Virtual Private Network - the Netgroup at Politecnico di Torino

Transcript

VPN
Virtual Private Network
Mario Baldi
Synchrodyne Networks, Inc.
[email protected]
VPN - 1
© M. Baldi: si veda pagina 2
Nota di Copyright
Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle
leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo
ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni
immagine, fotografia, animazione, video, audio, musica e testo) sono di
proprietà degli autori indicati a pag. 1.
Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le
riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in
toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a
priori, da parte degli autori.
L’informazione contenuta in queste slide è ritenuta essere accurata alla
data della redazione. Essa è fornita per scopi meramente didattici e non
per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni
caso essa è soggetta a cambiamenti senza preavviso. Gli autori non
assumono alcuna responsabilità per il contenuto di queste slide (ivi
incluse, ma non limitatamente, la correttezza, completezza,
applicabilità, aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione
contenuta in queste slide.
In ogni caso questa nota di copyright non deve mai essere rimossa e
deve essere riportata anche in utilizzi parziali.
VPN - 2
Definizione
Virtual
rete privata
Virtual Private
Private Network
Network((rete
privata virtuale)
virtuale)
Connettività
Connettivitàper
pergli
gliutenti
utentisu
sudi
diuna
unainfrastruttura
infrastrutturapubblica
pubblica
imponendo
imponendole
lepolitiche
politichecome
comese
sesi
siusasse
usasseuna
unarete
reteprivata
privata

Infrastruttura condivisa
Rete

privata o pubblica
Per esempio quella di un Internet Service
Provider
IP
Frame Relay
Comunicazione
ATM
sicura
Internet

Politiche
Indirizzamento,
affidabilità, ecc.
VPN - 3
sicurezza, qualità del servizio,
Perchè VPN?
Le reti private sono basate su
Linee private affittate (CDN)
Soluzioni dial-up interurbane
Le VPN permettono di abbattere i costi di
queste soluzioni costose
VPN - 4
Classificazione

VPN di accesso
Accesso
remoto su una infrastruttura
condivisa
ISDN, PSTN, cable modem, DSL

Intranet VPN
Collega
filiali

sede aziendale principale, uffici remoti,
Extranet VPN
Collega
ad una rete aziendale clienti, fornitori,
partner, o comunità di interesse
VPN - 5
Fornitura di servizi VPN

Overlay Model
Serivizi
Svariati

(gestiti) basati su IPSec
tunnel altamente magliati
Ogni VPN gateway
deve “conoscere”
gli altri
Peer Model
Model
Overlay
Access L2TP, PPTP
Intranet IPSec
Rete
Extranet IPSec
MPLS
VPN gateway “conosce” solamente il
router di accesso del service povider
Peer
-MPLS
MPLS
Ogni

Scambio di informazioni di routing
La rete pubblica diffonde informazioni di routing
La
rete pubblica inoltra il traffico tra i gateway
della stessa VPN
VPN - 6
Tassonomia di tecnologie per VPN
VPN
VPN
Overlay
OverlayModel
Model
Peer
PeerModel
Model
Layer
Layer22
VPN
VPN
Layer
Layer33
VPN
VPN
Dedicated
Dedicated
Router
Router
Frame
Frame ATM MPLS
ATM MPLS
Relay
Relay
PPTP
PPTP IPsec
IPsec
L2TP
L2TP
MPLS
MPLS
BGP
BGP
Shared
Shared
Router
Router
VR
VR
CPE Based
Provider Provisioned
VPN - 7
Tunneling

A e B sono indirizzi aziendali

Il tunneling rende possibile il funzionamento
Il tunneling di per se non garantisce sicurezza
Non

devono essere pubblici
A
B
Corporate
Network
Internet
Corporate
Network
Tunnel
VPN gateway X
VPN gateway Y
IP
IPHeader
Header IP
IPHeader
Header
from
fromXXtotoYY
VPN - 8
from
fromAAtotoBB
Payload
Payload
VPN di accesso: due modalità
operative
VPN - 9
VPN di accesso
1.
2.
3.
4.
5.
6.
7.
8.
Remote user initiates PPP connection with
NAS that accepts the call
NAS identifies remote user
NAS initiates L2TP or PPTP tunnel to desired
corporate gateway (access server)
Corporare gateway authenticates remote
user according to corporate security policy
Corporate gateway confirms acceptance of
tunnel
NAS logs acceptance and/or traffic (optional)
Corporate gateway performs PPP
negotiations with remote users (e.g.,
IPaddress assignment)
End-to-end data tunneled between user and
corporate gateway
VPN - 10
Protocolli per VPN di accesso

L2TP (Layer 2 Tunneling Protocol)
Non
è largamente implementato
dal protocollo di livello 2
Sicurezza basata su IPsec
Indipendente

Robusta
PPTP (Point-to-Point Tunneling Protocol)
Microsoft,

Apple, …
Integrato nel dial-up networking
Multiprotocollo
Autenticazione
Gestione
e cifratura deboli
delle chiavi proprietaria
VPN - 11
Vantaggi del Virtual Dial-Up

Autenticazione e sicurezza
Fatte
dal VPN Gateway
e informazioni della rete aziendale
Cifratura basata su IPsec
Politiche

Autorizzazione
Fatta
dal VPN Gateway
e informazioni della rete aziendale
Politiche

Allocazione degli indirizzi
Indirizzi
aziendali sono allocati dinamicamente
tipo di accesso di quando si è collegati
direttamente
Stesso
VPN - 12
VPN basate su IPsec

Tunnel IPsec tra VPN gateway
Cifratura
Autenticazione
Imbustamento
A
B
Internet
Corporate
Network
Tunnel
Corporate
Network
VPN (IPsec) gateway X
VPN (IPsec) gateway Y
VPN - 13
VPN Gateway and Firewall

Inside
No
inspection of VPN traffic
gateway protected by firewall
VPN

Parallel

Outside
Potential
VPN
uncontrolled access
gateway protected by access router
policy
Consistent

Integrated
Maximum
VPN Gateway
Encrypted
flexibility traffic
Decrypted traffic
Internet
Public
Intranet
Private
Intranet
Firewall
VPN - 14
VPN Gateway and NAT

Authentication Header (AH)

IP addresses are part of AH checksum
calculation → packets discarded
Transport mode
IP
address of IPSec tunnel peer is not what
expected → packets discarded

No PAT (Protocol Address Translation)
Tunnel mode
IP
address within secure packet can be
changed before entering the gateway

E.g., same addresses in two different VPN sites
Most
often NAT is not needed on external
packet
VPN - 15
VPN Gateway and IDS

IDS is usually outside the firewall
No control on VPN traffic
Multiple IDS probes
Outside
Inside
firewall
VPN gateway
VPN Gateway
Firewall
Internet
Access
router
Private
Intranet
Public
Intranet
IDS probe
VPN - 16
IDS probe
VPN peer basate su IP

Dedicated router
Il
service provider realizza una rete di router
dedicati ad un cliente
Utilizzabile solo per grossi clienti

Shared/virtual router
Il
provider crea istanze di router dedicati ad un
cliente all’interno dei router fisici
Router di fascia alta permettono di avere
centinaia di router virtuali

Tabella di routing e protocolli di routing per
istanza
Supporto nel sistema operativo e tramite ASIC
Comunicazione
VPN - 17
tramite tunnel IPsec o GRE
VPN MPLS di livello 2: PWE3

Pseudo Wire Emulation End-to-End
Vari servizi sulla stessa rete:
IP,
ma anche leased lines, frame relay, ATM,
Ethernet

Customer edge (CE) device offre interfaccia di
servizio nativa
Il traffico è trasportato su un LSP tra i CE
Due etichette
Esterna

- usata per il routing nella rete
Identifica il punto di accesso alla rete
Interna
- multiplexing di vari utenti collegati al
punto di accesso
VPN - 18
VPN MPLS di livello 2: PWE3

Ci possono essere apparati interni alla rete
Per
esempio uno switch ATM all’interno della
rete del service provider su cui sono attestati
LSP

Prevalentemente instaurazione manuale di
LSP
Proposte per uso di LDP e BGP
VPN - 19
VPN MPLS di livello 3

Soluzioni provider provisioned
Politiche
della VPN realizzate dal service
provider
Non serve esperienza da parte del clienti

Scalabilità

Due alternative
Utilizzo
su larga scala
RFC2547bis

Virtual

(BGP)
Inizialmente spinto da Cisco
Approccio attualmente più utilizzato
router
Inizialmente spinto da Nortel e Lucent
VPN - 20
Componenti della soluzione
MPLS/BGP

VRF (VPN Routing and Forwarding) table
Associata
ad una o più porte
per l’inoltro dei pacchetti ricevuti
da tali porte
Informazioni
VRF
Corporate
Network
Provider
(P) Router
Corporate
Network
Customer
Edge (CE)
Router
Corporate
Network
VPN - 21
Provider Network
Provider Edge (PE) Router
Corporate
Network
Piano di controllo

Routing exchange at edges
Route filtering
PE
routers determine which routes to install in
VRF

Support for overlapping address spaces
VPN-IPv4

Address family
Route Distinguisher + IPv4 address
Route
Route
Distinguisher
Distinguisher
VPN - 22
IP
IPAddress
Address
MPLS VPN Components
CE router creates adjacency with PE router
It advertises its destinations
It receives advertisements of other VPN
destinations
Static routing, or
IGP (Interior Gateway Protocol)
(e.g.,

OSPF, RIP)
E-BGP (Exterior-Border Gateway Protocol)
PE router does not keep routes for all VPNs
VPN - 23
MPLS VPN Components

PE routers
Exchange

routing information
I-BGP (Interior-Border Gateway Protocol)
Are
ingress and egress LSR (Label Switch
Router) for the backbone

P routers have routes to PE routers only
Corporate
Network
Provider
(P) Router
Corporate
Network
Provider
Edge (PE)
Router
Corporate
Network
VPN - 24
Customer
Edge (CE)
Router
Provider Network
Corporate
Network
Piano di controllo

Creazione di LSP attraverso la dorsale
I-BGP
porta informazioni sulle etichette
(Label Distribution Protocol) e/o
RSVP (Resource reSerVation Protocol)
Maglia di LSP tra i router PE della stessa VPN
LDP
Corporate
Network
VFR
LSP
(Label Switched Path)
Corporate
Network
Customer
Edge (CE)
Router
Provider Network
Corporate
Network
Corporate
Network
Provider Edge (PE) Router
VPN - 25
Packet Routing

Packet from 10.2.3.4 to 10.1.3.8
Default gateway → PE2 router
VFR
10.1.3.8
CE1
10.2/16
PE1
LSP (L2)
CE2
Provider Network
10.1/16
PE2
VPN - 26
10.2.3.4
Packet Routing

PE2 looks-up VRF
MPLS
label advertised by PE1 for 10.1/16: L1
next hop (PE1)
Outgoing interface for LSP to PE1
Initial label for LSP from PE2 to PE1: L2
BGP
VFR
10.1.3.8
CE1
10.2/16
PE1
LSP (L2)
CE2
Provider Network
10.1/16
VPN - 27
PE2
10.2.3.4
Packet Routing

PE2 pushes L1 and L2 on label stack
P routers forward packet to PE1 using L2
Last hop before PE1 pops L2
PE1 receives packet with L1
PE1
pops L1: plain IP packet
uses L1 to route packet to proper output
interface
PE1
CE1
PE1
IP Payload
L1
IP
loa
Pa y
d
LSP (L2)
L2/L1 IP Payload
PE2
VPN - 28
Vantaggi

Non ci sono vincoli sul piano di indirizzamento

I router CE non scambiano informazioni di
routing tra di loro
Il cliente non deve gestire la dorsale
Il gestore non ha una dorsale per ogni cliente
La VPN può essere definita attraverso le reti di
vari provider
Sicurezza equivalente a quella di Frame relay o
ATM
Unicità

degli indirizzi solo all’interno della VPN
Isolamento
No

del traffico
cifratura (confidenzialità)
Supporto di QoS (qualità di servizio) mediante
gli experimental bit di MPLS
VPN - 29
Supporto Multi-Protocol

Access VPN
Trasparente

L2TP e PPTP
Overlay (basato IPsec)
Generic

Peer (basate su MPLS)
Insito
VPN - 30
Routing Encapsulation (GRE)
Trasporto di qualsiasi protocolo all’interno di IP
in MPLS (Multi-Protocol Label Switching)
Riferimenti bibliografici

VPN - 31
E. Rosen and Y. Rekhter, “BGP/MPLS VPNs,”
RFC 2547, March 1999.
E. Rosen et al., “BGP/MPLS VPNs,” <draftrosen-rfc2547bis-02.txt>, July 2000.
C. Semeria, “RFC 2547bis: BGP/MPLS VPN
Fundamentals,” Juniper Networks, White
paper 200012-001, March 2001.
IETF MPLS Working Group,
http://www.ietf.org/html.charters/mplscharter.html
Riferimenti bibliografici

VPN - 32
Hanks, S., Editor, "Generic Routing
Encapsulation over IPv4", RFC 1702, October
1994.
Brian Browne, “Best Practices For VPN
Implementation,”Business Communication
Review, March 2001.
http://www.ietf.org/html.charters/l2vpncharter.html
http://www.ietf.org/html.charters/l3vpncharter.html