Italiano - Studio Reti
Transcript
Italiano - Studio Reti
VPN Virtual Private Network Mario Baldi Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com VPN - 1 © M. Baldi: si veda pagina 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L’informazione contenuta in queste slide è ritenuta essere accurata alla data della redazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. VPN - 2 © M. Baldi: si veda pagina 2 Definizione Virtual rete privata VirtualPrivate PrivateNetwork Network ((rete privatavirtuale) virtuale) Connettività Connettivitàper pergli gliutenti utentisu sudi diuna unainfrastruttura infrastrutturapubblica pubblica imponendo imponendole lepolitiche politichecome comese sesi siusasse usasseuna unarete reteprivata privata Infrastruttura condivisa Rete privata o pubblica Per esempio quella di un Internet Service Provider IP Frame Relay Comunicazione ATM sicura Internet Politiche Indirizzamento, affidabilità, ecc. VPN - 3 sicurezza, qualità del servizio, © M. Baldi: si veda pagina 2 Perchè VPN? Le reti private sono basate su Linee private affittate (CDN) Soluzioni dial-up interurbane Le VPN permettono di abbattere i costi di queste soluzioni costose VPN - 4 © M. Baldi: si veda pagina 2 Classificazione VPN di accesso Accesso remoto su una infrastruttura condivisa ISDN, PSTN, cable modem, DSL Intranet VPN Collega filiali sede aziendale principale, uffici remoti, Extranet VPN Collega ad una rete aziendale clienti, fornitori, partner, o comunità di interesse VPN - 5 © M. Baldi: si veda pagina 2 Fornitura di servizi VPN Overlay Model Serivizi (gestiti) basati su IPSec Svariati tunnel altamente magliati Ogni VPN gateway deve “conoscere” gli altri Peer Model Model Overlay Access L2TP, PPTP Intranet IPSec Rete Extranet IPSec MPLS Ogni VPN gateway “conosce” solamente il router di accesso del service povider Peer -MPLS MPLS Scambio di informazioni di routing La rete pubblica diffonde informazioni di routing La rete pubblica inoltra il traffico tra i gateway della stessa VPN VPN - 6 © M. Baldi: si veda pagina 2 Tassonomia di tecnologie per VPN VPN VPN Overlay OverlayModel Model Peer PeerModel Model Layer Layer22 VPN VPN Layer Layer33 VPN VPN Dedicated Dedicated Router Router Frame Frame ATM MPLS ATM MPLS Relay Relay PPTP PPTP IPsec IPsec L2TP L2TP BGP BGP CPE Based Provider Provisioned VPN - 7 MPLS MPLS © M. Baldi: si veda pagina 2 Shared Shared Router Router VR VR Tunneling A e B sono indirizzi aziendali Non devono essere pubblici Il tunneling rende possibile il funzionamento Il tunneling di per se non garantisce sicurezza A B Corporate Network Internet Corporate Network Tunnel VPN gateway X VPN gateway Y IP IPHeader Header IP IPHeader Header from fromXXto toYY VPN - 8 from fromAAto toBB Payload Payload © M. Baldi: si veda pagina 2 VPN di accesso: due modalità operative VPN - 9 © M. Baldi: si veda pagina 2 VPN di accesso 1. 2. 3. 4. 5. 6. 7. 8. VPN - 10 Remote user initiates PPP connection with NAS that accepts the call NAS identifies remote user NAS initiates L2TP or PPTP tunnel to desired corporate gateway (access server) Corporare gateway authenticates remote user according to corporate security policy Corporate gateway confirms acceptance of tunnel NAS logs acceptance and/or traffic (optional) Corporate gateway performs PPP negotiations with remote users (e.g., IPaddress assignment) End-to-end data tunneled between user and corporate gateway © M. Baldi: si veda pagina 2 Protocolli per VPN di accesso L2TP (Layer 2 Tunneling Protocol) Non è largamente implementato Indipendente dal protocollo di livello 2 Sicurezza basata su IPsec Robusta PPTP (Point-to-Point Tunneling Protocol) Microsoft, Apple, … Integrato nel dial-up networking Multiprotocollo Autenticazione e cifratura deboli Gestione delle chiavi proprietaria VPN - 11 © M. Baldi: si veda pagina 2 Vantaggi del Virtual Dial-Up Autenticazione e sicurezza Fatte dal VPN Gateway Politiche e informazioni della rete aziendale Cifratura basata su IPsec Autorizzazione Fatta dal VPN Gateway Politiche e informazioni della rete aziendale Allocazione degli indirizzi Indirizzi aziendali sono allocati dinamicamente Stesso tipo di accesso di quando si è collegati direttamente VPN - 12 © M. Baldi: si veda pagina 2 VPN basate su IPsec Tunnel IPsec tra VPN gateway Cifratura Autenticazione Imbustamento A Corporate Network B Internet Tunnel VPN (IPsec) gateway X VPN (IPsec) gateway Y VPN - 13 © M. Baldi: si veda pagina 2 Corporate Network VPN Gateway and Firewall Inside No inspection of VPN traffic VPN gateway protected by firewall Parallel Potential uncontrolled access Outside VPN gateway protected by access router Consistent policy Integrated Maximum VPN Gateway Encrypted flexibility traffic Decrypted traffic Internet Public Intranet Firewall VPN - 14 © M. Baldi: si veda pagina 2 Private Intranet VPN Gateway and NAT Authentication Header (AH) IP addresses are part of AH checksum calculation → packets discarded Transport mode IP address of IPSec tunnel peer is not what expected → packets discarded No PAT (Protocol Address Translation) Tunnel mode IP address within secure packet can be changed before entering the gateway E.g., same addresses in two different VPN sites Most often NAT is not needed on external packet VPN - 15 © M. Baldi: si veda pagina 2 VPN Gateway and IDS IDS is usually outside the firewall No control on VPN traffic Multiple IDS probes Outside firewall Inside VPN gateway VPN Gateway Firewall Internet Access router Public Intranet IDS probe VPN - 16 Private Intranet IDS probe © M. Baldi: si veda pagina 2 VPN peer basate su IP Dedicated router Il service provider realizza una rete di router dedicati ad un cliente Utilizzabile solo per grossi clienti Shared/virtual router Il provider crea istanze di router dedicati ad un cliente all’interno dei router fisici Router di fascia alta permettono di avere centinaia di router virtuali Tabella di routing e protocolli di routing per istanza Supporto nel sistema operativo e tramite ASIC Comunicazione VPN - 17 tramite tunnel IPsec o GRE © M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3 Pseudo Wire Emulation End-to-End Vari servizi sulla stessa rete: IP, ma anche leased lines, frame relay, ATM, Ethernet Customer edge (CE) device offre interfaccia di servizio nativa Il traffico è trasportato su un LSP tra i CE Due etichette Esterna - usata per il routing nella rete Identifica il punto di accesso alla rete Interna - multiplexing di vari utenti collegati al punto di accesso VPN - 18 © M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3 Ci possono essere apparati interni alla rete Per esempio uno switch ATM all’interno della rete del service provider su cui sono attestati LSP Prevalentemente instaurazione manuale di LSP Proposte per uso di LDP e BGP VPN - 19 © M. Baldi: si veda pagina 2 VPN MPLS di livello 3 Soluzioni provider provisioned Politiche della VPN realizzate dal service provider Non serve esperienza da parte del clienti Scalabilità Utilizzo su larga scala Due alternative RFC2547bis Inizialmente spinto da Cisco Approccio attualmente più utilizzato Virtual VPN - 20 (BGP) router Inizialmente spinto da Nortel e Lucent © M. Baldi: si veda pagina 2 Componenti della soluzione MPLS/BGP VRF (VPN Routing and Forwarding) table Associata ad una o più porte Informazioni per l’inoltro dei pacchetti ricevuti da tali porte VRF Corporate Network Provider (P) Router Corporate Network Customer Edge (CE) Router Corporate Network VPN - 21 Provider Network Provider Edge (PE) Router © M. Baldi: si veda pagina 2 Corporate Network Piano di controllo Routing exchange at edges Route filtering PE routers determine which routes to install in VRF Support for overlapping address spaces VPN-IPv4 Address family Route Distinguisher + IPv4 address Route Route Distinguisher Distinguisher VPN - 22 IP IPAddress Address © M. Baldi: si veda pagina 2 MPLS VPN Components CE router creates adjacency with PE router It advertises its destinations It receives advertisements of other VPN destinations Static routing, or IGP (Interior Gateway Protocol) (e.g., OSPF, RIP) E-BGP (Exterior-Border Gateway Protocol) PE router does not keep routes for all VPNs VPN - 23 © M. Baldi: si veda pagina 2 MPLS VPN Components PE routers Exchange routing information I-BGP (Interior-Border Gateway Protocol) Are ingress and egress LSR (Label Switch Router) for the backbone P routers have routes to PE routers only Corporate Network Provider (P) Router Corporate Network Provider Edge (PE) Router Corporate Network VPN - 24 Customer Edge (CE) Router Provider Network © M. Baldi: si veda pagina 2 Corporate Network Piano di controllo Creazione di LSP attraverso la dorsale I-BGP porta informazioni sulle etichette LDP (Label Distribution Protocol) e/o RSVP (Resource reSerVation Protocol) Maglia di LSP tra i router PE della stessa VPN Corporate Network VFR LSP (Label Switched Path) Corporate Network Customer Edge (CE) Router Corporate Network VPN - 25 Provider Network Provider Edge (PE) Router © M. Baldi: si veda pagina 2 Corporate Network Packet Routing Packet from 10.2.3.4 to 10.1.3.8 Default gateway → PE2 router VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider Network 10.1/16 VPN - 26 PE2 © M. Baldi: si veda pagina 2 10.2.3.4 Packet Routing PE2 looks-up VRF MPLS label advertised by PE1 for 10.1/16: L1 BGP next hop (PE1) Outgoing interface for LSP to PE1 Initial label for LSP from PE2 to PE1: L2 VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider Network 10.1/16 VPN - 27 PE2 © M. Baldi: si veda pagina 2 10.2.3.4 Packet Routing PE2 pushes L1 and L2 on label stack P routers forward packet to PE1 using L2 Last hop before PE1 pops L2 PE1 receives packet with L1 PE1 pops L1: plain IP packet PE1 uses L1 to route packet to proper output interface CE1 IP Payload VPN - 28 PE1 L1 IP ad o l Pay LSP (L2) L2/L1 IP Payload PE2 © M. Baldi: si veda pagina 2 Vantaggi Non ci sono vincoli sul piano di indirizzamento Unicità degli indirizzi solo all’interno della VPN I router CE non scambiano informazioni di routing tra di loro Il cliente non deve gestire la dorsale Il gestore non ha una dorsale per ogni cliente La VPN può essere definita attraverso le reti di vari provider Sicurezza equivalente a quella di Frame relay o ATM Isolamento del traffico No cifratura (confidenzialità) VPN - 29 Supporto di QoS (qualità di servizio) mediante gli experimental bit di MPLS © M. Baldi: si veda pagina 2 Supporto Multi-Protocol Access VPN Trasparente L2TP e PPTP Overlay (basato IPsec) Generic Trasporto di qualsiasi protocolo all’interno di IP Peer (basate su MPLS) Insito VPN - 30 Routing Encapsulation (GRE) in MPLS (Multi-Protocol Label Switching) © M. Baldi: si veda pagina 2 Riferimenti bibliografici E. Rosen and Y. Rekhter, “BGP/MPLS VPNs,” RFC 2547, March 1999. E. Rosen et al., “BGP/MPLS VPNs,” <draftrosen-rfc2547bis-02.txt>, July 2000. C. Semeria, “RFC 2547bis: BGP/MPLS VPN Fundamentals,” Juniper Networks, White paper 200012-001, March 2001. IETF MPLS Working Group, http://www.ietf.org/html.charters/mplscharter.html VPN - 31 © M. Baldi: si veda pagina 2 Riferimenti bibliografici Hanks, S., Editor, "Generic Routing Encapsulation over IPv4", RFC 1702, October 1994. Brian Browne, “Best Practices For VPN Implementation,”Business Communication Review, March 2001. http://www.ietf.org/html.charters/l2vpncharter.html http://www.ietf.org/html.charters/l3vpncharter.html VPN - 32 © M. Baldi: si veda pagina 2