VPN s

1
VPN síte

• Autor Tomáš PARÍŠEK

2
Obsah

• Úvod
• Co je VPN
• Druhy VPN
• OpenVPN
• Konfigurace OpenVPN

3
Úvod

• predchudci VPN jsou prepínace, které umožnovaly
  virtualizaci nekolika vzdálených sítí. Používala
  se k tomu jediná infrastruktura (kabeláž). Dnes
  je nahrazena poskytovatelem datových služeb
• Nepoužívalo se ani zabezpecení dat. To se zacalo
  rešit až s príchodem levných pripojení k Internetu

4
Co je VPN

• Definice
• VPN je zkratka anglického Virtual Private Network
  (Virtuální privátní sít).
• Privátnost je tvorena nejakou metodou
  virtualizace, at už mezi dvema koncovými body,
  mezi dvema organizacemi, mezi nekolika koncovými
  body v rámci jedné organizace, ci mezi více body
  prostrednictvím Internetu.

5
Co je VPN

• Duvody vytvárení VPN
• Vytvorením VPN síte chceme dosáhnout virtualizace
  v jisté cásti komunikace tzn. skrýt ji pred
  ostatním svetem a využít spolecnou komunikacní
  infrastrukturu
• Hlavním duvodem vytvárení VPN sítí bývá ekonomie
  (vybudovat vlastní propojení nebo pomocí
  Internetu?)

6
VPN a Internet

• Internet díky celosvetovému rozšírení umožnuje
  propojení libovolných uzlu na celém svete
• Velkou nevýhodou jsou požadavky na bezpecnost
  dat. Další muže být problém se zajištením QoS,
  dostupnost a spolehlivost a integrita dat

7
VPN a Internet

• Pr. VPN sítí
• jsou tvoreny propojením geograficky odlehlých
  subsítí A a B pres jednoho poskytovatele. Tyto
  síte o sobe navzájem nevedí (Viz obr.1 na další
  strane)
• VPN muže být tvorena i základním principem
  bod-bod (napr. dial-up spojení se zabezpecenou
  aplikací bankovní služby apod.) nebo kódované
  pripojení (napr. uživatel banka)

8
VPN a Internet
9
Typologie VPN

• Podle požadavku (napr. míry bezpecnosti, správu,
  údržbu..) volíme pri budování síte z nekolika
  zpusobu.

10
Typologie VPN

• Podle funkcnosti síte v relaci s jednotlivými
  vrstvami protokolového zásobníku
• VPN na sítové vrstve sítová vrstva se zabývá
  smerováním IP protokolu. Toto smerování je
  základem pro tvorbu VPN.
• VPN na spojové vrstve

11
VPN na spojové vrstve

• VPN v LANE sítích (emulované LAN jedná se o
  emulaci LAN nad ATM sítí ATM se pak chová jako
  Ethernet/Token Ring),
• VPN v MPOA (Multiprotocol over ATM virtuální
  smerování)
• VPN v MPLS (Multiprotocol Label Switching
  smerování na sítové vrstve v kombinaci
  s prepínáním znacek)

12
Typologie VPN

• VPN se šifrováním na spojové vrstve
• VPN na transportní a aplikacní vrstve (e-mailové
  systémy s kódovaným prenosem zpráv)

13
VPN na sítové vrstve

• Základem pro vytvorení je práce se smerovacími
  informacemi
• Vyskytují se zde 2 základní modely VPN peer a
  overlay
• peer pracuje s informacemi na sítové vrstve
  (smerování je provádeno v každém uzlu)
• overlay využívá spojovou vrstvu k vytvorení cesty
  paketu (ATM, Frame Relay, tunelování).

14
Filtrování smerovacích informací

• Jedná se o omezení propagace smerovacích
  informací na ostatní síte
• takový model je typu peer (jeden router zastupuje
  skupinu uzlu VPN navazuje spojení se vstupním
  routerem poskytovatele)

15
Filtrování smerovacích informací
16
Filtrování smerovacích informací

• Smerovace zde pracují tak, že informace ze síte A
  (A1..A4) jsou poskytovány opet sítím A1..A4. Tzn.
  ostatní síte netuší nic o existenci síte A
• Problém je prístup mimo VPN. Reší se pomocí tzv.
  implicitního routeru je prístupný ze všech
  cástí dané VPN.

17
Model tunelování

• Vytvárí se tunel, kterým je prenášena specifická
  cást komunikace
• Nejbežnejším typem tunelování je GRE (Generic
  Routing Encapsulation). Tunely jsou tvoreny
  routery, které slouží jako vstupní a výstupní
  body dané VPN síte
• K prenášeným paketum se pridává GRE hlavicka
  s cílovou adresou routeru na druhém konci tunelu.
  Cílový router hlavicku odstraní a pokracuje
  k cíli podle cílové IP adresy (viz obr. 3 na
  další strane)

18
Model tunelování
19
Model tunelování

• GRE tunely jsou typu bod-bod, nekteré
  implementace dovolují konfiguraci bod-více bodu
• Výhodou je odlišná adresace prístupové body do
  páterní síte mají adresy této síte a tunelování
  používá adresy cílových bodu z prostoru adres
  této síte, zatímco VPN mají vlastní adresní
  rozsah. Tím vzniká odstínení techto sítí, což je
  jeden z principu tzv. overlay modelu (prekryvný).
  
• Rozdíl oproti síti filtrování smerovacích
  informací je, možnost používat privátní adresy.
• Výhodou je také prenos libovolného sítového
  protokolu. Protokol je prenášen pres páterní sít
  nezmenen. GRE umí pracovat s NAT
• Nevýhoda je nárocnost konfigurace, protože
  všechny tunely musí být konfigurovány zvlášt.

20
Kumutovaný prístup

• VPDN (Virtual Private Dial Networks)
• Základní metody jsou použití tunelu L2TP a PPTP
• L2TP vychází mimo jiné z PPTP, rozšírenejší je
  díky podpore v OS mnoha pocítacu

21
L2TP

• Tento typ tunelování probíhá tak, že je iniciován
  prístupovým serverem (zde musí být autentizacní
  informace uživatel), tzn. klient je nemuže
  ovlivnit
• Využívá se, když velcí poskytovatelé obsahu
  prenechávají prístupové síte jiným firmám
• Viz obr. 4 na další strane

22
L2TP
23
PPTP

• Protokol byl vyvinut firmou Microsoft
• Tunel je inicializován klientem. Je vytvoreno
  spojení bod-bod, na umístení serveru nezáleží
• Server se ani nemusí úcastnit vytvorení tohoto
  tunelu. Klient vytvárí PPTP spojení na známý PPTP
  server (dosažitelný v rámci smerovacích
  informací).
• Model umožnuje výber cílového uzlu tunelu až po
  vytvorení PPP spojení.
• Výhodou je transparentnost PPTP je prenášeno
  stejne jako ostatní IP pakety.

24
PPTP
25
Šifrování na sítové vrstve

• Nejpoužívanejší architekturou je IPsec (IP
  Security)
• Pridává se za IP hlavicku pred hlavicku 4.vstvy
  (TCP nebo UDP).
• Zakládá se tunel mezi dvema body. Jsou definovány
  dva prenosové módy
• Transportní
• Tunelovací

26
Šifrování na sítové vrstve

• Transportní má menší nároky na šírku pásma
• Mezi IP hlavicku a data se pridává AH
  (Authentification Header)

27
Šifrování na sítové vrstve

• Je-li požadováno šifrování, pridává se hlavicka
  ESP (Encaspulating Security Paylod)

28
Šifrování na sítové vrstve

• V tunelovacím módu je IP datagram zašifrován a je
  vytvorena nová hlavicka.
• Také umožnuje, aby se nekterá zarízení chovala
  jako IP proxi
• Po aplikaci AH

29
Šifrování na sítové vrstve

• Opet v prípade zabezpecování dat se vkládá ESP

30
Šifrování na sítové vrstve

• Pred vytvárením tunelu se dohadují parametry
  spojení
• šifrovací algoritmus (DES, 3DES)
• hashovaní funkce (MD5, SHA)
• metoda autentikace
• doba životnosti.
• Konfiguruje se bud tak, že se v obou koncových
  bodech použije predem definovaný klíc
  (jednoduchost) nebo lze využít pro sdílení klícu
  certifikacní autority.
• Výhodou je podpora IPv6 protokolu

31
Síte na spojové vrstve

• využívání casového nebo frekvencního multiplexu,
  synchronizace vysílání a príjmu dat (synchronní
  prenosy). Ekonomicnost spocívá ve využití
  prepínané infrastruktury.
• Frame Relay CIR (Committed Information Rate)
  referencní hodnota velikosti rychlosti prenosu ve
  vstupním bode. Je-li prekrocena rychlost, jsou
  rámce oznacovány jako DE (Discard Eligible) a
  mohou být v prípade pretížení síte zahazovány.
• ATM (Asynchronous Transfer Mode) obdoba Frame
  Relay, rámce nad rychlostní limit jsou oznaceny
  CLP (Cell Loss Priority)

32
LAN Emulace

• LANE emulována nad ATM sítí
• Definuje rozhraní pro stávající protokoly sítové
  vrstvy. Pakety jsou posílány ATM sítí zapouzdreny
  v LANE MAC rámcích. Sít se pak chová jako
  Ethernet.
• LANE se skládá z
• LES (LANE emulation server) poskytuje mapování
  mezi MAC a ATM adresami
• LEC (LANE emulation client) obsahuje každý clen
  ELAN (emulované LAN) okrajové prepínace ATM a
  koncové uzly ATM. LEC muže být clenem nekolika
  ELAN virtuální síte se prekrývají. ELAN (jen
  množina uzlu ATM) je podmnožina VLAN (uzly ATM i
  uzly na standardních segmentech) viz obr. 9 na
  další strane

33
LANE
34
LANE

• Propojování ELAN se deje pomocí smerovace. Casto
  se používá one-armed router smerovac s jedním
  ATM rozhraním, na nem je implementován
  vícenásobný LEC (pro každou VLAN jeden).
  Smerování pak probíhá tak, že jednotlivým sítím
  jsou prirazena IP Subnet Number.
• Problémy mohou být s propustností v takovýchto
  bodech.
• Nevýhodou je také nebezpecnost takového bodu
  z hlediska poruchovosti.

35
MPOA

• Základem je virtuální smerovac, který emuluje
  funkci tradicní síte s routery, pritom principem
  smerování eliminuje výkonnostní omezení. Pakety
  na své ceste nejsou zpracovávány routery, ale
  virtuální smerovac je pošle prímo pres ATM sít.
• Výpocetní zpracování provádí MPS (MPOA server),
  zatímco MPC (MPOA client) provádí smerování
  paketu.
• MPOA pracuje s protokolovým zásobníkem bežných
  smerovacích protokolu. Okrajové ATM prepínace
  smerují komunikaci na 2. a 3. vrstve, spolu s ATM
  prepínaci tvorí síte se smerováním bez
  preskoku.
• Velkou nevýhodou je omezení na ATM síte. Výhodou
  je dynamické vytvárení virtuálních obvodu na
  rozdíl od statických

36
Síte s protokolem MPOA
37
Virtuální síte MPLS

• Hybridní technologie
• využívá dvou základních prístupu smerování na
  sítové vrstve (prepínání podle náveští, znacek) a
  prepínání paket po paketu na strane jedné a
  virtuální obvody na spojové vrstve a prepínání
  datových toku na strane druhé.
• Náveští se používají pro identifikaci prenášených
  dat. Architektura založena na aplikaci náveští na
  paket, který vstupuje do síte MPLS. Tím je urcena
  cesta, kterou paket projde mezi koncovými body
  síte a výstupní router.
• Rozšírením z hlediska VPN je globální
  identifikátor (CUG - Closed User Group
  identifier), který muže být prirazen paketu a
  poté se podle indexu provádí smerování. CUG se
  použije k urcení výstupního routeru.

38
OpenVPN

• Používá SSL/TLS, který zajištuje šifrování a
  autentizaci (platformy Linux, Solaris, OpenBSD,
  FreeBSD, NetBSD, Mac OS X a Windows 2000/XP)
• Program beží v user módu (nemusí se patchovat
  jádro)
• Podporuje tunel (11) nebo klient/server (N1).
• Bezpecný a odolný na nekvalitních linkách,
  podpora HTTP a SOCKS proxy klient se muže
  pripojit odkudkoliv
• Pro každý smer komunikace je možno použít jiný
  klíc
• OpenVPN umí automaticky navázat spadlé spojení

39
OpenVPN

• Standardne protokol UDP, ale použít lze i TCP
  (HTTP nebo SOCKS proxy). Komunikace probíhá na
  jediném portu (snadná konfigurace firewallu)
• OpenVPN komunikuje prostrednictvím TUN a TAP
  rozhraní.
• Pro kompresi se používá knihovna LZO.
  Konfigurace spouštecí skript "sample-scripts/open
  vpn.init" nakopírujeme do "/etc/init.d" a pridáme
  príkazem "chkconfig --add openvpn".
• Instalace ve Windows stahnout balícek OpenVPN a
  nainstalovat. Ten pridá "Virtual TAP" sítové
  zarízení a službu OpenVPN. Popr. lze nainstalovat
  (místo Windows služby) "OpenVPN GUI".

40
OpenVPN - konfigurace

• Tunel mezi dvema linuxovými stroji (s IP napr.
  1.2.3.4 a 5.6.7.8) s použitím sdíleného klíce
• mezi stroji funguje normálne IP komunikace.
• Chceme vytvorit šifrovaný a komprimovaný tunel.
• Vygenerování klíce se provede príkazem openvpn
  "--genkey --secret /etc/openvpn/secret.key" a
  ten distribujeme na oba pocítace.
• Dalším krokem je vytvorení souboru na PC 5.6.7.8
  "/etc/openvpn/vpn.conf s následujícím obsahem

41
OpenVPN - konfigurace

• remote 1.2.3.4 urcuje druhou stranu
• ifconfig 10.0.0.2 255.255.255.0 netmaska
  virtuálního sítového rozhraní
• port 5001
• proto udp
• dev tap0 typ a císlo virtuálního rozhraní
• secret /etc/openvpn/secret.key jméno souboru
  s klícem
• ping 10 intervaly keep-alive pingu
• comp-lzo komprese
• verb 5 upresnení logování
• mute 10
• user openvpn pod jakými efektivními právy má
  démon bežet
• group openvpn
• na druhém PC pak upravíme rádky remote a ifconfig
  takto
• remote 5.6.7.8
• ifconfig 10.0.0.1 255.255.255.0
• Nakonec se príkazem "/etc/rc.d/init.d/openvpn
  start" provede vytvorení zarízení tap0 a je
  hotovo.

42
Konfigurace OpenVPN

• OpenVPN funguje jako klient/server.
• Propojení linuxovského serveru a MS Windows
  klientu
• použije se SSL a X.509 autorizaci, sdílený klíc
  se zde muže použít jako doplnek.
• je treba mít k dispozici platný certifikát.
  Použití certifikacní autority má nevýhodu, že
  OpenVPN dovolí prístup každému, kdo má platný
  certifikát. Je dobré mít nakonfigurovaný filtr,
  který rozhodne podle jména certifikátu, zda
  povolit prihlášení ci nikoliv.

43
Konfigurace OpenVPN

• OpenVPN poslouchá na jednom portu. Když prijde
  paket UDP (TCP), pokusí se UDP spojením navázat
  SSL/TLS komunikaci a overit certifikát druhé
  strany oproti certifikacní autorite.
• Obe strany se pomocí SSL/TLS dohodnou na klících
  a šifrách pro zabezpecení dat. Nakonec pošle
  server klientovi konfiguracní volby (IP,
  nastavení smerování,..).
• Pri použití sdíleného klíce jako doplnku
  k SSL/TLS se budou všechna data podepisovat
  pomocí tohoto klíce. Nepodepsané nebo špatne
  podepsané pakety se hned zahazují.

44
Konfigurace serveru OpenVPN

• Server má napr. adresu eryx.zcu.cz
• mode server OpenVPN bude fungovat jako
  klient/server
• tls-server pocítac vystupuje v rámci TSL
  spojení jako server
• dev tap0 upresnení typu vytváreného zarízení
• ifconfig 10.0.1.100 255.255.255.0
• adresa serveru
• ifconfig-pool 10.0.1.1 10.0.1.90 255.255.255.0
• rozsah adres, ze kterého je pridelováno
  klientum
• duplicate-cn soucasné prihlášení více klientu
  se stejným certifikátem
• ca /etc/openvpn/cacert.pem certifikát
  certifikacní autority
• cert /etc/openvpn/vpn.crt certifikát serveru
• key /etc/openvpn/vpn.key klíc serveru
• dh /etc/openvpn/dh1024.pem parametry pro
  Diffie-Hellman protokol

45
Konfigurace serveru OpenVPN

• log-append /var/log/openvpn parametry logování
• status /var/run/openvpn/vpn.status 10 jméno
  souboru pro uložení stavu OpenVPN
• user openvpn
• group openvpn
• comp-lzo povolení komprese
• verb 3
• Soubor s parametry pro Diffie-Hellman je možno
  vytvorit príkazem
• openssl dhparam -out dh1024.pem 1024.

46
Konfigurace klienta OpenVPN

• Nainstaluje se klient OpenVPN, použije se
  konfiguracní soubor standardne z umístení
  C\Program Files\OpenVPN\config\vpn_klient.ovpn .
  
• Soubory s touto príponou (.ovpn) v adresári
  config se spouští automaticky.

47
Konfigurace klienta OpenVPN

• remote eryx.zcu.cz adresa serveru
• tls-client
• dev tap typ zarízení, pri použití více VPN, je
  potreba vytvorit více virtuálních zarízení a
  pomocí dev- node urcit, které se bude používat.
• pull stažení konfigurace ze serveru pomocí
  volby push
• mute 10
• ca cacert.pem certifikáty
• cert klient.cert
• key klient.key soubor s klícem
• comp-lzo
• verb 3
• Všechny dostupné adaptéry lze vypsat príkazem
  openvpn --show-adapters.

48
Záver

• Použité zdroje
• www.svetsiti.cz
• www.root.cz
• Archiv semestrálních prací z PD z predešlých let
  (www.kiv.zcu.cz/simekm/vyuka/pd)