Download - 08 Virtualne Privatne Mreže (VPN)
Udaljeni pristup mreži
Virtualne privatne mreže
(VPN)
Dušan Stamenković, M.Sc.
Beograd, 2013.
Preduslov za virtualne privatne mreže
• Network Address Translation (*NAT)
• Internet Connection Sharing (*ICS)
• Remote Access Service (*RAS)
• VPN Protocols (*PPTP, L2TP, SSTP)
• Network Policy Server (*NPS)
• Remote Authentication Dial In User Service (*Radius)
Uspostavljanje VPN teče u III faze
Uspostavljanje VPN
I faza - Konekcija (uspostava veze)
•Fizičko povezivanje udaljenih klijenata
•Odabir šifrovanja i protokola
II faza - Autentifikacija (provera autentičnosti)
•Provera ko smo mi. Korisničko ime/Lozinka, validan sertifikat
III faza - Autorizacija (provera ovlašćenja)
•Čemu možemo pristupiti
•IP filteri
•NTFS privilegije
Uspostavljanje VPN
Trenutno su u upotrebi dve tehnologije:
Remote Access VPN
Site-to-site VPN
Uspostavljanje VPN
Ova tehnologija pruža visoko bezbedan, prilagodljiv daljinski pristup bilo kome, bilo kada, sa skoro bilo kog uređaja koji ima pristup Internetu.
Infrastruktura se sastoji od VPN servera koji može biti:
•Ruter
•Softverski firewall
•Firewall uređaj
I klijenta sa druge strane koji putem Interneta sa bilo koje tačke može ostvariti daljinski pristup.
Network Address Translation
Protokol koji omogućava velikom broju računara u lokalnoj mreži da se povežu na NAT uređaj i na taj način ostvare pristup internetu putem jedne adrese. (veza između LAN-a i WAN-a)
Osmišljen je sa idejom da se bolje upravlja IPv4 adresama, ali sa IPv6 nije obavezno korišćenje.
NAT uređaji:
•ADSL modemi
•Kablovski modemi
•Ruteri
Internet Connection Sharing
Deljenje pristupa internetu putem jednog računara u mreži.
Stalna potreba da računar koji je direktno povezan na internet bude upaljen.
Dodatni problemi sa povezivanjem
bežičnih uređaja.
Remote Access Service
Korisnicima su u ponudi dva tipa usluge:
Dial Up pristup – Klijent pristupa RAS serveru putem Dial Up veze
VPN pristup – Tokom godina je u potpunosti zamenio Dial Up
VPN Protocols
PPTP (Point-to-Point Tunneling Protocol)
•Razvijen od strane Microsoft-a
•Podržava ga najveći broj Microsoft-ovih operativnih sistema
•Podržava samo TCP/IP transportni protokol
•TCP port 1723
VPN Protocols
L2TP (Layer 2 Tunneling Protocol)
•Standardizovan i podržan od strane velikog broja OS-a
•Podržava više protokola, ne samo TCP/IP
•Može koristiti IPsec za šifrovanje (zahteva sertifikat)
•Nije podržan od strane starijih operativnih sistema
•TCP port 1701 i UDP port 500
•IPv6 podrška
•Podrška za autentifikaciju sertifikatima od lokalnih CA
VPN Protocols
SSTP (Secure SocketTunneling Protocol)
•Koristi SSL za šifrovanje
•TCP/UDP port 443
•Bolja podrška od strane firewall uređaja (otvoren port)
•Podrška za autentifikaciju sertifikatima od lokalnih CA
•Uspostava veze samo za klijente (ne podržava site-to-site)
•Uveden u upotrebu od Windows Server 2008
•Nije podržan od strane starijih operativnih sistema (XP Sp3)
Network Policy Server
•Kreiranje pravila za pristupanje našoj mreži
•Prethodno poznato pod imenom Remote Access Policy Profiles
•Obezbeđuje podešavanja za utvrđivanje autentičnosti
•Obezbeđuje podešavanja za utvrđivanje ovlašćenja
Remote Authentication Dial In User Service
AAA - Omogućava centralizovano:
•Upravljanje nalozima (Accounting)
•Proveravanje autentičnosti (Authentication)
•Proveravanje ovlašćenja (Authorization)
Smart cards
Security tokens
VPN Server - Ruter
Zamenom fabričkog Firmware-a sa kastomiziranim dd-wrtFirmware-om pruža se mogućnost da jeftini nekomercijalni ruterpostane VPN server.
VPN Server - Ruter
Dodavanjem „role“ Windows Server 2008 R2 OS-u, on postajeVPN Server koji može koristiti PPTP, L2TP i SSTP protokole.
VPN Server - Ruter
Pregled logovanih korisnika i protokola/porta koji je u upotrebi.Portovi PPTP-1723, L2TP(IPsec)-1701, SSTP-443, GRE 47
VPN tunel - MS TMG
• Korisnički interfejs MS TMG2010 (MS ISA2004-2006) za kreiranje VPN
tunela.
Podešavanje VPN tunela preko L2TP protokola.
– Određivanje mrežnog opsega mreže destinacije
– Određivanje javne adrese, korisničkog imena (domena) i lozinke udaljenog TMG servera
– Određivanje protokola koji će se koristiti i unos Pre-shared key-a za upotrebu IPsec-a
VPN tunel - MS TMG
Virtualne privatne mreže
VPN obezbeđuju visok nivo bezbednosti i zaštitu od neovlašćenog pristupa/napada kroz šifrovanje i autentifikacione tehnologije koje štite podatke.
Korišćenje već postojećih infrastrukturnih kapaciteta
Poboljšanje produktivnosti proširenjem korporativne mreže i većom dostupnošću aplikacija
Smanjenje troškova komunikacije uz povećanje fleksibilnosti