Professional Documents
Culture Documents
fakultet Univerziteta
Beogradu
VIRTUELNE
PRIVATNE MREE
ore Ili 52 / 2000
djordje81@verat.net
1
ta je virtuelna privatna
mrea?
Virtuelna privatna mrea (Virtual Private Network)
u svojoj osnovi predstavlja privatnu mreu koja se uspostavlja preko
javne infrastrukture,ali zadrava sigurnost i zatitu privatne mree.
Privatna (Private)
Minimalno: nema meanja saobraaja sa saobraajem izvan te mree,
i omoguena je podrka za privatni adresni prostor.
Mogue kriptovanje i zatita saobraaja
Mrea (Network)
koriste je dva ili vie korisnika
Protokoli
Firewall
Bezbednost
Kriptovanje
Poverljivost se postie pomou algoritama za kriptovanje koji
emuliraju privatnost linka
Autentikacija
identifikacija korisnika ili ureaja pre nego to se napravi VPN
konekcija
Simetrini Asimetrini
Dial-up ISP
Modem Access
Wireless Access
Internet
Radio Connection
Corporate
Network
ISDN/DSL/Cable Wired Connetion
ISP Modem Access
VPN Tunnel
Virtuelne privatne mree 16/91
Intranet VPN
Database
Internet
Compute
VPN Tunnel
Unencrypted
Encrypted/Authenticated
Virtuelne privatne mree 17/91
Extranet VPN
Web Data Web Commerce
Server Server
Extranet
Business Partner
Database
Internet
Web
Integrated Firewall
&
VPN Server
Compute
Customer A CE
Site 1 Community
CE PE RED
Tunel(i)
Community PE
RED terminiran na
P strani korisnika
P
=> IN HOUSE
Customer B
PE P The provider
Site 1 PE network
CE
Community Customer
BLUE
B
Site 2
CE
Tunel(i) terminiran na
Community
strani ISP-a BLUE
=>OUTSOURCED
Deljena IP
mrea Internet
Corporate
Headquarters
Customers,
Suppliers
Ureaji u IP VPN-u:
CPE (Customer Premisses Equipment) - odgovarajui korisniki ureaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi
specijalni VPN ureaji)
NAS (Network Access Server) - ureaj pomou kojeg provajder usluga obezbeuje korisniku Internet pristup
HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mree povezuje na Internet preko NAS-a.
Virtuelne privatne mree 22/91
IP VPN: Enkapsulacija
Enkapsulacija je proces u kome protokol nieg nivoa
preuzima paket protokola vieg nivoa, nad njim vri zahtevanu obradu,
dodaje svoje zaglavlje i kreira novi paket.
Korak 2
Originalni IP paket enkapsuliran
u drugi IP paket
Original IP New IP
packet Packet
Workstation
Router A Router B Original IP Y
Workstation Tunel Tunel paket dest Y
X Korak 1. Korak 3
Original IP Originalni, nerutabilni Originalni paket
packet dest Y IP Paket poslat ruteru ekstrakovan, poslat
na destinaciju
Dial IP Access
MPPE - kriptovanje
IP Packets
TCP/IP Packet
IP TCP Payload
Header Header Data
Modem
Customer
Service Provider
Premise
Equipment
Remote,
Telecommuter Employees
Analog
RADIUS RADIUS
Korak 1
Udaljeni korisnik inicira sesiju ili poziv LAC-u
Analog
RADIUS RADIUS
Analog
Korak 3
Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira
korisniki PPP frejm i tuneluje ga preko mree LNS ureaju
Service Provider
KORAK 3 CPE
Remote, LAC
Telecommuter LNS
Employees Internet,
Frame Relay,
ISDN PSTN
ATM Network
Corporate
Network/
Servers
Analog
RADIUS RADIUS
Service Provider
KORAK 4 CPE
LAC
Remote, LNS
Telecommuter Internet,
Employees PSTN Frame Relay,
ISDN ATM Network
Analog
RADIUS RADIUS
Internet/
Intranet
Internet/
SG SG
Intranet
Internet
SG SG
Intranet Intranet
Internet SG
Intranet
Transportni mod
Enkapsulacija podataka iz IP paketa.
IP zaglavlje je nezatieno
Zatita omoguena za vie slojeve
Obino se koristi u host-host komunikaciji
Tunelski mod
Enkapsulira ceo IP paket
Pomae u zatiti analize saobraaja
Originalni IP paket je zatien na Internetu
Internet/
Intranet
Internet SG
Intranet
Authenticated
Encrypted
Authenticated
Algoritmi
DES 3DES
kriptovanja
Autentikacioni
Preshared RSA signatures
metod
Diffie-Hellman Diffie-Hellman
Razmena kljueva
group 1 group 2
Vreme trajanja
86,400 seconds Manje 86,400 secs.
asocjacije
Osnovni mod
Agresivni mod
Brzi mod
Autentikacija na domen
L2TP Tunelovanje
saobraaja
L2TP Korisniki ID/Password
Smart Card/EAP
Autentikacija
korisnika Da Da Da Da
Autentikacija tunela
Ne Da Da Da
Autentikacija paketa
Ne Ne Da Da
Vieprotokolna
podrka Da Da Da Ne
Protokol za
MPPE MPPE EPS EPS
kriptovanje
NAT NAT
Insert
H dr dr
Orig
T1 IP 2 Hdr
H AH Hdr TCP Hdr Data
A T
N NA Contains an encrypted hash of
the original packet header
Virtuelne privatne mree 76/91
VPN i NAT/NATP
NAT NAT
Insert
Orig IP Hdr ESP Hdr TCP Hdr Data
Insert
Orig IP Hdr UDP src 4500, dst 4500 ESP Hdr Rest Poslat od A
H dr dr
Orig H
T1 IPT2Hdr UDP src XXX, dst 4500 ESP Hdr Rest Primljen od B
NA
NA
Problem: skalabilnost
Enterprise Site-a A
preko PE A Frame Enterprise
Tunnel 1 Site A
IP L2TP Frame PE B
Frame
DLCI 28
PE A DLCI 54
Tunnel 2 PE C
DLCI 29
Enterprise IP Core Enterprise
Hub Site B
Provider 2
Provider 1
Subscriber A
ATM Access
ATM Access
Subscriber
A
VPN Traffic:
ATM VC2 mapped to MPLS LSP tunnel
Implementacija L3 MPLS:
pomou tehnike virtuelnih tabela za rutiranje i prosleivanje (Virtual Routing and Forwarding
tables - VRF).
pomou tehnike virtuelnih rutera (Virtual Router - VR).
Virtuelne privatne mree 86/91
Praktini aspekti korienja
VPN
Performanse VPN zavise iskljuivo od izbora Internet
provajdera
Kad god je mogue koristiti usluge jednog provajdera
Neophodno je analizirati mreu provajdera sa stanovnitva:
Topologije mree, protoci na okosnici (backbone) i
poprenim linkovima
Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN
Mogunost pruanja dodatnih servisa (npr L2TP tunneling)
Cena zakupa linka i usluga provajdera
Kad god je mogue primeniti odgovarajue mere zatite
(access lists, firewalls, kriptozatita).
Vrste instaliranih i
planiranih VPN mrea Korieni protokoli
Najvaniji proizvoai:
AT&T
UUNET
Infonet
Genuity