χρησιμοποιηθούν είτε η κάθε μία μόνη της, είτε
συνδυασμένες και οι δύο μαζί. Όταν χρησιμοποιούνται ταυτόχρονα, ο AH έπεται του ESP.
Γιατί υπάρχουν δύο κεφαλίδες??
Κάποιες χώρες έχουν αυστηρούς νόμους ως προς την κρυπτογράφηση. Αν δεν υπάρχει η
δυνατότητα για κρυπτογράφηση, η κεφαλίδα πιστοποίησης (AH) παρέχει κάποιους μηχανισμούς
ασφάλειας και μπορεί να χρησιμοποιηθεί. Με απλά λόγια, η ύπαρξη και των δύο κεφαλίδων είναι
αυτή που εξασφαλίζει τη δυνατότητα διάδοσης του IPSec σε όλο το Internet.
[Header, SA1]
[Header, SA1]
[Header, [Cert]sig]
Internet Dial
IPsec VLANs
IPsec
IPsec
Firewall
Campus
Κώστας Λιμνιώτης - Σχεδίαση
Εικονικών Δικτύων 5 - Το πρωτόκολλο IPSec στο VPN 36
Εισαγωγή
Για VPN μικρής γεωγραφικής εμβέλειας ή για περιπτώσεις όπου
η εταιρία ενδιαφέρεται απλά και μόνο στο να δώσει πρόσβαση
σε απομακρυσμένους κινητούς πελάτες της, τα πρωτόκολλα
PPTP και L2TP προτιμώνται από το IPSec (χωρίς αυτό να
σημαίνει ότι το IPSec δεν μπορεί να εφαρμοστεί και σε αυτές τις
περιπτώσεις).
Το PPTP είναι πρωτόκολλο εγκαθίδρυσης διόδου (tunneling)
που προτάθηκε από τη Microsoft και την Ascend. Σύντομα έγινε
δημοφιλές. Ταυτόχρονα η Cisco είχε προτείνει το L2F. Ως
διάδοχος αυτών των δύο εμφανίστηκε το L2TP, που
υποστηρίχτηκε από όλες τις εταιρίες για να γίνει πρότυπο.
Η εξάπλωση του PPTP οδηγεί στην ανάγκη το να αναλυθεί
ξέχωρα από το L2TP.
Δύο ειδών:
Πακέτα ελέγχου
Πακέτα δεδομένων
Μετά την εγκατάσταση της PPTP διόδου, τα
δεδομένα μεταφέρονται μεταξύ του «πελάτη» (client)
και του PPTP εξυπηρετητή (server). O client μπορεί
να είναι είτε πρόγραμμα στον υπολογιστή ενός
χρήστη είτε πρόγραμμα στον ISP.
Τα δεδομένα μεταφέρονται σε IP πακέτα, που
εμπεριέχουν PPP πλαίσια. Τα IP πακέτα
δημιουργούνται με μια τροποποιημένη έκδοση
του GRE.
PPP PPTP
Encapsulator Interface
IP Packets
Ενθυλάκωση PPTP
TCP/IP Packet
IP TCP Payload
Header Header Data
Μηχανισμοί αυθεντικοποίησης:
•TACACS (Terminal Access Controller Access Control System)
• RADIUS (Remote Authentication of Dial-up Users Services)
Δίοδοι (tunnels)
Δίοδος (tunnel): τεχνική ενθυλάκωσης ενός πακέτου/πλαισίου σε
ένα άλλο πακέτο/πλαίσιο διαφορετικού πρωτοκόλλου. Η
δρομολόγησή του γίνεται σε ένα ιδεατό κύκλωμα (tunnel). Ο
δέκτης μετατρέπει το λαμβανόμενο πακέτο στην αρχική του
μορφή.
Στο PPTP, οι ζεύξεις γίνονται πάνω σε διόδους (tunnels)
Οι δυνατότητες του υπολογιστή του χρήστη καθορίζουν το άκρο
της διόδου: αν ο υπολογιστής έχει PPTP software τότε αυτός
είναι το άκρο της διόδου. Διαφορετικά, αν υποστηρίζει μόνο PPP
και όχι PPTP, τότε το άκρο της διόδου βρίσκεται στον ISP και
συγκεκριμένα στον RAS (Remote Access Server).
Οι δίοδοι μπορούν να είναι δύο ειδών: αυθόρμητες δίοδοι
(voluntary tunnels) και αναγκαστικές δίοδοι (compulsory
tunnels). Οι πρώτες δημιουργούνται μετά από αίτηση του
χρήστη, ενώ οι αναγκαστικές δημιουργούνται αυτόματα, χωρίς
καμία παρεμβολή από τον χρήστη.
Software interfaces
Τo πρωτόκολλo L2TP
στο VPN
Γενικά στοιχεία για το L2TP
Γίνεται επίσης έλεγχος ροής δεδομένων μεταξύ των δύο άκρων της
διόδου, που στην L2TP ορολογία αποκαλούνται L2TP Access
Concentrator (LAC) και L2TP Network Server (LNS). (O LAC είναι για το
L2TP ό,τι είναι ο RAS για το PPTP).
Οι ίδιες κατηγορίες διόδων που είδαμε και στο PPTP υποστηρίζονται και
εδώ – αυθόρμητες (voluntary) και αναγκαστικές (compulsory).
Analog
RADIUS RADIUS
Στις αυθόρμητες
διόδους το ένα άκρο
είναι στον υπολογιστή
του χρήστη, ενώ στις
αναγκαστικές το άκρο
τους είναι το LAC.
LAC
Remote, LNS
Telecommuter Internet, Corporate
Employees PSTN Frame Relay, Network/
ISDN ATM Network Servers
Analog
RADIUS RADIUS
Remote,
Telecommuter LAC LNS
Employees Internet, Corporate
PSTN Frame Relay, Network/
ISDN ATM Network Servers
Analog
Service Provider
Βήμα 3
Remote, LAC
Telecommuter LNS
Employees Internet, Corporate
PSTN Frame Relay, Network/
ISDN ATM Network Servers
Analog
RADIUS RADIUS
Analog
RADIUS RADIUS
Εισαγωγή
Το πρωτόκολλο SSL (Secure Socket Layer) αναπτύχθηκε από την
Netscape Communications Corporation για την ασφαλή επικοινωνία
ευαίσθητων πληροφοριών (π.χ. αριθμούς πιστωτικών καρτών)
Η πρώτη σχεδίαση του πρωτοκόλλου έγινε τον Ιούλιο του 1994 και
αποτελούσε την πρώτη έκδοση (version 1.0).
Τον Δεκέμβριο του 1994 εκδίδεται μια επαναθεώρηση του
πρωτοκόλλου, η δεύτερη έκδοση του (version 2.0).
Αναβαθμίστηκε σε SSL v.3.0 με δημόσια αναθεώρηση και
σημαντική συνεισφορά από τη βιομηχανία. Αυτή η νέα έκδοση του
πρωτοκόλλου SSL τέθηκε επισήμως σε κυκλοφορία το Δεκέμβριο
του 1995. Μετεξελίχτηκε στο TLS (Transport Layer Security)
Βασικό χαρακτηριστικό: παρέχει TCP/IP ασφάλεια μεταξύ δύο
συστημάτων, όπου το ένα δρα σαν πελάτης (client) και το άλλο σαν
εξυπηρετητής (server).
Γενικά χαρακτηριστικά
DES-40 40
DES 56
3DES 168
Fortezza 80
Φάση 2
Φάση 3
Φάση 4
Τα χρωματισμένα μηνύματα
είναι προαιρετικά
Φάση 2
SÎ C: Server certificate
Ο server αποδεικνύει την ταυτότητα του με την
αποστολή του ψηφιακού του πιστοποιητικού (το
οποίο φέρει την υπογραφή μίας διαπιστευμένης
αρχής).
Προαιρετικά, μπορεί να ζητήσει πιστοποίηση
ταυτότητας από τον client.
SSL IPSEC
Περιφερειακά
δίκτυα
Networks
Access
Points (NAP)
Gateway
FTP
Proxy
HTTP webmail.teilam.gr
Proxy
SOCKS
Server
NAT Gateway
Τεχνικές NAT
1 2
NAT
Gateway Server
Internet 128.32.32.68
10.0.0.3 4 10.0.0.1 24.1.70.210 3
PROTO TCP
NAT Translation Table PROTO TCP
SADDR 128.32.32.68 Client Server SADDR 128.32.32.68
DADDR 10.0.0.3 IPAddr Port IPAddr Port NATPort DADDR 24.1.70.210
SPORT 80 10.0.0.3 1049 128.32.32.68 80 40960 SPORT 80
DPORT 1049 . . . .. . . . .. . . DPORT 40960
FLAGS SYN, ACK FLAGS SYN, ACK
CKSUM 0x7841 CKSUM 0x8041
Server
Εξισορρόπηση φορτίου
Service Provider 1
Private NAT
Gateway Network X
Intranet
Service Provider 2
Εξετάζουν στα
εισερχόμενα
πακέτα τις IP
διευθύνσεις
πηγής και
προορισμού και
επιτρέπουν
διέλευση, με
βάση κάποιους
κανόνες που έχει
θέσει ο
διαχειριστής του
δικτύου.
Πλεονεκτήματα-Μειονεκτήματα των
φίλτρων πακέτων
Εύκολη υλοποίηση
Είναι «διαφανή» στον χρήστη
Όμως
Γίνονται ολοένα και πιο σύνθετα, όσο οι κανόνες
φιλτραρίσματος αυξάνονται
Το φιλτράρισμα με βάση την IP διεύθυνση δεν είναι η
καλύτερη δυνατή λύση – θα ήταν καλύτερη κάποια
πιστοποίηση ταυτότητας του χρήστη που στέλνει τα πακέτα
Δεν προστατεύουν από επιθέσεις «man-in-the-middle»
Πολλές εφαρμογές δεν έχουν σταθερές IP θύρες στις
οποίες στέλνουν πακέτα, έτσι είναι δύσκολο να γίνουν
στατικοί κανόνες φιλτραρίσματος
SOCKS
Δρομολογητής ετικέτας (Label Switch Router (LSR)): Αποτελεί την συσκευή κορμού του
δικτύου που μετάγει πακέτα εφοδιασμένα με το κατάλληλο label σύμφωνα με προϋπολογισμένους
πίνακες μεταγωγής
Δρομολογητής ετικέτας άκρου (Edge Label Switch Router (Edge LSR)): Είναι η συσκευή
στην "άκρη" του δικτύου κορμού, η οποία εκτελεί την αρχική επεξεργασία του κάθε πακέτου,
αναθέτοντάς του μία ετικέτα.
Μονοπάτι ετικέτας (Label Switched Path (LSP)): Είναι το "μονοπάτι" που ορίζεται από το
σύνολο των ετικετών μεταξύ των τελικών σημείων του δικτύου. Μπορεί να είναι είτε δυναμικό (η
συνηθέστερη περίπτωση) είτε στατικό.
Δρομολογητές P
Δεν συµµετέχουν στην δροµολόγηση των
VPNs. Συμμετέχουν μόνο στη δημιουργία
MPLS LSPs ανάμεσα στους δρομολογητές.
Αυτά τα LSPs χρησιμοποιούν οι PEs
προκειμένου να μεταφέρουν την κίνηση
ανάμεσα στα «μέλη» των VPNs.