Средња школа „Ђура Јакшић“, Рача

Матурски рад из Рачунарских мрежа

Virtual private network - VPN

Ментор: Ученик:

Марко Милошевић , проф Стефан Стојменовић, IV1

Рача, август 2013. год

С А Д Р Ж А Ј

Страна

1. Увод..................................................................................................................3

1.1. Шта је VPN? ..............................................................................................31.2. Архитектура VPN мреже .........................................................................41.3. Коме је намењен? .....................................................................................4

2 Креирање VPN мреже (Virtual Private Network)............................................5

2.1. Основни појмови VPN мреже .................................................................52.2. Захтеви ......................................................................................................72.3. Планирање VPN мреже ...........................................................................72.4. Компоненте VPN конекције ....................................................................82.5. Имплементација VPN мреже...................................................................92.6. Безбедност VPN мреже...........................................................................12

5. Закључак.........................................................................................................14

Литература.........................................................................................................15

2

1. Увод

1.1. Шта је VPN?

VPN (Virtual Private Network) је картица за виртуалну приватну мрежу. То је технологија која омогућава сигурно повезивање рачунара или приватних мрежа у заједничку виртуалну приватну мрежу и то кроз приватну или јавну мрежну инфраструктуру (првенествено се то односи на Интернет).

За разлику од приватних мрежа које користе изнајмљене линије за комуникацију, VPN може радити и преко јавне мреже приликом чега се успоставља сигурносни канал између крајњих тачака. То најчешће доводи до одређене, често велике, новчане уштеде. VPN се често уместо за технологију користи и као скраћеница за приватну мрежу успостављену преко јавне телекомуникацијске инфраструктуре.

Слика 1. Поједностављен пример VPN

3

1.2. Архитектура VPN мреже

Виртуелна приватна мрежа омогућава корисницимада размењују податке везом која је емулирана као директна веза (point-to-point link - PPP) између клијента и сервера. PPP емулација добија се енкапсулацијом података заглављем које омогућава рутирање кроз јаву мрежу до одредишта који је део приватне мреже. Подаци су шифрирани и пакети који су пресретнути у оквиру јавне или дељене мреже не могу се прочитати без кључа за дешифровање. Инфраструктура јавне мреже је небитна јер корисник логички види само свој приватни линк, односно налази се логички у локалној мрежи, иако је од других корисника раздвојен јавном мрежом.

Слика 2. Архитектура VPN mreže

1.3. Коме је намењен?

Највећу корист од VPN-а имају предузећа која имају своје представништво распоређено у више држава. Будући да је међусобна телефонска веза скупа, VPN се појављује као врло разумно решење . Веза према ISO-у (даваоцу Интернет услуга) је ипак далеко јефтинија.

Осим њих корист имају предузећа која имају географски одвојене пословне просторе, као нпр. INA, заступници одређене ауто марке и њихови салони, итд. Разлог томе је што је цена обичног телефонског позива код нас 4,5 пута скупља од модемског позива (Dial-up) на Интернет, а закуп линије на веће удаљености је ипак скупљи од закупа сталне везе према Интернету.

Трећи најчешћи случај је да се појединачни корисници имају потребу спојити на приватну мрежу предузећа у којем раде. То могу бити радници предузећа који се морају спојити на приватну мрежу предузећа док врше мерења на терену, радник

4

преузећа који се жели од куће спремити за сутрашњи састанак који је ненадано искрснуо или једноставно трговачки путник који подноси дневни извештај о продаји и наручује робу за идући дан.

Осим података путем VPN-а је могуће вршити и пренос говора – VoIP (Voice over IP), што омогућује значајну уштеду, поготово ако предузеће има подружнице у више држава. Зависно од потребе, понекад је боље користити неке друге, једоставније за имплементирати, начине сигурног комуницирања уместо VPN-а.

Слика 2. Корисници VPN мреже

2. Креирање VPN мреже (Virtual Private Network)

2.1. Основни појмови VPN мреже

Virtual private network (VPN) представља наставак приватне мреже преко јавне мреже , попут Интернета. Уз помоћ VPN корисници размењују податке на начин да се емулира point-to-point приватна веза , тј. добија се ефекат као да се налазе у локалној мрежи. Да би се постигла point-to-point емулација, подаци су „спаковани “ у пакет са заглављем које носи податке о рутама. Ти подаци су потребни да би пакет био у стању да кроз јавну мрежу пронађе своје одредиште. Поред тога што су „спаковани“, емулирани подаци су такође и енкриптовани у циљу бзбедности. Ово онемогућава отварање пакета без енкрипционог кључа, уколико он буде пресретнут негде на јавној мрежи. Заправо, веза у којој су приватни подаци енкапсулирани (спаковани) и енкриптовани зове се virtual private network (VPN) конекција.

Корисници који раде код куће или на путу могу уз помоћ VPN конекција успоставити remote access конекције ка серверу у свом предузећу помоћу Интернета. Корисник је у том случају VPN клијент који се повезује на VPN сервер. Поред овог

5

случаја, предузећа могу уз помоћ VPN повезати своје географски удаљене канцеларије, а да при томе обезбеде довољан ниво сигурности.

Слика 3. Remote-access конекција

Постоје два типа VPN технологија код Microsoft Windows Servera:

a) Point-to-Point Tunneling Protocol (PPTP) који користи user-level PPP (point-to-point protocol) метод аутентификације и Microsoft Point to Point Encryption (MPPE) за енкриптовање података.

Слика 4. Енкриптовање података

б) Layer Two Tunneling Protocol (L2TP) са Internet Protocol security (IPSec) koji koristi user-level PPP метод за аутентификацију и сертификате са IPSec за енкриптовање података, или IPSec у тунел моду, у којем IPSec сам обезбеђује енкрипцију.

6

Слика 5. Encrypted by IPSec

2.2. Захтеви

VPN технологија мора осигурати одређене захтеве. То су:

Управљање адресама – VPN је задужен за додељивање клијентских адреса унутар приватних мрежа.

Механизми за управљање кључевима – VPN мора осигурати генерисање и освежавање кључева између клијента и послодавца.

Подршку за разне протоколе – VPN мора подржавати стандардне протоколе који се користе на јавним мрежама (IP, IPX, итд. )

Такође ту су врло битни и сигурносни захтеви: Права приступа – VPN осигурава проверу идентитета корисника и дозвољава

VPN приступ само регистрованим корисницима. Такође мора осигурати могућности праћења догађаја.

Аутентификацију – VPN мора осигурати да подаци који долазе стварно долазе са одредишта с' којег тврде да долазе и да особа која тврди да је послала податке то стварно и јесте.

Целовитост (интегритет) података – VPN мора осигурати да нико не мења податке док путују Интернетом. За то се најчешће користи MD5 (алгоритам за израчунавање)

Поверљивост (тајност, шифрирање) – VPN мора осигурати шифрирање података тако да их нико, осим клијента, односно сервера, не може прочитати. То се постиже разним алгоритмима попут DES, 3DES, RSA и Diffie – Hellman алгоритма.

2.3. Планирање VPN мреже

У изради плана за нашу VPN мрежу треба да пратимо неке од правила за израду VPN мреже. Ако се ради о компанији која има сопствени сервер на који су повезани Notebook рачунари поступак повезивања реализује се кроз следеће кораке:

7

1. VPN клијент покушава да успостави VPN конекцију ка Remote Access Serveru-VPN серверу који је конектован на Интернет. VPN сервер се понаша као Gateway и нормално је конфигурисан да нуди приступ ка целој мрежи на којој је VPN сервер повезан.

2. VPN сервер одговара на виртуални позив.

3. VPN сервер аутентификује субјекта који је направио позив и проверава његову ауторизацију да би допустио кориснику да се конектује на мрежу.

4. VPN сервер извршава трансфер података између VPN клијента и мрежне организације.

2.4. VPN Компоненте конекције

VPN конекција укључује следеће компоненте:

1. VPN сервер: Компјутер који прихвата VPN конекције од VPN клијента, као што је на пример сервер конфигурисан са Routing and Remote Access servisom.

2. VPN клијент: Компјутер који иницира VPN конекцију ка VPN серверу.

3. Транзит мрежа: Дељена или јавна мрежа кроз коју пролазе капсулирани подаци.

4. VPN конекција или VPN тунел: Део конекције у којој су наши подаци шифровани и капсулирани.

5. Tunneling протоколи: Протоколи који се користе за управљање тунелима и за капсулирање приватних података (на пример, Point-to-Point Tunneling Protocol PPTP).

6. Подаци који се шаљу кроз Tunel: Подаци који се обично шаљу кроз приватни Point-to-Point линк.

7. Аутентификација: Идентитет клијента и сервера у VPN конекцији се аутентификују. Да би се осигурало да примљени подаци представљају податке које је стварно послао члан конекције (VPN клијент) и да подаци нису престретнути и модификовани, VPN такође аутентификује податке које су послати.

8. Адресе и локације Name сервера: VPN сервер је одговоран за додељивање IP адреса које додељује преко дефолтног протокола, DHCP или из скупа статичких IP адресакоји је креирао администратор. VPN сервер такође лоцира и даје адресе DNS и WINS сервера VPN клијентима.

8

2.5. Имплементација VPN мреже

За имплементацију наше VPN мреже користићемо технологију PPTP (Point-to-Point Tunneling Protocol) који је најједноставнији облик VPN мреже и користи user-level PPP (point-to-point protocol) метод аутентификације и Microsoft Point-to-Point Encryption (MPPE) за енкриптовање података.

Најважнији део наше VPN мреже представља тзв. тунеловање. Тунеловање или енкапсулација је метод при коме се користи инфраструктура једног протокола за пренос пакета података другог протокола. Уместо да се шаљу оригинални пакети, они су енкапсулирани додатним заглављем. Додатно заглавље садржи информације потребне за рутирање , односно усмеравање пакета кроз мрежу, тако да ново добијени пакет може слободно путовати транспортном мрежом. Други рачунари на тој мрежи која у овом случају служи само као физички медиј за пренос података, не могу приступити рачунарима који су на виртуалној приватној мрежи.

Иначе тунеловање омогућује јавној мрежи преношење пакета рачунару на којем се налази PPTP сервер и које је истовремено повезано на јавну мрежу и виртуалну приватну мрежу. Када PPTP сервер прими пакет са јавне мреже, он га даље шаље виртуелном мрежом , односно тунелом до одредишног рачунара. PPTP сервер то ради процесирањем (енкапсулираног PPP пакета) како ви дошао до адресе или имена рачунара на виртуелној приватној мрежи.

Према свему до сад наведеном наша мрежа би требало да изгледа овако:

Слика 6. Имплементација VPN мреже

9

Прво што треба урадити је конфигурација сервера компанији. То је уређај са слике 6. Који има адресу 192.168.52.32. Пре саме конфигурације VPN сервера, прво морамо да му додамо Remote Access-VPN улогу сервера, Морамо да будемо чланови Aministrators групе на локалном компјутеру да би смо могли да додајемо улоге серверу.

Након додавања улоге VPN сервер Role, морамо да користимо Configure Your Server Wizard da bi smo konfigurisali server za VPN konekcije. Из Manage Your Server, кликнемо на Add or Remove Role и након тога кликнемо на Remote Access-VPN Server.

Регистровање Remote Access сервера у активном директоријуму: Ако нисмо доменски администратор (Domain Administrstor), потребно је да тражимо од администратора домена да дода налог компјутера одговарајућег сервера у RAS and IAS сервера сигурносну групу у домен којем припада сервер. Доменски администратор може да дода компјутерски налог у RAS and IAS Servers Security групу користећи Active Directory Users and Computers алат.

Затим конфигуришемо Remote Access сервер на следећи начин:

1. Кликни на Start па Control Panel.

2. У Control Panelu отворимо Administrative Tools и након тога кликнемо Manage Your Server.

3. У Manage your Server прозору кликнемо на Add or Remove а Role да би приступили Configure Your Server чаробњаку.

4. На Preliminary Steps страници кликнемо на Next.

5. На Server Role страници кликнемо на Remote Access- VPN сервер и након тога кликнемо на Next.

6. На Summary Selection страници кликнемо на Next.

7. На Wellcome to the Routing and Remote Access Setup Wizard страници кликнемо на Next.

8. На Configuration страници селектујемо Remote Access (dial-up or VNP) и килкнемо на Next.

9. На Remote Access страници проверимо да ли је постављена опција VPN и килкнемо на Next.

10

10. На VPN Connection страници кликнемо на мрежни интерфејс док се компјутер конектује на Интернет. Мрежни интерфејс, који изаберемо, биће конфигурисан да прима конекције од VPN клијента. Сваки интерфејс који нисмо изабрали биће конфигурисан као конекција ка приватној мрежи.

11. На IP Address Asigment страници, потребно је да селектујемо или Automatically ili From a Specified Range of Addresses opciju. Дефолтна опција која је постављена је Automatically. Ова селекција конфигурише наш сервер да генерише и додељује IP адресе удаљеним клијентима. Кликнемо на Next.

12. На Managing Multiple Remote Access Servers станици аутоматски је селектована опција No, use Routing and Remote Access to Authenticate Connection Requests. Не мењамо ову опцију. Ова опција конфигурише наш сервер да аутентификује захтеве за конекцијама локално коритећи Windows аутентификацију, Windows Accounting и локално смештене Remote Access Polises. Кликнемо на Next.

13. На Completing the Routing and Remote Access Server Setup Wizard страници прегледамо коначне информације. Проверимо све што смо поставили.

14. У случају да смо направили одређену грешку, потребно је да кликнемо на Back и након тога променимо информацију. Након што је комплетна информација тачна, кликнемо на Finish.

15. Routing and Remote Access Message бокс приказује поруку у којој се наводи да: Windows није у могућности да дода овај компјутер у листу валидних Remote Access сервера у активном директоријуму. Пре почетка коришћења компјутера као Remote Access сервера, доменски администратор мора да заврши овај задатак. Кликнемо на OK.

16. Routing and Remote Access Message бокс приказује поруку у којој се наводи да: Да би смо подржали DHCP поруке од удаљених клијената, морамо да конфигуришемо Properties DHCP Relay Agenta са IP адресом нашег DHCP сервера.

17. Routing and Remote Access сервис ће бити аутоматски стартован, и појавиће се Configure Your Server чаробњак. На This Server is Now a Remote Access-VPN Server страници, кликнемо на Finish.

Након конфигурисања Remote сервера потребно је да конфигуришемо и наше Notebook рачунаре, који у овом случају раде као клијенти на постојећој VPN мрежи. Користимо Network Connection да конфигуришемо клијента за VPN конекцију. Након што смо креирали нову конекцију, можемо да је ископирамо у Network Connections фолдер и након тога конекцији променимо име и модификујемо поставке.

Копирање нове конекције у Network Connection фолдер је брз начин да креирамо различите конекције које се односе на више модема, ISP-ова, итд

11

Конфигурација Remote Access клијента за VPN конекцију:

1. Кликнемо на Start i zatim otvorimo Control Panel.

2. У Control Panelu кликнемо на Network Connections.

3. У Network Connections дупли клик на New Connection Wizard.

4. На Welcome to the New Connection Wizard страници кликнемо на Next.

5. На Network Connection Тype страници селектујемо Connect to the Network at my Work place и кликнемо на Next.

6. На Network Connection страници селектујемо Virtual Private Network Connection и кликнемо на Next.

7. На Connection Name страници упишемо одговарајуће име конекције и кликнемо на Next.

8. На VPN Server Selection страници упишемо host име VPN сервера на који ће се клијент конектовати или IP адресу VPN сервера на коме ће клијент бити конектован и кликнемо на Next.

9. На Connection Availability страници, ако имамо привилегије администратора на локалном компјутеру, можемо да селектујемо Anyone Use или For My Use Only. Кликнемо на Next.

10. На Completing the New Wizard страници кликнемо на Finish.

Овим поступком је VPN мрежа конфигурисана и спремна за рад. Notebook рачунари уз филијале могу да приступе компанијском серверу и преко њега свим интерфејсима повезаним на сервер. VPN нам такође омогућава вођење компаније и управљање њеним ресурсима са удаљеног места.

2.6. Безбедност VPN мреже

Анализе безбедности мреже на Интернету су указале да су Виртуалне приватне мреже данас најбезбеднија технологија за комуникацију свих врста података преко отворене јавне глобалне мреже као што је Интернет. Оне емулирају везу Point-to-Point тунеловањем података, са енкапсулацијом и енкрипцијом помоћу безбедоносних протокола, чиме остварују приватност, инрегритет и расположицост, што су основни елементи безбедности сваке мреже.

12

Ипак и ове мреже показују рањивост на неке стандардне нападе Интернет окружења. И поред тога VPN мреже данас представљају стандард у вођењу компанијских послова и интеракцији филијала и седишта компаније.

Слика 7.

Закључак

13

Као што је у овом раду изложено могућности повезивања у VPN мрежу су заиста велике и спектар услуга ове мреже се из дана у дан проширује. Због могућности међусобног повезивања више удаљених послодаваца у великој мери се смањују трошкови пословања, што овај начин повезивања ставља у први план мултидимензионалног пословања. Такође пројектанти ових мрежних система велике напоре улажу да побољшају сигурност оваквог преноса података. Уводе се нови системи, протоколи и енкрипције којима је тешко дешифровати код. VPN такође има велику примену и у системима мобилне телефоније, тако да је приступ свим подацима корисним за пословање практично неограничен свим ауторизованим лицима. Стога закључујем да је систем умрежавања у Виртуалне Приватне Мреже будућност комуникације на свим нивоима пословања.

Литература

14

1. http://bib.irb.hr/datoteka/233155.Diplomska_Radnja_-1572-_Dario_Hofman_-_Sigurnost_u_virtualnim_privatnim_mrezama.pdf

2. http://www.slideshare.net/tijanica86/dipl-projektovanje-it

3. http://www.academia.edu/934414/Bezbednost_podataka_u_VPN-u_na_javnoj_globalnoj_mrezi

4. http://sr.wikipedia.org/wiki/Virtuelna_privatna_mre%C5%BEa

15