You are on page 1of 91

Elektrotehniki

fakultet Univerziteta
Beogradu

VIRTUELNE
PRIVATNE MREE
ore Ili 52 / 2000
djordje81@verat.net

1
ta je virtuelna privatna
mrea?
Virtuelna privatna mrea (Virtual Private Network)
u svojoj osnovi predstavlja privatnu mreu koja se uspostavlja preko
javne infrastrukture,ali zadrava sigurnost i zatitu privatne mree.

Virtuelne privatne mree 2/91


ta je virtuelna privatna
mrea?
Virtuelna (Virtual)
odnosi na injenicu da je uspostavljena privatna mrea u stvari logike prirode,
tj. nastaje logikom podelom javne mree koju u isto vreme koristi veliki broj
korisnika i organizacija.

Privatna (Private)
Minimalno: nema meanja saobraaja sa saobraajem izvan te mree,
i omoguena je podrka za privatni adresni prostor.
Mogue kriptovanje i zatita saobraaja

Mrea (Network)
koriste je dva ili vie korisnika

Virtuelne privatne mree 3/91


VPN: Prednosti

Prednosti virtuelnih privatnih mrea:

Poveanje geografske pokrivenosti.


Utede u iznajmljenim linijama.
Utede u udaljenim i meunarodnim dial-up
pozivima.
Mogunost brzog dodavanja novih
udaljenih korisnika.
Smanjenje potrebne opreme za
remote-access.
Utede u ljudstvu.

Virtuelne privatne mree 4/91


VPN: Mane
Mane virtuelnih privatnih mrea:

VPN mree zahtevaju dobra znanja o security-ju (zatiti podataka), prvenstveno


u pogledu hakerskih napada i konfiguracije VPN ureaja
za rad u sprezi sa firewall-ovima.
Mogunost korienja VPN-a (dostupnost i QoS) zavise od
faktora van kue (od kvaliteta usluge koju daje Internet Service Provider ISP)
i naroito je izraeno u naim uslovima.
Ukoliko VPN konekcija simulira rad raunara u LAN-u,
u zavisnosti od kvaliteta VPN servera i veze sa ISP-om,
protok podataka izmeu raunara umreenih u VPN-u je osetno sporiji u odnosu
na LAN.
Pitanje interoperabilnosti raznih proizvoaa.
Ovo je izraeno za sve tehnologije u razvoju, a ima veliku ulogu pri izgradnji
Extranet VPN-a gde svaki VPN segment (svaki partner, organizacija i sl) ima
ureaje kupljene od razliitog proizvoaa.
Virtuelne privatne mree 5/91
VPN principski zahtevi
Principski zahtevi koji se postavljaju pred jednu IP VPN mreu su sledei:

Koncept tajnosti tj. privatnosti (security), u okviru koga imamo:


Autentikacija identifikacija korisnika ili ureaja pre nego to se napravi VPN
konekcija
Integritet podataka - predstavlja dokaz da prilikom prenosa sadraj nije izmenjen.
Poverljivost podataka - pod ovim se podrazumeva da podaci, prilikom prenosa,
nisu mogli biti proitani i iskorieni od tree strane
Enkapsulacija pod ovim podrazumeva kako e korisnika informacija,
kao podatak, biti enkapsulirana i preneena preko mree.
Vieprotokolna podrka (multiprotocol supporl) - VPN mrea bi trebalo da podri
razmenu podataka pod razliitim protokolima (IP. IPX ...).
Upravljanje adresama (address menagement) - privatne adrese koje korisnici imaju
u okviru VPN mree ne smeju da budu dostupne na javnoj mrei.
Garantovani kvalitet usluge (QoS) - pod ovim se obino podrazumevaju propusni
opseg dostupan korisnicima, maksimalna kanjenja paketa i garancija isporuke
paketa.

Virtuelne privatne mree 6/91


Komponente VPN-a

Protokoli

Firewall

Bezbednost

Virtuelne privatne mree 7/91


VPN komponente: Protokoli
GRE- enkapsulacioni metod da uzme pakete iz jednog protokola, enkapsulira ih u IP paket
i transportuje enkapsulirani paket preko IP osnove.
Point to Point Protocol (PPP)
Point to Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
IPSec
Pretty Good Privacy (PGP) najee se koristi u besplatnom e-mail softveru
da omogui sigurnost i nije protokol koji se esto koristi u izgradnji VPN-a.
Secure Socket Layer (SSL) obezbeuje sigurnost transakcija baziranih na HTTP-u,
i dostupnih pomou popularnih browser-a.
Secure Shell (SSH) je protokol koji se primarno koristi da omogui bezbedno izvravanje
komandi na udaljenim mainama koristei IP mreu.
Socks - izlazi Socks servera se ponaaju kao povezujui vor izmeu klijenta i eljene
destinacije host-a.
Multi-Protocol Label Switching (MPLS)

Virtuelne privatne mree 8/91


VPN komponente: Protokoli

Application --- Pretty Good Privacy - e-mail

Transport --- SSL, TLS,SOCKS, SSH

Network --- IPSec


--- MPLS
Data Link --- PPTP, L2TP

Physical --- Hardware Encryption

Virtuelne privatne mree 9/91


VPN komponente: Protokoli

Firewall prati sav saobraaj kroz mreu i titi mreu


od upada neautorizovanih korisnika.
Najee korieni tipovi filtriranja:
u zavisnosti od IP adresa
omoguava zabranu konekcija od ili prema
odreenim raunarima i/ili mreama,
u zavisnosti od nihovih IP adresa.
u zavisnosti od portova
omoguava zabranu konekcija od ili prema
odreenim raunarima i/ili mreama,
u zavisnosti od broja porta.

Virtuelne privatne mree 10/91


VPN komponente:
Bezbednost

Kriptovanje
Poverljivost se postie pomou algoritama za kriptovanje koji
emuliraju privatnost linka

Autentikacija
identifikacija korisnika ili ureaja pre nego to se napravi VPN
konekcija

Virtuelne privatne mree 11/91


VPN komponente:
Algoritmi kriptovanja

Simetrini Asimetrini

simetrini algoritmi -jedinstven klju za kriptovanje i


dekriptovanje.
asimetrini algoritmi - par kljueva od kojih se jedan koristi
za kriptovanje a drugi za dekriptovanje.
Kljuevi iz para su matematiki povezani.

Virtuelne privatne mree 12/91


VPN komponente:
Autentikacija
Ureaja - pristup VPN-u na osnovu autentikovanih informacija koje
udaljeni VPN ureaj prosleuje.
Nedeljivi kljuevi
Digitalni potpis

Korisnika - da li korisnik koji pristupa VPN mrei ima pravo pristupa


i da li je on stvarno taj za koga se izdaje.
neto to zna
neto to ima
neto to jesi

Virtuelne privatne mree 13/91


VPN: Tipovi

Tip ostvarene Nain iznajmljivanja Terminacija VPN


konekcije: linije: konekcije:

Remote Access Poverljiva IN HOUSE


Sigurna
Router to router OUTSOURCED
Intranet Hibridna
Extranet Provajderska

Virtuelne privatne mree 14/91


VPN: Tipovi
IntranetVPN
Intranet VPN
povezivanje
povezivanje Home
organizacionihdelova
organizacionih delova
jednekompanije
kompanijeuujednu
jednu Office
jedne
Intranetmreu
Intranet mreu
Main
Office
POP

Remote WAN VPN


Office
POP
Remote
RemoteAccess
AccessVPNVPN
konekcija se ostvaruje
konekcija se ostvaruje
na
narelaciji
relacijiudaljeni
udaljeni
ExtranetVPN
Extranet VPN
korisnik mrea
korisnik mrea
povezujeklijente,
povezuje klijente,
partnere.vie
partnere. vie Business
korporacijauu
korporacija Partner Mobile
jednumreu
jednu mreu
Worker

Virtuelne privatne mree 15/91


Remote access VPN
Global ISP Global ISP
Dial Access

Dial-up ISP
Modem Access

Wireless Access

Internet
Radio Connection

Corporate
Network
ISDN/DSL/Cable Wired Connetion
ISP Modem Access
VPN Tunnel
Virtuelne privatne mree 16/91
Intranet VPN

Remote Office Network Corporate Network

Database
Internet

VPN VPN Web


Proxy Server Proxy Server

Compute
VPN Tunnel
Unencrypted
Encrypted/Authenticated
Virtuelne privatne mree 17/91
Extranet VPN
Web Data Web Commerce
Server Server

Extranet

Business Partner
Database
Internet

Web
Integrated Firewall
&
VPN Server
Compute

Technical Collaborator Corporate Network


Virtuelne privatne mree 18/91
VPN: Tipovi

Poverljive VPN: korisnik iznajmljuje poverljive linije od


provajdera i koristi ih za komunikaciju bez prekida

Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe


strane pri prenosu podataka.

Hibridna VPN: meavina sigurne i poverljive VPN.


Korisnik kontrolie sigurnosne puteve VPN-a,
dok je provajder odgovaran sa aspekta poverljivosti

Provajderski omoguene VPN: itava VPN je


administrirana od strane provajdera.

Virtuelne privatne mree 19/91


VPN: IN
HOUSE/OUTSOURCED
Customer A
Site 2

Customer A CE
Site 1 Community
CE PE RED

Tunel(i)
Community PE
RED terminiran na
P strani korisnika
P
=> IN HOUSE

Customer B
PE P The provider
Site 1 PE network
CE
Community Customer
BLUE
B
Site 2
CE
Tunel(i) terminiran na
Community
strani ISP-a BLUE
=>OUTSOURCED

Virtuelne privatne mree 20/91


Arhitektura VPN-a

Virtuelne privatne mree 21/91


IP virtuelna privatna mrea
IP virtuelna privatna mrea je skup korisnika (pojedinanih klijenata i/ili
mrea) povezanih na Internet preko svojih provajdera Internet usluga (ISP-
Internet Service Provider). Koristi IP kao protokol.
Branch
Remote Offices
Workers

Deljena IP
mrea Internet

Corporate
Headquarters
Customers,
Suppliers

Ureaji u IP VPN-u:
CPE (Customer Premisses Equipment) - odgovarajui korisniki ureaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi
specijalni VPN ureaji)
NAS (Network Access Server) - ureaj pomou kojeg provajder usluga obezbeuje korisniku Internet pristup
HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mree povezuje na Internet preko NAS-a.
Virtuelne privatne mree 22/91
IP VPN: Enkapsulacija
Enkapsulacija je proces u kome protokol nieg nivoa
preuzima paket protokola vieg nivoa, nad njim vri zahtevanu obradu,
dodaje svoje zaglavlje i kreira novi paket.

Virtuelne privatne mree 23/91


IP VPN: Tunelovanje

Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog


protokola, ali pri tome je drugi protokol na istom ili viem nivou nego prvi

Virtuelne privatne mree 24/91


IP VPN: Tunelovanje

Korak 2
Originalni IP paket enkapsuliran
u drugi IP paket

Original IP New IP
packet Packet
Workstation
Router A Router B Original IP Y
Workstation Tunel Tunel paket dest Y
X Korak 1. Korak 3
Original IP Originalni, nerutabilni Originalni paket
packet dest Y IP Paket poslat ruteru ekstrakovan, poslat
na destinaciju

Virtuelne privatne mree 25/91


IP VPN: Vrste tunelovanja

Dve osnovne vrste tunelovanja:


Dobrovoljno tunelovanje (Voluntary tunnels)
Tunelovanje uspostavljeno na zahtev korisnika
(Zahteva klijentski softver na udaljenom raunaru)

Obavezno tunelovanje (Compulsory tunnels)


Tunelovanje kreirano od strane NAS-a ili rutera
(Podrka za tunelovanje neophodna na NAS-u ili ruteru)

Virtuelne privatne mree 26/91


Dobrovoljno tunelovanje

Pokriva celokupnu konekciju


Radi na bilo kom uredjaju
Tunelovanje transparentno vorovima i posrednikim ureajima
Korisnik mora imati klijentski software za tunelovanje
kompatibilan sa serverski softverom za tunelovanje
PPTP, L2TP, L2F, IPSEC, IP-IP, etc.
Istovremen pristup Intranet-u (pomou tunelovanja) i Internet-u
Radnici mogu koristiti line naloge za pristup korporacijskim
podacima
Udaljene poslovne aplikacije
Dial-up VPN za nizak obim saobraaja

Virtuelne privatne mree 27/91


Dobrovoljno tunelovanje

Dobrovoljni PPTP tunel

PPTP Virtual Interface PPP access protocol

Dial IP Access

Dial Access PPTP Access


Client Host Serial Interface Server
Server

Dial Access Provider VPN Service

Virtuelne privatne mree 28/91


Obavezno tunelovanje

Radi sa bilo kojim klijentom


Ne pokriva celokupnu konekciju
(deo izmeu CPE i NAS-a nije zatien tunelovanjem)
NAS mora podravati isti metod tunelovanja
Ali Tunelovanje transparentno srednjim routerima
Pristup mrei kontrolisan od tunel servera
Korisniki podaci mogu putovati samo kroz tunel
Internet pristup omoguen
Mora biti predefinisan
Velika kontrola
Moe biti praen

Virtuelne privatne mree 29/91


Obavezno tunelovanje

Obavezni L2TTP tunel

PPP access protocol

V.x modem protocol L2TP

Dial Access L2TP Access


Client Host Server Server
Non-routed
forwarding path

Dial Access Provider Internet or VPN Service

Virtuelne privatne mree 30/91


Protokoli za tunelovanje

Protokoli za tunelovanje drugog nivoa:


PPP
PPTP
L2TP

Virtuelne privatne mree 31/91


IP VPN: PPP

PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji,


i njegova osnovna funkcija je ostvarivanje veze dial-up tipa
izmeu udaljenog korisnika i NAS-a.

Postoje etiri faze uspostavljanja PPP veze

PRVA FAZA - FAZA USPOSTAVLJANJE LINKA

DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA

TREA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA

ETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA

Virtuelne privatne mree 32/91


IP VPN: PPP

PRVA FAZA - FAZA USPOSTAVLJANJE LINKA

Uspostavljanje linka se vri pomou LCP protokola (l.ink Control Protocol).


Tokom ove faze se uspostavlja fizika veze izmeu udaljenog korisnika
i NAS-a, zatim sledi izbor protokola kojim e se vriti autentikacija korisnika,
i na kraju se odreuje da li e se u toku sesije vriti kriptovanje i kompresija
paketa koji se razmenjuju.

DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA


U ovoj fazi koristi prethodno ugovoreni protokol za autentikaciju.
U veini implementacija PPP podrava ogranieni skup protokola za autentikaciju.
PAP (Password Authentication Protocol).
CHAP (Challenge Handshake Authentication Protocol).
MSCHAP (Microsoft-ova verzija CHAP-a) i
MSCHAP-2 (unapreena verzija MSCHAP-a).

Virtuelne privatne mree 33/91


IP VPN: PPP

TREA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA

Ako se koristi, tada odmah nakon zavretka druge faze veza se


prekida, a zatim server (NAS) poziva korisnika.
Ovim se uvodi dodatna mera zatite, jer se NAS moe konfigurisati
tako da doputa samo veze sa odreenih telefonskih brojeva.

ETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA

U ovoj fazi se aktivira kontrolni protokol na mrenom nivou


(izabran u prvoj fazi obino je to IPCP) koji e konfigurisati
protokole koje koristi udaljeni klijent.
MPPC kompresija

MPPE - kriptovanje

Virtuelne privatne mree 34/91


IP VPN: PPTP

Koristi TCP 1723 & PPP unutar GRE paketa

Razvijen od strane konzorcijuma koji su inili


Microsoft, 3Com, Ascend, RASCOM, ECI Telematics

Puten u upotrebu sa Windows NT 4.0 1996

Kritikovan iz sigurnosnih razloga

Glavna primena kod remote-access VPN

Tunelovanje preteno dobrovoljno

PPTP informacije RFC 2637, Jul 1999

Virtuelne privatne mree 35/91


IP VPN: PPTP konekcija

Kreiranje sigurnog komunikacionog kanala korienjem


PPTP prokola se obino sastoji od tri koraka:

kreiranje PPP konekcije izmeu korisnika i NAS-a,

kreiranje PPTP kontrolne konekcije,

kreiranje PPTP konekcije i prenos podataka.

Virtuelne privatne mree 36/91


IP VPN: PPTP konekcija

1. Uspostavljanje dial-up vezu izmeu udaljenog korisnika i NAS-a


koristei PPP protokol.

Virtuelne privatne mree 37/91


IP VPN: PPTP konekcija
2. Izmeu PPTP klijenta (udaljenog korisnika) i PPTP servera
kreira PPTP kontrolna konekcija korienjem TCP protokola.

Virtuelne privatne mree 38/91


IP VPN: PPTP konekcija

3. Parametri za PPTP kanal se dogovaraju preko kontrolnog


kanala, i PPTP tunel se formira

Virtuelne privatne mree 39/91


IP VPN: PPTP konekcija

4. Druga PPP je formirana od strane udaljenog korisnika, pomou


tunela formiranog izmeu PAC-a i PNS-a,
i privatne mree NAS-a

Virtuelne privatne mree 40/91


IP VPN: PPTP konekcija

5. IP datagrami ili neki drugi datagrami se alju unutar PPP paketa

Virtuelne privatne mree 41/91


Primer PPTP tunelovanja

PPTP Client Computer


SMB Packets
PPP PPTP
Encapsulator Interface
SLIP
IP Packets Interface

PPTP Server Computer


IP Packets
PPP PPTP IP GRE Packets ISP Gateway
Decapsulator Interface
SMB Packets SLIP
Interface

IP Packets

Virtuelne privatne mree 42/91


Primer PPTP tunelovanja

TCP/IP Packet
IP TCP Payload
Header Header Data

PPP PPP IP TCP Payload


Encapsulator Header Header Header Data

PPTP IP GRE PPP IP TCP Payload


Interface Header Header Header Header Data

SLIP SLIP IP GRE PPP IP TCP Payload


Interface Header Header Header Header Header Data

Modem

Virtuelne privatne mree 43/91


IP VPN: L2TP

Napravljen od strane IETF PPP Extensions


KombinacijaCisco L2F & PPTP protokola,
L2TP Extensions radna grupa ga objavila
Omoguava slanje tunelovanih PPP paketa e samo preko IP,
ve i preko X.25, Frame Relay, ATM mrea
Koristi UDP za kontrolne i pakete podataka,
dobro poznati port 1701
Koristi PPP za enkapsulaciju paketa
Za kriptovanje podataka zaduen MPPE
Postojanje jedne konekcije za slanje obe vrste paketa.
Mogue uspostavljanje vie tunela izmeu dva korisnika

Virtuelne privatne mree 44/91


IP VPN: LAC

L2TP Access Concentrator (LAC)


Preteno povezan na vie obinih telefonskih ili ISDN
linija
Samo mu treba implementacioni medij, preko kojeg
L2TP radi kako bi prosledio ka jednom ili vie LNS-a
Preteno inicijator dolaznih a primalac odlaznih poziva

Virtuelne privatne mree 45/91


IP VPN: LNS
L2TP Network Server (LNS)
Radi na bilo kojoj platformi koja podrava PPP
Zaduen za serversku stranu L2TP protokola
skalabilnost je kritina
U mogunosti da prekine bilo koju vezu
pristiglu od bilo kog LAC PPP interfejsa
(async, ISDN, PPP preko ATM, PPP preko Frame Relay)
Inicijator odlaznih poziva
Primalac dolaznih poziva

Virtuelne privatne mree 46/91


IP VPN: L2TP u mrei

Customer
Service Provider
Premise
Equipment
Remote,
Telecommuter Employees

LAC Internet, LNS


Frame Relay,
ISDN PSTN ATM Network Corporate Network/
Servers

Analog

RADIUS RADIUS

= L2TP Encapsulated Tunnel

Virtuelne privatne mree 47/91


Kako L2TP ureaj radi...

Korak 1
Udaljeni korisnik inicira sesiju ili poziv LAC-u

KORAK 1 Service Provider CPE

Remote, LAC LNS


Telecommuter Internet,
Employees PSTN
Frame Relay,
ISDN ATM Network

Analog

RADIUS RADIUS

Virtuelne privatne mree 48/91


Kako L2TP ureaj radi...
Korak 2
LAC alje autentikovan zahtev Radius serveru, koji autentikuje poziv i
formira konfiguracione informacije o kreiranju, tipa L2TP tunela i krajnje
take tunela.

Service Provider CPE


Remote,
LAC
Telecommuter LNS
Employees Internet,
Frame Relay,
ISDN PSTN
ATM Network

Analog

KORAK 2 RADIUS RADIUS

Virtuelne privatne mree 49/91


Kako L2TP ureaj radi...

Korak 3
Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira
korisniki PPP frejm i tuneluje ga preko mree LNS ureaju

Service Provider
KORAK 3 CPE

Remote, LAC
Telecommuter LNS
Employees Internet,
Frame Relay,
ISDN PSTN
ATM Network
Corporate
Network/
Servers
Analog

RADIUS RADIUS

Virtuelne privatne mree 50/91


Kako L2TP ureaj radi...
Korak 4
LNS slui kao prekidna taka gde je enkapsulirani L2TP frejm
razvijen i puten u dalju obradu. PPP Frejm je posle poslat viim
slojevima i korisnicima lokalne mree.

Service Provider
KORAK 4 CPE

LAC
Remote, LNS
Telecommuter Internet,
Employees PSTN Frame Relay,
ISDN ATM Network

Analog

RADIUS RADIUS

Virtuelne privatne mree 51/91


IP VPN: IPSec

IPSec nalazi se na treem nivou OSI referentnog modela


Osnovni aspekti zatite koju prua IPSec su:
autentikacija porekla podataka (autentikacija korisnika).
ouvanje integriteta podataka (autentikacija podataka) tokom prenosa,
tajnost podataka, koja se postie kriptovanjem.
IPSec moe se koristiti izmeu:
Dva gateway-a
Dva hosta
Hosta i njegovih gateway-a
Tri najvanija podprotokola:
Authentication Header (AH)
Encapsulation Security Protocol (ESP)
Internet Key Exchange (IKE)

Virtuelne privatne mree 52/91


Gde se IPSec moe
koristiti...

Internet/
Intranet

IPSec izmeu 2 hosta

Internet/
SG SG
Intranet

IPSec izmeu 2 gateway-a


Virtuelne privatne mree 53/91
Gde se IPSec moe
koristiti...

Internet
SG SG

Intranet Intranet

IPSec izmeu 2 hosta + 2 gateway-a

Internet SG

Intranet

IPSec izmeu dva hosta tokom dial-up-a


Virtuelne privatne mree 54/91
IPSec: Protokoli

Authentication Header (AH)


koristi se za proveru identiteta poiljaoca podataka
i otkrivanje namernih izmena nad podacima tokom prenosa mreom.
Izvodi se metodama digitalnog potpisivanja podataka.
Encapsulation Security Protocol (ESP)
koristi se u sluajevima kada je bitno ouvati tajnost prenesenih
podataka. Uz tajnost, ESP polje IPSec paketa uva autentinost
i verodostojnost podataka.
Za stvaranje ESP polja podataka koriste se metode jake kriptografije
u sprezi s metodama digitalnog potpisivanja podataka.
Internet Key Exchange (IKE)
Koristi se za dogovaranje autentikacijskih metoda,
kriptografskih algoritama i duina kljueva,
te za razmenu samih kljueva meu lanovima u komunikaciji.

Virtuelne privatne mree 55/91


Authenticaton Header - AH

Autentikacija AH-om se sastoji od dva aspekta:


autentikacije porekla podataka (data origin authentication),
tj. provere da li su podaci stvarno poslati od korisnika sa kojim se komunicira
verifikacije integriteta podataka (data integrity),
tj. provere da li je dolo do promene sadraja paketa u toku prenosa

Za verifikaciju integriteta podataka se koriste takozvani


HMAC (Hashed Message Authentication Codes) algoritmi.

Primeri najee korienih algoritama za verifikaciju integriteta


su MD5 (Message Digest 5) i SHA (Secure Hash Algorithm)

Autentikacija obuhvata ceo paket

Virtuelne privatne mree 56/91


Authenticaton Header - AH
parametri
Sledee zaglavlje je 8-bitno polje u kome
se nalazi broj koji specificira kom protokolu
pripadaju podaci koji se nalaze nakon AH Sledee zaglavlje
zaglavlja.
Duina zaglavlja je takode 8-bitno polje
koje definie duinu AH zaglavlja u 32- Duina zaglavlja
bitnim reima.
Rezervisano polje je 16-bitno polje
rezervisano za buduu upotrebu. Rezervisano polje
SPI je 32-bitno polje u kojem se nalazi tzv. Security Parameters
Security Parametar Index. SPI je broj usko Index
povezan sa sigurnosnim asocijacijama.
Redni broj je 32-bitno polje u kome se Redni broj
nalazi redni broj paketa (sequence number),
koje slui za prevenciju od napada
ponavljanjem (replay attack). Vrednost za proveru
Vrednost za proveru integriteta je polje integriteta
promenljive duine, pri emu je duina
celobrojni umnoak od 32 bita.

Virtuelne privatne mree 57/91


Encapsulation Security
Payload - ESP
Koristi se za kriptovanje podataka, ali moe da vri i
autentikaciju
Kriptovanje se obino vri pomou sledeih algoritama:
DES (Dala Encrvption Standard)
3DES
AES
IDEA (International Dala Encryption Algorithm)
Blowfish
RC4 (Rivest Cypher 4)
Autentikacija ESP-om ne obuhvata ceo IP paket,
za razliku od AH.
Za autentikaciju se koriste HMAC algoritmi.

Virtuelne privatne mree 58/91


ESP zaglavlje

SPI je 32-bitno polje u kojem se nalazi tzv.


Security Parametar Index. SPI je broj usko
povezan sa sigurnosnim asocijacijama. Security Parameters
Index (SPI) 32 bits
Redni broj je 32-bitno polje u kome se nalazi
redni broj paketa (sequence number), koje
slui za prevenciju od napada ponavljanjem Redni broj
(replay attack). 32 bits
Dopuna (padding), ija je duina od 0 do
255 okteta. Svrha ovog polja je da produi
polje sa podacima do neke zahtevane duine. Podaci
Duina dopune je 8-bitno polje u kome je,
kao to mu ime kae, Dopuna/ Sledee
zapisana duina polja dopune. zaglavlje
Sledee zaglavlje je 8-bitno polje u kome se
nalazi broj koji specificira kom protokolu Vrednost za proveru
pripadaju podaci koji se nalaze pre ESP integriteta
zaglavlja.
ESP autentikacija sadri u sebi vrednost za
proveru integriteta

Virtuelne privatne mree 59/91


Poreenje AH i ESP

Bezbednosni aspekt AH ESP


Layer-3 IP protocol number 51 50
Omoguava integritet podataka Da Da
Omoguava autentikaciju podataka Da Da
Omoguava enkripciju podataka Ne Da
Zatita od ponovnih napada na podatke Da Da
Radi sa NAT Ne Da
Radi sa PAT Ne Ne
titi IP pakete Da Ne
titi samo podatke Ne Da

Virtuelne privatne mree 60/91


Modovi rada IPSec-a

Transportni mod
Enkapsulacija podataka iz IP paketa.
IP zaglavlje je nezatieno
Zatita omoguena za vie slojeve
Obino se koristi u host-host komunikaciji
Tunelski mod
Enkapsulira ceo IP paket
Pomae u zatiti analize saobraaja
Originalni IP paket je zatien na Internetu

Virtuelne privatne mree 61/91


Transportni mod AH

Internet/
Intranet

Original IP TCP Bez IPSec


Payload Data
Header Header

Original IP Auth TCP


Payload Data
Header Header Header

Next Payload Seq.


SPI MAC
HeaderLength No.

Virtuelne privatne mree 62/91


Tunelski mod AH

Internet SG

Intranet

Original IP TCP Bez IPSec


Payload Data
Header Header

New IP Auth Original IP TCP


Payload Data
Header Header Header Header

Next Payload Seq.


SPI MAC
HeaderLength No.

Virtuelne privatne mree 63/91


Transportni mod ESP

Original IP TCP Bez IPSec


Payload Data
Header Header

Original IP ESP TCP ESP ESP


Payload Data
Header Header Header Trailer Auth
Encrypted

Authenticated

Virtuelne privatne mree 64/91


Tunelski mod ESP

Original IP TCP Bez IPSec-a


Payload Data
Header Header

New IP ESP Original IP TCP ESP ESP


Payload Data
Header Header Header Header Trailer Auth

Encrypted

Authenticated

Virtuelne privatne mree 65/91


Sigurnosna asocijacija - SA

Sigurnosna asocijacija je relacija koja se uspostavlja izmeu uesnika u


komunikaciji.
Sa SA se definiu sigurnosni parametri komunikacije
(protokoli, algoritmi, kljuevi)
SA sadri sve sigurnosne parametre potrebne da se obezbedi siguran
prenos paketa i definie sigurnosna polisa koja se koristi u IPSec-u
SA je jednosmerna, tj. u sluaju dvosmerne komunikacije potrebne su dve
asocijacije.
Virtuelne privatne mree 66/91
Sigurnosna asocijacija - SA
Svaka SA sedefinie pomou tri vrednosti:
SPI (Security Parametars Index) - sluajno generisani broj kojim se SA
identifikuje i slui da razlikuje SA koje su izmeu istih destinacija
i koje se odnose na isti protokol,
IP adresom odredita - za sada su to samo unicast adrese,
mada je u daljem razvoju predvieno da se mogu koristiti
i multicast i broadcast adrese.
identifikatorom sigurnosnog protokola za koji se SA koristi (AH ili ESP).

Paket je poslat od Toma ka Lori bez SA


IKE u oba sistema poinje pregovaranje
Pregovaranje zavreno, SA uspostavljena
Siguran paket poslat

Virtuelne privatne mree 67/91


Sigurnosna asocijacija - SA
Svaki ureaj koji koristi IPSec odrava dve baze podataka u kojima
smeta podatke o uspostavljenim SA.
SPD - Security Policy Database.
SAD - Security Association Database.
SPD je baza podataka koja se konsultuje pri obradi celokupnog IP saobraaja
koji prolazi kroz ureaj. U sebi sadri:
listu postupaka obrade (policy entry)
kojima je definisano kakav e se nain obrade paketa primenjivati.
U SAD su smeteni podaci o svakoj SA koju je ureaj uspostavio sa nekim od drugih
korisnika VPN. Ti podaci su:
protokol za koji je definisana SA,
algoritme koji se koriste za autentikaciju i/ili kriptovanje,
mod rada (transportni ili tunelski),
redni broj paketa,
vreme ivota SA (vreme u kome e se postojea SA terminirati i
opciono zameniti drugom).
Virtuelne privatne mree 68/91
Internet Key Exchange - IKE

Osnovna namena IKE protokola je:


kreiranje sigurnosne asocijacije
razmena kljueva za autentikaciju, odnosno kriptovanje
Protokol transportnog nivoa IKE-a UDP
IKE titi SA
Funkcionisanje IKE-a se odvija u dve faze:
Formiranje ISAKMP sigurnosna asocijacija
Osnovni mod (main mod)
Agresivni mod (agressive mod)
razmenjivanje poruka pomou kojih se kreira IPSec sigurnosna asocijacija.
Brzi mod (quick mode)
Mod nove grupe (new group mode)

Virtuelne privatne mree 69/91


Internet Key Exchange - IKE

Parametar Jaka Jaa

Algoritmi
DES 3DES
kriptovanja

He algoritmi MD5 SHA-1

Autentikacioni
Preshared RSA signatures
metod
Diffie-Hellman Diffie-Hellman
Razmena kljueva
group 1 group 2
Vreme trajanja
86,400 seconds Manje 86,400 secs.
asocjacije

Virtuelne privatne mree 70/91


Modovi razmene IKE-a

Osnovni mod

Agresivni mod

Brzi mod

Virtuelne privatne mree 71/91


Kako radi IPSec..

Virtuelne privatne mree 72/91


IP VPN: L2TP/IPSec

1. IPSec IKE pregovaranje 3. L2TP tunel setup,


upravljanje preko IPSec-a

2. Uspostavljanje IPSec ESP SA za 4. Autentikacija korisnika na domen


L2TP, UDP port 1701

Autentikacija na domen
L2TP Tunelovanje
saobraaja
L2TP Korisniki ID/Password
Smart Card/EAP

IPSec Kriptovanje L2TP


IPSec Autentikacija
Sertifikati ureaja
Virtuelne privatne mree 73/91
IP VPN: Poreenja

Protokol PPTP L2TP L2TP/IPSec IPSec


Vrsta mree
IP IP, ATM, Frame relay IP IP

Autentikacija
korisnika Da Da Da Da

Autentikacija tunela
Ne Da Da Da

Autentikacija paketa
Ne Ne Da Da

Vieprotokolna
podrka Da Da Da Ne

Protokol za
MPPE MPPE EPS EPS
kriptovanje

preteno kod preteno kod preteno kod preteno kod


Primena
remote-access remote-access remote-access router-to- router

preteno dobrovoljno i dobrovoljno i dobrovoljno i


Vrsta tunelovanja
dobrovoljno obavezno obavezno obavezno

Virtuelne privatne mree 74/91


VPN i firewall
A - VPN paralelno sa firewall-om:
U ovom sluaju imamo dve take ulaza u
intranet.
Mora se obratiti velika panja na ispravnu
konfiguraciju VPN-a.
B - VPN iza firewall-a:
U ovom sluaju ne postoji kontorola nad VPN
saobraajem u firewall-u.
Postavlja se pitanje u kojoj meri se veruje
korisnicima VPN-a.
C - VPN ispred firewall-a:
U ovakvoj konfiguraciji sav saobraaj prolazi
kroz VPN. U ovom sluaju firewall slui za
nadgledanje dolaznog VPN saobraaja.
Ova primena je najea kod Extranet VPN-a.
D - VPN integrisano sa firewall-om.
Potrebno je poznavati tehnike firewall-a te je i
konfigurisanje ureaja zahtevnije.
Ureaj je zahtevniji po pitanju performansi i
kompatibilnosti pravila filterovanja sa VPN
servisima.
E - Firewall sa obe strane.
Ovo reenje je skuplje i koristi se u sluaju
velikog stepena zatite.

Virtuelne privatne mree 75/91


VPN i NAT/NATP
Problemi
Zaglavlje paketa modifikovano, nevaei paket
IKE sesija kroz NAT
NAT ureaji koji rade u transportnom modu
dr dr dr
T1H T1 H T2 H
NA NA NA

NAT NAT

Orig IP Hdr TCP Hdr Data

Insert
H dr dr
Orig
T1 IP 2 Hdr
H AH Hdr TCP Hdr Data
A T
N NA Contains an encrypted hash of
the original packet header
Virtuelne privatne mree 76/91
VPN i NAT/NATP

IETF pod imenom NAT Traversal (NAT-T) predloio


reenje problema:
Primeniti NAT pre IPSec-a

Izvriti NAT na ureaju koji je na putanji pre IPSec


ureaja,

Koristiti ureaj koji je u stanju da vri i IPSec i NAT


obradu.

Virtuelne privatne mree 77/91


Kako NAT-T radi

NAT NAT

Orig IP Hdr TCP Hdr Data

Insert
Orig IP Hdr ESP Hdr TCP Hdr Data

Insert
Orig IP Hdr UDP src 4500, dst 4500 ESP Hdr Rest Poslat od A

H dr dr
Orig H
T1 IPT2Hdr UDP src XXX, dst 4500 ESP Hdr Rest Primljen od B
NA
NA

Virtuelne privatne mree 78/91


Realizacija pristupa VPN

Virtuelne privatne mree 79/91


Konfiguracija u sreditu
VPN-a

Sredite VPN mree

Extranet VPN modul

Modul za interne VPN korisnike


Virtuelne privatne mree 80/91
Frame Relay VPN

Veze su izmeu Frame Relay korisnika su tipa


taka-taka i mogu ostvariti se pomou:
permanentnih virtuelnih kola (PVC - Permanent Virtual Circuit)

Problem: skalabilnost

komutiranih virtuelnih kola (SVC - Switched Virtual Circuit)

Formira se zatvorena grupa korisnika

Niko spolja ne moe da pristupi korisnicima iz


ovog skupa,
niti oni mogu da komuniciraju sa nekim spolja

Virtuelne privatne mree 81/91


Frame Relay VPN
Korak #2 Ingress interfejs Korak #3 PE B prima Paket, uklanja
je podeen za Tunel 1 i IP/L2TPv3 zaglavlje. Preostalo Frame Relay
L2TP + IP je napravljen i zaglavlje se prepisuje sa DLCI 43 i
poslat korektan I/F prosleuje Enterprise Site-u A.
Korak #1
Enterprise Hub
alje frejm sa DLCI 43
destinacijom DLCI 29 DLCI 43

Enterprise Site-a A
preko PE A Frame Enterprise
Tunnel 1 Site A
IP L2TP Frame PE B
Frame
DLCI 28

PE A DLCI 54
Tunnel 2 PE C

DLCI 29
Enterprise IP Core Enterprise
Hub Site B

Virtuelne privatne mree 82/91


Frame Relay VPN

Osnovne prednosti Frame Relay VPN su:


Garantovani kvalitet usluge od strane provajdera servisa..
Vieprotokolna podrka (mulliprotocol support).
Poto Frame Relay funkcionie na drugom OSI nivou,
korisnici nisu ogranieni samo na IP (kao kod IPSec VPN mrea)
nego interno mogu koristiti i druge mrene protokole.
Trokovi kojima su opetereeni korisnici servisa su ogranieni
na poetne investicije u pristupnu opremu i ugovorene mesene obaveze.

Nedostaci Frame Relay VPN mrea su:


Nepostojanje podrke za udaljene korisnike (remote-access),
to je uslovljeno prirodom ove vrste servisa.
Geografska ogranienost Frame Relay servisa samo na prostor u kome
postoji postoji pristup servisu provajdera (POP - Point Of Presence).
Virtuelne privatne mree 83/91
MPLS VPN
Glavna ideja MPLS-a je objedinjavanje najboljih osobina mrea sa uspostavljanjem veze
(connection-oriented) i mrea bez uspostavljanja veze (connectionless).
MPLS zaglavlje se naziva labela
Od protokola na treem nivou (odnosno lP-a) MPLS je nasledio protokole za rutiranje,
stanju mree i dostupnosti ureaju u okviru nje.
Prilikom uspostavljanja konekcije formira se virtuelno kolo - LSP (Label Switclied Path).
LSP se sastoji od niza labela Za distribuciju labela LSP-a su zadueni protokoli:
CR-LDP (Constraint base Route Label - Distribution Protocol)
RSVP-TE (Resource reSuorce reserVation Protocol - Traffic Engineering).
Podela:
L2 MPLS VPN, odnosno mree drugog nivoa.
L3 MPLS VPN, mree treeg nivoa.
Prednosti MPLS VPN mrea u odnosu na IPSec VPN:
Garantovani kvalitet usluge koju nudi MPLS.
Ne postoji potreba za korienjem NAT-a

Virtuelne privatne mree 84/91


L2 MPLS VPN

L2 MPLS VPN mree slue za prenos ATM, Frame Relay, ili


paketa nekog od protokola drugog nivoa.
Internet Traffic:
ATM VC1 terminated, IP packets delivered to provider 2

Provider 2
Provider 1

Subscriber A
ATM Access
ATM Access
Subscriber
A

VPN Traffic:
ATM VC2 mapped to MPLS LSP tunnel

Virtuelne privatne mree 85/91


L3 MPLS VPN
L3 MPLS VPN mree su namenjene za prenos IP saobraaja.
VPN A/Site 2
10.2/16
VPN B/Site 1
1 CE
10.2/16
CE B
10.1/16 A2
CEB2 VPN B/Site 2
1 P PE 1 2
CE2B1
P2
PE1 PE3
CEA1 P3 CEA3
10.3/16
CEB3
10.1/16 VPN A/Site 3
VPN A/Site 1 10.4/16
VPN B/Site 3

Implementacija L3 MPLS:
pomou tehnike virtuelnih tabela za rutiranje i prosleivanje (Virtual Routing and Forwarding
tables - VRF).
pomou tehnike virtuelnih rutera (Virtual Router - VR).
Virtuelne privatne mree 86/91
Praktini aspekti korienja
VPN
Performanse VPN zavise iskljuivo od izbora Internet
provajdera
Kad god je mogue koristiti usluge jednog provajdera
Neophodno je analizirati mreu provajdera sa stanovnitva:
Topologije mree, protoci na okosnici (backbone) i
poprenim linkovima
Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN
Mogunost pruanja dodatnih servisa (npr L2TP tunneling)
Cena zakupa linka i usluga provajdera
Kad god je mogue primeniti odgovarajue mere zatite
(access lists, firewalls, kriptozatita).

Virtuelne privatne mree 87/91


Mogunost korienja VPN
u Srbiji
Za sada - trite Internet usluga u Srbiji potpuno liberalno
Pokrivena su skoro sva znaajnija tranzitna podruja u Srbiji
U mnogim tranzitnim podrujima korisnici imaju mogunost
izbora vie provajdera
Interkonekcije meu skoro svim veim Internet provajderima
(provajderima sa meunarodnim linkovima) postoje
uglavnom u Beogradu.
Lokalnih interkonekcija za sada nema.
Internet provajderi u Srbiji omoguavaju uslugu
uspostavljanja virtuelnih privatnih mrea
Firme u Srbiji koje uspeno koriste virtuelne privatne mree:
DELTA M
MediaWorks
Poreska uprava

Virtuelne privatne mree 88/91


Statistiki podaci

Veliina instaliranih i Razlozi za uvoenje VPN


planiranih VPN mrea mrea

Virtuelne privatne mree 89/91


Statistiki podaci

Vrste instaliranih i
planiranih VPN mrea Korieni protokoli

Virtuelne privatne mree 90/91


Statistiki podaci

Najvaniji proizvoai:

AT&T
UUNET
Infonet
Genuity

Virtuelne privatne mree 91/91