Virtuální sítě 1.část VPN

Virtuální sítě – 1. Část: VPN

Virtuální sítě – 1.část VPN Cíl kapitoly Cílem této kapitoly je porozumět a umět navrhnout základní schéma virtuálních sítí, vytvořit připojení domácí sítě k Internetu pomocí VPN.

Klíčové pojmy: DMZ, encapsulation, extranet, firewall VPN, GRE, IPSec, L2F, NAT, pevná linka, PPTP, remote-access VPN, routek, server VPN, site-to-site VPN, šifrovaná autentizace, tunelování, veřejná datová síť, veřejná telefonní síť, VLAN, VPN, zapouzdření

Úvod Virtuální sítě jsou sítě, které se velmi rychle vyvíjí. Tyto sítě umožňují komunikaci v rámci Internetu tak, jako by to byla jen jedna síť LAN, nebo v rámci sítí LAN k virtuálnímu dělení sítě na podsítě. Oba směry se velmi liší a proto je tato kapitola rozdělena do dvou základních kapitol VPN - Virtuálníá privátní sítě a VLAN . Virtuální sítě LAN

VPN - Virtuální privátní sítě. Virtuální privátní sítě používají veřejné sítě k simulaci vnitřních nebo soukromých sítí. Umožňují tedy uživatelům privátní komunikace užívat veřejnou nebo sdílenou síťovou infrastrukturu. 18.4.2012

1

Virtuální sítě – 1. Část: VPN

Privátní znamená bezpečné oddělení provozu od ostatních uživatelů. Mezi virtuální sítě patří i VPN – virtuální privátní sítě. Rozvoj těchto sítí byl závislý na rozšíření protokolu IPSec. Softwaroví klienti jsou nyní dostupní pod všemi OS. Podpora VPN je i u firewalů a drahých routerů. VPN nemůže úplně nahradit WAN. VPN negarantuje šířku pásma a dobu odezvy.

VPN se vhodné tam, kde není zapotřebí stálé spojení Organizace používající VPN sítě využívají WAN infrastruktury pro propojení svých poboček, domácích pracovišť, sítí obchodních partnerů a vzdálených pracovníků. Aby provoz zůstal privátním, provoz musí být šifrován. Tyto sítě mohou nahradit drahé dedikované linky vrstvy 2. VPN tedy řeší problém přímého přístupu přes Internet. Každá VPN musí obsahovat tři bezpečnostní prvky 

Zapouzdření IP (encapsulation ) - IP paket odesílaný z jedné části sítě LAN se zabalí do jiného paketu –tento paket putuje po síti WAN až k routeru 2. Části sítě VAN, kde se rozbalí a vznikne původní paket.  Šifrováná autentizace  Šifrování dat Šifrování dat a autentizace existují i samostatně (SSL –Secure socket layer), kdy se šifrují jen data, u přihlašování přes Win se zase šifruje jen autentizace. Pro propojení vzdálených částí sítě LAN nebo preferovaných sítí LAN či uzlů je možné volit tyto technologie:  pronajaté pevné telefonní linky. Tento způsob je pro větší provoz velmi drahý a neumožňuje dynamické připojování. Také se většinou nejedná o virtuální síť. Naopak lze ovlivňovat provoz, možnost volby linkového protokolu, možnost implementace QoS. Správce linky má maximální kontrolu nad sítí.  veřejné telefonní sítě. Potřebné služby poskytuje telefonní síť v USA. V Evropě není používáno.  veřejnou datovou síť (Public Data Network). Veřejná síť je tvořena protokoly X.25, Frame Relay nebo ATM. Pronájem virtuálních datových okruhů, služby providerem umožňují zákazníkovi řídit linkovou vrstvu. Tím si zákazník řídí provoz a lze se tak vyvarovat přetížení linky a zahazování paketů. Provoz je na

18.4.2012

2

Virtuální sítě – 1. Část: VPN

dohodnuté kapacitě CIR a lze se domluvit i na využití celé linky EIR, pokud je momentálně volná.  Virtuální sítě – mohou být dvojího druhu a to  Extranety, které se vytváří pomocí intranetů a firewallů. Připojením jednotlivých segmentů na Internet se omezí náklady na lokální telefonní poplatky, resp. pevné propojení. Je nutné přestavět segmenty sítě na Intranet strukturu. Zákazník ovlivňuje provoz na vrstvě síťové a tedy je nebezpečí ztráty paketů. Pro realizaci hlasových spojení je zákazník závislý na provozující společnosti, neboť je neřízené zpoždění. Komprimování hlaviček je závislé na její podpoře společností. Chová se jako full mesh a tedy lze provádět na všech topologiích.  vzdálený přístup pomocí tunelů v Internetu. Není vázán na protokol segmentů sítě. Pro vzdálený přístup do LAN se používají zvláštní protokoly. Nutné provozovat pomocí šifrování (DES, RSA AES – Advance Encryption Standard pracuje s pevnou délkou bloku 128b a přesně definovanou velikostí klíše a to 128 nebo 192 či 256b. ). Hlavičky paketů nemohou být komprimovány. Tuneling vzrůstá na oblibě, protože není nákladný. Podporuje ho topologie full mesh.

Dále se budeme věnovat extranetu a VPN.

Extranet Účel a definice Extranet je soustava Intranet sítí propojených přes Internet. K zabezpečení přístupu do interních sítí a zabezpečení soukromých dat jsou na vstupech (výstupech sítí) firewally. Mohou sloužit jedné organizaci nebo několika málo organizacím. Intranet jsou podnikové sítě založené na stejném principu jako je Internet a jsou na Internet jednoduše napojitelné. Na rozdíl od Internetu jsou to sítě uzavřené. Lze tedy stanovit jaký software i hardware intranet bude použit. Tedy jejich úkolem je zpřístupnit lokální sítě globálním uživatelům a klientům LAN a dále umožnit přístup k informacím Internetu. Tím se také lokální sítě zprůhlední.

18.4.2012

3

Virtuální sítě – 1. Část: VPN

Připojení lokálních sítí Presentace firmy je obvykle na zaplacené stránce na serveru poskytovatele, nebo na samostatném serveru Stand Alone připojeném přes modem (router a modem nebo jen router) nebo pevnou linku k Internetu. Tento server je umístěn v tzv. demilitarizační zóně (DMZ), která je oddělena jak od Internetu, tak i od LAN firewallem. Tyto firewally chrání jak DMZ tak LAN proti útokům.

Software Ve většině případů postačíme s klasickými prohlížeči jako je např. Navigátor firmy Netscape.

Význam Extranetu V následujícím jsou shrnuty základní vlastnosti Extranetu. 1. Snadné propojení s Internetem 2. zavedení ověřené Internetovské struktury do podnikových sítí. Jedná se především o  jednoduchá distribuce a prezentace dat s možností omezení přístupu  vypracované GUI - grafické uživatelské prostředí s velkými možnostmi  kompatibilita s různými platformami jak po stránce hardware tak i software  snadný upgrade a zavádění nových technologií  snadné programování a vyvíjení aplikací (stránek, přístupů)  nezávislost umístění uživatelů a serveru (lepší než služby RAS - Remote Access Servis)  poskytování novinek, zpráv, VR  snadná konfigurace a obsluha 3. Levné propojení vzdálených soukromých sítí nebo segmentů sítě. Přes tyto zřejmé výhody používání extraktu ustupuje sítím VPN pomocí tunelování.

VPN Virtuální privátní síť (zkratka VPN, anglicky virtual private network) je tedy prostředek k propojení několika uzlů, sítí LAN nebo jejich částí pomocí (veřejné) nedůvěryhodné počítačové sítě. Účelem je propojit stanice (uzly) mezi sebou tak, aby mohli komunikovat způsobem, jakým vnitřně komunikují uzavřené privátní (a tedy důvěryhodné) sítě. Při navazování spojení je nutné ověřovat totožnost obou stran buď pomocí digitálních certifikátů, nebo jinak šifrovanou autentizací. Stejně tak data musí být šifrována. VPN tedy můžeme považovat za bezpečné. Úpravu paketů pro vyslání ze sítě LAN do nedůvěryhodné lze provést 18.4.2012

4

Virtuální sítě – 1. Část: VPN



Na specielním serveru VPN. Poněvadž provoz VPN je určen pro vzdálené cíle, prochází paket stejnou sítí dvakrát a to do serveru pro zapouzdření a ze serveru zapouzdřený na výstupní router. Tento objem provozu je obvykle podstatně menší než objem zbývajícího provozu. Komunikace otvírá hackerům číslo VPN serveru, pokud výstupní router neprovádí PROXY služby nebo alespoň NAT (net address translator), tj. překládání adres.  na firewallech. Všechny sítě připojené na Internet potřebují firewall pro oddělení provozu LAN (NetBIOS u NT, NFS, Telnet, nebo X-Windows u Unixu, Apple Talk u Macintoshů či NCP u netware) od provozu na nedůvěryhodných sítích, tedy i Internetu.. Většina firewallů obsahuje software pro podporu VPN a tedy dovedou vytvářet tunely VPN včetně šifrování a autentizace.  na směrovačích. – Tyto směrovače (routery) se nachází mezi segmenty sítě, tedy přímo na výstupu sítě LAN do nedůvěryhodné sítě. Tyto routery obsahují prostředky pro zapouzdření paketů. Šifrování i autentizace se pak většinou provádí na jiných serverech sítě LAN. Sítě VPN jsou vytvářeny jak pro stálé propojení např. poboček, nebo nestabilně umístěným počítačů se základní sítí nebo pro dočasné spojení s jinou LAN. Proto rozlišujeme  Site-to-site (čti: sait-tu-sait) VPNs – pro stálá propojení jednotlivých vzdálených segmentů sítě nebo sítí LAN. Vytváří se pevné, trvalé tunely nezi těmito částmi. Na každé straně tunelu musí být VPN gate resp. router, firewall, VPN koncentrátor nebo jiné bezpečnostní zařízení.  Remote-access VPNs – je určen k dosažení individuálních počítačů, mobilních počítačů a extranetových uživatelů. Tunely se vytváří dynamicky, tj. většinou před každým spojením.

Komunikace v sítích VPN Vlastní komunikace VPN mezi jednotlivými segmenty může probíhat následovně: 





Např u každého zařízení v síti VPN je k dispozici SA- security association – směrovací tabulka, ze které se určuje propojení. Je to nejvýhodnější komunikace, ale nevýhodou je, že zabírá u každého zařízení velkou kapacitu paměti (někdy i podstatnou část). Jiný způsob je tzv. hvězdicová struktura, která soustřeďuje veškerá nastavení do jednoho počítače segmentu. Pak ale všechny pakety musí procházet tímto centrálním počítačem. Mohou být i kombinace obou způsobů

Příklad průběhu komunikace: 18.4.2012

5

Virtuální sítě – 1. Část: VPN

Předpokládejme, že se jedná o VPN, založenou na routerech, která propojuje dvě sítě. Síť 1 s IP 10.1.1.0/16 (brána: vnitřní IP adresa 10.1.1.254 a vnější IP adresa do Inrenetu 250.121.13.12) a síť 2 s IP 10.1.2.0/16 (brána: vnitřní adresa 10.1.2.254 a vnější adresa 110.121.112.34). Komunikace mezi sítěmi (počítači 10.1.1.99 a 10.1.2.22) bude vypadat takto 1. vysílací počítač 10.1.1.99 vyhledá v routovací tabulce, že počítač 10.1.2.22 je nepřímo přístupný přes bránu 2. pošle paket na bránu 10.1.1.254 3. router IPsec 10.1.1.254 přečte obě IP adresy paketu a spustí nadefinovanou bezpečnostní asociaci na směrovač 110.121.112.34 druhé sítě 4. směrovač první sítě pošle na směrovač druhé sítě požadavek o domluvu IKE – Internet Key Exchange 5. oba směrovače se domluví na sadě šifrovacích a autentizačních klíčů 6. směrovač IPSec zašifruje paket a zapouzdří ho do jiného paketu 7. směrovač IPSec přes rozhraní 250.121.13.12 zašle zapouzdřený paket na rozhraní 110.121.112.34 druhého IPSec směrovače 8. po doručení tento router přečte zapouzdřený IP paket a dešifruje vložený IP paket 9. je-li vše OK zašle pouze vložený paket na jeho IP destination adresu 10.1.2.22 přes své rozhraní 10.1.2.254 10. cílový počítač paket přečte

Šifrovaná autentizace Pro bezpečné ověření totožnosti používá dva druhy šifrování Šifrování pomocí tajného klíče Hodnotu klíče musí znát obě strany. Problémem je výměna klíčů. Doporučeno je pouze jejich přenos pomocí osoby administrátora. Toto šifrování je mnohem rychlejší než pomocí veřejného klíče. Šifrování pomocí veřejného klíče Klíč k dešifrování je uložen jen na straně příjemce a nikdy nedochází k jeho přenosu. Ustanovení šifrování dochází pouze výměnou veřejných klíčů pro obousměrný provoz.

Šifrování dat Při šifrování dat není nutné zapouzdřovat celý IP paket. Ale takto provedené šifrování neutajuje hlavičky. Proto je lépe provést šifrování celého IP paketu a zapouzdřit ho včetně hlaviček.. 18.4.2012

6

Virtuální sítě – 1. Část: VPN

Technologie VPN VPN využívá veřejnou nebo sdílenou komunikační infrastrukturu. Sítě jsou budovány na 2. a 3. vrstvě OSI. L2 VPN - 2. vrstva - sítě Frame Relay, ATM L3 VPN - 3. vrstva - sítě IP

Porovnání vlastností těchto sítí FrameRelay

Internet

Veřejná síť IP

dostupnost

Nízká

Vysoká

střední

Cena

Střední

Nízká

Střední

Bezpečnost

Vysoká

Nízká

Vysoká

Výkon

Vysoký

Nízký

Vysoký

QoS

Ano

Ne

Ano

Šifrování

Nemusí

Musí

Musí

Spojení

Dvoubodové

Vícebodové

Vícebodové

Správa U VPN je snadná správa sítě spočívající v nastavení routerů. Nevýhodou je nutná instalace klientů u mobilních stanic.

Tunely Tunely neboli kanály, kterými se šíří pakety VPN používají protokoly PPTP, L2F nebo L2TF, které umožňují multiprotokolární přístup k vzdáleným LAN. Komunikace VPN je charakterizována * * *

tunelováním (tuneling) bezpečností (security) inteligentním dynamickým přepínáním (Intelligent dynamic switching), nastavujícím cesty mezi jednotlivými routery přenosu. Výhodou tohoto přepínání je možnost nastavení cesty jen přes spolehlivé sítě (routery) a vyloučit z cest nespolehlivé nebo nebezpečné.

18.4.2012

7

Virtuální sítě – 1. Část: VPN

Tunelování IP VPN používá tunelování mezi koncovými klientskými sítěmi, kdy tunel představuje dvoubodové spojení (přes rozsáhlé sítě). Tunelování musí podporovat všechny aktivní prvky na cestě – směrovače a přepínače. Správce sítě konfigurací těchto prvků specifikuje vlastnosti tunelu, přenášeného protokolu, mechanismu tunelování a adresy koncových uzlů tunelu. Koncové body tunelu zajišťují autentizaci a řízení přístupu. Pro tunelování se používají protokoly *

Point-to-Point Tunneling protokol PPTP, který podporují 3com, microsoft, atd., nebo * Layer 2Forwarding L2F protokol podporovaný firmou Cisco. * IPSec –režim tunelling Protokol nejvyšších vrstev vytvoří blok dat a ten se přenáší Internetem logickými tunely pomocí IP. Vzdálený přístup se realizuje přes modemy a přes komunikační server. Komunikační server vytváří a ukončuje tunelový protokol a nemusí mít sériový port staticky přiřazený modemům. Podpora těmto protokolům je i u windows od NT 4.x.

Vrstvy pro tunelování Tunelování se nejčastěji realizuje na 2. nebo 3.vrstvě ISO-OSI. Tunelování na 2. vrstvě L2 může iniciovat buď sám klient – voluntary tunneling – nebo je iniciuje přístupový server NAS. Tunel je vytvořen, udržován a ukončen samotným protokolem 2.vrstvy. Tunelování na 3. vrstvě L3 je zapouzdření datagramu do jiného datagramu. Veškerá konfigurace tunelů se děje předem. Tento způsob umožňuje používat i interní (např. 192.168.x.x) adresy v zapouzdřeném protokolu.

Mechanismy tunelování GRE – generic Routing Encapsulation – funguje pro libovolný síťový OS včetně NetBeui. Směrovače zapouzdří data přidáním GRE záhlaví a cílové adresy směrovače na konci tunelu. Podporuje dvoubodové tunely. L2TP – Layer 2 tunneling protokol - poskytuje mechanismus logického propojení mezi koncovými uživateli na 2. vrstvě. Je rozšířením protokolu PPP. Tunel L2TP se tedy realizuje mezi přístupovým koncentrátorem jako klientem a síťovým

18.4.2012

8

Virtuální sítě – 1. Část: VPN

serverem. Nová verze protokolu má podporovat i ATM, Frame Relay, HDLC a Ethernet do nichž pakety zapouzdřuje. Používá se pro připojení vzdálených klientů. PPTP – obdobný od firmy Microsoft – funguje jen na TCP/IP -

Bezpečnost Zajištění bezpečnosti pro vzdálený přístup se řeší pomocí AAA, což je * *

Authorisation - kontrola oprávnění uživatele k přístupu, Authentication - ověření uživatele kontrolou hesla před navázáním spojení (protokol PAP -Password Authentication Protokol). U protokolu CHAP Challange Handshake Authentication Protokol- server náhodně generuje výzvy klientu se jménem uživatele. Heslo je pak u uživatele zakódováno výzvou a odesláno a u příjemce porovnáno se stejně zakódovaným heslem na jeho straně. * Accounting - zaznamenávání úspěšných i neúspěšných propojení. Vlastní data se přenáší kódovaně.

Inteligentní dynamické přepínání Před zřízením tunelu musí být známa IP adresa komunikačního serveru. Tato adresa se automaticky vytváří v komunikačním serveru odesílatele podle jména adresáta. Za IP adresu odesílatele zadá svou adresu. Toto řešení je vhodné pro rozsáhlejší sítě.

Stavba domácí VPN Tento odstavec uvádí postup pro aplikaci VPN u domácí sítě. Pro připojení k domácí síti přes Internet z ikonky plochy je nutné  mít routek – bránu podporující VPN  mít připojení k internetu veřejnou statickou IP adresou a na  připojovaném počítači mít VPN klienta. Postup připojování:     

Přihlásit se k dálkovému nastavení routeru přes jeho vnitřní adresu Zalogovat se (defaultně admin heslo admin) Pro windows XP zvolit PPTP tunelovací protokol. Tímto se nainstaluje server na routeru. Vytvořit účet (účty) uživatelů (počet omezen) Na vnějším počítači u Win nastavit Start|připojit|zobrazit všechna připojení a dále lze pokračovat podle wizardu.

18.4.2012

9

Virtuální sítě – 1. Část: VPN

Další prostředky podporující VPN Další protokoly a prostředky pro VPN jsou uvedeny v kurzu bezpečnost sítí a proto je zde nebudeme rozebírat. Jedná se o IPsec (režim tuneling), SSL VPN (ověřoání na autentizačním serveru), MultiProtokol Label Switching – MPLS (používá pro VPN protokol MP-iBGP – Internal Border Gateway Protocol with multiprotokol extension)

Srovnání Porovnání soukromých sítí a virtuálních soukromých sítí

18.4.2012

10

Virtuální sítě

Soukromá síť

Virtuální privátní síť

Výhody:

Výhody:

* kontrola nad celou sítí * šířka pásma může být určena podle nejnáročnější aplikace

* nízké počáteční náklady * není nutný pronájem pevných linek * propojení jen za lokální telefonní poplatky * odpadají náklady na reinstalaci

Nevýhody:

Nevýhody:

* pořizovací náklady a náklady na údržbu * rychlé zastarávání technologie * rozšiřování a stěhování firmy vede k reinstalacím

* není garantován výkon s ohledem na šířku přenášeného pásma.

Kontrolní otázky    

Jaký je rozdíl mezi šifrováním a šifrovanou autentizací? Jaký je rozdíl mezi VPN a VLAN? Jaké jsou výhody extranetu? Jaký je rozdíl mezi site-to-site tunely VPN a remote-access tunely?

Sítě VLAN a celkové shrnutí jsou uvedeny v druhé části textu Virtuální sítě VLAN Použitá literatura [1] PC World10/96 [2] Chip 9/97 [3] IT-NET 8/01 [4] network Computing 9/03 [5] Strebe: Firewally a proxy-servery

11