VPN - Virtual private networks

VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Virtual Private Networks

Virtual Private Networks




Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný Internet VPN






Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.

Bezpečnost VPN


Bezpečnost VPN





Authentication (ověřování pravosti) – zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet

VPN - komponenty


VPN – používané komponenty, principy








Obranné valy (Firewalls) – povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA, ... . Zajišťují také integritu dat. Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)

VPN - komponenty


VPN – používané komponenty, principy





Tunelování – přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) Překlad adres – použití privátních adres (RFC 1918)
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
Nedostatek IP adres
Časté změny poskytovatele

Architektura VPN


VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují





Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích

Architektura VPN – varianta 1






Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské stanici Ověřování probíhá ve dvou krocích



ISP ověřování – přístup do Internetu (ISP RADIUS server) VPN ověřování – přístup do VPN

Architektura VPN – varianta 2






Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být Může být i šifrováno ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server)

Architektura VPN – varianta 3


Varianta 3 (a další) – VPN typu LAN – LAN

Úrovně realizace VPN




Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly





Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň)

Přehled VPN tunelovacích protokolů









GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty

PPTP – Point-to-point Tunneling Protocol









Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP záhlaví 47)

L2TP – Layer 2 Tunneling Protocol









L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku dat Použitelný i nad ne-IP sítěmi (ATM, FrameRelay, X.25) Nespecifikuje ověřování a šifrování

IPSec (RFC 2401 – RFC 2406)




Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu Pracuje v režimu









Transportním – přenos paketu mezi koncovými uživateli. Používá originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu.

Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP

IPsec – transportní režim

IPsec – tunelovací režim

IPsec a VPN