VPN Prezentacija1

Elektrotehniki
fakultet Univerziteta
Beogradu
VIRTUELNE
PRIVATNE MREE
ore Ili 52 / 2000
djordje81@verat.net
1
ta je virtuelna privatna
mrea?
Virtuelna privatna mrea (Virtual Private Network)
u svojoj osnovi predstavlja privatnu mreu koja se uspostavlja preko
javne infrastrukture,ali zadrava sigurnost i zatitu privatne mree.
Virtuelne privatne mree 2/91

ta je virtuelna privatna
mrea?
Virtuelna (Virtual)
odnosi na injenicu da je uspostavljena privatna mrea u stvari logike prirode,
tj. nastaje logikom podelom javne mree koju u isto vreme koristi veliki broj
korisnika i organizacija.
Privatna (Private)
Minimalno: nema meanja saobraaja sa saobraajem izvan te mree,
i omoguena je podrka za privatni adresni prostor.
Mogue kriptovanje i zatita saobraaja
Mrea (Network)
koriste je dva ili vie korisnika

VPN: Prednosti
Prednosti virtuelnih privatnih mrea:
Poveanje geografske pokrivenosti.

Utede u iznajmljenim linijama.
Utede u udaljenim i meunarodnim dial-up
pozivima.
Mogunost brzog dodavanja novih
udaljenih korisnika.
Smanjenje potrebne opreme za
remote-access.
Utede u ljudstvu.

VPN: Mane
Mane virtuelnih privatnih mrea:
VPN mree zahtevaju dobra znanja o security-ju (zatiti podataka), prvenstveno

u pogledu hakerskih napada i konfiguracije VPN ureaja
za rad u sprezi sa firewall-ovima.
Mogunost korienja VPN-a (dostupnost i QoS) zavise od
faktora van kue (od kvaliteta usluge koju daje Internet Service Provider ISP)
i naroito je izraeno u naim uslovima.
Ukoliko VPN konekcija simulira rad raunara u LAN-u,
u zavisnosti od kvaliteta VPN servera i veze sa ISP-om,
protok podataka izmeu raunara umreenih u VPN-u je osetno sporiji u odnosu
na LAN.
Pitanje interoperabilnosti raznih proizvoaa.
Ovo je izraeno za sve tehnologije u razvoju, a ima veliku ulogu pri izgradnji
Extranet VPN-a gde svaki VPN segment (svaki partner, organizacija i sl) ima
ureaje kupljene od razliitog proizvoaa.
VPN principski zahtevi
Principski zahtevi koji se postavljaju pred jednu IP VPN mreu su sledei:
Koncept tajnosti tj. privatnosti (security), u okviru koga imamo:

Autentikacija identifikacija korisnika ili ureaja pre nego to se napravi VPN
konekcija
Integritet podataka - predstavlja dokaz da prilikom prenosa sadraj nije izmenjen.
Poverljivost podataka - pod ovim se podrazumeva da podaci, prilikom prenosa,
nisu mogli biti proitani i iskorieni od tree strane
Enkapsulacija pod ovim podrazumeva kako e korisnika informacija,
kao podatak, biti enkapsulirana i preneena preko mree.
Vieprotokolna podrka (multiprotocol supporl) - VPN mrea bi trebalo da podri
razmenu podataka pod razliitim protokolima (IP. IPX ...).
Upravljanje adresama (address menagement) - privatne adrese koje korisnici imaju
u okviru VPN mree ne smeju da budu dostupne na javnoj mrei.
Garantovani kvalitet usluge (QoS) - pod ovim se obino podrazumevaju propusni
opseg dostupan korisnicima, maksimalna kanjenja paketa i garancija isporuke
paketa.

Komponente VPN-a
Protokoli
Firewall
Bezbednost

VPN komponente: Protokoli
GRE- enkapsulacioni metod da uzme pakete iz jednog protokola, enkapsulira ih u IP paket
i transportuje enkapsulirani paket preko IP osnove.
Point to Point Protocol (PPP)
Point to Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
IPSec
Pretty Good Privacy (PGP) najee se koristi u besplatnom e-mail softveru
da omogui sigurnost i nije protokol koji se esto koristi u izgradnji VPN-a.
Secure Socket Layer (SSL) obezbeuje sigurnost transakcija baziranih na HTTP-u,
i dostupnih pomou popularnih browser-a.
Secure Shell (SSH) je protokol koji se primarno koristi da omogui bezbedno izvravanje
komandi na udaljenim mainama koristei IP mreu.
Socks - izlazi Socks servera se ponaaju kao povezujui vor izmeu klijenta i eljene
destinacije host-a.
Multi-Protocol Label Switching (MPLS)

Application --- Pretty Good Privacy - e-mail
Transport --- SSL, TLS,SOCKS, SSH
Network --- IPSec

--- MPLS
Data Link --- PPTP, L2TP
Physical --- Hardware Encryption

Firewall prati sav saobraaj kroz mreu i titi mreu

od upada neautorizovanih korisnika.
Najee korieni tipovi filtriranja:
u zavisnosti od IP adresa
omoguava zabranu konekcija od ili prema
odreenim raunarima i/ili mreama,
u zavisnosti od nihovih IP adresa.
u zavisnosti od portova
omoguava zabranu konekcija od ili prema
odreenim raunarima i/ili mreama,
u zavisnosti od broja porta.

VPN komponente:
Bezbednost
Kriptovanje
Poverljivost se postie pomou algoritama za kriptovanje koji
emuliraju privatnost linka
Autentikacija
identifikacija korisnika ili ureaja pre nego to se napravi VPN
konekcija

VPN komponente:
Algoritmi kriptovanja
Simetrini Asimetrini
simetrini algoritmi -jedinstven klju za kriptovanje i

dekriptovanje.
asimetrini algoritmi - par kljueva od kojih se jedan koristi
za kriptovanje a drugi za dekriptovanje.
Kljuevi iz para su matematiki povezani.

VPN komponente:
Autentikacija
Ureaja - pristup VPN-u na osnovu autentikovanih informacija koje
udaljeni VPN ureaj prosleuje.
Nedeljivi kljuevi
Digitalni potpis
Korisnika - da li korisnik koji pristupa VPN mrei ima pravo pristupa

i da li je on stvarno taj za koga se izdaje.
neto to zna
neto to ima
neto to jesi

VPN: Tipovi
Tip ostvarene Nain iznajmljivanja Terminacija VPN

konekcije: linije: konekcije:
Remote Access Poverljiva IN HOUSE

Sigurna
Router to router OUTSOURCED
Intranet Hibridna
Extranet Provajderska

VPN: Tipovi
IntranetVPN
Intranet VPN
povezivanje
povezivanje Home
organizacionihdelova
organizacionih delova
jednekompanije
kompanijeuujednu
jednu Office
jedne
Intranetmreu
Intranet mreu
Main
Office
POP
Remote WAN VPN

Office
POP
Remote
RemoteAccess
AccessVPNVPN
konekcija se ostvaruje
konekcija se ostvaruje
na
narelaciji
relacijiudaljeni
udaljeni
ExtranetVPN
Extranet VPN
korisnik mrea
korisnik mrea
povezujeklijente,
povezuje klijente,
partnere.vie
partnere. vie Business
korporacijauu
korporacija Partner Mobile
jednumreu
jednu mreu
Worker

Remote access VPN
Global ISP Global ISP
Dial Access
Dial-up ISP
Modem Access
Wireless Access
Internet
Radio Connection
Corporate
Network
ISDN/DSL/Cable Wired Connetion
ISP Modem Access
VPN Tunnel
Intranet VPN
Remote Office Network Corporate Network
Database
Internet
VPN VPN Web

Proxy Server Proxy Server
Compute
VPN Tunnel
Unencrypted
Encrypted/Authenticated
Extranet VPN
Web Data Web Commerce
Server Server
Extranet
Business Partner
Database
Internet
Web
Integrated Firewall
&
VPN Server
Compute
Technical Collaborator Corporate Network

VPN: Tipovi
Poverljive VPN: korisnik iznajmljuje poverljive linije od

provajdera i koristi ih za komunikaciju bez prekida
Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe

strane pri prenosu podataka.
Hibridna VPN: meavina sigurne i poverljive VPN.

Korisnik kontrolie sigurnosne puteve VPN-a,
dok je provajder odgovaran sa aspekta poverljivosti
Provajderski omoguene VPN: itava VPN je

administrirana od strane provajdera.

VPN: IN
HOUSE/OUTSOURCED
Customer A
Site 2
Customer A CE
Site 1 Community
CE PE RED
Tunel(i)
Community PE
RED terminiran na
P strani korisnika
P
=> IN HOUSE
Customer B
PE P The provider
Site 1 PE network
CE
Community Customer
BLUE
B
Site 2
CE
Tunel(i) terminiran na
Community
strani ISP-a BLUE
=>OUTSOURCED

Arhitektura VPN-a

IP virtuelna privatna mrea
IP virtuelna privatna mrea je skup korisnika (pojedinanih klijenata i/ili
mrea) povezanih na Internet preko svojih provajdera Internet usluga (ISP-
Internet Service Provider). Koristi IP kao protokol.
Branch
Remote Offices
Workers
Deljena IP
mrea Internet
Corporate
Headquarters
Customers,
Suppliers
Ureaji u IP VPN-u:
CPE (Customer Premisses Equipment) - odgovarajui korisniki ureaji (kompjuteri, ruteri, firewall-ovi, ili neki drugi
specijalni VPN ureaji)
NAS (Network Access Server) - ureaj pomou kojeg provajder usluga obezbeuje korisniku Internet pristup
HG (Home Gateway) predstavlja kraj veze kojim se centralni deo VPN mree povezuje na Internet preko NAS-a.
IP VPN: Enkapsulacija
Enkapsulacija je proces u kome protokol nieg nivoa
preuzima paket protokola vieg nivoa, nad njim vri zahtevanu obradu,
dodaje svoje zaglavlje i kreira novi paket.

IP VPN: Tunelovanje
Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog

protokola, ali pri tome je drugi protokol na istom ili viem nivou nego prvi

IP VPN: Tunelovanje
Korak 2
Originalni IP paket enkapsuliran
u drugi IP paket
Original IP New IP
packet Packet
Workstation
Router A Router B Original IP Y
Workstation Tunel Tunel paket dest Y
X Korak 1. Korak 3
Original IP Originalni, nerutabilni Originalni paket
packet dest Y IP Paket poslat ruteru ekstrakovan, poslat
na destinaciju

IP VPN: Vrste tunelovanja
Dve osnovne vrste tunelovanja:

Dobrovoljno tunelovanje (Voluntary tunnels)
Tunelovanje uspostavljeno na zahtev korisnika
(Zahteva klijentski softver na udaljenom raunaru)
Obavezno tunelovanje (Compulsory tunnels)

Tunelovanje kreirano od strane NAS-a ili rutera
(Podrka za tunelovanje neophodna na NAS-u ili ruteru)

Dobrovoljno tunelovanje
Pokriva celokupnu konekciju

Radi na bilo kom uredjaju
Tunelovanje transparentno vorovima i posrednikim ureajima
Korisnik mora imati klijentski software za tunelovanje
kompatibilan sa serverski softverom za tunelovanje
PPTP, L2TP, L2F, IPSEC, IP-IP, etc.
Istovremen pristup Intranet-u (pomou tunelovanja) i Internet-u
Radnici mogu koristiti line naloge za pristup korporacijskim
podacima
Udaljene poslovne aplikacije
Dial-up VPN za nizak obim saobraaja

Dobrovoljno tunelovanje
Dobrovoljni PPTP tunel
PPTP Virtual Interface PPP access protocol
Dial IP Access
Dial Access PPTP Access

Client Host Serial Interface Server
Server
Dial Access Provider VPN Service

Obavezno tunelovanje
Radi sa bilo kojim klijentom

Ne pokriva celokupnu konekciju
(deo izmeu CPE i NAS-a nije zatien tunelovanjem)
NAS mora podravati isti metod tunelovanja
Ali Tunelovanje transparentno srednjim routerima
Pristup mrei kontrolisan od tunel servera
Korisniki podaci mogu putovati samo kroz tunel
Internet pristup omoguen
Mora biti predefinisan
Velika kontrola
Moe biti praen

Obavezno tunelovanje
Obavezni L2TTP tunel
PPP access protocol
V.x modem protocol L2TP
Dial Access L2TP Access

Client Host Server Server
Non-routed
forwarding path
Dial Access Provider Internet or VPN Service

Protokoli za tunelovanje
Protokoli za tunelovanje drugog nivoa:

PPP
PPTP
L2TP

IP VPN: PPP
PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji,

i njegova osnovna funkcija je ostvarivanje veze dial-up tipa
izmeu udaljenog korisnika i NAS-a.
Postoje etiri faze uspostavljanja PPP veze
PRVA FAZA - FAZA USPOSTAVLJANJE LINKA
DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA
TREA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA
ETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA

IP VPN: PPP
PRVA FAZA - FAZA USPOSTAVLJANJE LINKA
Uspostavljanje linka se vri pomou LCP protokola (l.ink Control Protocol).

Tokom ove faze se uspostavlja fizika veze izmeu udaljenog korisnika
i NAS-a, zatim sledi izbor protokola kojim e se vriti autentikacija korisnika,
i na kraju se odreuje da li e se u toku sesije vriti kriptovanje i kompresija
paketa koji se razmenjuju.
DRUGA FAZA - FAZA AUTENTIKACIJE KORISNIKA

U ovoj fazi koristi prethodno ugovoreni protokol za autentikaciju.
U veini implementacija PPP podrava ogranieni skup protokola za autentikaciju.
PAP (Password Authentication Protocol).
CHAP (Challenge Handshake Authentication Protocol).
MSCHAP (Microsoft-ova verzija CHAP-a) i
MSCHAP-2 (unapreena verzija MSCHAP-a).

IP VPN: PPP
TREA FAZA - FAZA POVRATNOG KONTROLNOG POZIVA
Ako se koristi, tada odmah nakon zavretka druge faze veza se

prekida, a zatim server (NAS) poziva korisnika.
Ovim se uvodi dodatna mera zatite, jer se NAS moe konfigurisati
tako da doputa samo veze sa odreenih telefonskih brojeva.
ETVRTA FAZA - FAZA AKTIVACIJE KONTROLNOG PROTOKOLA
U ovoj fazi se aktivira kontrolni protokol na mrenom nivou

(izabran u prvoj fazi obino je to IPCP) koji e konfigurisati
protokole koje koristi udaljeni klijent.
MPPC kompresija
MPPE - kriptovanje

IP VPN: PPTP
Koristi TCP 1723 & PPP unutar GRE paketa
Razvijen od strane konzorcijuma koji su inili

Microsoft, 3Com, Ascend, RASCOM, ECI Telematics
Puten u upotrebu sa Windows NT 4.0 1996
Kritikovan iz sigurnosnih razloga
Glavna primena kod remote-access VPN
Tunelovanje preteno dobrovoljno
PPTP informacije RFC 2637, Jul 1999

IP VPN: PPTP konekcija
Kreiranje sigurnog komunikacionog kanala korienjem

PPTP prokola se obino sastoji od tri koraka:
kreiranje PPP konekcije izmeu korisnika i NAS-a,
kreiranje PPTP kontrolne konekcije,
kreiranje PPTP konekcije i prenos podataka.

1. Uspostavljanje dial-up vezu izmeu udaljenog korisnika i NAS-a

koristei PPP protokol.

2. Izmeu PPTP klijenta (udaljenog korisnika) i PPTP servera
kreira PPTP kontrolna konekcija korienjem TCP protokola.

3. Parametri za PPTP kanal se dogovaraju preko kontrolnog

kanala, i PPTP tunel se formira

4. Druga PPP je formirana od strane udaljenog korisnika, pomou

tunela formiranog izmeu PAC-a i PNS-a,
i privatne mree NAS-a

5. IP datagrami ili neki drugi datagrami se alju unutar PPP paketa

Primer PPTP tunelovanja
PPTP Client Computer

SMB Packets
PPP PPTP
Encapsulator Interface
SLIP
IP Packets Interface
PPTP Server Computer

IP Packets
PPP PPTP IP GRE Packets ISP Gateway
Decapsulator Interface
SMB Packets SLIP
Interface
IP Packets

Primer PPTP tunelovanja
TCP/IP Packet
IP TCP Payload
Header Header Data
PPP PPP IP TCP Payload

Encapsulator Header Header Header Data
PPTP IP GRE PPP IP TCP Payload

Interface Header Header Header Header Data
SLIP SLIP IP GRE PPP IP TCP Payload

Interface Header Header Header Header Header Data
Modem

IP VPN: L2TP
Napravljen od strane IETF PPP Extensions

KombinacijaCisco L2F & PPTP protokola,
L2TP Extensions radna grupa ga objavila
Omoguava slanje tunelovanih PPP paketa e samo preko IP,
ve i preko X.25, Frame Relay, ATM mrea
Koristi UDP za kontrolne i pakete podataka,
dobro poznati port 1701
Koristi PPP za enkapsulaciju paketa
Za kriptovanje podataka zaduen MPPE
Postojanje jedne konekcije za slanje obe vrste paketa.
Mogue uspostavljanje vie tunela izmeu dva korisnika

IP VPN: LAC
L2TP Access Concentrator (LAC)

Preteno povezan na vie obinih telefonskih ili ISDN
linija
Samo mu treba implementacioni medij, preko kojeg
L2TP radi kako bi prosledio ka jednom ili vie LNS-a
Preteno inicijator dolaznih a primalac odlaznih poziva

IP VPN: LNS
L2TP Network Server (LNS)
Radi na bilo kojoj platformi koja podrava PPP
Zaduen za serversku stranu L2TP protokola
skalabilnost je kritina
U mogunosti da prekine bilo koju vezu
pristiglu od bilo kog LAC PPP interfejsa
(async, ISDN, PPP preko ATM, PPP preko Frame Relay)
Inicijator odlaznih poziva
Primalac dolaznih poziva

IP VPN: L2TP u mrei
Customer
Service Provider
Premise
Equipment
Remote,
Telecommuter Employees
LAC Internet, LNS

Frame Relay,
ISDN PSTN ATM Network Corporate Network/
Servers
Analog
RADIUS RADIUS
= L2TP Encapsulated Tunnel

Kako L2TP ureaj radi...
Korak 1
Udaljeni korisnik inicira sesiju ili poziv LAC-u
KORAK 1 Service Provider CPE
Remote, LAC LNS

Telecommuter Internet,
Employees PSTN
Frame Relay,
ISDN ATM Network
Analog
RADIUS RADIUS

Korak 2
LAC alje autentikovan zahtev Radius serveru, koji autentikuje poziv i
formira konfiguracione informacije o kreiranju, tipa L2TP tunela i krajnje
take tunela.
Service Provider CPE

Remote,
LAC
Telecommuter LNS
Employees Internet,
Frame Relay,
ISDN PSTN
ATM Network
Analog
KORAK 2 RADIUS RADIUS

Korak 3
Informacija o kreiranju tunela je poslata LAC-u koji enkapsulira
korisniki PPP frejm i tuneluje ga preko mree LNS ureaju
Service Provider
KORAK 3 CPE
Remote, LAC
Telecommuter LNS
Employees Internet,
Frame Relay,
ISDN PSTN
ATM Network
Corporate
Network/
Servers
Analog
RADIUS RADIUS

Korak 4
LNS slui kao prekidna taka gde je enkapsulirani L2TP frejm
razvijen i puten u dalju obradu. PPP Frejm je posle poslat viim
slojevima i korisnicima lokalne mree.
Service Provider
KORAK 4 CPE
LAC
Remote, LNS
Telecommuter Internet,
Employees PSTN Frame Relay,
ISDN ATM Network
Analog
RADIUS RADIUS

IP VPN: IPSec
IPSec nalazi se na treem nivou OSI referentnog modela

Osnovni aspekti zatite koju prua IPSec su:
autentikacija porekla podataka (autentikacija korisnika).
ouvanje integriteta podataka (autentikacija podataka) tokom prenosa,
tajnost podataka, koja se postie kriptovanjem.
IPSec moe se koristiti izmeu:
Dva gateway-a
Dva hosta
Hosta i njegovih gateway-a
Tri najvanija podprotokola:
Authentication Header (AH)
Encapsulation Security Protocol (ESP)
Internet Key Exchange (IKE)

Gde se IPSec moe
koristiti...
Internet/
Intranet
IPSec izmeu 2 hosta
Internet/
SG SG
Intranet
IPSec izmeu 2 gateway-a

Gde se IPSec moe
koristiti...
Internet
SG SG
Intranet Intranet
IPSec izmeu 2 hosta + 2 gateway-a
Internet SG
Intranet
IPSec izmeu dva hosta tokom dial-up-a

IPSec: Protokoli
Authentication Header (AH)

koristi se za proveru identiteta poiljaoca podataka
i otkrivanje namernih izmena nad podacima tokom prenosa mreom.
Izvodi se metodama digitalnog potpisivanja podataka.
Encapsulation Security Protocol (ESP)
koristi se u sluajevima kada je bitno ouvati tajnost prenesenih
podataka. Uz tajnost, ESP polje IPSec paketa uva autentinost
i verodostojnost podataka.
Za stvaranje ESP polja podataka koriste se metode jake kriptografije
u sprezi s metodama digitalnog potpisivanja podataka.
Internet Key Exchange (IKE)
Koristi se za dogovaranje autentikacijskih metoda,
kriptografskih algoritama i duina kljueva,
te za razmenu samih kljueva meu lanovima u komunikaciji.

Authenticaton Header - AH
Autentikacija AH-om se sastoji od dva aspekta:

autentikacije porekla podataka (data origin authentication),
tj. provere da li su podaci stvarno poslati od korisnika sa kojim se komunicira
verifikacije integriteta podataka (data integrity),
tj. provere da li je dolo do promene sadraja paketa u toku prenosa
Za verifikaciju integriteta podataka se koriste takozvani

HMAC (Hashed Message Authentication Codes) algoritmi.
Primeri najee korienih algoritama za verifikaciju integriteta

su MD5 (Message Digest 5) i SHA (Secure Hash Algorithm)
Autentikacija obuhvata ceo paket

Authenticaton Header - AH
parametri
Sledee zaglavlje je 8-bitno polje u kome
se nalazi broj koji specificira kom protokolu
pripadaju podaci koji se nalaze nakon AH Sledee zaglavlje
zaglavlja.
Duina zaglavlja je takode 8-bitno polje
koje definie duinu AH zaglavlja u 32- Duina zaglavlja
bitnim reima.
Rezervisano polje je 16-bitno polje
rezervisano za buduu upotrebu. Rezervisano polje
SPI je 32-bitno polje u kojem se nalazi tzv. Security Parameters
Security Parametar Index. SPI je broj usko Index
povezan sa sigurnosnim asocijacijama.
Redni broj je 32-bitno polje u kome se Redni broj
nalazi redni broj paketa (sequence number),
koje slui za prevenciju od napada
ponavljanjem (replay attack). Vrednost za proveru
Vrednost za proveru integriteta je polje integriteta
promenljive duine, pri emu je duina
celobrojni umnoak od 32 bita.

Encapsulation Security
Payload - ESP
Koristi se za kriptovanje podataka, ali moe da vri i
autentikaciju
Kriptovanje se obino vri pomou sledeih algoritama:
DES (Dala Encrvption Standard)
3DES
AES
IDEA (International Dala Encryption Algorithm)
Blowfish
RC4 (Rivest Cypher 4)
Autentikacija ESP-om ne obuhvata ceo IP paket,
za razliku od AH.
Za autentikaciju se koriste HMAC algoritmi.

ESP zaglavlje
SPI je 32-bitno polje u kojem se nalazi tzv.

Security Parametar Index. SPI je broj usko
povezan sa sigurnosnim asocijacijama. Security Parameters
Index (SPI) 32 bits
Redni broj je 32-bitno polje u kome se nalazi
redni broj paketa (sequence number), koje
slui za prevenciju od napada ponavljanjem Redni broj
(replay attack). 32 bits
Dopuna (padding), ija je duina od 0 do
255 okteta. Svrha ovog polja je da produi
polje sa podacima do neke zahtevane duine. Podaci
Duina dopune je 8-bitno polje u kome je,
kao to mu ime kae, Dopuna/ Sledee
zapisana duina polja dopune. zaglavlje
Sledee zaglavlje je 8-bitno polje u kome se
nalazi broj koji specificira kom protokolu Vrednost za proveru
pripadaju podaci koji se nalaze pre ESP integriteta
zaglavlja.
ESP autentikacija sadri u sebi vrednost za
proveru integriteta

Poreenje AH i ESP
Bezbednosni aspekt AH ESP

Layer-3 IP protocol number 51 50
Omoguava integritet podataka Da Da
Omoguava autentikaciju podataka Da Da
Omoguava enkripciju podataka Ne Da
Zatita od ponovnih napada na podatke Da Da
Radi sa NAT Ne Da
Radi sa PAT Ne Ne
titi IP pakete Da Ne
titi samo podatke Ne Da

Modovi rada IPSec-a
Transportni mod
Enkapsulacija podataka iz IP paketa.
IP zaglavlje je nezatieno
Zatita omoguena za vie slojeve
Obino se koristi u host-host komunikaciji
Tunelski mod
Enkapsulira ceo IP paket
Pomae u zatiti analize saobraaja
Originalni IP paket je zatien na Internetu

Transportni mod AH
Internet/
Intranet
Original IP TCP Bez IPSec

Payload Data
Header Header
Original IP Auth TCP

Payload Data
Header Header Header
Next Payload Seq.

SPI MAC
HeaderLength No.

Tunelski mod AH
Internet SG
Intranet

Payload Data
Header Header
New IP Auth Original IP TCP

Payload Data
Header Header Header Header
Next Payload Seq.

SPI MAC
HeaderLength No.

Transportni mod ESP

Payload Data
Header Header
Original IP ESP TCP ESP ESP

Payload Data
Header Header Header Trailer Auth
Encrypted
Authenticated

Tunelski mod ESP
Original IP TCP Bez IPSec-a

Payload Data
Header Header
New IP ESP Original IP TCP ESP ESP

Payload Data
Header Header Header Header Trailer Auth
Encrypted
Authenticated

Sigurnosna asocijacija - SA
Sigurnosna asocijacija je relacija koja se uspostavlja izmeu uesnika u

komunikaciji.
Sa SA se definiu sigurnosni parametri komunikacije
(protokoli, algoritmi, kljuevi)
SA sadri sve sigurnosne parametre potrebne da se obezbedi siguran
prenos paketa i definie sigurnosna polisa koja se koristi u IPSec-u
SA je jednosmerna, tj. u sluaju dvosmerne komunikacije potrebne su dve
asocijacije.
Svaka SA sedefinie pomou tri vrednosti:
SPI (Security Parametars Index) - sluajno generisani broj kojim se SA
identifikuje i slui da razlikuje SA koje su izmeu istih destinacija
i koje se odnose na isti protokol,
IP adresom odredita - za sada su to samo unicast adrese,
mada je u daljem razvoju predvieno da se mogu koristiti
i multicast i broadcast adrese.
identifikatorom sigurnosnog protokola za koji se SA koristi (AH ili ESP).
Paket je poslat od Toma ka Lori bez SA

IKE u oba sistema poinje pregovaranje
Pregovaranje zavreno, SA uspostavljena
Siguran paket poslat

Svaki ureaj koji koristi IPSec odrava dve baze podataka u kojima
smeta podatke o uspostavljenim SA.
SPD - Security Policy Database.
SAD - Security Association Database.
SPD je baza podataka koja se konsultuje pri obradi celokupnog IP saobraaja
koji prolazi kroz ureaj. U sebi sadri:
listu postupaka obrade (policy entry)
kojima je definisano kakav e se nain obrade paketa primenjivati.
U SAD su smeteni podaci o svakoj SA koju je ureaj uspostavio sa nekim od drugih
korisnika VPN. Ti podaci su:
protokol za koji je definisana SA,
algoritme koji se koriste za autentikaciju i/ili kriptovanje,
mod rada (transportni ili tunelski),
redni broj paketa,
vreme ivota SA (vreme u kome e se postojea SA terminirati i
opciono zameniti drugom).
Internet Key Exchange - IKE
Osnovna namena IKE protokola je:

kreiranje sigurnosne asocijacije
razmena kljueva za autentikaciju, odnosno kriptovanje
Protokol transportnog nivoa IKE-a UDP
IKE titi SA
Funkcionisanje IKE-a se odvija u dve faze:
Formiranje ISAKMP sigurnosna asocijacija
Osnovni mod (main mod)
Agresivni mod (agressive mod)
razmenjivanje poruka pomou kojih se kreira IPSec sigurnosna asocijacija.
Brzi mod (quick mode)
Mod nove grupe (new group mode)

Internet Key Exchange - IKE
Parametar Jaka Jaa
Algoritmi
DES 3DES
kriptovanja
He algoritmi MD5 SHA-1
Autentikacioni
Preshared RSA signatures
metod
Diffie-Hellman Diffie-Hellman
Razmena kljueva
group 1 group 2
Vreme trajanja
86,400 seconds Manje 86,400 secs.
asocjacije

Modovi razmene IKE-a
Osnovni mod
Agresivni mod
Brzi mod

Kako radi IPSec..

IP VPN: L2TP/IPSec
1. IPSec IKE pregovaranje 3. L2TP tunel setup,

upravljanje preko IPSec-a
2. Uspostavljanje IPSec ESP SA za 4. Autentikacija korisnika na domen

L2TP, UDP port 1701
Autentikacija na domen
L2TP Tunelovanje
saobraaja
L2TP Korisniki ID/Password
Smart Card/EAP
IPSec Kriptovanje L2TP

IPSec Autentikacija
Sertifikati ureaja
IP VPN: Poreenja
Protokol PPTP L2TP L2TP/IPSec IPSec

Vrsta mree
IP IP, ATM, Frame relay IP IP
Autentikacija
korisnika Da Da Da Da
Autentikacija tunela
Ne Da Da Da
Autentikacija paketa
Ne Ne Da Da
Vieprotokolna
podrka Da Da Da Ne
Protokol za
MPPE MPPE EPS EPS
kriptovanje
preteno kod preteno kod preteno kod preteno kod

Primena
remote-access remote-access remote-access router-to- router
preteno dobrovoljno i dobrovoljno i dobrovoljno i

Vrsta tunelovanja
dobrovoljno obavezno obavezno obavezno

VPN i firewall
A - VPN paralelno sa firewall-om:
U ovom sluaju imamo dve take ulaza u
intranet.
Mora se obratiti velika panja na ispravnu
konfiguraciju VPN-a.
B - VPN iza firewall-a:
U ovom sluaju ne postoji kontorola nad VPN
saobraajem u firewall-u.
Postavlja se pitanje u kojoj meri se veruje
korisnicima VPN-a.
C - VPN ispred firewall-a:
U ovakvoj konfiguraciji sav saobraaj prolazi
kroz VPN. U ovom sluaju firewall slui za
nadgledanje dolaznog VPN saobraaja.
Ova primena je najea kod Extranet VPN-a.
D - VPN integrisano sa firewall-om.
Potrebno je poznavati tehnike firewall-a te je i
konfigurisanje ureaja zahtevnije.
Ureaj je zahtevniji po pitanju performansi i
kompatibilnosti pravila filterovanja sa VPN
servisima.
E - Firewall sa obe strane.
Ovo reenje je skuplje i koristi se u sluaju
velikog stepena zatite.

VPN i NAT/NATP
Problemi
Zaglavlje paketa modifikovano, nevaei paket
IKE sesija kroz NAT
NAT ureaji koji rade u transportnom modu
dr dr dr
T1H T1 H T2 H
NA NA NA
NAT NAT
Orig IP Hdr TCP Hdr Data
Insert
H dr dr
Orig
T1 IP 2 Hdr
H AH Hdr TCP Hdr Data
A T
N NA Contains an encrypted hash of
the original packet header
VPN i NAT/NATP
IETF pod imenom NAT Traversal (NAT-T) predloio

reenje problema:
Primeniti NAT pre IPSec-a
Izvriti NAT na ureaju koji je na putanji pre IPSec

ureaja,
Koristiti ureaj koji je u stanju da vri i IPSec i NAT

obradu.

Kako NAT-T radi
NAT NAT
Orig IP Hdr TCP Hdr Data
Insert
Orig IP Hdr ESP Hdr TCP Hdr Data
Insert
Orig IP Hdr UDP src 4500, dst 4500 ESP Hdr Rest Poslat od A
H dr dr
Orig H
T1 IPT2Hdr UDP src XXX, dst 4500 ESP Hdr Rest Primljen od B
NA
NA

Realizacija pristupa VPN

Konfiguracija u sreditu
VPN-a
Sredite VPN mree
Extranet VPN modul
Modul za interne VPN korisnike

Frame Relay VPN
Veze su izmeu Frame Relay korisnika su tipa

taka-taka i mogu ostvariti se pomou:
permanentnih virtuelnih kola (PVC - Permanent Virtual Circuit)
Problem: skalabilnost
komutiranih virtuelnih kola (SVC - Switched Virtual Circuit)
Formira se zatvorena grupa korisnika
Niko spolja ne moe da pristupi korisnicima iz

ovog skupa,
niti oni mogu da komuniciraju sa nekim spolja

Frame Relay VPN
Korak #2 Ingress interfejs Korak #3 PE B prima Paket, uklanja
je podeen za Tunel 1 i IP/L2TPv3 zaglavlje. Preostalo Frame Relay
L2TP + IP je napravljen i zaglavlje se prepisuje sa DLCI 43 i
poslat korektan I/F prosleuje Enterprise Site-u A.
Korak #1
Enterprise Hub
alje frejm sa DLCI 43
destinacijom DLCI 29 DLCI 43
Enterprise Site-a A
preko PE A Frame Enterprise
Tunnel 1 Site A
IP L2TP Frame PE B
Frame
DLCI 28
PE A DLCI 54
Tunnel 2 PE C
DLCI 29
Enterprise IP Core Enterprise
Hub Site B

Frame Relay VPN
Osnovne prednosti Frame Relay VPN su:

Garantovani kvalitet usluge od strane provajdera servisa..
Vieprotokolna podrka (mulliprotocol support).
Poto Frame Relay funkcionie na drugom OSI nivou,
korisnici nisu ogranieni samo na IP (kao kod IPSec VPN mrea)
nego interno mogu koristiti i druge mrene protokole.
Trokovi kojima su opetereeni korisnici servisa su ogranieni
na poetne investicije u pristupnu opremu i ugovorene mesene obaveze.
Nedostaci Frame Relay VPN mrea su:

Nepostojanje podrke za udaljene korisnike (remote-access),
to je uslovljeno prirodom ove vrste servisa.
Geografska ogranienost Frame Relay servisa samo na prostor u kome
postoji postoji pristup servisu provajdera (POP - Point Of Presence).
MPLS VPN
Glavna ideja MPLS-a je objedinjavanje najboljih osobina mrea sa uspostavljanjem veze
(connection-oriented) i mrea bez uspostavljanja veze (connectionless).
MPLS zaglavlje se naziva labela
Od protokola na treem nivou (odnosno lP-a) MPLS je nasledio protokole za rutiranje,
stanju mree i dostupnosti ureaju u okviru nje.
Prilikom uspostavljanja konekcije formira se virtuelno kolo - LSP (Label Switclied Path).
LSP se sastoji od niza labela Za distribuciju labela LSP-a su zadueni protokoli:
CR-LDP (Constraint base Route Label - Distribution Protocol)
RSVP-TE (Resource reSuorce reserVation Protocol - Traffic Engineering).
Podela:
L2 MPLS VPN, odnosno mree drugog nivoa.
L3 MPLS VPN, mree treeg nivoa.
Prednosti MPLS VPN mrea u odnosu na IPSec VPN:
Garantovani kvalitet usluge koju nudi MPLS.
Ne postoji potreba za korienjem NAT-a

L2 MPLS VPN
L2 MPLS VPN mree slue za prenos ATM, Frame Relay, ili

paketa nekog od protokola drugog nivoa.
Internet Traffic:
ATM VC1 terminated, IP packets delivered to provider 2
Provider 2
Provider 1
Subscriber A
ATM Access
ATM Access
Subscriber
A
VPN Traffic:
ATM VC2 mapped to MPLS LSP tunnel

L3 MPLS VPN
L3 MPLS VPN mree su namenjene za prenos IP saobraaja.
VPN A/Site 2
10.2/16
VPN B/Site 1
1 CE
10.2/16
CE B
10.1/16 A2
CEB2 VPN B/Site 2
1 P PE 1 2
CE2B1
P2
PE1 PE3
CEA1 P3 CEA3
10.3/16
CEB3
10.1/16 VPN A/Site 3
VPN A/Site 1 10.4/16
VPN B/Site 3
Implementacija L3 MPLS:
pomou tehnike virtuelnih tabela za rutiranje i prosleivanje (Virtual Routing and Forwarding
tables - VRF).
pomou tehnike virtuelnih rutera (Virtual Router - VR).
Praktini aspekti korienja
VPN
Performanse VPN zavise iskljuivo od izbora Internet
provajdera
Kad god je mogue koristiti usluge jednog provajdera
Neophodno je analizirati mreu provajdera sa stanovnitva:
Topologije mree, protoci na okosnici (backbone) i
poprenim linkovima
Interkonekcije (peerings) pojedinih provajdera koji se koriste za VPN
Mogunost pruanja dodatnih servisa (npr L2TP tunneling)
Cena zakupa linka i usluga provajdera
Kad god je mogue primeniti odgovarajue mere zatite
(access lists, firewalls, kriptozatita).

Mogunost korienja VPN
u Srbiji
Za sada - trite Internet usluga u Srbiji potpuno liberalno
Pokrivena su skoro sva znaajnija tranzitna podruja u Srbiji
U mnogim tranzitnim podrujima korisnici imaju mogunost
izbora vie provajdera
Interkonekcije meu skoro svim veim Internet provajderima
(provajderima sa meunarodnim linkovima) postoje
uglavnom u Beogradu.
Lokalnih interkonekcija za sada nema.
Internet provajderi u Srbiji omoguavaju uslugu
uspostavljanja virtuelnih privatnih mrea
Firme u Srbiji koje uspeno koriste virtuelne privatne mree:
DELTA M
MediaWorks
Poreska uprava

Statistiki podaci
Veliina instaliranih i Razlozi za uvoenje VPN

planiranih VPN mrea mrea

Statistiki podaci
Vrste instaliranih i
planiranih VPN mrea Korieni protokoli

Statistiki podaci
Najvaniji proizvoai:
AT&T
UUNET
Infonet
Genuity

VPN Prezentacija1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

VPN Prezentacija1

Uploaded by

Copyright:

Available Formats

Elektrotehniki

Virtuelne privatne mree 2/91

Virtuelne privatne mree 3/91

Prednosti virtuelnih privatnih mrea:

Poveanje geografske pokrivenosti.

Virtuelne privatne mree 4/91

VPN mree zahtevaju dobra znanja o security-ju (zatiti podataka), prvenstveno

Koncept tajnosti tj. privatnosti (security), u okviru koga imamo:

Virtuelne privatne mree 6/91

Virtuelne privatne mree 7/91

Virtuelne privatne mree 8/91

Application --- Pretty Good Privacy - e-mail

Transport --- SSL, TLS,SOCKS, SSH

Network --- IPSec

Physical --- Hardware Encryption

Virtuelne privatne mree 9/91

Firewall prati sav saobraaj kroz mreu i titi mreu

Virtuelne privatne mree 10/91

Virtuelne privatne mree 11/91

simetrini algoritmi -jedinstven klju za kriptovanje i

Virtuelne privatne mree 12/91

Korisnika - da li korisnik koji pristupa VPN mrei ima pravo pristupa

Virtuelne privatne mree 13/91

Tip ostvarene Nain iznajmljivanja Terminacija VPN

Remote Access Poverljiva IN HOUSE

Virtuelne privatne mree 14/91

Remote WAN VPN

Virtuelne privatne mree 15/91

Remote Office Network Corporate Network

VPN VPN Web

Technical Collaborator Corporate Network

Poverljive VPN: korisnik iznajmljuje poverljive linije od

Sigurna VPN: kriptovanje i dekriptovanje se koristi na obe

Hibridna VPN: meavina sigurne i poverljive VPN.

Provajderski omoguene VPN: itava VPN je

Virtuelne privatne mree 19/91

Virtuelne privatne mree 20/91

Virtuelne privatne mree 21/91

Virtuelne privatne mree 23/91

Tunelovanje - enkapsulacija paketa jednog protokola u pakete drugog

Virtuelne privatne mree 24/91

Virtuelne privatne mree 25/91

Dve osnovne vrste tunelovanja:

Obavezno tunelovanje (Compulsory tunnels)

Virtuelne privatne mree 26/91

Pokriva celokupnu konekciju

Virtuelne privatne mree 27/91

Dobrovoljni PPTP tunel

PPTP Virtual Interface PPP access protocol

Dial Access PPTP Access

Dial Access Provider VPN Service

Virtuelne privatne mree 28/91

Radi sa bilo kojim klijentom

Virtuelne privatne mree 29/91

Obavezni L2TTP tunel

PPP access protocol

V.x modem protocol L2TP

Dial Access L2TP Access

Dial Access Provider Internet or VPN Service

Virtuelne privatne mree 30/91

Protokoli za tunelovanje drugog nivoa:

Virtuelne privatne mree 31/91

PPP je protokol drugog nivoa, koji se koristi pri Internet komunikaciji,

Postoje etiri faze uspostavljanja PPP veze