Upload File

mreze virtuelno umrezavanja

14
SEMINARSKI RAD IZ RAČUNARSKIH MREŽA VIRTUELNO UMREŽAVANJE Predmetni nastavnik: Student: dr Miloš Ljubojević Radislav Čupić Predmetni asistent: Br. indeksa: INF 46/2014 mr Nikola Novaković Banja Luka, juni 2015.god.

Upload: kvaros1

Post on 17-Feb-2016

17 views

Category:

Documents


0 download

Report

DESCRIPTION

mreze - virtuelno umrezavanje

TRANSCRIPT

Page 1: mreze virtuelno umrezavanja

SEMINARSKI RAD IZ RAČUNARSKIH MREŽA

VIRTUELNO UMREŽAVANJE

Predmetni nastavnik: Student: dr Miloš Ljubojević Radislav Čupić Predmetni asistent: Br. indeksa: INF 46/2014 mr Nikola Novaković

Banja Luka, juni 2015.god.

Page 2: mreze virtuelno umrezavanja

2

SADRŽAJ

SADRŽAJ 2 1.UVOD 3 2.OPIS TEHNOLOGIJE 4 2.1PROTOKOLI 5 2.1.1 IPSec 5 2.1.2 PPTP (Point-to-Point Tunneling Protocol) 6 2.1.3 L2F (Layer 2 Forwarding) 7 2.1.4 L2TP (Layer 2 Tunneling Protocol) 7 2.2VRSTE VPN RJEŠENJA 8 3.PREDNOSTI I OGRANIČENJA 9 4.PRIMJER 9 5.ZAKLJUČAK 13 6.LITERATURA 14

Page 3: mreze virtuelno umrezavanja

3

1. UVOD

Potreba da se umreže raštrkane kancelarije i pogoni mnogih kompanija (često na više različitih lokacija, ponekad i gradova ili zemalja) dovela je do virtluelnih privatnih mreža (engl. Virtual Private Networks VPNs) koje se uspostavljaju preko javnih mreža, ali imaju svojstva slična svojstvima privatnih mreža. One nose atribut „virtuelne“ jer su samo apstrakcija, kao što ni virtuelna kola nisu prava kola, niti je virtuelna memorija prava memorija.

Ranije, prije nego što su se pojavile javne mreže za prenos podataka, kompanije su često iznajmljivale telefonske linije koje su povezivale samo neke ili sve njene lokacije. Neke kompanije još uvijek tako rade. Mreža sastavljena od računara kompanije i iznajmljenih telefonskih linija zove se privatna mreža. Na slici 1.(a) prikazana je privatnu mrežu koja povezuje tri lokacije.

Slika 1.(a) Privatna mreža sa iznajmljenim linijama, (b) Virtuelna privatna mreža

Privatne mreže rade vrlo dobro i bezbjedno, ako u njima postoje samo iznajmljene

linije, nikakav saobraćaj ne može da se probije izvan lokacija kompanije i uljez mora da se fizički zakači za liniju da bi provalio u mrežu, što nije lako. Problem kod privatnih mreža je cijena jer mesečna naknadna za iznajmljenu T liniju je izuzetno skupa. Kada su se pojavile javne mreže za prenos podataka, a kasnije i Internet, mnoge kompanije su svoj saobraćaj podataka preselile na javnu mrežu. Iako se VPN mreže mogu realizovati i preko ATM mreža, sve je popularnija težnja da se one izgrañuju direktno na Internetu. Uobičajeno je da se svaka kancelarija oprema zaštitnom barijerom i kancelarije povezuju peko Interneta tunelima, kao na slici 1(b). Ako se za prenos podataka tunelom koristi IPsec, tada se sav saobraćaj izmeñu para kancelarija može objediniti u šifrovanu SA vezu s provjerom identiteta, čime se postiže integritet, tajnost, čak i znatna otpornost na analizu saobraćaja. Kada se sistem uspostavi, svaki par zaštitnih barijera mora da dogovori parametre meñusobne SA veze, uključujući usluge, radne režime, algoritme i ključeve. Mnoge zaštitne barijere imaju ugrañene VPN mogućnosti, iako to mogu da rade i neki obični usmjerivači (router-i). Meñutim, pošto se zaštitne barijere uglavnom bave bezbjednošću, prirodno je da tuneli počinju i završavaju u njima, ostvarujući jasan prelaz izmeñu kompanije i Interneta. Na taj način, virtuelne privatne mreže i IPsec sa šemom ESP u tunelskom režimu rada predstavljaju prirodno sklopljenu kombinaciju koja se široko koristi u praksi. Kada se uspostavi SA veza, saobraćaj može da krene. Za usmjerivač na Internetu, paket koji putuje VPN tunelom predstavlja najobičniji paket. Od običnog paketa ga razlikuje jedino prisustvo IPsec zaglavlja iza IP zaglavlja, ali pošto dodatna zaglavlja ne utiču na proces prosleñivanja, usmjerivači o njima ne vode brigu.

Page 4: mreze virtuelno umrezavanja

4

Oiganizovanje VPN na opisani način ima tu ključnu prednost što je VPN mreža potpuno nevidljiva korisničkom softveru. Zaštitne barijere uspostavljaju SA veze i rade s njima. Jedina osoba koja zna da postoji takva organizacija je administrator sistema, koji treba da podesi i održava zaštitne barijere. Svakom drugom korisniku sve izgleda kao rad na iznajmljenoj telefonskoj liniji.

2. OPIS TEHNOLOGIJE Tehnologija Virtuelne lokalne mreže (eng. Virtual Local Area Networks - VLAN) omogućava logičko grupisanje korisnika, nezavisno od njihove fizičke (ili geografske) lokacije, u manje logičke cjeline, tzv. virtualne lokalne računarske mreže (VLAN). Ovakvim pristupom moguće je unutar jednog fizičkog LAN-a kreirati nekoliko manjih, meñusobno odvojenih virtuelnih LAN-ova, od kojih svaki zadržava svojstva klasične računarske mreže. Grupisanje korisnika moguće je realizirati prema različitim kriterijima kao što su MAC adrese mrežnih kartica, IP adrese, portovi switch ureñaja itd... Svaki virtuelni LAN predstavlja jednu broadcast domenu, a komunikaciju izmeñu pojedinih VLAN-ova moguće je kontrolisati. U preklapanim mrežama VLAN-ovi ostvaruju logičko segmentiranje i odvajanje i time dodatno povećavaju performanse i sigurnost mreže.

Virtualne privatne mreže (tzv. enkripcijski tuneli) omogućavaju sigurno spajanje dvije fizički odvojene mreže preko Interneta bez izlaganja podataka neautorizovanim korisnicima. Nakon što je jednom uspješno uspostavljena, virtuelna privatna mreža je zaštićena od neovlaštenih iskorištenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a omogućava udaljenim korisnicima na nezaštićenoj strani direktno adresiranje računara unutar lokalne mreže, što drugim korisnicima nije moguće zbog NAT-a i filtriranja paketa. Brzina kojom takvi udaljeni računari komuniciraju s lokalnim računarima mnogo je sporija od one koju računari u lokalnoj mreži koriste. Razlog tome je njihova fizička udaljenost i oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na firewall-u. i dekripcije originalnih podataka.

Kako bi udaljeni korisnici uspješno prošli fazu spajanja na lokalnu mrežu potrebno je uspješno obaviti autentifikaciju istih. Ta autentifikacija mora biti kriptovana u svrhu sprečavanja krañe podataka od strane napadača i iskorištenja istih. Za svaki udaljeni nadzor i udaljeni pristup preporučuje se korištenje IPsec ili SSH (eng. Secure Shell) protokola. Takoñe, svugdje gdje je moguće, preporučuje se korištenje IPsec tuneliranja umjesto IPsec transporta iz razloga što tuneliranje maskira odredišnu i izvorišnu IP adresu. Na slici 2. prikazene su neke od mogućnosti korišćenja VPN tehnologije.

Slika 2. Mogućnosti korišćenja VPN tehnologije

Page 5: mreze virtuelno umrezavanja

5

2.1 PROTOKOLI

Danas postoje razne tehnologije koje implementiraju tehniku tuneliranja. Najvažnije od njih su sljedeće:

• DLSW (engl. Data Link Switching) • GRE (engl. Generic Routing Encapsulation) • ATMP (engl. Ascend Tunnel Management Protocol) • Mobile IP – za mobilne korisnike • IPSec (engl. Internet Protocol Security Tunnel Mode) • PPTP (engl. Point-to-Point Tunneling Protocol) • L2F (engl. Layer 2 Forwarding) • L2TP (engl. Layer 2 Tunneling Protocol)

2.1.1 IPSec

IPSec je standard definisan od strane IETF-a, a cilj njegove izrade bio je siguran transport informacija preko javnih IP mreža. IPSec je protokol trećeg nivoa (engl. Layer 3), te u sebi sadržava nekoliko sigurnosnih tehnologija da bi osigurao tajnost, integritet i autentikaciju. IPSec implementira šifrovanje i autentikaciju u mrežnom sloju, osiguravajući tako sigurnu komunikaciju od početka do kraja unutar mrežne infrastrukture. IKE (engl. Internet Key Exchange) služi za odreñivanje sigurnosnih parametara i razmjenu ključnih informacija izmeñu entiteta koji sudjeluju u komunikaciji. Sigurnosni parametri definišu vezu izmeñu dvaju ili više entiteta, te definišu kako će ti entiteti koristiti sigurnosne servise u cilju uspostave meñusobne sigurne komunikacije. IPSec sam po sebi ne posjeduje mehanizam se odreñivanje takvih sigurnosnih parametara. IETF je odabrao IKE kao standardni metod za definisanje sigurnosnih parametara za potrebe IPSec-a. Pri tome se takoñer koristi IKMP (engl. Internet Key Management Protocol). IKE stvara autentični, sigurni tunel izmeñu dva entiteta, zatim definiše sigurnosne parametre potrebne za IPSec. Kroz taj proces dva entiteta se moraju meñusobno autentikovati i dogovoriti zajedničke ključeve. Prilikom rada IPSec koristi sljedeće protokole i standarde :

• Diffie-Hellman-ovu metodu razmjene ključeva za odreñivanje ključeva izmeñu dva entiteta, kriptografiju zasnovanu na javnim ključevima za digitalno potpisivanje, da bi se osigurao identitet obe strana u komunikaciji, te izbjegla mogućnost tzv. Man-in-the-midlle napada,

• DES ili 3DES standard za šifrovanje podataka, • HMAC (engl. Hashing Message Authentication) u sprezi sa MD5 i SHA

algoritmima, • digitalni sertifikati potpisani od strane odgovarajućeg autoriteta.

IPSec protokol definiše informacije koje se moraju dodati IP paketu da bi se osigurala tajnost, integritet i autentikacija, te način šifrovanja sadržaja paketa. Protokoli definisani u RFC 2406 (ESP – engl. Encapsulated Security Payload) i RFC 2402 (AH – engl. Authentication Header) dio su IPSec arhitekture. Autentikacijska zaglavlja (AH) se koriste za autentikaciju izvora i integritet bez upotrebe šifrovanja, dok ESP osigurava iste usluge, ali uz dodatak mehanizama za šifrovanje. Sigurnosni ključ poznaju samo primalac i pošiljalac, a ukoliko su autentikacijski podaci valjani primalac može biti siguran da je podatak stigao od pošiljaoca, te da nije promijenjen tokom prenosa. IPSec podržava dva načina rada; prenosni način rada (engl. transport mode) i tuneliranje (engl. tunnel mode). U prenosnom načinu rada šifruje se samo podatkovni dio IP paketa, dok IP zaglavlja ostaju u originalnom obliku. Aplikacijska zaglavlja su šifrovana, a mogućnost pregledanja paketa je ograničena. Prednost ovog načina rada je da se svakom paketu dodaje svega nekoliko okteta. U ovom načinu rada

Page 6: mreze virtuelno umrezavanja

6

ureñaji (usmjerivači) na javnoj mreži mogu vidjeti adrese izvora i odredišta poruka, što potencijalnom napadaču donekle omogućava odreñene mogućnosti analize saobraćaja. Osim ovog načina šifrovanja IP saobraćaja, IPSec ima mogućnost IP tuneliranja što podrazumijeva posebni oblik paketa za IP saobraćaj. Taj način rada naziva se IPSec tuneliranje. Tunel se sastoji od klijenta i servera koji su oba konfigurisani da koriste IPSec tuneliranje i dogovorene mehanizme za šifrovanje. IPSec tuneliranje koristi dogovorene mehanizme za enkapsulaciju i šifrovanje čitavih IP paketa što osigurava potpuno siguran prenos preko javnih ili privatnih mreža. Šifrovani podaci se spajaju sa odgovarajućim nešifrovanim IP zaglavljima, formirajući tako IP pakete koji se na kraju tunela dešifriraju i oblikuju u IP pakete namijenjene krajnjem odredištu. IPSec kao takav nalazi se ispod TCP/IP nivoa protokola, tako da je za aplikacije i protokole višeg nivoa potpuno transparentan. IPSec-om se upravlja pomoću definisane sigurnosne politike, odnosno dogovorenih sigurnosnih mehanizama izmeñu primaoca i pošiljaoca. Sigurnosna politika definisana je skupom filtera. Ukoliko IP adresa, protokol i broj porta odgovaraju filteru, paket se obrañuje na odgovarajući način.

2.1.2 PPTP (Point-to-Point Tunneling Protocol)

PPTP protokol razvio je konzorcij proizvoñača koji uključuje US Robotics, Ascend Communications, 3Com, ECI Telematics i Microsoft. Nekoliko proizvoñača implementiralo je PPTP sisteme, ali većina PPTP korisnika koristi Microsoftovu verziju. Protokol je smješten u mrežnom sloju i zasniva se na dobro poznatom PPP (engl. Point-to-Point Protocol) protokolu, odnosno na TCP/IP nivou protokola. PPP omogućava autentikaciju, te metode za šifrovanje i kompresiju podataka. PPTP omogućava tuneliranje PPP sesije kroz postojeći IP spoj, bez obzira na način na koji je on uspostavljen. Izvorno je PPTP zamišljen kao mehanizam za enkapsulaciju koji bi omogućavao prenos protokola koji nisu temeljeni na TCP/IP nivou poput npr. IPK-a i AppleTalk-a preko Interneta korištenjem GRE (engl. Generic Routing Encapsulaton). To je tehnologija koja omogućava siguran TCP/IP saobraćaj izmeñu Windows9x/NT/200 klijenata koji su povezani na Internet preko PPP-a, te Windows NT/2000 servera na lokalnim mrežama iza firewall-a. PPTP koristi TCP spoj za održavanje tunela, te GRE enkapsulirane PPP okvire za tuneliranje podataka. Sadržaj enkapsuliranih PPP okvira može biti šifrovan i/ili komprimovan. Tuneliranje je moguće pošto PPTP osigurava enkapsulaciju omatanjem originalnih paketa (IP, IPX ili NetBEUI) u IP pakete koji se šalju preko Interneta. Nakon što paket doñe do odredišta, vanjski IP paketi se uklanjaju omogućavajući tako originalnim paketima dolazak do krajnjeg odredišta. Enkapsulacija omogućava prijenos paketa koji inače ne bi zadovoljavali standarde adresiranja na Internetu. PPTP posjeduje i odreñene nedostatke od koji su najznačajniji opisani u nastavku. Neadekvatan mehanizam za šifrovanje kod PPTP-a znači da se ključevi ne generišu na slučajan način, sesijski ključevi nisu adekvatni, a nesiguran je i prenos hash vrijednosti korisničkih lozinki. Takoñe, dužine ključeva su prekratke i nije ih moguće konfigurisati. U heterogenim Win9x/NT/2000 okruženjima upravljanje lozinkama nije riješeno na odgovarajući način, te je statičke lozinke vrlo lako kompromitovati. Takoñe PPTP je ranjiv na napade lažiranjem servera pošto autentikacija paketa nije implementirana.

Microsoft RAS (engl. Remote Access Service) originalno je predviñen kao pristupni servis za dial-up korisnike. RAS je takoñe tunelski server za PPTP, tako da postavljanje PPTP sistema na NT/2000 servere zahtjeva konfiguraciju RAS servera, primjenu svih odgovarajućih sigurnosnih zakrpi, podešavanje PPTP specifičnih ključeva u registry datoteci, omogućavanje IP prosljeñivanja isto kao i kompletno osiguranje servera. RAS kao takav podržava sljedeće mehanizme:

• PAP (engl. Password Authentkation Protection), • CHAP (engl. Challenge Handshake Authentication Protocol),

Page 7: mreze virtuelno umrezavanja

7

• MS-CHAP (engl. Microsoft Challenge Handshake Authentication Protocol), • RSA RC4 i DES mogućnosti šifrovanja.

Inicijalno je PPTP koristio MS-CHAP mehanizam za autentikaciju krajnjih korisnika, no kako je u meñuvremenu otkriveno da se taj mehanizam može vrlo lako kompromitovati, Microsoft je objavio MS-CHAP V2. Zavisnost PPTP autentikacije o MS-CHAP autentikaciji čini je ranjivom na napade korištenjem npr. L0phtCrack alata. PPTP koristi 40-bitnu, 56-bitnu ili 128-bitnu enkripciju, ali čitav proces šifrovanja je oslabljen upotrebom korisničkih lozinki za generisanje sjedničkih ključeva te je podložan tzv. brute-force napadima. Jedina zaštita od takve vrste napada jesu dugački ključevi generisani na potpuno slučajan način.

PPTP je unaprjeñivan kombinovanjem sa L2F protokolom, da bi ga konačno nadgradio L2TP.

2.1.3 L2F (Layer 2 Forwarding) L2F tehnologiju je predložio Cisco. L2F je protokol mrežnog sloja nezavisan o

prenosnom mediju koji dolazi sa Cisco IOS podrškom. To je prenosni protkol koji omogućava dial-up pristup serverima. Osnovna funkcija L2F protokola je osiguranje mehanizma tuneliranja za okvire prenosnog sloja (HDLC, async PPP, SLIP ili PPP ISDN) ili protokole viših slojeva. Enkapsulirani paketi se prenose preko WAN spojeva do L2F servera (usmjerivača) gdje se ekstraktuju i prosljeñuju u mrežu. L2F ne definiše klijente i funkcioniše samo u obavezno (engl. compulsory) definisanim tunelima. L2F je unaprjeñivan kombinovanjem sa PPTP protokolom, da bi ga konačno nadgradio L2TP.

2.1.4 L2TP (Layer 2 Tunneling Protocol)

Microsoft i Cisco zajednički su razvili L2TP kombinujući najbolje prednosti PPTP i

L2F protokola. L2TP je mrežni protokol koji služi za tuneliranje PPP okvira preko mreža. L2TP enkapsulira PPP okvire za slanje preko IP, X25, Frame Relay ili ATM mreža. Podaci iz enkapsuliranih PPP okvira mogu biti šifrovani i/ili komprimovani. Protokol se takoñe može koristiti direktno preko raznih WAN medija (npr. Frame Relay) bez IP transportnog sloja. L2TP koristi UDP i nizove L2TP poruka za održavanje tunela preko IP mreža. Takoñe moguće je istovremeno stvaranje više tunela izmeñu istih krajnjih tačaka. L2TP se sastoji od dva osnovna elementa; L2TP pristupnog koncentratora (engl. L2TP Access Concentrator - LAC) i L2TP mrežnih servera (engl. L2TP Network Server - LNS). Mrežni server (LNS) predstavlja logičku krajnju tačku PPP sesije koja se tunelira kroz neki sistem korištenjem pristupnog koncentratora (LAC).

L2TP podržava obavezno definisane tunele isto kao i proizvoljne (engl. voluntary). Način rada obavezno definisanog tunela opisan je sledećim nizom koraka:

1. Udaljeni korisnik inicira PPP spoj prema svom ISP-u. 2. ISP prihvaća spoj i PPP sesija je uspostavljena. 3. ISP zahtijeva djelomičnu autentikaciju da bi dobio korisničko ime. 4. U ISP-ovoj bazi podataka korisničko ime je povezano sa servisima i LNS krajnim

tačkama. 5. LAC inicira L2TP tunel prem LNS-u. 6. Ukoliko LNS prihvati spoj, LAC enkapsulira PPP u L2TP i prosljeñuje podatke preko

odgovarajućeg tunela. 7. LNS prihvaća okvire, odvaja L2TP zaglavlja i obraduje ih kao normalne PPP okvire. 8. LNS zatim koristi standardnu PPP autentikaciju da bi utvrdio identitet korisnika i

dodijelio mu IP adresu. Ukoliko se koristi proizvoljno definisani tunel način rada je drugačiji i opisan je u

sljedećim koracima: 1. Udaljeni korisnik ima uspostavljenu vezu sa svojim ISP-om.

Page 8: mreze virtuelno umrezavanja

8

2. L2TP klijent (LAC) inicira L2TP tunel prema LNS-u. 3. Ukoliko LNS prihvati spoj LAC enkapsulira PPP u L2TP i prosljeñuje podatke kroz

tunel. 4. LNS prihvaća okvire, odvaja L2TP zaglavlja i obrañuje ih kao normalne dolazne

zahtjeve. 5. LNS zatim koristi PPP autentikaciju da bi utvrdio identitet korisnika i dodijelio mu IP

adresu. L2TP definiše dvije vrste poruka: kontrolne poruke i poruke sa podacima. Kontrolne

poruke koriste se prilikom uspostave, održavanja i čišćenja tunela. Poruke sa podacima se koriste za enkapsulaciju PPP okvira koji se prenose kroz tunel. Kontrolne poruke definišu pouzdani kontrolni kanal unutar L2TP koji garantuje dostavu. Poruke sa podacima se šalju ponovo ukoliko doñe do gubljenja paketa. PPP okviri se preko nepouzdanog data kanala šalju enkapsulirani sa L2TP zaglavljima, a zatim i sa prenosnim zaglavljima kao što su UDP, Frame Relay, ATM itd. Kontrolne poruke šalju se preko pouzdanog L2TP kontrolnog kanala. Redni brojevi su neophodni u svim kontrolnim porukama koje služe da bi osigurale pouzdanu dostavu kroz kontrolni kanal. Poruke sa podacima mogu imati redne brojeve za utvrñivanje ispravnog redoslijeda i detekciju paketa koji nedostaju.

L2TP koristi NCP (engl. Network Control Protocol) za dodjelu IP adresa i autentikacijske sheme PPP (PAP i CHAP) za autentikaciju korisnika i kontrolu pristupa mrežnim resursima. Da bi se postigla sigurnost L2TP zahtijeva da odgovarajući prenosni sloj osigurava servise za šifrovanje, provjeru integriteta i autentikaciju za sav L2TP saobraćaj. Taj sigurni prenos odnosi se na cijeli L2TP paket i funkcionalno je nezavisan o PPP-u i protokolu koji PPP prenosi. L2TP pažnju obraća samo sa tajnost, integritetom i autentičnošću L2TP paketa izmeñu krajnjih tačaka tunela, odnosno LAC i LNS. Kada radi preko IP-a, sigurnost daje IPSec korištenjem ESP i/ili AH.

2.2 VRSTE VPN RJEŠENJA

Uopšte gledajući, razni VPN proizvodi mogu se svrstati u jednu od tri sljedeće kategorije:

• VPN rješenja bazirana na firewall-ima, • hardverski orijentisana VPN rješenja, • programski orijentisana VPN rješenja.

VPN rješenja bazirana na firewall-ima koriste postojeće sigurnosne mehanizme ugrañene u same firewall-e, te ograničavaju pristup internoj mreži. Kroz te mehanizme implementirano je prevoñenje adresa, autentikacijski zahtjevi, bilježenje dogañaja i uzbunjivanje u stvarnom vremenu.

Hardverski orijentisana VPN rješenja osiguravaju najveću propusnost meñu svim VPN sistemima. Takva rješenja ne koriste operativni sistem niti posebne aplikacije. Većina hardverski orijentisanih VPN-ova su router-i koji šifruju saobraćaj (engl. encrypting routers). Pri korištenju ovakvih rješenja sav saobraćaj, bez obzira na protokol koristi mehanizam tuneliranja

Programski prijentisana VPN rješenja pružaju najveću fleksibilnost prilikom upravljanja mrežnim saobraćajem. Takvi proizvodi omogućavaju selektivno tuneliranje saobraćaja zasnovano na mrežnim adresama ili protokolima. Ovakva rješenja su idealna za slučajeve kada svi elementi VPN sistema nisu kontrolisani od strane jedne organizacije (npr. podrška korisnicima ili poslovni partneri). Ovakva rješenje takoñe su pogodna u heterogenim mrežnim okruženjima gdje postoje različiti router-i i firewall-i.

Obzirom na mogućnost primjene, VPN tehnologije mogu se podijeliti na sljedeće: • intranet VPN rješenja - meñusobno povezuju definisane lokacije kao što su

udaljene kancelarije, • ekstranet VPN rješenja - povezuju poslovne partnere,

Page 9: mreze virtuelno umrezavanja

9

• VPN rješenja za udaljeni pristup - povezuju udaljene korisnike ili manje udaljene kancelarije sa računarskom infrastrukturom organizacije.

3. PREDNOSTI I OGRANIČENJA

Osnovna prednost korištenja VPN-a jest značajna ušteda u odnosu na cijenu korištenja privatnih iznajmljenih linija ili meñugradskih/internacionalnih telefonskih poziva. Postojanje Interneta kao globalne mreže, te mogućnost sigurnog slanja povjerljivih podataka omogućavaju korištenje VPN-a kao alternative WAN mrežama i drugim načinima implementacije udaljenog pristupa, pošto u većini slučajeva VPN predstavlja manji trošak, te smanjuje potrebe za administracijom u odnosu na tradicionalne privatne mreže. Komunikacijski putevi korištenjem VPN-a mogu se uspostavljati brzo, jeftino i sigurno bilo gdje na svijetu.

Naravno, iznajmljene linije, iako skuplje, osiguravaju siguran i pouzdan medij za prenos podataka. Nasuprot tome prenos podataka preko Interneta može rezultirati kašnjenjima ih iznenadnim prekidima u komunikaciji.

Korištenje enkripcijskih mehanizama unosi nešto dodatnog prometa u saobraćaj. No većina VPN ureñaja, programskih ili sklopovskih, podržava enkripciju/dekripciju u stvarnom vremenu pri brzinama od 10 Mbps i većima. Prilikom korištenja sporijih tehnologija kao npr. modemskih, ISDN ih DSL veza, obrada VPN komunikacije je mnogo brža nego kašnjenja uzrokovana ograničenom brzinom prenosa. Pokazuje se da gubljenje paketa i latencija na lošijim Internet spojevima potencijalno više utiče na performanse nego nužnost šifrovanja kod VPN-a.

Primjena VPN rješenja ima smisla u slučajevima kada korporativno okruženje ima više odvojenih lokacija, a propusnost i kvaliteta usluge nisu od kritičnog značenja. U suprotnom slučaju, kada postoji manji broj odvojenih lokacija, a propusnost i kvaliteta usluge su ključne, korištenje iznajmljenih linija je vjerovatno prihvatljivije rješenje.

4. PRIMJER

Na sledećem primjeru data je konfiguracija firewall ureñaja ASA (Adaptive Security

Appliance) 5505 kompanije CISCO koji se koristi za VLAN mrežu u opštini Kotor Varoš. Ova mreža obezbjeñuje korisnicima siguran pristup iz udaljen mjesnih kancelarija prema centralnom serveru u Opštini, i dalje prema serverima Vlade RS na kojima je postavljena aplikacija E-matičar. Ovime je riješeno pitanje izdavanja izvoda iz Matičnih knjiga na teritoriji cijele Republike Srpske. Ovo rješenje se zasniva na primjeni Firewall-a. Korisnici preko VPN klijenta pristupaju glavnom serveru (slika 3.), zatim preko WEB aplikacije pristupaju glavnom sistemu E-matičar. Sama aplikacija je obezbjeñena CA sertifikatima i korisničkim karticama.

Slika 3. izgled screen shot-a VPN Client-a za pristup sistemu.

Page 10: mreze virtuelno umrezavanja

10

ASA Version 7.2(2) ! hostname OpstinaKotorVaros domain-name opstinakotorvaros.com enable password ***************** encrypted names !

interface Vlan1 description LAN mreza maticara mac-address 001d.a214.2fff nameif inside security-level 100 ip address 192.168.237.xxx 255.255.255.xxx ! interface Vlan2 description WAN nameif outside security-level 0 ip address 192.168.238.xxx 255.255.255.xxx ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd FHvRplPbVMEfotz5 encrypted banner login banner login ................................................ banner login banner login ................................................ banner login Dozvoljen pristup samo ovlastenom osoblju. banner login Molim vas unesite svoje korisnicko ime i lozinku. banner login ................................................. banner login Svaki neovlasteni pristup je kaznjiv u skladu sa banner login zakonom RS i drzave BiH banner login ................................................. banner login ................................................. banner login Access for authorized users only. Please enter your banner login username and password. banner login ................................................. banner login Any attempt to gain unauthorized access will be banner login charged according to Crimminal Law of Republika banner login Srpska and Bosnia and Herzegovina. banner login ................................................. banner motd ......................................... banner motd pristup zabranjen

Page 11: mreze virtuelno umrezavanja

11

banner motd ......................................... boot system disk0:/asa722-k8.bin boot system disk0:/asa901-k8.bin ftp mode passive clock timezone cet 2 dns domain-lookup outside dns server-group DefaultDNS domain-name opstinakotorvaros.com dns server-group defaultDNS domain-name opstinakotorvaros.com same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list Local_LAN_Access remark VPN Client Local LAN Access access-list Local_LAN_Access standard permit 10.64.0.xxx 255.255.0.xxx access-list Local_LAN_Access standard permit 192.168.237.xxx 255.255.255.xxx access-list Local_LAN_Access standard permit 192.168.238.xxx 255.255.255.xxx access-list Local_LAN_Access standard permit 172.16.16.xxx 255.255.255.xxx pager lines 24 logging timestamp logging buffer-size 1040000 logging buffered debugging logging asdm informational mtu inside 1400 mtu outside 1400 ip local pool lanaco 192.168.237.xxx-192.168.237.xxx ip local pool maticari 172.16.16.xxx-172.16.16.xxx icmp unreachable rate-limit 50 burst-size 1 icmp permit any inside icmp permit any outside asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 route inside 10.64.0.xxx 255.255.0.xxx 192.168.237.xxx 1 route inside 172.16.0.xxx 255.255.0.xxx 192.168.237.xxx 1 route outside 0.0.0.xxx 0.0.0.xxx 192.168.238.xxx 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip- disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy kotorvarosgroup internal group-policy kotorvarosgroup attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value Local_LAN_Access username radislav password ******** encrypted username vrbanjci password ******** encrypted username admin password **************** encrypted username siprage password ******** encrypted username maslovare password ******** encrypted aaa authentication ssh console LOCAL http server enable http 192.168.238.XXX 255.255.255.XXX inside http 192.168.237.XXX 255.255.255.XXX inside http 192.168.238.XXX 255.255.255.XXX outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart

Page 12: mreze virtuelno umrezavanja

12

crypto ipsec transform-set KOTOR-VAROS esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 43200 crypto dynamic-map dyn1 1 set transform-set KOTOR-VAROS crypto dynamic-map dyn1 1 set security-association lifetime seconds 28800 crypto dynamic-map dyn1 1 set reverse-route crypto map mymap 1 ipsec-isakmp dynamic dyn1 crypto map mymap interface outside crypto ca trustpoint policy crl configure crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 43200 crypto isakmp nat-traversal 20 tunnel-group kotorvarosgroup type ipsec-ra tunnel-group kotorvarosgroup general-attributes address-pool maticari default-group-policy kotorvarosgroup tunnel-group kotorvarosgroup ipsec-attributes pre-shared-key PM@t1c@r1K0t0rV tunnel-group lanacossi type ipsec-ra tunnel-group lanacossi general-attributes address-pool lanaco tunnel-group lanacossi ipsec-attributes pre-shared-key L@N@C0m@t1c@r1 telnet 192.168.237.xxx 255.255.255.xxx inside telnet 0.0.0.xxx 0.0.0.xxx inside telnet timeout 5 ssh 0.0.0.xxx 0.0.0.xxx inside ssh 0.0.0.xxx 0.0.0.xxx outside ssh timeout 30 ssh version 2 console timeout 10 management-access inside ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 message-length maximum client auto policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp !

Page 13: mreze virtuelno umrezavanja

13

service-policy global_policy global ntp server 217.24.24.xxx prompt hostname context Cryptochecksum:7f0016e9ca449ece4eeb44ea3565aedc : end

5. ZAKLJU ČAK

Različitim korisnicima virtuelne privatne mreže predstavljaju drugačiji pojam. Pored

toga poveznica postoji, a to je dalji razvoj i unapreñenje postojećih tehnologija u cilju postizanja sigurnosti. Meñu postojećim rješenjima, funkcionalnost se razlikuje od proizvoda do proizvoda, ali većina osigurava mehanizme za šifrovanje, autentikaciju udaljenih korisnika i računara, te mehanizme za prikrivanje informacija o topologiji privatnih mreža od potencijalnih napadača na javnim mrežama. U mnogim slučajevima VPN se zajedno a IPSec i IETF standardima za sigurni TCP/IP nameće kao vrlo prihvatljivo rješenje za mnoge primjene.

Page 14: mreze virtuelno umrezavanja

14

6. LITERATURA [1] Andrew S. Tanenbaum, Računarske mreže, Mikro knjiga Beograd 2005 [2] Charlie Scott, Paul W., Mike E., Virtual Private Networks, O'Reilly, Sebastopol, CA 1999 [3] www.cert.hr [4] www.cisco.com [5] www.microsoft.com


Logicke Mreze-koderi, Dekoderi Logicke Mreze-koderi, Dekoderi..Logicke Mreze-koderi, Dekoderi

MR - Informacione Tehnolgije i Računarske Mreže, Fizičko i Virtuelno Okružen

Umjetne neuronske mreze

NOVO VIRTUELNO bojno polje

ADMINISTRACIJA mreze

Elikser mladosti stemtech virtuelno kako se učlaniti

savremene mreze

VIRTUELNO PREDUZETNIŠTVO: OBRAZOVANJE KAO PODRŠKA

Racunarske mreze

TELEKOMUNIKACIONE MREZE

Tekekomunikacione mreze

Prometne mreze

Racunarske mreze-Seminarski

Sekvencijalne mreze

opticke mreze

Kucne mreze

mreze zadaci

mapa.urbel.commapa.urbel.com/silverlight/534/Izmena1-Tekst_knj1.pdf · rËsenje hidrotehnicke mreze postrojenja-vodovod urbanisticko resenje energetske mreze i postrojenja tt tv mreze

Mreze Seminarski

Virtuelno poslovanje preduzeća

Logicke Mreze

distributivne mreze

Administriranje mreze

Saobracajne mreze

Difuzne mreze

staro sajmište – istorijsko sećanje i virtuelno promišljanje budućnosti

Neuronske mreze

Transportne mreze

Sećanje na žrtve holokausta - virtuelno putovanje u istoriju

Bezicne mreze

Drustvene mreze

Dimenzionisanje Mreze