Bežicne mreže-Seminarski rad

Seminarski rad: VPN(Virtuale Private Network)

IvanJovović Strana 1 od 37

Univerzitet MediteranFakultet za informacione tehnologije-Podgorica Magistarske studije

S e m i n a r s k i r a diz predmeta

Bežične računarske mreže

Tema: VPN(Virtual Private Network)

Profesor: Student: Prof. dr Dušan Starčević Ivan Jovović M/02-09

Podgorica, Februar, 2009



S a d r ž a j:

1. Uvod:............................................................................................ 32. Komponente VPN konekcije....................................................... 6

2.1 Remote-Access VPN .............................................................. 72.2 Intranet-based VPN ............................................................... 72.3 Extranet-based VPN .............................................................. 82.4 VPN Zasnovan na MPLS-u................................................... 8

3. Firewall...................................................................................... 104. Enkripcija .................................................................................. 12

4.1 IPSec..................................................................................... 144.2 AAA Server........................................................................... 15

5. Tunelovanje............................................................................... 166. Upustvo za kreiranje-podešavanje VPN konekcije u Windows XP................................................................................................... 197. Konkretan primjer VPN mreže................................................. 258. Zaključak................................................................................... 369. Literatura................................................................................... 37



1. Uvod:

Internet predstavlja svjetsku računarsku mrežu, ili mrežu svih mreža kojeslobodno razmjenjuju informacije.Svijet se jako promijenio u poslednjih nekoliko decenija.Umjesto da se bave samo lokalnim ili regionalnim poslovima mnogi poslovni subjekti danas moraju voditi računa o globalnim tržištima i logistici. Mnoge kompanije imaju zastupništva širom svijeta. Svima im je zajednička potreba za održavanje brze, sigurne i pouzdane komunikacije gdje god im se predstavništva nalazila. Donedavno su se za održavanje WAN-a (wide area network) koristili zakupljeni vodovi (leased lines). WAN je imao prednost nad javnom mrežom, kao što je Internet, po pitanjima pouzdanosti, brzine i sigurnosti. Ali održavanje WAN-a, posebno kad se koriste zakupljeni vodovi, može postati prilično skupo i često troškovi rastu s udaljenošću izmedju predstavništva.S toga rjesenje problema je VPN(Virtual Private Network) to je tehnologija koja omogućava sigurno povezivanje računara ili privatnih mreža u zajedničku virtuelnu privatnu mrežu i to kroz privatnu ili javnu mrežnu infrastrukturu(prvenstveno se odnosi na Internet).Za razliku od privatnih mreža koje koriste iznajmljene linije za komunikaciju,VPN moze raditi i preko javne mreže prilikom čega se uspostavlja sigurnosni kanal između krajnjih tačaka.To najčešće dovodi do određene, često velike,novčane uštede.VPN se često umjesto za tehnologiju koristi i kao skraćenica za privatnu mrežu uspostavljenu preko javne telekomunikacione infrastrukture.Njveću korist od VPN imaju preduzeća koja imaju prestavnistva raspoređena u više drzava.Budući da je telefonska veza skupa VPN se pojavljuje kao odlično rješenje. Osnovna zamisao VPN tehnologije (u daljnjem tekstu umjesto VPN tehnologije koristit će se samo naziv VPN) je osigurati sigurno povezivanje privatnih mreža preko javne mreže odnosno Interneta. To se najčešće izvodi tunelovanjem izmeđudvije tačke. Kod tunelovanja može se sprovoditi kompresija i/ili šifrovanje podataka.Takođe VPN je moguće koristiti i unutar vlastite lokalne mreže, ali to se rjeđe koristi.Implementacija može biti programska ili sklopovska, a često se koristi i kombinacija te dvije implementacije.Po pravilu programska implementacija je dovoljno brza za šifrovanje/dešifrovanje do 10mbps podataka u realnom vremenu,a za veće brzine koristi se sklopovka implementacija.Korisnici žele sigurnu i stalnu vezu unutar svoje mreže,VPN može garantovati sigurnost ali stalnu vezu ne moze garantovati.Propusnost veze je jednaka svojoj najslabijoj tački.Ako se korisnik spoio modemskom vezom niko ne moze da garantuje sigurnost veze,može da dodje jednostavno do zagusenja ili ispada.Tu su u prednosti iznajmljene linije(skuplje) koje predstavljaju pouzdan medij za prenos podataka.

Zahtjevi:



VPN tehnologija mora osigurati sljedeće zahtjeve a to su:

Upravljanje adresama – VPN je zadužen za dodjeljivanje klijentskih adresa unutar privatnih mreža

Mehanizmi za upravljanje klučevima – VPN mora osigurati generisanje i osvježavanje klučeva izmedju klijenata.

Podrška za razne protokole – VPN mora podržavati osnovne protokole koji se koriste na javnim mrežama(IP.IPX)

Takođe su vrlo bitni sugurnosni zahtjevi koje VPN treba da ispuni: Pravo pristupa – VPN osigurava provjeru identiteta korisnika i dozvoljava VPN

pristup samo registrovanim korisnicima.Takođe mora osigurati mogućnost praćenja dogadjaja.

Autentifikaciju – VPN mora osigurati da podaci koji dolaze zbilja dolaze s odredišta s kojeg tvrde da dolaze i osoba koja tvrdi da je pošaljilac to zaista jeste.Za to se često koristi digitalni sertigikat.(Često se izraz autentifikacija odnosi samo na provjeru imena korisnika i lozinke)

Cjelovitost(integritet) podataka –VPN mora osigurati da podatke niko ne mijenja dok putuju Internetom.Za to najčešće se koristi alogaritam MD5.

Povjerljivost (tajnost,šifriranje) –VPN mora osigurati podatke tako da ih niko,osim klijenata odnosno pošaljioca i primaoca ne može pročitati.To se postiže raznim alogaritmima poput: DES,3DES,RSA,Diffe Hellman algoritma.

S obizirom na mogućnost primjene postoje sljedeća rješenja realizacije VPN:

Intranet VPN- Koristi se za povezivanje više lokacija unutar jedne organizacije za prenos podataka se koristi Internet ili WAN

Extranet VPN- Koristi se za povezivanje dobavljača ili dva poslovna partnera.Za prenos podataka koristi se Internet ili WAN.

Udaljeni pristup – Povezuje udaljene korisnike(ili mala prestavništva) sa lokalnom mrežom preduzeća,povezivanje se obavlja putem modemske veze preko Interneta ponekad se to naziva(VPDN Virtual Private Dial Network)

Podjela VPN rješenja u zavisnosti od konfiguracije:

“client-to-server” rješenja –Koristi se kod modemskih (Dial up) rješenja.Najčešći slučaj je kad se zaposleni želi povezati na na mrežnu infrastrukturu svog preduzeća preko ISP-a sa terena ili od kuće.

“server-to-server rješenja”- Korsti se kod spajanja (dvije ili) više odvojenih mreža.Za to najčešći primjer preduzeće koje se želi spojiti sa svojim prestavništvom preko Interneta koje je fizički udaljeno.



Problem koji će biti prikazan u mom praktučnom primjeru je tipična računarska mreža koja se koristi u malim preduzećima,obično ona se sastoji od dva do destetak računara koji rade na MS Windows operativnim sistemima.Na računaru kojeg sam odredio da mi bude VPN server instalirao sam Linux operativni sistem sa dodatkom ZeroShell Net Services.Za testini sistem odabrana je lokalna mreža koja se sastoji od dva računara(povremeno je koriščen i treći računar) ali zbog jednostavnosti praktičan primjer je odrađen sa dva računara.

Slika 1. Logička šema VPN mreže

Moj zadatak je da kreiram VPN mrežu-tunel (sigurnu i zaštićenu) izmedju klijenta i Lan mreže. Što će biti prikazano u praktičnom primjeru.



2. Komponente VPN konekcije

VPN konekcija uključuje sljedeće komponente:

VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata. VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru. Internet mreža: Dijeljena ili javna mreža kroz koju prolaze podaci. VPN konekcija ili VPN tunel: Dio konekcije u kojoj su naši podaci šifrovani. Tunneling protokoli: Protokoli koji se koriste za upravljanje tunelima i

kapsuliranje privatnih podataka (PPTP, L2TP…). Podaci koji se šalju kroz tunel: Podaci koji se obično šalju kroz privatni

Point-to-Point link. Adrese i lociranje Name Servera: VPN server je odgovoran za dodjeljivanje

IP adresa, koje dodjeljuje preko “default” protokola, DHCP-a ili iz skupa statičkih IP adresa koje je kreirao administrator. VPN server takodje locira idaje adrese DNS i WINS servera VPN klijentima.

Slika 2. Tipična struktura VPN mreže

Na slici 2 prikazana je tipična struktura VPN mreže koja najčešće ima glavni LAN(local area network) u sjedištu kompanije, VPN server, Internet(javna mreža) i ostale mreže u udaljenim predstavništvima i pojedinačne korisnike.



VPN je, u biti, privatna mreža koja koristi javnu mrežu (najčešće Internet) za spajanje udaljenih mjesta i korisnika.

2.1 Remote-Access VPN

Remote Access VPN takodje se naziva VPDN (virtual private dial-up network). Taj tip VPN-a koriste kompanije čiji zaposleni imaju potrebu za spajenjem na privatnu mrežu sa različitih udaljenih lokacija. Kompanija koja želi uspostaviti Remote-Access VPN sa puno spoljnih korisnika koristi usluge ESP-a (enterprise service provider). ESP postavlja NAS (network access server), na kojeg se spoljni korisnici spajaju pomoću desktop client programa.Internet je sve prisutniji u kombinaciji sa VPN tehnologijama.Remote Access VPN je rješenje za daljinski pristup koje pruza izuzetne rezultate prije svega za zaposlene u kompanijama kao i za poslovne partnere,zaposlenima se pruža odgovarajuća fleksibilnost jer mogu da pristupe mreži bilo kad posle radnog vremena od kuće itd,ovdje su implementirana i bezbjedonosna rješenja pristup se može ograničiti na određene servise ili datoteke na koje je obezbijedjen pristup,pristup mreži treba da dodnese veću produktivnost ali mreža ne smije da bude bezbjedonosno ugrožena. Dobar primjer kompanije koja treba Remote-Access VPN je velika kompanija sa stotinama trgovačkih putnika. Remote-Access VPN omogućava sigurnu kriptovanu vezu izmedju privatne mreže kompanije i udaljenih korisnika.

2.2 Intranet-based VPN

Služi za spajanje dviju mreža tipa LAN to LAN,npr ako neka kompanija ima više predstavništva koje želi spojiti u jednu privatnu mrežu to može da učini koristeći Intrenat-based VPN.Postoji nekoliko ključnih prepreka za izgradnju Intrenet-based VPN-ova:

ne postoji standardizovani pristup enkripciji



odstupanje medju proizvodima različitih proizvodjača, što dovodi do nekompatibilnosti

nedostatak standarda vezanih za upravljanje javnim ključevima nemogućnost Interneta da osigura end-to-end QoS

2.3 Extranet-based VPN

Kada su kompanije blisko povezane npr(kupac s dobavljačem ili poslovnim partnerom), one mogu izraditi Extraner-based VPN koji ih povezuje LAN to LAN i omogućava svim kompanijama da medjusobno dijele resurse.Veza se obavlja preko bezbijednog IPsec tunela.

2.4 VPN Zasnovan na MPLS-u

Velike firme koje imaju filijale na različitim lokacijama morale su da povezuju računare radi efikasnijeg poslovanja.Njima je porebna privatna mreža VPN koju bi mogli da administriraju u skladu sa svojim potrebama sigurnosti,rutiranja,dozvola.Virtuelnost se ogledala u tome sto ta infrastruktura koja se koristi u toj mreži ne pripada samo njoj.Da vidimo sta je MPLS to je tehnika komutacije paketa u paketskoj mreži.MPLS je specificirana u dokumentima RFC 3031.Ova tehnika ne pripada ni mrežnom sloju niti sloju podataka veze (DLL) ISO OSI modela.MPLS je po funkcionalnosti između ta dva sloja riječ multiprotocol dolazi od mogućnosti da MPLS radi sa bilo kojim protokolom mrežnog sloja.Ovdje se prvenstveno misli na Internet protokol,nego postoji mogućnost da se tehnologija poput ATM-a pa čak i Frame – Realy-a mogu uklopiti u koncept MPLS.MPLS mreža sastoji se od rubnih i unutrašnjih čvorova.Kako radi MPLS mreža kada neki paket ulazi u MPLS mrežu njemu se na rubnom čvoru dodaje određena labela(oznaka,naljepnica).Rubni čvor se za paket naziva ingress čvor,u slučaju IP paketa



ta labela se nalijepi ispred zaglavlja.Označeni paket se komutira kroz MPLS mrežu po ođredjenoj putanji dok ne dođe do odredišnog rubnog čvora(engress čvor).U engress čvoru skida se labela i paket napušta MPLS mrežu.Svaki čvor u MPLS mreži komutira paket isključivo na osnovu njegove labele,ne analizirajući sadržaj zaglavlja paketa.Zaglavlje paketa analizira se samo u egress čvoru tamo se svaki paket dodljejuje određenij klasi prosledjivanja

Slika 3.VPN mreža realizovana u MPLS tehnologiji

Ograničena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno upravljanje konekcijama. Ovo je posljedica činjenice da PE router može podržavati više VPN mreža i ukoliko ima definisanu samo jednu tabelu prosljeđivanja onda ona treba sadržavati sve rute za sve VPN-ove podržane na ovom router-u. To znači da bi potencijalno bilo moguće da paketi budu prosljeđivani iz jednog VPN-a u drugi. Rješenje ovog problema je formiranje više tabela prosljeđivanja. Ukoliko je više lokacija jednog VPN-a vezano na isti PE router, onda oni dijele jednu tabelu prosljeđivanja, u suprotnom, svakoj lokaciji (pristupnom portu) pripada samo jedna tabela.Problem: Poseban problem kod izgradnje MPLS baziranih VPN-ova je činjenica da ukoliko se koristi BGP protokol on podrazumijeva da su sve IP adrese u mreži jedinstvene. To naravno u praksi nikada nije slučaj, jer je riječ o privatnim mrežama unutar kojih se najčešće koristi isti blok IP adresa (privatne adrese definisane u RFC 1918). Dakle, nužno je adrese koje to nijesu, napraviti jedinstvenim. To se postiže dodavanjem polja fiksne dužine na običnu IP adresu. Ovo polje se zove Route Distinguisher (RD) i sastoji se iz tri polja:

- Type (2 okteta) - Autonomous System Number (2 okteta) - Assigned Number (4 okteta)



Autonomous System Number (AS Number) sadrži autonomni broj VPN davaoca usluge. Assigned Number definiše sam davaoc usluge i obično je jedinstven za jedan VPN. Sa stanovišta BGP-a, upravljanje ovakvim, proširenim IP adresama (VPN-IP adrese), je potpuno jednako kao upravljanje običnim IP adresama. Ove adrese se formiraju na PE router-u.

3. Firewall

Firewall je sigurnosni element smješten između neke lokalne mreže i javne mreže (Interneta), a koji je dizajniran kako bi zaštitio povjerljive, korporativne i korisničke podatke od neautoriziranih korisnika, (blokiranjem i zabranom prometa po pravilima koje definiše usvojena sigurnosna politika). Nije nužno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mreži.Postavljanjem Firewall uređaja između dva ili više mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika pojedinim djelovima mreže. U takvom slučaju Firewall je dizajniran da dopušta pristup valjanim zahtijevima, a blokira sve ostale. Firewall ujedno predstavlja idealno rješenje za kreiranje Virtualne Privatne mreže jer stvarajući virtualni tunel kroz koji putuju kriptovanipodaci.(omogućava sigurnu razmjenu osjetljivih podataka između dislociranih korisnika)Firewall je servis (koji se tipično sastoji od firewall uređaja i Policy-a ( pravilnika o zaštiti), koji omogućava korisniku filtriranje određenih tipova mrežnog prometa sa ciljem da poveća sigurnost i pruži određeni nivo zaštite od provale. Osnovna namjena Firewall-a je da spriječi neautorizovani pristup sa jedne mreže na drugu. U suštini, ovo znači zaštitu unutrašnje mreže od Internet-a. Ako vaš sistem raspolaže Firewall-om, to znači da je odluka o tome šta je dozvoljeno, a šta nije - već donijeta. Ove odluke su u direktnoj vezi sa politikom sigurnosti vašeg informacionog sistema. Pri planiranju ponude informacionih servisa, politika sigurnosti određuje opcije konfiguracije servisa. Osnova rada Firewall-a je u ispitivanju IP paketa koji putuju između klijenta i servera, čime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smjera.Za Firewall je tipičan i kompromis između sigurnosti i lake upotrebe. Stav da "sve što nije dozvoljeno je zabranjeno" zahtijeva da se svaki novi servis individualno omogućava. Šta Firewall treba da obezbijedi:

Mora da implementira politiku sigurnosti. Ako određeno svojstvo nije dozvoljeno, Firewall mora da onemogući rad u tom smislu.

Firewall treba da bjeleži sumnjive događaje.

Firewall treba da upozori administratora na pokušaje proboja i kompromitovanja politike sigurnosti.



U nekim slučajevima Firewall može da obezbijedi statistiku korišćenja.

Firewall može biti softverski ili hardverski. Softverski firewall omogućuje zaštitu jednog računara, osim u slučaju kada je isti računar predodređen za zaštitu čitave mreže. Hardverski firewall omogućava zaštitu čitave mreže ili određenog broja računara. Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja definišu kakav mrežni saobraćaj je dopušten u pojedinom mrežnom segmentu. Takvom politikom se određuje nivo zaštite koji se želi postići implementacijom firewall usluge.Dobra osobina

nekih Firewall-a je da imaju mogućnost da trenutno blokiraju sav saobraćaj između računara i interneta a da samo dozvoli rad nekih programa.Jedan od boljih softvershih Firewall-a je AGNITUM za Windows mašine.

Slika 4. Prikaz VPN mreže sa firewall-om, konekcija klijenata



4. Enkripcija

Proces manipulacije računarskih zapisa koji zapise kodira posebnim algoritmima kako bi se onemogućila njihova upotreba od strane treće osobe. Najčešće se koristi za čuvanje ili prebacivanje podataka koji čak i ako padnu u ruke treće osobe ne mogu biti upotrijebljeni.Postoje dvije osnovne grupe algoritama za enkripciju podataka. To su:

simetrični algoritmi (bazirani na jednom tajnom ključu) asimetrični algoritmi (bazirani na tajnom i javnom ključu)

Obje od gore navedenih grupa algoritama baziraju svoj rad na korišćenju nekog javnog i dobro poznatog algoritma za enkripciju podataka (čija je specifikacija poznata svima). Za sam postupak kriptovanja odnosno dekriptovanja podataka potrebno je dodatno poznavati odgovarajući ključ (engl. key) na temelju kojeg algoritama se sprovodi kriptovanjepodataka.To znači da je za enkripciju ili dekripciju podataka osim samog algoritmapotrebno poznavati i ključ na temelju kojeg algoritama kriptuje podatke.Zavisno u koju od gore navedenih grupa algoritam spada zavisi na koji će se način sprovoditi enkripcija odnosno dekripcija podataka.Kod simetrične kriptografije isti ključse koristi i za kriptovanje i dekriptovanje podataka. Pošiljalac kriptuje podatke tajnim ključem i tako kriptovanu poruku šalje na odredište. Primalac poruke istim tajnim ključem može dekriptovati poruku odnosno doći do njenog pravog sadržaja.Prednosti i nedostaci pojedinih ključeva:

Simetrični (tajni) ključevi (Symmetric, Secret ili Private key)Prednosti:

Vrlo brzi Mogu biti lagano implementirani u sklopove

Nedostaci: Koriste se dva ista ključa Nije ih jednostavno distribuirati

Asimetrični (javni) ključevi (Asymmetric ili Public key)Prednosti:

Koriste se dva različita ključa Vrlo se jednostavno distribuira Koriste se digitalni potpisi da bi se osigurao integritet

Nedostaci: Spori su



Najčešći algoritmi

DES (Data Encryption Standard) koristi 56 bitni ključ nad 64 bitnim blokovima podataka algoritam je zaštićen američkim patentom bilo je slučajeva probijanja u roku samo nekoliko dana simetričan algoritam relativno brz algoritam

3DES blok podataka se šifrira 3 puta, svaki puta sa različitim ključem simetričan algoritam

RSA (Rivest, Shamir i Adalman) najčešći ključ je 512 bitni (danas ga je već moguće razbiti, ali 1024 bitni još ne) asimetričan algoritam spori algoritam ključ može biti varijabilne duljine

IDEA koristi se 128 bitni ključ na 64 bitnim blokovima podataka algoritam, programski izveden, je dvostruko brži od DES šifriranja simetričan algoritam nudi dobru sigurnost šifrovanja

RC2 i RC4 razvio Ron Rivest iz RSA Data Security Inc. brži od DES algoritma ključ je varijabilne duljine

Skipjack preporučila ga je Američka vlada implementiran je u Clipper čipu 80 bitni ključ

Diffie-Hellman najstariji asimetrični algoritam, ali je još uvijek u upotrebi služi za dogovor oko zajedničkog tajnog ključa putem javne infrastrukture opasnost je da se pojavi “napadač u sredini” (presreće međusobne poruke i lažira

ih)

MD5



to je funkcija koja od teksta proizvoljne duplikate proizvodi 128 bitni sadržaj(hash)

opšteprihvaćen, vjerodostojnost da dva različita teksta imaju isti sadržaj je vrlo mala

SHA kao i MD5 samo što proizvodi 160 bitni sadrzaj

Upoređivanje ključeva u zavisnosto od algoritma

Simetrični Asimetrični

56 bitni 384 bitni

64 bitni 512 bitni

80bitni 768 bitni

112 bitni 1792 bitni

128bitni 2304 bitni

4.1 IPSec

IPsec(IPsecurity) predstavlja skup protokola namijenjenih zasticenoj komunikaciji preko Interneta.Ovi protokoli funkcionisu na 3.sloju OSI modela i sastavni su dio Ipv6 skupa protokola(a mogu se optimalno ukljuciti i unutar Ipv4)Zbog činjenice da funkcionisu na 3.sloju OSI referentnog modela,Ipsec pruža jedinstvenu i efikasnu zaštitu i za TCP i za UDP protokole komunikacije preko računarske mreže.

Ipsec se nalazi u jezgru vecine virtuelnih privatnih mreza(VPN-ova).Ipsec je vrlo slozen,a njegovi djelovi opisani su u preko destak RFC-ova.Sam standardprvobitno je definisan RFC-ovima [1825 – 1829], objavljenih 1995.godine.Od tada protokol je doživio popriličan broj izmjena.Dva kljucna RFC-a su RFC 4301,u kome se opisuje ukupna arhitektura IP bezbijednosti i RFC 2411,u kome se daje pregled niza protokola Ipsec.

Zaštitni mehanizmi IPsec-a zasnivaju se na:



Sigurnosnim protokolima: Encapsulating Security Payload (ESP) i Authentication Header (AH),

Specifičnoj arhitekturi: Security Association (SA) unosi u Security Association Database (SAD) u jezgru OS-a i Security Policy (SP) unosi u Security Policy Database (SPD) u jezgru OS-a.

Algoritmima za autentifikaciju i kriptiranje (npr. DES, 3DES, RSA, DH, SHA1, MD5 i dr).

Protokolima za razmjenu ključeva: Internet Key Exchange (IKE), Internet Key Exchange v2 (IKEv2), Kerberized Internet Negotiation of Keys (KINK), Just Fast Keying (JFK) i dr.

IPsec je dizajniran tako da zadovolji dva osnovna zadatka:

• tunelovanje paketa • transportni način rada.

U prvom slučaju nekoliko računara (ili cijela jedna lokalna mreža) sakriva se iza jednog čvora te je kao takva nevidljiva ostatku mreže (a samim tim i zaštićena od napada). U drugom slučaju paketi se šalju između dva krajnja računara na mreži, pri čemu računaar koji prima paket izvršava sigurnosne provjere prije isporučivanja paketa višim slojevima. U oba slučaja moguće je izgraditi Virtualne Privatne Mreže – VPN (eng. Virtual Private Network), što je i osnovna ideja zaštite IPsec protokolima.

Dodatno, kako IP protokol nije pružao nikakve elemente zaštite, ispred IPsec-a postavljeni su i slijedeći zahtjevi:

kriptovanje podataka koji se prenose (eng. payload) provjera integriteta podataka autentifikacija čvorova kroz koje paket prolazi omogućavanje tzv. 'Anti-Replay' opcije (zaštita od neovlaštenog odgovora za

vrijeme aktivne sesije)IPsec protokoli su jednostavni i efikasni, a zaštita koju pružaju vrlo visoka. Zbog toga,i prethodno navedenih tendencija razvoja sigurnosti računarskih mreža, za očekivati je kako će u budućnosti sva mrežna komunikacija biti bazirana na IPsec protokolima.

4.2 AAA Server

AAA (authentication, authorization, accounting) serveri se koriste za sigurniji pristup u Remote-Access VPN okruženje.Autentifikacija (eng. Authentification) se odnosi na potvrdu da je korisnik koji je zatražio neku uslugu, ispravan korisnik koji je to dokazao svojim identitetom i uvjerenjem, npr.lozinkom, digitalnim certifikatima itd.



Autorizacija (eng. Authorization) se odnosi na dozvolu pristupa različitim uslugamakorisniku koji je prošao autentifikacijski proces. Autorizacija se može temeljiti na raznimograničenjima npr. vremensko ograničenje, ograničenje na lokaciju, i ograničenje navišestruki pristup istog korisnika. Autorizacijom se odlučuje koju uslugu korisnik možekoristiti.Računovodstvo (eng. Accounting) se odnosi na praćenje korisnikove potrošnje mrežnihresursa . Ova informacija se može koristiti za upravljanje, planiranje, zaračunavanje i u druge svrhe. Tipičan primjer informacije u računovodstvu je identitet korisnika, vrsta pružene usluge, kada je usluga počela i kada je završila.AAA tada provjerava sljedeće:

ko ste što vam je dozvoljeno da radite što zapravo radite

5. Tunelovanje

IP paketi koji se razmjenjuju izmedju računara na krajevima VPN kanala su enkriptovanii nečitljivi ostalim korisnicima Interneta. Unutar lokalnih mreža koje se ovim putem povezuju paketi su dekriptovani i čitljivi računarima članovima mreže. Na taj način se postiže isti učinak kao u slučaju dvije spojene mreže posebnim lokalnim ili zakupljenim vodom, uz sve prednosti takvog načina povezivanja. Ovakva veza se zbog svojih karakteristika naziva i VPN IP tunel, a sam postupak spajanja IP tunelovanje.Tunelovanje je metoda pakovanja paketa informacija unutar IP paketa tako da može biti sigurno poslato preko Interneta ili privatne IP mreže.Osnovna prednost VPN tunela je što se njegovom upotrebom po cijeni pristupa javnoj mreži (Internetu) omogućava sigurna razmjena podataka sa korisničkih računara iz dviju ili više udaljenih mreža kao da se one nalaze na istoj lokaciji, i spojene su u lokalnu mrežu.Cijene iznajmljivanja posebnog linka kojim bi se povezale udaljene mreže su u pravilu višestruko veće.

Postoje tri ključna protokola tunelovanja:

- Point to Point Tunneling Protocol (PPTP) je razvio Microsoft, 3Com i Ascend.PPTP je protokol koji radi na drugom osi sloju, koji može raditi u ne-IP okruženju, što je prednost za korisnike koji se služe različitim protokolima a ne samo IP-om. PPTP osigurava dobru kompresiju, ali mu je sigurnost slabija strana. Ne pruža enkripciju i upravljanje ključevima, te se oslanja na korisničke lozinke u stvaranju ključeva.



PPTP protokol nema mehanizam autentifikacije mašine, a nivo bezbednosti autentifikacije korisnika je slab. Nivo bezbednosti tunela je osrednji, kao i otpornost na kriptografske napade podataka u tunelu. Protokol PPTP je potpuno otvoren za napade integriteta, falsifikovanje servera, falsifikovanje paketa, i za napade uskraćivanja usluga, jer za ove napade ne poseduje mehanizme zaštite.

PPTP - princip rada:

Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta korišćenjem PPP protokola. Klijent-ov kompjuter uspostavlja kontrolnu sesiju sa udaljenim PPTP serverom (lociranim na poslovnoj mreži). Sesija se uspostavlja korišćenjem TCP protokola. Klijent-ov računar zahtijeva formiranje tunela sa PPTP serverom. PPTP server provjerava klijent-ov identitet (AAA funkcije). Ako je korisnik naveo ispravne podatke, korisničko ime i lozinku, izmedju klijent-ovog kompjutera i PPTP servera uspostaviće se tunel. Po uspostavljenom tunelu moguće je prenositi kako IP datagrame, tako i pakete drugih protokola (IPX, DECnet, SNA itd.).

Slika 5. Point to Point Tunneling Protocol - princip rada

Neophodna oprema i softwer:

Na poslovnoj-LAN mreži PPTP server.Na strani klijenta softwer za pristup koji podržava PPTP.Standardni Windows DialUp Networking koji podržava PPTP.Na access serverima ISP provajdera kojima udaljeni klijenti pristupaju mreži, nisu potrebne nikakve izmjene.Sami ISP provajderi neće uočiti nikakvu razliku izmedju normalnog IP saobraćaja i saobraćaja koji se prenosi PPTP tunelima.Uvodjenjem dodatnog softvera za kriptozaštitu na nivou pojedinih aplikacija moguće je dodatno zaštititi komunikaciju.

Layer 2 Tunneling Protocol (L2TP) je još jedan protokol drugog sloja koji može raditi u ne-IP okruženju. Koriste ga primarno pružaoci usluga kako bi objedinili i prenijeli VPN promet kroz back bone arhitekturu. Kao i PPTP ne pruža enkripciju niti upravljanje



ključevima (iako se preporučuje IPSec za enkripciju i upravljanje ključevima). L2TP protokol ima iste bezbedonosne karakteristike kao i PPTP protokol, ali je njegova prednost što funkcionalno može da se integriše sa IPsec protokolom, i kao hibrid L2TP/IPsec koristi bezbedonosne mehanizme Ipsec protokola.

L2TP - princip rada:

Klijent uspostavlja klasičnu vezu sa lokalnim provajderom-pružaocem Interneta korišćenjem PPP protokola.Access server provajdera uspostavlja logički tunel preko Interneta sa L2TP serverom, lociranim na poslovnoj mreži.Logički tunel može biti uspostavljen permanentno ili na zahtjev klijenta.Access server provajdera prosledjuje korisničko ime i lozinku L2TP serveru, koji obavlja autentifikaciju korisnika.Ako je identitet korisnika ispravan, access server će:

Prihvatiti PPP pakete od korisnika, skidati im zaglavlje i CRC. Prepakovati tako dobijeni paket u L2TP paket. Proslijediti L2TP paket kroz logički tunel

Layer 2 Tunneling Protocol (L2TP)- princip rada

IPSec (IP security) je IETF protokol koji vodi brigu o cjelovitosti podataka i sigurnosti. Pokriva enkripciju autentifikaciju i razmjenu ključeva. IPSec uključuje 168-bitni enkripcijski ključ, iako veličina ključa može varirati zavisno o sposobnostima svakog kraja veze. IPSec naglašava sigurnost autentifikacijom oba kraja tunela, pregovarajući o enkripcijskom protokolu i ključu za enkripciju. No IPSec je ograničen na IP okruženja, svaki korisnik mora imati dobro definisanu javnu IP adresu, te ne može funkcionisati na mrežama koje koriste NAT (network address translation).Analiza tri protokola Virtuelnih privatnih mreža sa aspekta bezbednosti u ovom radu, i sa ocenom njihovih bezbedonosnih mehanizama ukazuje da je IPsec protokol rešenje izbora u projektovanju Virtuelnih privatnih mreža gde je bezbednost, zahtjev sa najvećom težinom.



Slika 5. VPN tunel

Na slici 3 prikazano je VPN tunelovanje. Na jednoj strani imamo klijenta a na drugoj grupu servera. Izmedju njih postavljen je VPN server-gateway. Pošto izmedju klijenta i VPN servera postoji Internet, crvenom bojom je označen VPN tunel. Zelenom bojom su označeni enkriptovani podaci koji “putuju” od klijenta do grupe servera.

6. Upustvo za kreiranje-podešavanje VPN konekcije u Windows XP

Otvorite START menu (u donjem lijevom uglu), potom idite na Control Panel. Nakon toga naći opciju Network Connections pa kliknite na Create a new connection. Sa ovim korakom počinjemo kreiranje VPN konekcije u Windows operativnom sistemu.



Kada smo kliknuti na opciju Create a new connection pojaviće se novi prozor u kojem u kojem je potrebno kliknuti opciju Next.

Kada smo kliknuli opciju Next u sljedećem prozoru izaberemo opciju Connect to the network at my workplace. Ova opcija nam daje mogućnost da se konektujemo na poslovnu mrežu, koristeći VPN opciju, nezavisno od toga odakle mi pokušavamo da se konektujemo na poslovnu mrežu. Možemo se konektovati iz kuće, poslovne kancelarije ili sa neke druge lokacije.



U sljedećem prozoru izaberemo opciju Virtual Private Network connection. Ova opcija nam “govori” da se možemo konektovati na poslovnu mrežu koristeći virtualnu privatnu konekciju koristeći internet usluge.

U polju Company Name ukucati naziv konekcije (na primjer IVAN VPN connection).



U polju VPN Server Selection ukucati ime ili adresu VPN servera (ja ću ovdje napisati adresu VPN servera koju sam koristio u konkretnom primjeru, koji je objašnjen na kraju rada).



Nakon toga kliknuti opciju Next, a sljedeći prozor nam omogućava da kreiranu konekciju postavimo na desktop-u našeg računara – čekiranjem opcije Add a shortcut to this connection to my desktop i kliknuti opciju Next.

Poslije kreirane konekcije na ekranu će se pojaviti novi prozor, u kom je potrebno upisati nekoliko parametara i ćekirati nekoliko opcija. U poljima Username i Password ukucati odgovarajuće parametre koje smo definisali u konkretnom primjeru. Poslije ukucavanja username i pasworda čekirati opcije: Save this user name and password for the following users i Anyone who uses this computer. Čekiranjem prve opcije korisnik kaže da mu se snimi username i password , a čekiranjem druge opcije potvrdjuje da ti parametri budu snimljeni nezavisno koliko user-a postoji na tom računaru.



Poslije toga kliknuti na opciju Properties, Security, Advanced i Settings. U polju Data Encryption selektovati opciju Optional Encryption(connect even if no encryption). Selektovai opcju Unencrypted password (PAP).

Na kartici Networkiing potrebno je izabrati tip VPN konekcije, Automatic, PPTP VPN, L2TP IPSec VPN.

Poslije svih ovih radnji klijent uspješno uspostavlja VPN konekciju



7. Konkretan primjer VPN mreže

Popis opreme koja je korisćena

VPN server Fujitsu-Siemens instalirao sam Linux operativni sistem sa dodatkom ZeroShell Net Services.

Računar 1 Operativni sistem Windows XP SP3

IP-adresa: 192.168.0.0/24 Računar 2Operativni sistem Windows XP SP3

IP-adresa: 192.168.0.0/24D-Link wirless router DSL –G684-T

VPN klijent računar

Praktičan primjer VPN konekcije:

Na slici je prikazan postupak logovanja na Zeroshall server



Slika 6. Logovanje na ZeroShall server

Sada ću preko Web interfejsa konfigurisati parametre VPN mreže:Za ETH00 konfigurisaću odgovarajuću IP adresu i Subnet Mask, klikom na dugme Add IP.

Slika 7. Podešavanje parametara za ETH00

Kreiranje konfiguracije DB(database):Kada popunimo sva polja kliknemo na dugme Create i time smo sačuvali konfiguraciju. Poslije toga omogućimo konfiguraciju na dugme Enable database configuration.



Slika 8. Podešavanje konfiguracije

Slika 9. Podešavanje parametara za ETH01

U ruter meniju izaberemo NAT i postavimo Network Address Translation kao na slici:



Izvorna IP adresa na odlaznim paketima, kada je uključen NAT na eth01 biće automatski prevedena koristeći routing tabelu a paketi će se proslijediti na odredište.

Slika 10. Podešavanje parametara za NAT

Slika 11. Podešavanje parametara za NAT

Kreiranje firewall sertifikata se odradjuje klikom na dugme „X.509 CA“ pa na SETUP.



Slika 12. Kreiranje firewall sertifikata

Slika 13. Kreiranje firewall sertifikata

Sada kreiramo user-e i klijente, koji će biti u stanju da se konektuju koristeći VPN. U podmeniju USERS izaberemo ADD.Popunimo polja postavljajući „jaku“ lozinku, koja je takodje mjera obezbjedjenja. Onda smo sigurni u Host-to-Lan VPN (L2TP/Ipsec); ovo će omogućiti korisniku da uspostavi sigurnu vezu. Sada izaberemo HOSTS i pritisnemo ADD.



Slika 14. Kreiranje usera



Slika 15. Kreiranje hostova-klijenata

„Izvoz“ sertifikata za udaljene host-ove:Dok kreiramo host Dalmatinska.zeljkostankovic.com firewall kreira sertifikat-fajl za ovaj host. Koristeći dugme EXPORT treba da sačuvamo u ekstenziji pem i pfx.

Slika 16. Kreiranje pem-sertifikata



Slika 17. Kreiranje sertifikata

Poslije toga izaberemo opciju Local Computer/Finish. Poslije Toga kliknemo desnim tasterom miša na Personal/Import i importujemo sertifikat koji smo konfigurisali.



Sika 18. Prikaz kreiranog sertifikata

Slika 19. Importovanje sertifikata



Slika 20. Importovanje sertifikata

Slika 21. Ukucavanje odgovarajućeg password-a za importovani sertifikat



Slika 22. Uspješno importovani sertifikati

Sada moramo kreirati Microsoft VPN konekciju, koju sam detaljno opisao u ovom radu, prije ovog konkretnog primjera-tako da ću se zadršati samo na glavna podešavanja. U polju VPN Server Selection ukucati adresu eth01: 52.52.52.1.

Slika 23. Javna IP adresa (eth01)



Sad možemo vidjeti koji port protokoli moraju biti otvoreni (zatvoreni) u ovom VPN-u. Eksterni host-klijent (10.10.10.1) i interni webserver (192.168.0.100) koriste 80 i 443 tcp portove (http i https) .

Slika 24. Firewall-podešavanje protokola

8. Zaključak

VPN je privukao pažnju mnogih organizacija koje žele povećati svoje sposobnosti umrežavanja i smanjiti njihove troškove. Uspjeh VPN-a u budućnosti zavise uglavnom o razvoju tehnologije.VPN zahtijeva dobro razumijevanje problema sigurnosti javnih mreža i preduzimanje mjera opreza kod postavljanja. Osim toga dostupnost i performanse VPN-a neke organizacije zavise o faktorima koji su izvan njihove kontrole, a zbog ne postojanja standarda VPN tehnologije različitih proizvodjača često su nekompatibilne.Najveća vrijednost VPN-a leži u potencijalnom smanjenju troškova kompanija.Ukoliko cijene medjunarodnih poziva i zakupljenih vodova nastave padati sve ce manji broj kompanija imati potrebu za prebacivanjem na VPN za udaljeni pristup. U protivnom ako se VPN standardi usaglase i različiti proizvodi postanu kompatibilni povećati će se potražnja. Uspjeh VPN-a takodje zavisi i o mogućnosti intraneta i ekstraneta da obave adekvatno svoje zadatke.Virtuelne privatne mreže su ekonomična zamjena za prave privatne mreže sa iznajmljenim linijama. Privatnost ovih mreža,odredjena je bezbjednošću protokola koje koriste. Tri najzastupljenija protokola u Virtuelnim privatnim mrežama, PPTP, L2TP i Ipsec.



9. Literatura

[1] VPN Tutorial, An introduction to VPN software, VPN hardware and protocol solutions http://compnetworking.about.com/od/vpn/l/aa010701a.htm[2] How Virtual Private Networks Work by Jeff Tyson http://www.howstuffworks.com[3] Virtual Private Networks (VPNs), International Engineering Consortiumhttp://www.iec.org[4] International Technical Support Organization, A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy Management, November 1999.[5] Stallings, W.: Cryptography and Network Security, Prentice Hall, 1998.[6] Rosen, E., Rekhter, Y.: BGP/MPLS IP Virtual Private Networks (VPNs), RFC 4364, February 2006.[7] Andrew S. Tanenbaum, Computer Networks, Third edition, Prentice-Hall, Inc., 1996.[8] James F. Kurose, Keith W. Ross, Computer Networking: A Top Down Approach Featuring the Internet, Addison Weslez, 2001[9] http://www.netcraftsmen.net/[10] http://www.cisco.com/[11] www.google.com[12] www.wikipedija.org

www.howstuffworks.com

www.iec.org

www.netcraftsmen.net/

www.cisco.com/

www.google.com

www.wikipedija.org

http://compnetworking

http://www

http://www

http://www

http://compnetworking.about.com/od/vpn/l/aa010701a.htm

http://www.iec.org/

http://www.google.com/

http://www.wikipedija.org/

Documents

Bežicne mreže-Seminarski rad