Σχεδιασμός Εικονικών Δικτύων Ενότητα 5: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ
Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3
Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs)
Σκοποί ενότητας Σκοπός της ενότητας είναι η περιγραφή των εικονικών ιδιωτικών δικτύων επιπέδου ζεύξης δεδομένων (Layer 2 VPNs). 5
Περιεχόμενα ενότητας Virtual Private Network (VPN) επιπέδου 2. Εγκαθίδρυση διόδου. Πρωτόκολλο Layer 2 Forwarding Protocol (L2F). Πρωτόκολλο Point-to-Point Tunneling Protocol (PPTP). Layer 2 VPN on Layer 2 Tunneling Protocol (L2TP). Layer 2 VPN on Multiprotocol Layer Switching (MPLS). 6
VPN επιπέδου 2 (1/2) Τα Εικονικά Ιδιωτικά Δίκτυα με πρωτόκολλα επιπέδου 2 αναπτύχθηκαν κυρίως ως Δίκτυα Απομακρυσμένης Πρόσβασης. Επιτρέπουν σε έναν απομακρυσμένο χρήστη να συνδεθεί μέσω μίας Internet γραμμής (για παράδειγμα μέσω dial-up σύνδεσης) στο εσωτερικό δίκτυο μίας εταιρίας. 7
VPN επιπέδου 2 (2/2) Οι δίοδοι (tunnels) μπορούν να δημιουργηθούν είτε ανάμεσα σε ένα ζεύγος δρομολογητών (router-to-router) είτε μεταξύ δύο τερματικών κόμβων (host-to-host). 8
Εγκαθίδρυση διόδου (1/4) Η εγκαθίδρυση «διόδου» (tunneling) είναι η τεχνική ενθυλάκωσης ενός ολόκληρου πακέτου/πλαισίου δεδομένων σε ένα πακέτο/πλαίσιο διαφορετικού πρωτοκόλλου. Η εγκαθίδρυση διόδου μπορεί να υλοποιείται σε μία τοπολογία. Σημείου-προς-σημείο. Σημείου-προς-πολλά σημεία. 9
Εγκαθίδρυση διόδου (2/4) Η τοπολογία σημείου-προς-σημείου έχει λιγότερο διαχειριστικό φορτίο, από την άποψη της εγκαθίδρυσης και της συντήρησης. 10
Εγκαθίδρυση διόδου (3/4) Σχήμα 1. Εγκαθίδρυση διόδου. 11
Εγκαθίδρυση διόδου(4/4) Η επικεφαλίδα του tunneling πρωτοκόλλου προσαρτάται στο αρχικό πακέτο ενώ η μεταφορά/μετάδοση πραγματοποιείται με χρήση του νέου πρωτοκόλλου. Όταν ένα τέτοιο πακέτο δρομολογείται προς τον κόμβο προορισμού, διατρέχει το δίκτυο μέσα από λογικό μονοπάτι, το οποίο αναφέρεται ως δίοδος (tunnel). Όταν o κόμβος προορισμού λάβει το πακέτο, το μετατρέπει στην αρχική μορφή. 12
Πλεονεκτήματα tunneling (1/2) Ένα από τα πλεονεκτήματα του tunneling είναι ότι τα διασυνδεδεμένα υποδίκτυα VPN δεν απαιτούν μοναδικές διευθύνσεις δικτύου. Αυτό είναι σημαντικό όταν η πλειοψηφία των οργανισμών σήμερα χρησιμοποιεί ιδιωτικές διευθύνσεις. 13
Πλεονεκτήματα tunneling (2/2) Επίσης ένα VPN με τη χρήση του tunneling μπορεί να δημιουργηθεί με ή χωρίς τη γνώση του παρόχου δικτύου και θα μπορούσε να «περάσει» μέσα από διαδοχικούς παρόχους δικτύου. 14
Μηχανισμός GRE (1/4) Ο μηχανισμός της Cisco GRE (Generic Routing Encapsulation) δημιουργήθηκε το 1994. Ένα GRE tunnel διαμορφώνεται ανάμεσα στο δρομολογητή πηγής και το δρομολογητή προορισμού (router-to-router). 15
Μηχανισμός GRE (2/4) Τα GRE tunnels παρέχουν ένα ειδικό μονοπάτι κατά μήκος μίας διαμοιραζόμενης υποδομής WAN που δεν ανήκει μόνο σε έναν χρήστη-πελάτη (για παράδειγμα Internet) και ενθυλακώνουν την κίνηση με νέες επικεφαλίδες πακέτου για να εξασφαλίσουν τη διανομή σε ένα συγκεκριμένο προορισμό. Μπορεί να ενσωματώσει και να μεταφέρει πακέτα από 20 διαφορετικά πρωτόκολλα. 16
Μηχανισμός GRE (3/4) Τα πακέτα που πρόκειται να προωθηθούν κατά μήκος της διόδου ενθυλακώνονται με μία επικεφαλίδα GRE, μεταφέρονται κατά μήκος της διόδου και στο τέλος της αφαιρείται η επικεφαλίδα GRE. 17
Μηχανισμός GRE (4/4) Βασικά συστατικά του μηχανισμού GRE είναι: Passenger protocol: Το πρωτόκολλο που χρησιμοποιείται στο τοπικό δίκτυο και στη συνέχεια ενθυλακώνεται. Carrier protocol: Το πρωτόκολλο GRE που παρέχει την υπηρεσία. Transport protocol: Το πρωτόκολλο που χρησιμοποιείται για να μεταφερθούν τα άλλα δύο (μετά την ενθυλάκωση). 18
Τρόπος Λειτουργίας GRE (1/3) Σχήμα 2. Τρόπος λειτουργίας GRE. 19
Τρόπος Λειτουργίας GRE (2/3) Ένας υπολογιστής σε ένα τοπικό δίκτυο «στέλνει» ένα πακέτο, χρησιμοποιώντας το πρωτόκολλο του Local Area Network (LAN). O router αφού ελέγξει ότι ο παραλήπτης δεν είναι κάποιο τοπικό μηχάνημα χρησιμοποιώντας τον μηχανισμό GRE ενθυλακώνει τα πακέτα του Transport Protocol (για παράδειγμα ΙΡ). 20
Τρόπος Λειτουργίας GRE (3/3) O αντίστοιχος router στην τοποθεσία προορισμού λαμβάνει το πακέτο και το επαναφέρει στην αρχική του κατάσταση (και πρωτόκολλο) πριν στείλει στον τελικό παραλήπτη. 21
Πρωτόκολλα επιπέδου 2 (1/2) Υπάρχουν τρία πρωτόκολλα επιπέδου 2: Το πρωτόκολλο της Cisco Layer 2 Forwarding Protocol (L2F). Το πρωτόκολλο της Microsoft Point-to-Point Tunneling Protocol (PPTP). Το πρωτόκολλο Internet Engineering task Force (IETF) Layer 2 Tunneling Protocol (L2TP). 22
Πρωτόκολλα επιπέδου 2 (2/2) Τα δύο πρώτα αναπτύχθηκαν ανεξάρτητα το ένα από το άλλο, ωστόσο σύντομα γεννήθηκε η ανάγκη ύπαρξης ενός μόνο πρωτοκόλλου το οποίο να υιοθετείται από όλους, δηλαδή να αποτελεί πρότυπο (standard) και να συσχετίζει χαρακτηριστικά και από τα δύο προϋπάρχοντα πρωτόκολλα. Έτσι, δημιουργήθηκε το L2TP. 23
Πρωτόκολλο L2F (1/2) Λόγω της μεγάλης ανάπτυξης των dial-up υπηρεσιών και την παροχή πολλών διαφορετικών πρωτοκόλλων χρειαζόταν ένας τρόπος για να δημιουργείται μία εικονική dial-up σύνδεση, όπου οποιοδήποτε από τα μη-ip πρωτόκολλα να μπορεί να χρησιμοποιεί τα πλεονεκτήματα που παρέχει το Internet. 24
Πρωτόκολλο L2F (2/2) Μέσω του L2F, οι χρήστες έχουν τη δυνατότητα να κάνουν μία Point to Point (PPP) σύνδεση σε ένα dial-up πάροχο υπηρεσιών και, εν συνεχεία, να συνδεθούν στα υπολογιστικά συστήματα της εταιρίας τους. Το L2F έχει δικούς του μηχανισμούς για την ενθυλάκωση των πακέτων και δεν χρησιμοποιεί το GRE. 25
Πλεονεκτήματα L2F Ανεξαρτησία πρωτοκόλλων (Internetwork Packet Exchange - PX, Systems Network Architecture - SNA). Αυθεντικοποίηση (PPP, Challenge / handshake - CHAP, Terminal Access Controller Access Control System - TACACS ή Remote Authentication Dial-In User Service - RADIUS). Διαχείριση διευθύνσεων Δυναμικά και ασφαλή tunnels. Υπηρεσίες χρέωσης (accounting). Έλεγχος ροής. 26
Τρόπος Λειτουργίας L2F (1/3) Σε μία τυπική εγκατάσταση ο χρήστης κάνει μία PPP ή άλλη παρόμοια σύνδεση στον Internet Service Provider (ISP) και κατά την διάρκεια της αίτησης, ο NAS (Network Access Server), χρησιμοποιώντας το λογισμικό του L2F, αρχικοποιεί μία δίοδο προς τον προορισμό του χρήστη. 27
Τρόπος Λειτουργίας L2F (2/3) Στη συνέχεια, ο προορισμός απαιτεί το password του χρήστη και αφού γίνει η πιστοποίηση ταυτότητας, παραχωρείται στο χρήστη η IP διεύθυνση σαν μία τυπική dialup απομακρυσμένη πρόσβαση. 28
Τρόπος Λειτουργίας L2F (3/3) Η πιστοποίηση ταυτότητας γίνεται σε δύο επίπεδα. Αρχικά από τον ISP στον οποίο συνδέεται ο χρήστη. Μετέπειτα από την πύλη (gateway) που υπάρχει στο απομακρυσμένο δίκτυο που συνδέεται ο χρήστης. 29
Πρωτόκολλο PPTP (1/2) Το PPTP είναι ένας συνδυασμός του PPP και του Transmission Control Protocol / Internet Protocol (TCP/IP). Αναπτύχθηκε από τις εταιρίες 3Com, Ascend Communications, Microsoft, ECI Telematics και US Robotics. Αναπτύχθηκε και λειτούργησε παράλληλα με το L2F της Cisco. 30
Πρωτόκολλο PPTP (2/2) Το PPTP συνδυάζει τα χαρακτηριστικά του PPP (για παράδειγμα εμπιστευτικότητα με ταυτόχρονη συμπίεση των πακέτων δεδομένων) και του TCP/IP (κυρίως τη δυνατότητα για δρομολόγηση των πακέτων στο Internet). Το PPTP μπορεί να πάρει πακέτα όπως Internet Protocol (IP), Internet Packet Exchange (IPX), NetBios, System Network Architecture (SNA) και να τα μετατρέψει σε ένα καινούριο IP πακέτο για μεταφορά. 31
Χαρακτηριστικά πρωτόκολλου PPTP (1/2) Για την πιστοποίηση της ταυτότητας του χρήστη χρησιμοποιεί τους μηχανισμούς Password Authentication Protocol (PAP) ή Challenge-Handshake Authentication Protocol (CHAP) που παρέχονται από το PPP. Χρησιμοποιεί το Generic Routing Protocol (GRE) για μεταφορά των PPP πακέτων. Πραγματοποιεί επίσης κρυπτογράφηση για τα ενθυλακωμένα δεδομένα. 32
Χαρακτηριστικά πρωτόκολλου PPTP (2/2) Δύο ειδών πακέτα χρησιμοποιούνται στο PPTP. Πακέτα δεδομένων (data packets). Πακέτα ελέγχου (control packets). Τα πακέτα ελέγχου χρησιμοποιούνται για σηματοδοσία ενώ τα πακέτα δεδομένων για να μεταφέρουν τα δεδομένα του χρήστη. Τα πακέτα δεδομένων έχουν υποστεί την διαδικασία της ενθυλάκωσης χρησιμοποιώντας το GRE version 2. 33
Τρόπος Λειτουργίας PPTP (1/2) Αρχικά, χρησιμοποιεί αυτούσιο το PPP, από το οποίο εξασφαλίζει τα ακόλουθα. Εγκαθίδρυση της φυσικής ζεύξης. Πιστοποίηση των χρηστών. Δημιουργία PPP πλαισίων. 34
Τρόπος Λειτουργίας PPTP (2/2) Στη συνέχεια, τα PPP πλαίσια ενθυλακώνονται κατάλληλα σε μεγαλύτερα πακέτα, με στόχο τη μετάδοση δεδομένων μέσω μιας διόδου. Στην ουσία δημιουργούνται IP πακέτα, με χρήση του πρωτοκόλλου ενθυλάκωσης GRE. 35
Ενθυλάκωση πακέτων στο ΡΡΤΡ Σχήμα 3. Ενθυλάκωση πακέτων στο PPTP. 36
Τυπική διαμόρφωση AAA-based δικτύου (1/3) AAA: Authentication, Authorization, Accounting. Αρχιτεκτονική ασφαλείας σε κατανεμημένα συστήματα για τον έλεγχο πρόσβασης των χρηστών στις υπηρεσίες του δικτύου και την παρακολούθηση των πόρων που έχουν χρησιμοποιηθεί. 37
Τυπική διαμόρφωση AAA-based δικτύου (2/3) Σχήμα 4. Τυπική διαμόρφωση AAA -based δικτύου. 38
Τυπική διαμόρφωση AAA-based δικτύου (3/3) Τα δύο πιο δημοφιλή δικτυακά πρωτόκολλα που παρέχουν αυτή τη λειτουργία είναι: Το πρωτόκολλο RADIUS. Το πρωτόκολλο DIAMETER. 39
Remote or Network Access Servers (1/3) Οι συσκευές στον ISP που είναι υπεύθυνες για λειτουργίες του πρωτοκόλλου PPTP ονομάζονται είτε Remote Access Servers (RAS) είτε Network Access Servers (NAS). Μία από τις βασικές λειτουργίες του NAS είναι η πιστοποίηση ταυτότητας του χρήστη (δηλαδή ο έλεγχος του κατά πόσον ο χρήστης είναι εξουσιοδοτημένος στο να συνδεθεί στο δίκτυο). 40
Remote or Network Access Servers (2/3) Η πιστοποίηση ταυτότητας του χρήστη που πραγματοποιεί ο NAS είναι η δεύτερη που λαμβάνει χώρα έχει προηγηθεί αυθεντικοποίηση, είτε PAP είτε CHAP, κατά την αρχική αίτηση σύνδεσης στον ISP, όπου η ταυτότητα του χρήστη επικυρώθηκε με μηχανισμούς password που παρέχει το PPP. 41
Remote or Network Access Servers (3/3) O NAS δέχεται τις αιτήσεις των χρηστών, παίρνει Identification (ID) και passwords από αυτούς, και τα προωθεί στον RADIUS server. Σχήμα 5. Remote or Network Access Servers. 42
RADIUS Server (1/4) O RADIUS Server ενημερώνει για το αν εγκρίνει την πρόσβαση ή όχι, μια που διατηρεί μία κεντρική βάση δεδομένων των χρηστών, τόσο με τα στοιχεία τους όσο και με τις αντίστοιχες υπηρεσίες που μπορεί να παρέχει σε καθέναν από αυτούς. 43
RADIUS Server (2/4) Ο RADIUS Server διατηρεί στη βάση του διάφορα στοιχεία, όπως τη διεύθυνση του NAS (για πληροφορίες στατιστικής φύσεως της χρήσης της ζεύξης) καθώς και πληροφορίες χρέωσης των χρηστών (αν κάτι τέτοιο είναι πολιτική του παρόχου του δικτύου). 44
RADIUS Server (3/4) Συχνά υπάρχουν και RADIUS proxy servers, οι οποίοι είναι εγκατεστημένοι στους ISPs και ενημερώνονται ανά περιοδικά διαστήματα από τον κεντρικό RADIUS server διατηρούν δηλαδή οι ίδιοι ένα αντίγραφο της βάσης δεδομένων, με βάση την οποία αυθεντικοποιούν τον χρήστη. 45
RADIUS Server (4/4) Σχήμα 6. Το πρωτόκολλο RADIUS ακολουθεί μοντέλο client-server. 46
RADIUS Traffic Flow Σχήμα 7. RADIUS Traffic Flow. 47
TACACS-based remote authentication Σχήμα 8. Terminal Access Controller Access-Control System (TACACS) -based remote authentication. 48
Δίοδοι (tunnels) (1/3) Στο PPTP οι ζεύξεις επικοινωνίας υλοποιούνται πάνω σε διόδους (tunnels). Υπάρχουν δύο ειδών δίοδοι. Οι «αυθόρμητες» δίοδοι (voluntary tunnels). Οι «αναγκαστικές» δίοδοι (compulsory/mandatory tunnels). 49
Δίοδοι (tunnels) (2/3) Οι πρώτες δημιουργούνται μετά από αίτηση του χρήστη, ενώ οι αναγκαστικές δίοδοι δημιουργούνται αυτόματα, χωρίς καμία παρεμβολή από τον χρήστη. 50
Δίοδοι (tunnels) (3/3) Οι δυνατότητες του υπολογιστή του χρήστη καθορίζουν το άκρο της διόδου. Αν ο υπολογιστής έχει PPTP software, τότε αυτός είναι το άκρο της διόδου. Αν υποστηρίζει μόνο PPP και όχι PPTP, τότε το άκρο της διόδου βρίσκεται στον ISP και συγκεκριμένα στον Remote Access Service (RAS). 51
Αναγκαστική Δίοδος σε VPN (1/2) Μία αναγκαστική δίοδος έχει προκαθορισμένα ακραία σημεία (που είναι στην ουσία κάποιοι RAS), άρα ο έλεγχος πρόσβασης των χρηστών είναι πιο εύκολος. Παρέχει τη δυνατότητα, αν η πολιτική της εταιρίας είναι τέτοια, οι εργαζόμενοι να μην έχουν πρόσβαση στο Internet, αλλά να χρησιμοποιούν τις ζεύξεις Internet αποκλειστικά και μόνο για το VPN. 52
Αναγκαστική Δίοδος σε VPN (2/2) Επίσης στις αναγκαστικές διόδους μπορούν πολλαπλές συνδέσεις να υπάρχουν πάνω σε μία δίοδο. Σχήμα 9. Αναγκαστική δίοδος. Στις αναγκαστικές διόδους μπορούν πολλαπλές συνδέσεις να υπάρχουν πάνω σε μία δίοδο. 53
Σύγκριση Διόδων σε VPN (1/2) Ένα μειονέκτημα των αναγκαστικών διόδων είναι το γεγονός ότι η σύνδεση του υπολογιστή του χρήστη με τον RAS πραγματοποιείται έξω από τη δίοδο και είναι μη ασφαλής (αφού δεν πραγματοποιούνται οι μηχανισμοί κρυπτογράφησης που η δίοδος επιβάλλει). Γενικά, οι αυθόρμητες δίοδοι προσφέρουν μεγαλύτερη ασφάλεια. 54
Σύγκριση Διόδων σε VPN (2/2) Σχήμα 10. Σύγκριση Διόδων σε VPN. 55
Υποκατηγορίες αναγκαστικών διόδων (1/3) Στατικές αναγκαστικές δίοδοι (static compulsory tunnels): Realm-based: ο RAS ελέγχει ένα τμήμα του ονόματος του χρήστη, τον τομέα (realm) και με βάση αυτό αποφασίζει τη δρομολόγηση της διόδου αυτού του χρήστη. Σε αυτές τις διόδους, όλοι οι χρήστες του ίδιου τομέα αντιμετωπίζονται με τον ίδιο τρόπο δηλαδή, οι δίοδοι που δημιουργούνται προσφέρουν σε όλους την ίδια ποιότητα υπηρεσίας. Αυτό μειώνει την «ευλυγισία» του συστήματος. 56
Υποκατηγορίες αναγκαστικών διόδων (2/3) Στατικές αναγκαστικές δίοδοι (static compulsory tunnels) (Συνέχεια): Automatic: Υπάρχει προ-εγκατεστημένος εξοπλισμός ο χρήστης καλεί ένα συγκεκριμένο τηλεφωνικό αριθμό για να έχει πρόσβαση στο VPN (να ξεκινήσει μία δίοδος). Οι στατικές δίοδοι δεν προσφέρονται σε συστήματα όπου υπάρχει μεγάλο πλήθος χρηστών που αιτούνται πρόσβαση. 57
Υποκατηγορίες αναγκαστικών διόδων (3/3) Δυναμικές αναγκαστικές δίοδοι (dynamic compulsory tunnels): Με βάση την αίτηση κάθε χρήστη, γίνεται σύνδεσή του με τον RAS. Χρειάζεται ένας RADIUS server για την εξουσιοδότηση του χρήστη. 58
Φάσεις PPTP (1/6) Η όλη λειτουργία του PPTP πραγματοποιείται σε τρεις φάσεις: Πρώτη φάση. Εδώ το πρωτόκολλο χρησιμοποιεί το γνωστό πρωτόκολλο PPP για τη σύνδεση του χρήστη με τον ISP. 59
Φάσεις PPTP (2/6) Σχήμα 11. Φάσεις PPTP 60
Φάσεις PPTP (3/6) Δεύτερη φάση. Ανταλλάσσονται μηνύματα ελέγχου μεταξύ PPTP client και PPTP Server (RAS) για τη διατήρηση αλλά και τον τερματισμό (στο τέλος) της διόδου. Τα μηνύματα αυτά ανταλλάσσονται με βάση τις IP διευθύνσεις τους, στην 1723 TCP θύρα του RAS. Τα PPTP μηνύματα ελέγχου ενθυλακώνονται σε TCP/IP πακέτα. 61
Φάσεις PPTP (4/6) Τρίτη φάση. Τα πακέτα δεδομένων μεταφέρονται μέσω της διόδου που έχει υλοποιηθεί από την προηγούμενη (δεύτερη) φάση. Τα πακέτα είναι κρυπτογραφημένα. Ο βασικός αλγόριθμος κρυπτογράφησης που έχει χρησιμοποιηθεί για την υλοποίηση του PPTP πρωτοκόλλου είναι ο RC4. 62
Φάσεις PPTP (5/6) Τρίτη φάση (Συνέχεια). Το κλειδί κρυπτογράφησης προκύπτει από εφαρμογή μιας συνάρτησης κατακερματισμού στο password του χρήστη (αφού το password το έχει, εκτός από τον ίδιο το χρήστη, και το δίκτυο λόγω του RADIUS Server, δεν χρειάζεται ανταλλαγή κλειδιού). Η κρυπτογράφηση ξεκινά από τον υπολογιστή του χρήστη κάτι που προσδίδει μεγαλύτερη ασφάλεια. 63
Φάσεις PPTP (6/6) Η Microsoft έχει προτείνει και υλοποιήσει ένα σύστημα κρυπτογράφησης και αυθεντικοποίησης που ονομάζεται Microsoft Point-to-Point Encryption (MPPE): Η κρυπτογράφηση σε αυτό γίνεται με RC4, ενώ η πιστοποίηση ταυτότητας με το πρωτόκολλο MS- CHAP. 64
LAN-to-LAN tunneling (1/2) Αν και το αρχικό κίνητρο ανάπτυξης του PPTP αφορούσε μόνο σε περιπτώσεις όπου ένας χρήστης συνδέεται με τον υπολογιστή του σε ένα δίκτυο VPN, το PPTP μπορεί παρόλα αυτά να εξυπηρετήσει και περιπτώσεις σύνδεσης δικτύου με δίκτυο (LANto-LAN tunneling). Απλά ο server σε κάθε ένα από τα δύο δίκτυα που επικοινωνούν θα πρέπει να μπορεί να λειτουργεί άλλοτε ως server και άλλοτε ως client. 65
LAN-to-LAN tunneling (2/2) Σχήμα 12. LAN-to-LAN tunneling. 66
Σύγκριση δικτύων IPsec και PPTP (1/3) Μία LAN-to-LAN PPTP υποδομή μοιάζει πολύ με μία LAN-to-LAN IPsec υποδομή, με εξαίρεση το ότι δεν υπάρχει το πρωτόκολλο ανταλλαγής κλειδιού Internet Key Exchange (IKE). Oι PPTP servers προωθούν πακέτα από και προς το αντίστοιχο LAN, έχοντας επίσης τη δυνατότητα να «φιλτράρουν» τα εισερχόμενα πακέτα. 67
Σύγκριση δικτύων IPsec και PPTP (2/3) Όταν ο ISP διαθέτει PPTP server δεν χρειάζεται ο υπολογιστής του χρήστη να είναι εφοδιασμένος με ειδικό PPTP software διαφορετικά, κάτι τέτοιο είναι απαραίτητο (και σε αυτήν την τελευταία περίπτωση το άκρο της διόδου είναι ο υπολογιστής και όχι ο PPTP server). 68
Σύγκριση δικτύων IPsec και PPTP (3/3) Σχήμα 13. Σύγκριση δικτύων IPsec και PPTP. 69
Μειονεκτήματα ΡΡΤΡ (1/2) Στα μειονεκτήματα του PPTP συγκαταλέγεται το γεγονός ότι οι PPTP servers δέχονται δεδομένα μόνο στην 1723 TCP θύρα κάτι που αποτελεί σημαντική πληροφορία για κάποιον που θέλει να υποκλέψει την επικοινωνία. Τα GRE πακέτα (που ενυπάρχουν στα PPTP πακέτα) δεν μπορούν να περάσουν από όλους τους τοίχους ασφαλείας (firewalls). 70
Μειονεκτήματα ΡΡΤΡ (2/2) Τα VPNs που στηρίζονται στο PPTP εξαρτώνται πολύ από τα πρωτόκολλα που διαθέτει και μπορεί να υποστηρίξει ο ISP (σε αντίθεση με το IPsec). 71
Πρωτόκολλο L2TP (1/2) Το πρωτόκολλο L2TP είναι το αποτέλεσμα της συγχώνευσης του PPTP και του L2F το οποίο ορίστηκε για λόγους συμβατότητας μεταξύ όλων των δικτύων. Το L2TP παρέχει συμπίεση βασισμένη σε λογισμικό. Ένας μικρός αριθμός τεχνικών συμπίεσης έχει προστεθεί στο επίπεδο της κρυπτογράφησης. 72
Πρωτόκολλο L2TP (2/2) Επειδή το L2TP χρησιμοποιεί πολλά χαρακτηριστικά του IPsec για να επιτύχει μεγαλύτερη ασφάλεια, θεωρείται ότι παρέχει υπηρεσίες όχι μόνο δεύτερου αλλά και τρίτου επιπέδου. 73
L2TP Servers (1/2) Το L2TP χρησιμοποιεί δύο servers για τη σύνοδο: LAC (L2TP Access Concentrator) Βρίσκεται στον ISP και χρησιμοποιείται για την εγκαθίδρυση μίας διόδου σε ένα δημόσιο δίκτυο για παράδειγμα PSTN, ISDN, η οποία τερματίζεται στον LNS του κόμβου προορισμού. 74
L2TP Servers (2/2) Το L2TP χρησιμοποιεί δύο servers για τη σύνοδο (Συνέχεια). LNS (L2TP Network Server) Βρίσκεται στον προορισμό και χρησιμοποιείται για τον τερματισμό του tunnel. Αναλαμβάνει την αυθεντικοποίηση του χρήστη. Όταν ο LNS λάβει αίτηση για σύνδεση (δημιουργία διόδου) από έναν LAC, αυθεντικοποιεί τον αιτούντα και εγκαθιδρύει το tunnel. 75
Πρωτόκολλο L2TP - Συνέχεια (1/4) Στη δίοδο που δημιουργείται μεταξύ του Access Concentrator και του Network Server μπορούν να υπάρχουν ταυτόχρονα πολλές σύνοδοι. Κάθε σύνοδος έχει ένα δικό της μοναδικό αριθμό Call ID, που υπάρχει στην επικεφαλίδα κάθε L2TP πακέτου. 76
Πρωτόκολλο L2TP - Συνέχεια (2/4) Μπορούν επίσης να υπάρχουν ταυτόχρονα πολλές διαφορετικές δίοδοι μεταξύ του ίδιου Access Concentrator και του Access Server. Η κάθε μία από τις διόδους μπορεί να ικανοποιεί διαφορετικό Quality of Service (QoS). 77
Πρωτόκολλο L2TP - Συνέχεια (3/4) L2TP Authentication Protocols. Password Authentication Protocol (PAP). Challenge-Handshake Authentication Protocol (CHAP). Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP). 78
Πρωτόκολλο L2TP - Συνέχεια (4/4) L2TP Authentication Protocols (Συνέχεια). MS-CHAP version 2 (MS-CHAP v2). Extensible Authentication Protocol - Message Digest 5 (EAP-MD5). Extensible Authentication Protocol - Transport Level Security (EAP-TLS). 79
Ομοιότητες L2TP με ΡΡΤΡ (1/3) Όπως και στο PPTP, η αρχική σύνδεση του χρήστη με τον LAC (ο οποίος παίζει το ρόλο που έχει ο NAS στο PPTP) γίνεται με χρήση του PPP, μέσω του οποίου ενθυλακώνονται διαφόρων ειδών πακέτα και πραγματοποιείται μία πρώτη αυθεντικοποίηση του χρήστη (με PAP ή CHAP). 80
Ομοιότητες L2TP με ΡΡΤΡ (2/3) Μία δεύτερη πιστοποίηση της ταυτότητας του χρήστη λαμβάνει χώρα αμέσως μετά, με χρήση του RADIUS. Μία άλλη αναλογία του L2TP με το PPTP είναι τα δύο είδη μηνυμάτων που μπορεί να ανταλλάσσονται: μηνύματα ελέγχου και μηνύματα δεδομένων. 81
Ομοιότητες L2TP με ΡΡΤΡ (3/3) Όπως και στο PPTP, ένα VPN που υλοποιείται με βάση το L2TP μπορεί να υποστηρίζει τόσο αυθόρμητες (voluntary) διόδους όσο και αναγκαστικές (compulsory) διόδους. 82
L2TP VPN - Απομακρυσμένης πρόσβασης Σχήμα 14. L2TP VPN - Απομακρυσμένης πρόσβασης. 83
Στάδια δημιουργίας L2TP διόδου Στάδιο 1. (1/3) Ο απομακρυσμένος χρήστης συνδέεται με τον LAC του ISP με χρήση του πρωτοκόλλου PPP. Ο LAC αυθεντικοποιεί τον χρήστη, με βάση το user name και password του. Στη συνέχεια, ο LAC προσδιορίζει την IP διεύθυνση του LNS που ανήκει στο LAN για το οποίο ο χρήστης αιτείται σύνδεση. Ξεκινά η σύνοδος L2TP μεταξύ LAC και LNS. 84
Στάδια δημιουργίας L2TP διόδου Στάδιο 2. (2/3) Μετά την εκκίνηση της L2TP συνόδου, ξεκινά η αυθεντικοποίηση του χρήστη στον LNS. Μπορεί να χρησιμοποιηθεί οποιοσδήποτε τυποποιημένος αλγόριθμος αυθεντικοποίησης, π.χ. CHAP (Challenge Handshake Authentication Protocol). Όπως στα πρωτόκολλα PPTP και L2F, το L2TP δε θέτει περιορισμό για αλγόριθμο αυθεντικοποίησης. Στην πράξη, έχει προτιμηθεί κυρίως η αυθεντικοποίηση με χρήση του RADIUS. 85
Στάδια δημιουργίας L2TP διόδου Στάδιο 3. (3/3) Μετά από επιτυχή αυθεντικοποίηση, μπορεί να δημιουργηθεί ένα προστατευμένο tunnel μεταξύ LAC και LNS. Το L2TP δεν προσδιορίζει ρητά μεθόδους για την κρυπτογράφηση (η οποία και παρέχει την ασφάλεια). Για διόδους πάνω σε IP δίκτυα, μπορεί να χρησιμοποιηθεί το πρωτόκολλο IPsec. Το L2TP ενθυλακώνεται σε User Datagram Protocol (UDP) πακέτα που μεταφέρονται μεταξύ LAC και LNS μέσω IPsec tunnel. 86
Αναγκαστική δίοδος (1/2) Σε αναγκαστική δίοδο, ο χρήστης στέλνει PPP πακέτα στον LAC και η δημιουργία διόδου μεταξύ του LAC και του LNS του απομακρυσμένου δικτύου γίνεται ερήμην του ο ίδιος ο χρήστης δεν κάνει καμία άλλη ενέργεια για τη δημιουργία αυτής της διόδου. 87
Αναγκαστική δίοδος (2/2) Το IPsec είναι η καλύτερη επιλογή για τον χρήστη στέλνει απευθείας κρυπτογραφημένα (και άρα ασφαλή) τα δεδομένα. Το Authentication Header (AH) προστίθεται από τον LAC του ISP. Το ESP προστίθεται μόνο όταν ο LNS στον προορισμό υποστηρίζει IPsec. Για την ανταλλαγή του συμμετρικού κλειδιού κρυπτογράφησης χρησιμοποιείται το IKE. 88
Αυθόρμητη δίοδος Σε αυθόρμητη δίοδο, το AH εφαρμόζεται στον υπολογιστή του χρήστη απευθείας (μια που ο υπολογιστής είναι το άκρο της διόδου). Αν ο LNS στον προορισμό δεν υποστηρίζει IPsec, το ESP προστατεύει τα δεδομένα μόνο μέχρι να καταφτάσουν στον LNS. 89
Λειτουργίες LNS (1/2) Οι κύριες λειτουργίες που πρέπει να μπορεί να κάνει ο LNS. H προώθηση των L2TP πακέτων που λαμβάνει προς τον αντίστοιχο υπολογιστή του δικτύου. Kαι εκείνες που τον κάνουν συμβατό με το IPsec. Nα μπορεί να υποστηρίζει μια μεγάλη ποικιλία αλγορίθμων κρυπτογράφησης. Nα μπορεί να επεξεργάζεται πακέτα που έχουν τις κεφαλίδες AH και ESP. 90
Λειτουργίες LNS (2/2) Ένα χαρακτηριστικό του LNS είναι ότι δεν πραγματοποιεί φιλτράρισμα (σε αντίθεση με τον NAS στα PPTP δίκτυα). 91
Σύγκριση L2TP με PPTP (1/3) Το L2TP λειτουργεί γενικά καλύτερα σε περιπτώσεις όπου τα πακέτα περνάνε από «τείχη προστασίας», μια που δεν υπάρχει GRE ενθυλάκωση η οποία είναι αυτή που δημιουργεί το αντίστοιχο πρόβλημα στο PPTP. 92
Σύγκριση L2TP με PPTP (2/3) Το L2TP παρέχει μεγαλύτερη ασφάλεια ως προς την ανάλυση κίνησης (traffic analysis), λόγω του ότι η επικοινωνία δεν γίνεται μόνο μέσω μιας συγκεκριμένης UDP θύρας στον LNS. Οι διαχειριστές δικτύου μπορούν να αλλάζουν αυτήν τη θύρα, δυσκολεύοντας έτσι το έργο ενός επιτιθέμενου. 93
Σύγκριση L2TP με PPTP (3/3) Το L2TP πρωτόκολλο μπορεί να χρησιμοποιηθεί και για σύνδεση δίκτυοπρος-δίκτυο (LAN-to-LAN tunneling). Ειδική μέριμνα πρέπει να υπάρξει ώστε κάθε άκρο της διόδου να μπορεί να δρα ταυτόχρονα και σαν LAC αλλά και σαν LNS. 94
Σύγκριση L2F, PPTP και L2TP (1/2) Χαρακτηριστικά PPTP L2F L2TP Υποστήριξη πολλαπλών πρωτόκολλων Υποστήριξη πολλαπλών συνδέσεων PPP Υποστήριξη πολλαπλών συνδέσεων ανά δίοδο Είδη διόδων ΝΑΙ ΝΑΙ ΝΑΙ ΟΧΙ ΝΑΙ ΝΑΙ ΟΧΙ ΝΑΙ ΝΑΙ Αυθόρμητες (Voluntary) Αυθόρμητες (Voluntary) Αναγκαστικές (Compulsory) Αυθόρμητες (Voluntary) Αναγκαστικές (Compulsory) 95
Σύγκριση L2F, PPTP και L2TP (2/2) Χαρακτηριστικά PPTP L2F L2TP Πρωτόκολλα μεταφοράς Πρωτόκολλα ελέγχου Μηχανισμοί πιστοποίησης Μηχανισμοί κρυπτογράφησης IP/GRE TCP (Port:1723) MS-CHAP, PAP IP/UDP, IP/FR, IP/ATM UDP (Port:1701) CHAP, PAP, SPAP, EAP, IPsec, RADIUS & TACACS IP/UDP, IP/FR, IP/ATM UDP (Port:1701) CHAP, PAP, SPAP, EAP, IPsec, TACACS MPPE MPPE, IPsec MPPE, IPsec, ECP 96
Πρωτόκολλο Layer 2 MPLS (1/6) Η τεχνολογία MPLS επιτρέπει τη δημιουργία ιδεατών κυκλωμάτων (tunnels) κατά μήκος ενός δικτύου που βασίζεται στο πρωτόκολλο ΙΡ, με τρόπο τέτοιο ώστε να αναφερόμαστε σε MPLS VPNs επιπέδου 2 (L2 MPLS VPNs). 97
Πρωτόκολλο Layer 2 MPLS (2/6) Και σε αυτή την περίπτωση (όπως άλλωστε και σε όλες τις εφαρμογές που στηρίζονται στο MPLS) οι αποφάσεις προώθησης των πακέτων λαμβάνονται µε βάση την τιμή της ετικέτας και όχι µε βάση την διεύθυνση προορισμού που βρίσκεται στην επικεφαλίδα ενός πακέτου. 98
Πρωτόκολλο Layer 2 MPLS (3/6) Στην περίπτωση των L2 MPLS VPNs γίνεται μετάδοση πλαισίων του επιπέδου 2 (για παράδειγμα ένα πλαίσιο τεχνολογίας Ethernet που είναι του δευτέρου επιπέδου του Open System Interconnection - OSI) πάνω από MPLS δίκτυο κορμού με τη χρήση ετικετών. Είναι λοιπόν αδιάφορο για το ΜPLS αν μετάγονται πακέτα IP ή πλαίσια επιπέδου 2. 99
Πρωτόκολλο Layer 2 MPLS (4/6) Το γεγονός αυτό σε συνδυασμό µε την πιθανή ταυτόχρονη μετάδοση κίνησης IP που μπορεί να εξυπηρετεί άλλες συνδέσεις επιτρέπει τη διατήρηση και διαχείριση μιας κοινής υποδομής από τους ISPs. 100
Πρωτόκολλο Layer 2 MPLS (5/6) Στην ουσία, όταν μιλάμε για L2 MPLS VPN, εννοούμε την ύπαρξη της ασφαλούς διόδου που δεν είναι τίποτα άλλο παρά το ιδεατό μονοπάτι LSP. Μέσω του MPLS πρωτοκόλλου, υπάρχει η δυνατότητα να ενθυλακωθούν πακέτα από διάφορα πρωτόκολλα (ATM, Ethernet) σε ειδικά MPLS πακέτα έτσι να μεταφερθούν στην άλλη άκρη του δικτύου μέσω ενός LSP. 101
Πρωτόκολλο Layer 2 MPLS (6/6) Στο άκρο του δικτύου γίνεται η αντίστροφη διαδικασία δηλαδή η ανάκτηση του πακέτου στην αρχική του μορφή. 102
Ενθυλάκωση ΑΤΜ VCs, Ethernet frames, IP VPNs σε ένα LSP Σχήμα 15. Ενθυλάκωση ΑΤΜ VCs, Ethernet frames, IP VPNs σε ένα LSP. 103
Χρήση Layer 2 MPLS VPNs (1/2) Ολοένα και περισσότερες εταιρίες ζητούν διασύνδεση των εταιρικών παραρτημάτων τους, χρησιμοποιώντας την υποδομή που ήδη διαθέτουν (Frame Relay switches, ATM switches, Ethernet switches). Οι ISPs επιθυμούν να διατηρούν ένα δίκτυο κορμού με ενιαία αρχιτεκτονική και όχι να είναι ένα συνονθύλευμα από διαφορετικές τεχνολογίες. 104
Χρήση Layer 2 MPLS VPNs (2/2) Σε αυτήν την περίπτωση η τεχνολογία MPLS είναι άκρως δελεαστική. Έτσι «γεννήθηκαν» τα Layer 2 MPLS VPNs. 105
Layer 2 MPLS-based VPN: Draft- Martini (1/4) Αυτού του είδους τα VPNs ορίζονται από ένα σύνολο από Internet drafts που καθορίζουν με λεπτομέρεια τόσο τον τρόπο της ενθυλάκωσης σε L2, αλλά και τους τρόπους μεταφοράς της σηματοδοσίας (για τους οποίους χρησιμοποιείται το LDP). 106
Layer 2 MPLS-based VPN: Draft- Martini (2/4) Η προσέγγιση του Draft-Martini αποκαλείται επίσης Pseudo Wire Emulation, γιατί υλοποιούνται ουσιαστικά συνδέσεις σημείου προς σημείο που θεωρούνται ως pseudo wires (αφού δεν υπάρχει πραγματική σύνδεση σημείο-προς-σημείο αλλά μόνο LSPs δημιουργημένα στο δίκτυο κορμού). 107
Layer 2 MPLS-based VPN: Draft- Martini (3/4) Το πλεονέκτημα του Draft-Martini VPN είναι ότι μπορεί να υποστηρίξει ένα ευρύ σύνολο από διαφορετικές τεχνολογίες (Ethernet, Frame Relay, ATM, High-Level Data Link Control (HDLC) και Point-to-Point Protocol (PPP)). 108
Layer 2 MPLS-based VPN: Draft- Martini (4/4) Το μειονέκτημα του Draft-Martini VPN είναι ότι δεν είναι κλιμακούμενο. Σε περιπτώσεις δηλαδή που απαιτούνται πολλά τέτοια VPNs πρέπει να δημιουργηθούν ανεξάρτητα το ένα από το άλλο. 109
Layer 2 MPLS-based VPN: Draft- Kompella (1/4) Τα Draft-Kompella VPNs σχεδιάστηκαν για να επιλύσουν τα προβλήματα των Draft-Martini VPNs. Πιο συγκεκριμένα, τα Draft-Kompella VPNs χρησιμοποιούν το πρωτόκολλο Border Gateway Protocol (BGP) και όχι το LDP για τη δημιουργία των διόδων. 110
Layer 2 MPLS-based VPN: Draft- Kompella (2/4) Το πλεονέκτημα είναι ότι το BGP ήδη χρησιμοποιείται και για την υλοποίηση των Layer 3 VPNs που μπορεί να συνυπάρχουν στο δίκτυο κορμού επομένως δεν απαιτείται η εισαγωγή ενός ακόμη πρωτοκόλλου όπως είναι το LDP. 111
Layer 2 MPLS-based VPN: Draft- Kompella (3/4) To πλεονέκτημα των Draft-Kompella VPNs είναι ότι απαιτούν ελάχιστη προσπάθεια από το διαχειριστή του δικτύου MPLS για τη δημιουργία τους. Κι αυτό γιατί το BGP είναι ένα επαρκώς αυτοματοποιημένο πρωτόκολλο που απαιτεί μικρή παρέμβαση από το διαχειριστή. 112
Layer 2 MPLS-based VPN: Draft- Kompella (4/4) Ένα ακόμα πλεονέκτημα των Draft-Kompella VPNs είναι ότι εξακολουθεί να μπορεί να υποστηρίζει ένα μεγάλο πλήθος ενθυλακώσεων, όπως το Draft-Martini. Συνεπώς, είναι η λύση που υιοθετούν οι περισσότερες εταιρίες για την κατασκευή προϊόντων που θα παρέχουν αυτές τις υπηρεσίες. 113
Virtual Private LAN Services (1/6) Τα δίκτυα VPLS (Virtual Private LAN Services) υλοποιούν μία τοπολογία Ethernet και η οποία εκτείνεται σε περισσότερα από ένα μητροπολιτικά δίκτυα. Για παράδειγμα θα μπορούσαμε να αναφερθούμε σε μια εταιρία η οποία έχει ήδη αναπτύξει στην Αθήνα και στη Θεσσαλονίκη από ένα μητροπολιτικό δίκτυο. 114
Virtual Private LAN Services (2/6) Στην περίπτωση που ένα μέλος του μητροπολιτικού δικτύου της Αθήνας χρειάζεται να υλοποιήσει μία Ethernet σύνδεση με ένα μέλους του μητροπολιτικού δικτύου της Θεσσαλονίκης είναι εφικτό να γίνει αυτό με τη χρήση της τεχνολογίας VPLS. 115
Virtual Private LAN Services (3/6) Ένα από τα πλεονεκτήματα της τεχνολογίας VPLS είναι ότι οι πελάτες που το επιθυμούν συνδέονται με τη χρήση Ethernet interfaces δηλαδή, με απλά λόγια, κάθε χρήστης αντιλαμβάνεται τους υπολογιστές του απομακρυσμένου μητροπολιτικού δικτύου σαν να βρίσκονται στο δικό του Ethernet. 116
Virtual Private LAN Services (4/6) Μία εταιρία μπορεί με ασφαλή τρόπο να χρησιμοποιήσει την δημόσια υποδομή του ISP που στηρίζεται στο πρωτόκολλο MPLS έτσι ώστε να δημιουργήσει το ιδιωτικό της Ethernet δίκτυο το οποίο εκτείνεται σε περισσότερες από μία πόλεις, με μεγάλες αποστάσεις μεταξύ τους. 117
Virtual Private LAN Services (5/6) Σχήμα 16. Virtual Private LAN Services (VPLS) τοπολογία για μια εταιρία, προκειμένου να δομήσει Ethernet δίκτυο μεταξύ διαφορετικών πόλεων. 118
Virtual Private LAN Services (6/6) Ένα σημαντικό ζήτημα της τεχνολογίας VPLS είναι επίσης ο τρόπος με τον οποίο «ανακαλύπτονται» νέοι κόμβοι πελατών που εισάγονται στο δίκτυο. Υπάρχουν δύο προσεγγίσεις. O αυτοματοποιημένος τρόπος (auto-discovery). H «χειροκίνητη» ένταξή του από τον διαχειριστή του δικτύου MPLS. 119
Βιβλιογραφία (1/2) 1. Building a Virtual Private Network by Meeta Gupta, Publisher: Premier Press, Pub Date: 2003, Print ISBN: 1-931841-81-0. 2. Comparing, Designing, and Deploying VPNs by Mark Lewis, Publisher: Cisco Press, Pub Date: April 12, 2006, Print ISBN: 1-58705-179-6. 3. The Complete Cisco VPN Configuration Guide by Richard Deal, Publisher: Cisco Press, Pub Date: December 15, 2005, ISBN: 1-58705-204-0. 120
Βιβλιογραφία (2/2) 4. Troubleshooting Virtual Private Networks by Mark Lewis, Publisher: Cisco Press, Pub Date: May 27, 2004, Print ISBN: 1-58705-104-4. 5. CCSP self-study : Cisco Secure Virtual Private Networks (CSVPN) 2nd Edition, by Andrew G. Mason, Publisher: Cisco Press, Pub Date: May 19, 2004, Print ISBN: 1-58705-145-1. 121
Τέλος Ενότητας 122