Virtual Private Network - the Netgroup at Politecnico di Torino
Transcript
Virtual Private Network - the Netgroup at Politecnico di Torino
VPN Virtual Private Network Mario Baldi Synchrodyne Networks, Inc. [email protected] VPN - 1 © M. Baldi: si veda pagina 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L’informazione contenuta in queste slide è ritenuta essere accurata alla data della redazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. VPN - 2 © M. Baldi: si veda pagina 2 Definizione Virtual rete privata Virtual Private Private Network Network((rete privata virtuale) virtuale) Connettività Connettivitàper pergli gliutenti utentisu sudi diuna unainfrastruttura infrastrutturapubblica pubblica imponendo imponendole lepolitiche politichecome comese sesi siusasse usasseuna unarete reteprivata privata Infrastruttura condivisa Rete privata o pubblica Per esempio quella di un Internet Service Provider IP Frame Relay Comunicazione ATM sicura Internet Politiche Indirizzamento, affidabilità, ecc. VPN - 3 sicurezza, qualità del servizio, © M. Baldi: si veda pagina 2 Perchè VPN? Le reti private sono basate su Linee private affittate (CDN) Soluzioni dial-up interurbane Le VPN permettono di abbattere i costi di queste soluzioni costose VPN - 4 © M. Baldi: si veda pagina 2 Classificazione VPN di accesso Accesso remoto su una infrastruttura condivisa ISDN, PSTN, cable modem, DSL Intranet VPN Collega filiali sede aziendale principale, uffici remoti, Extranet VPN Collega ad una rete aziendale clienti, fornitori, partner, o comunità di interesse VPN - 5 © M. Baldi: si veda pagina 2 Fornitura di servizi VPN Overlay Model Serivizi Svariati (gestiti) basati su IPSec tunnel altamente magliati Ogni VPN gateway deve “conoscere” gli altri Peer Model Model Overlay Access L2TP, PPTP Intranet IPSec Rete Extranet IPSec MPLS VPN gateway “conosce” solamente il router di accesso del service povider Peer -MPLS MPLS Ogni Scambio di informazioni di routing La rete pubblica diffonde informazioni di routing La rete pubblica inoltra il traffico tra i gateway della stessa VPN VPN - 6 © M. Baldi: si veda pagina 2 Tassonomia di tecnologie per VPN VPN VPN Overlay OverlayModel Model Peer PeerModel Model Layer Layer22 VPN VPN Layer Layer33 VPN VPN Dedicated Dedicated Router Router Frame Frame ATM MPLS ATM MPLS Relay Relay PPTP PPTP IPsec IPsec L2TP L2TP MPLS MPLS BGP BGP Shared Shared Router Router VR VR CPE Based Provider Provisioned VPN - 7 © M. Baldi: si veda pagina 2 Tunneling A e B sono indirizzi aziendali Il tunneling rende possibile il funzionamento Il tunneling di per se non garantisce sicurezza Non devono essere pubblici A B Corporate Network Internet Corporate Network Tunnel VPN gateway X VPN gateway Y IP IPHeader Header IP IPHeader Header from fromXXtotoYY VPN - 8 from fromAAtotoBB Payload Payload © M. Baldi: si veda pagina 2 VPN di accesso: due modalità operative VPN - 9 © M. Baldi: si veda pagina 2 VPN di accesso 1. 2. 3. 4. 5. 6. 7. 8. Remote user initiates PPP connection with NAS that accepts the call NAS identifies remote user NAS initiates L2TP or PPTP tunnel to desired corporate gateway (access server) Corporare gateway authenticates remote user according to corporate security policy Corporate gateway confirms acceptance of tunnel NAS logs acceptance and/or traffic (optional) Corporate gateway performs PPP negotiations with remote users (e.g., IPaddress assignment) End-to-end data tunneled between user and corporate gateway VPN - 10 © M. Baldi: si veda pagina 2 Protocolli per VPN di accesso L2TP (Layer 2 Tunneling Protocol) Non è largamente implementato dal protocollo di livello 2 Sicurezza basata su IPsec Indipendente Robusta PPTP (Point-to-Point Tunneling Protocol) Microsoft, Apple, … Integrato nel dial-up networking Multiprotocollo Autenticazione Gestione e cifratura deboli delle chiavi proprietaria VPN - 11 © M. Baldi: si veda pagina 2 Vantaggi del Virtual Dial-Up Autenticazione e sicurezza Fatte dal VPN Gateway e informazioni della rete aziendale Cifratura basata su IPsec Politiche Autorizzazione Fatta dal VPN Gateway e informazioni della rete aziendale Politiche Allocazione degli indirizzi Indirizzi aziendali sono allocati dinamicamente tipo di accesso di quando si è collegati direttamente Stesso VPN - 12 © M. Baldi: si veda pagina 2 VPN basate su IPsec Tunnel IPsec tra VPN gateway Cifratura Autenticazione Imbustamento A B Internet Corporate Network Tunnel Corporate Network VPN (IPsec) gateway X VPN (IPsec) gateway Y VPN - 13 © M. Baldi: si veda pagina 2 VPN Gateway and Firewall Inside No inspection of VPN traffic gateway protected by firewall VPN Parallel Outside Potential VPN uncontrolled access gateway protected by access router policy Consistent Integrated Maximum VPN Gateway Encrypted flexibility traffic Decrypted traffic Internet Public Intranet Private Intranet Firewall VPN - 14 © M. Baldi: si veda pagina 2 VPN Gateway and NAT Authentication Header (AH) IP addresses are part of AH checksum calculation → packets discarded Transport mode IP address of IPSec tunnel peer is not what expected → packets discarded No PAT (Protocol Address Translation) Tunnel mode IP address within secure packet can be changed before entering the gateway E.g., same addresses in two different VPN sites Most often NAT is not needed on external packet VPN - 15 © M. Baldi: si veda pagina 2 VPN Gateway and IDS IDS is usually outside the firewall No control on VPN traffic Multiple IDS probes Outside Inside firewall VPN gateway VPN Gateway Firewall Internet Access router Private Intranet Public Intranet IDS probe VPN - 16 IDS probe © M. Baldi: si veda pagina 2 VPN peer basate su IP Dedicated router Il service provider realizza una rete di router dedicati ad un cliente Utilizzabile solo per grossi clienti Shared/virtual router Il provider crea istanze di router dedicati ad un cliente all’interno dei router fisici Router di fascia alta permettono di avere centinaia di router virtuali Tabella di routing e protocolli di routing per istanza Supporto nel sistema operativo e tramite ASIC Comunicazione VPN - 17 tramite tunnel IPsec o GRE © M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3 Pseudo Wire Emulation End-to-End Vari servizi sulla stessa rete: IP, ma anche leased lines, frame relay, ATM, Ethernet Customer edge (CE) device offre interfaccia di servizio nativa Il traffico è trasportato su un LSP tra i CE Due etichette Esterna - usata per il routing nella rete Identifica il punto di accesso alla rete Interna - multiplexing di vari utenti collegati al punto di accesso VPN - 18 © M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3 Ci possono essere apparati interni alla rete Per esempio uno switch ATM all’interno della rete del service provider su cui sono attestati LSP Prevalentemente instaurazione manuale di LSP Proposte per uso di LDP e BGP VPN - 19 © M. Baldi: si veda pagina 2 VPN MPLS di livello 3 Soluzioni provider provisioned Politiche della VPN realizzate dal service provider Non serve esperienza da parte del clienti Scalabilità Due alternative Utilizzo su larga scala RFC2547bis Virtual (BGP) Inizialmente spinto da Cisco Approccio attualmente più utilizzato router Inizialmente spinto da Nortel e Lucent VPN - 20 © M. Baldi: si veda pagina 2 Componenti della soluzione MPLS/BGP VRF (VPN Routing and Forwarding) table Associata ad una o più porte per l’inoltro dei pacchetti ricevuti da tali porte Informazioni VRF Corporate Network Provider (P) Router Corporate Network Customer Edge (CE) Router Corporate Network VPN - 21 Provider Network Provider Edge (PE) Router © M. Baldi: si veda pagina 2 Corporate Network Piano di controllo Routing exchange at edges Route filtering PE routers determine which routes to install in VRF Support for overlapping address spaces VPN-IPv4 Address family Route Distinguisher + IPv4 address Route Route Distinguisher Distinguisher VPN - 22 IP IPAddress Address © M. Baldi: si veda pagina 2 MPLS VPN Components CE router creates adjacency with PE router It advertises its destinations It receives advertisements of other VPN destinations Static routing, or IGP (Interior Gateway Protocol) (e.g., OSPF, RIP) E-BGP (Exterior-Border Gateway Protocol) PE router does not keep routes for all VPNs VPN - 23 © M. Baldi: si veda pagina 2 MPLS VPN Components PE routers Exchange routing information I-BGP (Interior-Border Gateway Protocol) Are ingress and egress LSR (Label Switch Router) for the backbone P routers have routes to PE routers only Corporate Network Provider (P) Router Corporate Network Provider Edge (PE) Router Corporate Network VPN - 24 Customer Edge (CE) Router Provider Network © M. Baldi: si veda pagina 2 Corporate Network Piano di controllo Creazione di LSP attraverso la dorsale I-BGP porta informazioni sulle etichette (Label Distribution Protocol) e/o RSVP (Resource reSerVation Protocol) Maglia di LSP tra i router PE della stessa VPN LDP Corporate Network VFR LSP (Label Switched Path) Corporate Network Customer Edge (CE) Router Provider Network Corporate Network Corporate Network Provider Edge (PE) Router VPN - 25 © M. Baldi: si veda pagina 2 Packet Routing Packet from 10.2.3.4 to 10.1.3.8 Default gateway → PE2 router VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider Network 10.1/16 PE2 VPN - 26 10.2.3.4 © M. Baldi: si veda pagina 2 Packet Routing PE2 looks-up VRF MPLS label advertised by PE1 for 10.1/16: L1 next hop (PE1) Outgoing interface for LSP to PE1 Initial label for LSP from PE2 to PE1: L2 BGP VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider Network 10.1/16 VPN - 27 PE2 © M. Baldi: si veda pagina 2 10.2.3.4 Packet Routing PE2 pushes L1 and L2 on label stack P routers forward packet to PE1 using L2 Last hop before PE1 pops L2 PE1 receives packet with L1 PE1 pops L1: plain IP packet uses L1 to route packet to proper output interface PE1 CE1 PE1 IP Payload L1 IP loa Pa y d LSP (L2) L2/L1 IP Payload PE2 VPN - 28 © M. Baldi: si veda pagina 2 Vantaggi Non ci sono vincoli sul piano di indirizzamento I router CE non scambiano informazioni di routing tra di loro Il cliente non deve gestire la dorsale Il gestore non ha una dorsale per ogni cliente La VPN può essere definita attraverso le reti di vari provider Sicurezza equivalente a quella di Frame relay o ATM Unicità degli indirizzi solo all’interno della VPN Isolamento No del traffico cifratura (confidenzialità) Supporto di QoS (qualità di servizio) mediante gli experimental bit di MPLS VPN - 29 © M. Baldi: si veda pagina 2 Supporto Multi-Protocol Access VPN Trasparente L2TP e PPTP Overlay (basato IPsec) Generic Peer (basate su MPLS) Insito VPN - 30 Routing Encapsulation (GRE) Trasporto di qualsiasi protocolo all’interno di IP in MPLS (Multi-Protocol Label Switching) © M. Baldi: si veda pagina 2 Riferimenti bibliografici VPN - 31 E. Rosen and Y. Rekhter, “BGP/MPLS VPNs,” RFC 2547, March 1999. E. Rosen et al., “BGP/MPLS VPNs,” <draftrosen-rfc2547bis-02.txt>, July 2000. C. Semeria, “RFC 2547bis: BGP/MPLS VPN Fundamentals,” Juniper Networks, White paper 200012-001, March 2001. IETF MPLS Working Group, http://www.ietf.org/html.charters/mplscharter.html © M. Baldi: si veda pagina 2 Riferimenti bibliografici VPN - 32 Hanks, S., Editor, "Generic Routing Encapsulation over IPv4", RFC 1702, October 1994. Brian Browne, “Best Practices For VPN Implementation,”Business Communication Review, March 2001. http://www.ietf.org/html.charters/l2vpncharter.html http://www.ietf.org/html.charters/l3vpncharter.html © M. Baldi: si veda pagina 2