Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna...

43
Virtuelne privatne mreže Virtuelne privatne mreže Virtual Private Networks (VPN) Virtual Private Networks (VPN)

Transcript of Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna...

Page 1: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Virtuelne privatne mrežeVirtuelne privatne mrežeVirtual Private Networks (VPN)Virtual Private Networks (VPN)

Page 2: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

virtualvirtual (adj.) - Simulated;performing the functions of

something that isn’t reallythere.

The New Hacker’sDictionary

Page 3: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Osnovni finansijski aspekti Osnovni finansijski aspekti realizacije WAN mrežarealizacije WAN mreža

•• CCijijenu korporacijske WAN mreže prveenu korporacijske WAN mreže prvennstveno određuju:stveno određuju:–– CCijijena opreme.ena opreme.–– CCijijena zakupa telekomunikacionih resursa.ena zakupa telekomunikacionih resursa.

•• CCijijena korišćenja telekomunikacionih resursa zavisi od:ena korišćenja telekomunikacionih resursa zavisi od:–– Izbora telekomunikacionog operatora.Izbora telekomunikacionog operatora.–– Kapaciteta pojedinih telekomunikacionih linkova.Kapaciteta pojedinih telekomunikacionih linkova.–– Topologije mreže Topologije mreže -- dužine pojedinih trasa.dužine pojedinih trasa.

•• U domaćim uslovima:U domaćim uslovima:–– Korisnici su ograničeni na jednog telekomunikacionog Korisnici su ograničeni na jednog telekomunikacionog

operatora .operatora .–– Zakup digitalnih linkova je izuzetno skupa usluga, pogotovo Zakup digitalnih linkova je izuzetno skupa usluga, pogotovo

međummeđumjjesnih.esnih.

Page 4: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

2 M 128 K

64 K64 K

128 K

64 K

2 M64 K

1 M64 K

Centralizacija ...Centralizacija ...

Page 5: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Regionalizacija ...Regionalizacija ...

2 M

2 M

2 M

Budva

NK

Bar

Podgorica

Page 6: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Virtuelizacija ...Virtuelizacija ...

BudvaNk

Bar

Podgorica

Page 7: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Virtuelna privatna Virtuelna privatna mreža (VPN)!mreža (VPN)!

ISP

ISP

Internet ISPISP ISP

BD

NK

BR

PG

Page 8: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN van nacionalnih VPN van nacionalnih okvira!okvira!

Internet

ISP

Company A

ISP

Company B

ISP

Company A

Vienna Budapest

Podgorica

Company B Company A

Page 9: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Opšti pojmoviOpšti pojmovi

VirtuelnaVirtuelna privatna mreža:privatna mreža:Skup uređaja medijuma, koji krajnjem korisniku daje privid potpuno

ili djelimično izolovane privatne mreže.

Prednosti:Prednosti:• Za korporacijsku mrežu, Internet predstavlja transportnu mrežu.• Sa stanovišta krajnjeg korisnika mreža se ponaša isto kao i WAN.• Privid privatnosti obezbeđuje se različitim mehanizmima• Sa stanovišta vlasnika mreže - jeftiniji troškovi eksploatacije.• Mreža može da bude potpuno ili delimično izolovana od Interneta.ManeMane::• Bezbednost i zaštita podataka rešavaju se namjenskim rješenjima!

Page 10: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Klasifikacija VPNKlasifikacija VPN

Koncepti realizacije:Koncepti realizacije:•• VPN na nivou aplikacije (VPN na nivou aplikacije (applicationapplication--layer layer VPN)VPN)•• VPN na nivou protokola mrežnog sloja (VPN na nivou protokola mrežnog sloja (networknetwork--layer layer VPN)VPN)•• VPN na nivou protokola sloja veze (VPN na nivou protokola sloja veze (datadata--link layer link layer VPN)VPN)

Način pristupa od strane korisnika:Način pristupa od strane korisnika:•• VPN sa permanentnim pristupom.VPN sa permanentnim pristupom.•• VPN sa semiperm. pristupom (VPN sa semiperm. pristupom (virtual private dialvirtual private dial--in net in net -- VPDN)VPDN)

Bezbednost i zaštita podataka:Bezbednost i zaštita podataka:•• VPN sa minimalnim obezbeđenjem (VPN sa minimalnim obezbeđenjem (routerrouter access listsaccess lists, , firewallfirewall))•• VPN sa kriptozaštitom.VPN sa kriptozaštitom.

Page 11: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na nivou aplikacijeVPN na nivou aplikacije

•• Tipičan primer Tipičan primer -- korišćenje DNS servisa za formiranje VPN.korišćenje DNS servisa za formiranje VPN.•• DNS DNS -- veza između naziva i IP adresa računara:veza između naziva i IP adresa računara:

–– IP adrese (npr.IP adrese (npr. 10.1.2.310.1.2.3) ) -- zavise od lokacije računara i topologije zavise od lokacije računara i topologije mreže.mreže.

–– Nazivi (npr.Nazivi (npr. www.firma.co.yuwww.firma.co.yu) su nezavisni od fizičke topologije ) su nezavisni od fizičke topologije mreže.mreže.

–– DNS DNS -- obezbeđuje prevođenje naziva u adrese i obrnuto.obezbeđuje prevođenje naziva u adrese i obrnuto.•• Svaka firma na Internetu ima svoj domen Svaka firma na Internetu ima svoj domen -- npr.npr. firma.cfirma.cgg.yu.yu..•• Računari registrovani unutar tog domena krajnjem korisniku Računari registrovani unutar tog domena krajnjem korisniku

stvaraju privid pripadnosti istoj korporacijskoj mreži.stvaraju privid pripadnosti istoj korporacijskoj mreži.•• Za kranjeg korisnika lokacija pojedinih računara nije bitna Za kranjeg korisnika lokacija pojedinih računara nije bitna -- on će on će

uvek koristiti nazive za pristup pojedinim računarima u mreži.uvek koristiti nazive za pristup pojedinim računarima u mreži.

Page 12: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na nivou aplikacijeVPN na nivou aplikacije

Internet

ISP

172.16.12 /24

ISP

ISP

172.19 /16

Vienna Budapest

Podgorica

192.168.20.64 /26

DNS

172.16.12.1Vienna1.example.com 192.168.20.67

Bud1.example.com

Domain:example.com

Page 13: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na nivou aplikacijeVPN na nivou aplikacije

Prednosti:Prednosti:•• Jednostavna i jeJednostavna i jefftina implementacija tina implementacija -- svodi se na konfigurisanje svodi se na konfigurisanje

DNS servera.DNS servera.Nedostaci:Nedostaci:•• Pri promPri promjjeni provajdera neophodna je renumeracija kompletne eni provajdera neophodna je renumeracija kompletne

mreže, kao i znatne izmmreže, kao i znatne izmjjene podataka u DNSene podataka u DNS--u.u.•• U toku renumeracije mreža uglavnom nije upotrebljiva.U toku renumeracije mreža uglavnom nije upotrebljiva.•• Komplikovana za konfigurisanje i održavanje i upravljanje.Komplikovana za konfigurisanje i održavanje i upravljanje.•• Složenost održavanja povećava se kako se povećava broj Složenost održavanja povećava se kako se povećava broj

lokacija.lokacija.•• DNS saobraćaj može lako da se lažira od strane zlonamDNS saobraćaj može lako da se lažira od strane zlonamjjernika.ernika.•• Mreža se nikakvim mehanizmima ne štiti od zlonamMreža se nikakvim mehanizmima ne štiti od zlonamjjernika.ernika.

Page 14: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na mrežnom slojuVPN na mrežnom slojuMetoda kontrolisanog rutiranjaMetoda kontrolisanog rutiranja

•• Koristi se uglavnom u okruženjima gde korisnici ne pristupaju Koristi se uglavnom u okruženjima gde korisnici ne pristupaju direktno Internetu.direktno Internetu.

•• Na ruteru treba:Na ruteru treba:–– Isključiti Isključiti defaultdefault putanju (0.0.0.0).putanju (0.0.0.0).–– Ubaciti statičke putanje (Ubaciti statičke putanje (static routesstatic routes) ka mreži provajdera, za sve IP ) ka mreži provajdera, za sve IP

mreže koje se koriste unutar korporacijske mreže.mreže koje se koriste unutar korporacijske mreže.•• Prednost Prednost -- rešenje je kranje jednostavno rešenje je kranje jednostavno -- svodi se na dodatnu svodi se na dodatnu

konfiguraciju rutera.konfiguraciju rutera.•• Dodatni nivo zaštite može da se ostvari korišćenjem Dodatni nivo zaštite može da se ostvari korišćenjem firewallfirewall

servera na pojedinim lokacijama.servera na pojedinim lokacijama.

Page 15: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na mrežnom slojuVPN na mrežnom slojuRRjješenje sa javnim adresamaešenje sa javnim adresama

Internet

ISP

172.16.12 /24

ISP

ISP

172.19 /16

Vienna Budapest

Podgorica

192.168.20.64 /26

Static route:

Static route:

172.19/16

172.19/16

Static route:Static route:192.168.20.64/26192.168.20.64/26

Page 16: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na mrežnom slojuVPN na mrežnom slojuMetoda logičkih tunelaMetoda logičkih tunela

•• Logički tuneli Logički tuneli -- mehanizam prenosa poruka raznih protokola (IP i mehanizam prenosa poruka raznih protokola (IP i IPX datagrama, DECnet i SNA paketa itd.) unutar IP datagrama.IPX datagrama, DECnet i SNA paketa itd.) unutar IP datagrama.

•• Omogućavaju formiranje VPN koje koriste kako IP, tako i sve Omogućavaju formiranje VPN koje koriste kako IP, tako i sve ostale često korišćene protokole: IPX, DECnet, SNA itd.ostale često korišćene protokole: IPX, DECnet, SNA itd.

•• Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se Pakovanje poruka u IP datagrame, kao i njihovo raspakivanje se vrši na dva jasno definisana rutera u mreži (vrši na dva jasno definisana rutera u mreži (tunnel endpointstunnel endpoints).).

•• Logički tuneli mogu biti uspostavljeni:Logički tuneli mogu biti uspostavljeni:–– Između dve fiksne tačke u mreži (Između dve fiksne tačke u mreži (pointpoint--toto--pointpoint))–– Između jedne i više fiksnih tačaka u mreži (Između jedne i više fiksnih tačaka u mreži (pointpoint--toto--multipointmultipoint).).

•• U IP mrežama U IP mrežama -- omogućavaju transparentno korišćenje privatnih omogućavaju transparentno korišćenje privatnih adresa, uz minimalnu rekonfiguraciju pri promeni provajdera.adresa, uz minimalnu rekonfiguraciju pri promeni provajdera.

Page 17: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na mrežnom slojuVPN na mrežnom slojuMetoda logičkih tunelaMetoda logičkih tunela

RouterInternet

Router

10.1.3.110.1.3.5 10.1.1.1 10.1.1.5

10.1.3.0 /24 10.1.1.0 /24

DATA10.1.3.5 10.1.1.5195.1.1.1 195.2.3.1

DATA10.1.3.5 10.1.1.5

DATA10.1.3.5 10.1.1.5

195.1.1.1 195.2.3.1

A B

Page 18: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN na mrežnom slojuVPN na mrežnom slojuMetoda logičkih tunelaMetoda logičkih tunela -- MPLSMPLS

•• Nastala Nastala iz iz layer 2layer 2 tehnologija tipa Frame Relay i tehnologija tipa Frame Relay i ATM.ATM.

•• Svakom IP datagramu dodaje se labela koja Svakom IP datagramu dodaje se labela koja označava kojoj VPN taj datagram pripada.označava kojoj VPN taj datagram pripada.

•• MPLS VPN mreže su skalabilne jer se veoma MPLS VPN mreže su skalabilne jer se veoma lako proširuju dodavanjem novog čvora u mrežu lako proširuju dodavanjem novog čvora u mrežu što nije slučaj sa tunelima nastalim što nije slučaj sa tunelima nastalim enkapsulacijom saobraćaja u IP datagram.enkapsulacijom saobraćaja u IP datagram.

•• Za sada se isključivo koriste u IP mrežama.Za sada se isključivo koriste u IP mrežama.

Page 19: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN VPN -- kripto zaštitakripto zaštita

•• prethodno opisane metode su obezbeđivale prethodno opisane metode su obezbeđivale virtuelne mreževirtuelne mreže

•• pošto se podaci prenose u čitljivom obliku pošto se podaci prenose u čitljivom obliku privatnost se ne može garantovati, posebno privatnost se ne može garantovati, posebno ako se za realizaciju koristi neka javna mreža ako se za realizaciju koristi neka javna mreža za prenos podataka tipa Internetaza prenos podataka tipa Interneta

Page 20: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

LL/ATM/FR mreža

VPN 1

VPN 2

VPN VPN -- kripto zaštitakripto zaštita

Page 21: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

ZahtZahtjjevi koji se postavljaju pred VPN evi koji se postavljaju pred VPN mreže su:mreže su:sigurnostsigurnostpouzdanostpouzdanostperformanseperformanse

VPN VPN -- kripto zaštitakripto zaštita

Page 22: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• koristi se u kombinaciji sa tunelovanjem koristi se u kombinaciji sa tunelovanjem podataka pri čemu se tunel definiše podataka pri čemu se tunel definiše važnošću primenjene šifrevažnošću primenjene šifre

•• u kombinaciji sa u kombinaciji sa firewallfirewall--om obezbeđuje om obezbeđuje zaštitu lokalne mrežezaštitu lokalne mreže

VPN VPN -- kripto zaštitakripto zaštita

Page 23: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPNVPNgatewaygateway

VPNVPNgatewaygateway

javna mrežaabv abv

#%$&&

VPN VPN -- kripto zaštitakripto zaštita

Page 24: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Dva osnovna sistema kripto zaštite:Dva osnovna sistema kripto zaštite:sistem sa simetričnim ključem sistem sa simetričnim ključem -- isti isti tajni ključ se koristi i za šifrovanje i za tajni ključ se koristi i za šifrovanje i za dešifrovanje podatakadešifrovanje podatakasistem sa asimetričnim ključem sistem sa asimetričnim ključem --postoje dva ključa, javni i tajnipostoje dva ključa, javni i tajni

VPN VPN –– tipovi tipovi kripto zaštitkripto zaštitee

Page 25: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

izvorište odredište

isti tajniključ

VPN VPN –– sistem sa sistem sa simetričnim ključemsimetričnim ključem

Page 26: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• tajnost ključa utiče na sigurnost ctajnost ključa utiče na sigurnost cijijelog elog sistemasistema

•• brz sistembrz sistem,, što je veoma dobro sa stanovišta što je veoma dobro sa stanovišta performansi VPN performansi VPN gatewaygateway--aa

•• najčešće se koriste RCnajčešće se koriste RC--4, DES, TripleDES i 4, DES, TripleDES i FWZFWZ--1 algoritmi1 algoritmi

•• dužina ključa utiče na kvalitet kripto zaštite dužina ključa utiče na kvalitet kripto zaštite (današnji ključevi su 56(današnji ključevi su 56--bitni i više)bitni i više)

VPN VPN –– sistem sa sistem sa simetričnim ključemsimetričnim ključem

Page 27: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• problem tajnosti ključa u sistemu sa simetričnim problem tajnosti ključa u sistemu sa simetričnim ključem razrključem razrijiješen je u sistemu sa asimetričnim ešen je u sistemu sa asimetričnim ključemključem

•• ovde se koriste dva ključa, ovde se koriste dva ključa, javni i tajnijavni i tajni ((privatniprivatni))•• javni ključ se slobodno distribuira dok je tajni javni ključ se slobodno distribuira dok je tajni

poznat samo vlasnikupoznat samo vlasniku•• kombinacijom javnog i tajnog ključa dobija se kombinacijom javnog i tajnog ključa dobija se

novi ključ koji se koristi za šifrovanjenovi ključ koji se koristi za šifrovanje

VPN VPN –– sistem sa sistem sa asimetričnimasimetričnim ključemključem

Page 28: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• novodobijeni ključ se koristi za novodobijeni ključ se koristi za šifrovanje kao i kod sistema sa šifrovanje kao i kod sistema sa simetričnim ključemsimetričnim ključem

•• najčešće se koriste dva algoritma Diffienajčešće se koriste dva algoritma Diffie--Hellman (DH) i RivestHellman (DH) i Rivest--ShamirShamir--Adlemen Adlemen (RSA)(RSA)

•• problem ako se neko ubaci u prenos problem ako se neko ubaci u prenos javnih ključeva (javnih ključeva (manman--inin--thethe--middlemiddle))

VPN VPN –– sistem sa sistem sa asimetričnimasimetričnim ključemključem

Page 29: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

A B

tajniključ

salok.A

javniključ

salok.B

tajniključ

salok.B

javniključ

salok.A

DH algoritamza proračun

ključa

DH deljenitajni ključ

DH deljenitajni ključ≡

DH algoritamDH algoritam

Page 30: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• problem trećeg u komunikaciji problem trećeg u komunikaciji prevaziđen je korišćenjem RSA prevaziđen je korišćenjem RSA algoritma i uvođenjem digitalnog potpisaalgoritma i uvođenjem digitalnog potpisa

•• podaci šifrovani RSA tajnim ključem podaci šifrovani RSA tajnim ključem mogu biti dešifrovani mogu biti dešifrovani SAMOSAMO RSA RSA javnim ključemjavnim ključem

VPN VPN –– RSA algoritamRSA algoritam

Page 31: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

+ Data

Data +

AAA-- RSA RSA

tajni tajni ključključ RSA šifrovani podacišifrovani podaci

šifrovani podacišifrovani podaciAA-- RSA RSA

javnijavni ključključ

RSA bilo ko

VPN VPN –– RSA algoritamRSA algoritam

Page 32: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

•• Da bi se obezbedila kriptovana Da bi se obezbedila kriptovana komunikacija između proizvoljnih komunikacija između proizvoljnih partnera potrebno je obezbediti partnera potrebno je obezbediti distribuciju ključeva između njih.distribuciju ključeva između njih.

•• To je zadatak posebnih servera koji se To je zadatak posebnih servera koji se zovu zovu Certificate AuthorityCertificate Authority (CA)(CA)

•• CA čuva javne ključeve svih CA čuva javne ključeve svih zainteresovanih i distribuira ih po željizainteresovanih i distribuira ih po želji

VPN VPN –– distribucija ključevadistribucija ključeva

Page 33: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN VPN –– tipična komunikacijatipična komunikacijaCertificate AuthorityCertificate Authority

A B

abcd $!T*% abcd

Dijeljeni tajni ključDijeljeni tajni ključ

RSA

DH

Page 34: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN VPN –– implementacija (IP mreža)implementacija (IP mreža)

Prethodno navedena pravila i načini Prethodno navedena pravila i načini kriptovanja podataka mogu biti različito kriptovanja podataka mogu biti različito implementirani.implementirani.

U zavisnosti od toga šta se kriptuje, U zavisnosti od toga šta se kriptuje, razlikujemo:razlikujemo:••In place transmission modeIn place transmission mode••Transport modeTransport mode••Encrypted tunnel modeEncrypted tunnel mode

Page 35: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

In place transmission modeIn place transmission mode

•• šifruje se samo korisnički deo IP šifruje se samo korisnički deo IP datagramadatagrama

•• ne menja se dužina IP datagramane menja se dužina IP datagrama•• zadržava se originalno IP zaglavlje što zadržava se originalno IP zaglavlje što

omogućava da se vidi ko su partneri u omogućava da se vidi ko su partneri u komunikacijikomunikaciji

Page 36: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Transport modeTransport mode

•• kriptuju se samo korisnički podaci iz IP kriptuju se samo korisnički podaci iz IP datagramadatagrama

•• postojećem datagramu se dodaje još postojećem datagramu se dodaje još jedno zaglavlje koje sadrži informacije o jedno zaglavlje koje sadrži informacije o primenjenoj metodi kripto zaštite, što primenjenoj metodi kripto zaštite, što dovodi do produženja datagramadovodi do produženja datagrama

•• originalno IP zaglavlje ostaje ne originalno IP zaglavlje ostaje ne promenjeno što omogućava uvid u promenjeno što omogućava uvid u partnere u komunikacijipartnere u komunikaciji

Page 37: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Encrypted tunnel modeEncrypted tunnel mode

•• kompletan IP datagram, uključivši i kompletan IP datagram, uključivši i zaglavlje, se kriptuje, dodaje se novo IP zaglavlje, se kriptuje, dodaje se novo IP zaglavlje i novodobijeni datagram se zaglavlje i novodobijeni datagram se šalje kroz mrežušalje kroz mrežu

•• obezbeđuje potpunu privatnost jer se ne obezbeđuje potpunu privatnost jer se ne može videti čak ni ko komuniciramože videti čak ni ko komunicira

Page 38: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN VPN –– standardizacijastandardizacija

•• prvobitne realizacije VPN uređaja koristile su prvobitne realizacije VPN uređaja koristile su raznarazna rešenjarešenja

•• da bi se obezbda bi se obezbijijedila interoperabilnost edila interoperabilnost uređaja raznih proizvođača, pristupilo se uređaja raznih proizvođača, pristupilo se definisanju standarda iz ove oblastidefinisanju standarda iz ove oblasti

•• IETF formirao IETF formirao IP SecurityIP Security (IPSEC) radnu (IPSEC) radnu grupu čiji je zadatak da definiše standarde za grupu čiji je zadatak da definiše standarde za VPN oblastVPN oblast

Page 39: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Rezultati IPSec radne grupeRezultati IPSec radne grupe

•• definisana su dva protokola zaštićenog definisana su dva protokola zaštićenog prenosa koji definišu prenosa koji definišu Authentication Authentication Header Header (AH) i (AH) i Encapsulating Security Encapsulating Security Payload Payload (EPS)(EPS)

•• definisan način komunikacije uvođenjem definisan način komunikacije uvođenjem pojma pojma Security AssociationsSecurity Associations (SA)(SA)

•• definisan je način razmene ključeva definisan je način razmene ključeva posredstvom Interneta, posredstvom Interneta, Internet Key Internet Key Exchange Exchange (IKE)(IKE)

Page 40: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Za IPv6 definisan je ISAKMP/Oakley Za IPv6 definisan je ISAKMP/Oakley ((Internet Security Association and Key Internet Security Association and Key ManagementManagement) protokol pri čemu je SKIP ) protokol pri čemu je SKIP ((Simple Key management for IPSimple Key management for IP) ) definisan kao opcija.definisan kao opcija.

Rezultati IPSec radne grupeRezultati IPSec radne grupe

Page 41: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

VPN sa VPN sa dialdial--inin pristupompristupom(VPDN)(VPDN)

•• Veza između udaljene i centralne filijale uspostavlja se po potrVeza između udaljene i centralne filijale uspostavlja se po potrebi.ebi.•• Idealno rešenje za povezivanje lokacija sa malim brojem zaposlenIdealno rešenje za povezivanje lokacija sa malim brojem zaposlenih.ih.•• Tipičan primer Tipičan primer -- offoff--shoreshore kompanije sa 2kompanije sa 2--3 službenika.3 službenika.•• Druga česta primena Druga česta primena -- trgovački putnici, koji pristupaju korp. mreži.trgovački putnici, koji pristupaju korp. mreži.•• Troškovi Troškovi -- zakup jednog zakup jednog dialdial--inin naloga kod lokalnog provajdera.naloga kod lokalnog provajdera.•• U odnosu na klasični U odnosu na klasični dialdial--inin pristup, u VPDN moraju da se rpristup, u VPDN moraju da se rijiješe:eše:

–– Kontrola pristupa dKontrola pristupa djjelovima korporacijske privatne mreže (AAA funkcije).elovima korporacijske privatne mreže (AAA funkcije).–– Logički tunel između korisnikovog računara i intranet mreže, radLogički tunel između korisnikovog računara i intranet mreže, radi mogućnosti i mogućnosti

korišćenja privatnog adresnog prostora.korišćenja privatnog adresnog prostora.•• Poznata rešenja:Poznata rešenja:

–– PPTP (PPTP (PointPoint--toto--Point Tunneling ProtocolPoint Tunneling Protocol) ) -- MicrosoftMicrosoft..–– L2TP (L2TP (Layer 2 Tunneling ProtocolLayer 2 Tunneling Protocol) ) -- Cisco & Cisco & MicrosoftMicrosoft..

Page 42: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

Praktični aspekti korišćenja Praktični aspekti korišćenja VPNVPN

•• Performanse VPN zavise isključivo od izbora Internet Performanse VPN zavise isključivo od izbora Internet provajdera.provajdera.

•• Kad god je to moguće, koristiti usluge jednog provajdera.Kad god je to moguće, koristiti usluge jednog provajdera.•• Neophodno je detaljno analizirati mrežu provajdera sa Neophodno je detaljno analizirati mrežu provajdera sa

stanovišta:stanovišta:–– Topologije mreže, protoci na Topologije mreže, protoci na kikičmičmi ((backbonebackbone) i poprečnim linkovima.) i poprečnim linkovima.–– Interkonekcije (Interkonekcije (peeringspeerings) pojedinih provajdera koji se koriste za VPN.) pojedinih provajdera koji se koriste za VPN.–– Mogućnost pružanja dodatnih servisa (npr. Mogućnost pružanja dodatnih servisa (npr. L2TPL2TP tunnelingtunneling).).–– CCijijena zakupa linka i usluga provajdera.ena zakupa linka i usluga provajdera.

•• Kad god je to moguće, primKad god je to moguće, primijijeniti odgovarajuće meniti odgovarajuće mjjere zaštite ere zaštite ((access listsaccess lists, , firewallfirewall, kriptozaštita itd.)., kriptozaštita itd.).

Page 43: Virtual Private Networks (VPN) · Virtuelizacija ... Budva Nk Bar Podgorica. Virtuelna privatna mreža (VPN)! ISP ISP Internet ISP ISP ISP BD NK BR PG. VPN van nacionalnih okvira!

LiteraturaLiteratura

•• Korišćen dio prezentacije kolege Nenada Krajanovića sa Korišćen dio prezentacije kolege Nenada Krajanovića sa ETFETF--a iz Beograda.a iz Beograda.