VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Virtual Private Networks
Virtual Private Networks
Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný Internet VPN
Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.
Bezpečnost VPN
Bezpečnost VPN
Authentication (ověřování pravosti) – zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet
VPN - komponenty
VPN – používané komponenty, principy
Obranné valy (Firewalls) – povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA, ... . Zajišťují také integritu dat. Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)
VPN - komponenty
VPN – používané komponenty, principy
Tunelování – přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) Překlad adres – použití privátních adres (RFC 1918) 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Nedostatek IP adres Časté změny poskytovatele
Architektura VPN
VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují
Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích
Architektura VPN – varianta 1
Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské stanici Ověřování probíhá ve dvou krocích
ISP ověřování – přístup do Internetu (ISP RADIUS server) VPN ověřování – přístup do VPN
Architektura VPN – varianta 2
Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být Může být i šifrováno ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server)
Architektura VPN – varianta 3
Varianta 3 (a další) – VPN typu LAN – LAN
Úrovně realizace VPN
Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly
Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň)
Přehled VPN tunelovacích protokolů
GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty
PPTP – Point-to-point Tunneling Protocol
Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP záhlaví 47)
L2TP – Layer 2 Tunneling Protocol
L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku dat Použitelný i nad ne-IP sítěmi (ATM, FrameRelay, X.25) Nespecifikuje ověřování a šifrování
IPSec (RFC 2401 – RFC 2406)
Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu Pracuje v režimu
Transportním – přenos paketu mezi koncovými uživateli. Používá originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu.
Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP
IPsec – transportní režim
IPsec – tunelovací režim
IPsec a VPN