Professional Documents
Culture Documents
VPN, MPLS, Ipsec
VPN, MPLS, Ipsec
Virtuelna privatna mrea je mrea jedne institucije ili grupe korisnika realizovana preko javne ili deljene infrastrukture (Internet, provajderske mree) VPN tehnologije:
Frame Relay ATM IP VPN tehnologije:
MPLS IPsec L2TP GRE Q-in-Q
mr Pavle Vuleti
http://www.ciscopress.com/content/images/1587051796/samplecha pter/1587051796content.pdf
1 2
Podele VPN
Po tome ko ih realizuje:
Provider provisioned Customer enabled
MPLS tehnologija
Klasian IP ne moe da prui neke servise koji su vremenom postali znaajni za ozbiljne primene u oblasti pruanja telekomunikacionih servisa (QoS, traffic engineering, VPN,...) ATM je zamiljen kao tehnologija koja bi reavala navedene probleme, ali ATM nije uspeo da se nametne kao dominantna tehnologija 1996. formirana MPLS grupa u okviru IETF
5 6
Po vrsti servisa:
Site-to-site (LAN-to-LAN)
Intranet (lokacije jedne institucije) Extranet (povezivanje razliitih institucija)
Remote Access
Compulsory (access server inicira VPN vezu) Voluntary (klijent inicira VPN vezu)
Po poverljivosti podataka
Trusted VPN Secure VPN
12
MPLS prosleivanje
Labele se najee dodeljuju na osnovu destinacione IP adrese paketa, ali nisu kodovane u labelu. Labele mogu da se dodeljuju i na osnovu drugih parametara, poput interfejsa preko kog je stigao paket, na osnovu rutera,... Na taj nain se menja osnovna paradigma IP rutiranja koje je iskljuivo zasnovano na destinacionoj adresi U MPLS razliite putanje ka istoj destinaciji mogu da imaju paketi koji su u mreu uli preko npr. razliitih rutera ili razliitih interfejsa jednog rutera MPLS source routing predefinisana putanja za neku FEC
13
14
Zato Multirpotocol?
Labela se smeta izmeu protokola 2. i 3. sloja
Labela
Exp S
TTL
Exp Experimental za organizaciju redova za ekanje S Bottom of Stack bit 0 ako iza date labele postoji jo jedna labela, 1 ako nema vie labela Labele od 0 do 15 su rezervisane U Labeli ne postoji polje za protokol 3. sloja enkapsuliran labelom, pa ruteri implicitno prilikom dodeljivanja labela moraju da vode rauna o tome da je za odreene labele enkapsuliran odreeni protokol 3. sloja
15 16
MPLS terminologija
LSR Label Switching Router Ru Upstream ruter Rd Downstream ruter Labela L je outgoing za Ru, a incoming za Rd Ru i Rd moraju da se sloe da odreena L odgovara nekoj FEC kako bi znali nain na koji e da izvre label switching
17
Dodeljivanje labela
Labelu nekoj FEC dodeljuje ruter blii destinaciji (downstream) Labele nakon toga propagiraju ka upstream ruterima Labele su downstream asigned Labele mogu da imaju pridruene i atribute Ruteri informiu jedan drugog o nainu povezivanja FEC i labele putem razliitih protokola:
LDP MPBGP RSVP
18
21
22
Frame-mode MPLS
Reim kada se MPLS koristi kao zamena za klasino destination based rutiranje MPLS se vrsto oslanja na IP rutiranje i interni protokol rutiranja i labele se dodeljuju na osnovu ruta u riting tabeli LDP mehanizam rada je najee: independent control with unsolicited downstream and liberal retention
23
Propagacija labela
Na slici je nacrtana samo aktivna topologija U stvarnosti, labele propagiraju ka svim susednim ruterima
24
LDP i BGP
Sve rute dobijene BGP protokolom imaju istu labelu kao njihov Next hop!!! BGP prefiksi nemaju svoje labele! P ruteri ne moraju da razmenjuju BGP rute, ve je dovoljno da imaju rutu (labelu) ka Next Hop mrei
LDP i BGP
27
Nije potreban potpun IBGP graf P ruteri ne moraju uopte da pokreu BGP proces U sluaju punih Internet ruting tabela znaajna 28 uteda resursa
MPLS traceroute
30
PHP
Poslednji (egress) ruter MPLS mree treba da uradi sledee:
da primi paket sa odreenom labelom, da proveri u tabeli labela ta sa tim paketom da skine labelu i da ga prosledi van mree klasinim IP rutiranjem (da pogleda IP ruting tabelu)
MPLS/VPN
Kreiranje privatnih mrea preko MPLS infrastrukture Zahtevi:
Svaka privatna mrea moe da ima proizvoljan skup adresa Svaka privatna mrea moe da ima nezavisno interno rutiranje (slanje informacija o rutama unutar jedne od lokacija)
31 32
Dvostruko gledanje u tabele neoptimalno Zato je dobro da se labela skida na pretposlednjem ruteru (Penultimate Hop Popping), pa da se paket od pretposlednjeg do poslednjeg rutera prosledi klasinim IP
Route distinguisher
VPN3
VPN2
MPLS
VPN1 VPN2
VPN3
33
PE ruteri razmenjuju korisnike rute obeleene route distingusher-om Route distingusher je oznaka kojom se obeleavaju rute koje pripadaju pojedinoj VRF instanci VPN identifikator Rutama se dodaje 64-bitna vrednost Korisnike rute se razmenjuju izmeu PE rutera putem MP-BGP najskalabilnije reenje
34
Prosleivanje paketa
Da bi se razlikovao saobraaj izmeu razliitih VPN, paketi moraju da budu na neki nain obeleeni Obeleavanje se vri drugim setom labela, koje su enkapsulirane u labele za prenos paketa po MPLS mrei Uobiajena notacija: AS:n: Primer: 100:27:10.2.1.0/24
35 36
39
10
Fast reroute
Mehanizam kojim se omoguava brzo pronalaenje alternativne putanje (LSP) Alternativni LSP se formira prilikom formiranja primarnog LSP Vreme prebacivanja nekoliko desetina ms
44
11
Optimizovana metrika
druga metrika RFC 3785 Jedna metrika klasina IGP metrika Druga metrika metrika za CBR Za jedan LSP se putanja odreuje na osnovu jedne od ove dve metrike Pronalaenje optimalne putanje po obe metrike istovremeno je NP-potpun problem
45
Odreivanje TE LSP
Offline
LSP se izraunava van rutera i implementira na njima Optimalne putanje
Online
Sami ruteri izraunavaju najbolje LSP (CSPF) Neoptimalne putanje Otporno na promene u mrei Skalabilnije
46
CSPF, CBR
CBR Constrained Based Routing CSPF - Constrained Shortest Path First Ne postoji definisan standard Postoje ekstenzije za OSPF i ISIS Princip:
Dijkstra algoritam se primenjuje na osnovni graf iz kog su izbaene grane koje ne zadovoljavaju neki kriterijum
47
CSPF
48
12
OSPF-TE
RFC 3630 Nova vrsta LSA Tip 10, koja se razmenjuje unutar jedne oblasti LSA tip 10 nosi nove atribute za svaki link:
1 - Link type (1 octet) 2 - Link ID (4 octets) 3 - Local interface IP address (4 octets) 4 - Remote interface IP address (4 octets) 5 - Traffic engineering metric (4 octets) TE metrika 6 - Maximum bandwidth (4 octets) BW linka 7 - Maximum reservable bandwidth (4 octets) adm konfigurie 8 - Unreserved bandwidth (32 octets) 8 vrednosti za 8 preempt prioriteta 9 - Administrative group (4 octets) afinitet, boja
50
Uspostavljanje TE-LSP
RSVP Resource reSerVation Protocol IntServ QoS arhitektura Koristi se ekstenzija RSVP protokola RSVP-TE PATH poruke idu u downstream smeru, sa posebnim poljem LABEL_REQUEST u kojem su opisani parametri (ogranienja) zahtevanog LSP RESV poruke idu u upstream smeru i alociraju labele
51
Reoptimizacija
Ako nestane T1, T2 e prei na krau putanju MPLS TE ima make-before-brake optimizaciju Postoji mehanizam koji spreava double booking Reoptimizacija moe da se pokrene runo, po isteku nekog tajmera, nakon nekog dogaaja
52
13
L2TP
Layer 2 Tunneling Protocol Nastao iz L2F i PPTP protokola Najnovija verzija L2TPv3 (RFC 3931) Slui za prenos razliitih L2 tehnologija preko IP mrea
Ethernet 802.1q Frame Relay HDLC PPP
53
L2TPv3
Sa omoguavanjem prenosa razliitih L2 tehnologija omogueno je i stvaranje siteto-site L2 VPN preko IP mrea L2TPv3 pseudowire L2TPv3 pseudowire moe da prenosi neIP saobraaj (AppleTalk, IPX) L2TPv3 pseudowire moe da se koristi kao mehanizam za tranziciju na IPv6
55
56
14
IP in IP RFC 2003
Namenjen za korienje u Mobile IP
60
15
61
62
Cryptosystem overview
Simetrina enkripcija
63
64
16
Asimetrina ekripcija
Najpoznatiji algoritmi asimetrine enkripcije su RSA (Ron Rivest, Adi Shamir, and Leonard Adleman) i El Gamal algoritam.
66
Hashing
Hashing algoritmi
Dva najrasprostranjenija hash algoritma: MD5 i SHA HMAC verzije sa kljuem:
HMAC-MD5 Koristi 128-bit klju. Izlaz je 128-bit hash. HMAC-SHA-1 Koristi 160-bit klju. Izlaz je 160-bit hash.
67
68
17
Yb=24(mod 11) Yb=5 K=YaXb(mod 11) K=64(mod 11) = 1296(mod 11) K=9
69
70
DH problem: Man-in-the-middle
Replay napad
71
72
18
n 2 = 0.02e
k
19
IPsec
Skup protokola i metoda opisanim u RFC: 2401 (4301) i brojnim drugim RFC dokumentima Sastavni deo IPv6 Osnovne komponente:
Authentication Header Encapsulating Security Payload IKE/ISAKMP
Sigurnosna asocijacija - SA
SA je skup pravila i metoda koje e IPsec strane u komunikaciji koristiti za zatitu saobraaja izmeu njih. SA sadri sve sigurnosne parametre potrebne za siguran transport paketa kroz mreu korienjem IPsec Uspostavljanje SA je preduslov za IPSec zatitu saobraaja. SA su uvek unidirekcione. Za zatitu saobraaja u oba smera, potrebno je da postoje dve paralelne SA. SA se uvaju u SA database (SADB) Skup pravila se uva u Security policy DB SPDB 78
SA
SA
Za svaki poseban protokol koji se koristi postoji posebna SA Parametri koji postoje u SA:
Algoritam za autentikaciju/enkripciju, duina kljua, trajanje kljua Kljuevi koji slue za autentikaciju (HMAC) i enkripciju Specifikaciju saobraaja koji e biti podvrgnut datoj SA IPSec protokol za enkapsulaciju (AH or ESP) i reim rada (tunel ili transport) 80
MY_EXTERNAL_IP
PEER_EXTERNAL_IP
HOST A
HOST B
79
20
Authentication header - AH
0 Next Header 7|8 15|16 Payload Length Sequence Number Field Authentication Data (variable) RESERVED Security Parameter Index (SPI) 31
AH
IP Authentication Header (AH) se koristi za
Obezbeivanje integriteta bez ostvarivanja konekcije Autentikacije porekla IP paketa Zatitu od napada ponavljanjem
Delovi IP zaglavlja koji se menjaju tokom prolaska kroz mreu ne mogu da budu zatieni (TTL, Flags, Fragment offset, TOS)
81 82
ESP
ESP prua sledee servise:
Poverljivost Autentikaciju porekla Obezbeivanje integriteta bez ostvarivanja konekcije Anti-replay servis Ogranienu zatitu od analize tokova u mrei (kada se koristi tunel mod)
83 84
21
85
86
Kombinacije dve SA
10.0.3.5
Host 1 Security Gateway 1 Internet Security Gateway 2 Host 2 Host 1 Security Gateway 1 Internet Security Gateway 2 Host 2
Router A
SA1(Tunnel) SA2(Tunnel) SA1(Tunnel) SA2(Tunnel)
10.0.3.5 10.0.0.7
IP
TCP
DATA
A
192.168.1.254 192.168.2.1
192.168.1.254 192.168.2.1
TCP
DATA
Kriptovano
Host 1
Security Gateway 1
Internet
Security Gateway 2
Host 2
Host 1
Security Gateway 1
Internet
Security Gateway 2
Host 2
B
192.168.1.254 192.168.2.1
TCP
DATA
SA1(Tunnel) SA2(Tunnel)
SA1(Tunnel) SA2(Tunnel)
Router B
10.0.3.5 10.0.0.7 IP
TCP
DATA
87
10.0.0.7
10.0.3.5 10.0.0.7 IP
TCP
DATA
88
22
IKE/ISAKMP
IKEv1 RFC 2409 ISAKMP RFC 2407, 2408 IKEv2 RFC 4306 (obsoletes 2407, 2408, 2409) IKE je hibridni protokol koji je nastao iz Oakley i Skeme mehanizma za razmenu kljueva i koristi Internet Security Association and Key Management Protocol (ISAKMP) okvir kao mehanizam za razmenu poruka Oakley i Skeme mehanizmi su zasnovani na DH razmeni kljueva
89
IKE
Osnovni Diffie-Hellman mehanizam ne prua autentikaciju uesnika u razmeni kljueva. Nedostatak autentikacije omoguava Man-inthe-middle napade. Autentikacija se ostvaruje na razliite naine:
unapred razmenjenim kljuevima digitalnim potisima Sertifikatima
U IKE protokol su ukljuene i druge zatite od replay,... Napada PFS Perfect Forward Secrecy
90
IKE mehanizam
IKE razmena kljua se sastoji od dve faze:
Main mode Quick mode
U Main mode fazi se dobija klju koji slui za zatitu IKE saobraaja (ISAKMP SA) U Quick mode fazi se dobija klju koji slui za zatitu korisnikog saobraaja (IPsec SA)
91
Quick mode
92
23
Kreiranje IPsec SA
IPsec SA moe da se kreira:
Po potrebi, kada naie paket koji pripada datoj SA
Manje zauzee resursa Inicijalno kanjenje veliko Potencijalno vei broj rekey-a
93
94
Performanse IPsec
OpenBSD, 10Mbps link, FTP transfer
Propusni opseg IPSec sigurnosne asocijacije [bit/s]
8.00E+06 7.00E+06 6.00E+06 5.00E+06 4.00E+06 3.00E+06 2.00E+06 1.00E+06 0.00E+00 Bez algoritma CAST Blowfish DES 3DES 3DES+MD5 Blow+SHA
1500000 1000000 500000 0 0 200 400 600 800 1000 1200 1400 1600
Bborder
95
96
24
500
1000
1500
2000
2500
97
98
25