Reti Private Virtuali (VPN)
Alfio Lombardo
VPN: servizi
• Fornire servizi di comunicazione aziendale
(utenza Business):
– Autenticazione: i dati sono originati dalla
sorgente dichiarata
– Controllo d’accesso: utenti non autorizzati non
sono ammessi nella VPN
– Confidenzialità: non è possibile leggere i dati
che passano sulla VPN
– Integrità dei dati: salvaguardia da corruzione
dei dati da parte di terzi
VPN : Background
• Reti private fisiche (collegamenti tra siti
aziendali: dedicati)
– Scarso utilizzo mezzi trasmissivi
– Elevati investimenti in tecnologia e gestione
• Reti private “overlay” (collegamenti tra siti
aziendali: PVC/Tunnel)
– Elevati investimenti in gestione
• Reti private peer_to_peer (collegamenti tra
siti aziendali: rete pubblica)
Classificazione VPN
• Modello di comunicazione
– Intraaziendale (Intranet )
– Interaziendale (Extranet)
– Dial up
• Modalità di trasporto informazioni
– VPN Overlay
– VPN Peer to Peer
• Topologia
– stella, doppia stella, magliata
Modello di comunicazione: Intranet
Nessuna possibilità di comunicazione
tra le due Intranet
X
Intranet A
Intranet B
Modello di comunicazione:
Extraaziendale
Possibilità di comunicazione
tra siti di Aziende diverse
X
Intranet A
Intranet B
Modello di comunicazione: Dial up
Sessione PPP
Rete di accesso
PVC/Tunnel
a comm. circuito
NS
Sito RPV
Rete ISP
AC
(PSTN, ISDN, GSM,
ecc.)
• AC: Access Concentrator (gestito da ISP)
• NS: Net Server (gestito dal cliente)
Dial UP: il protocollo L2TP
(Layer 2 Tunnel Protocol)
Sessione PPP
Rete di
accesso
Client
lsmit
(PSTN, ISDN,
GSM, ecc.)
Tunnel L2TP
LAC
Rete ISP
LNS
Sito RPV
• L2TP combina le funzionalità di due
protocolli pregressi (PPTP, L2F)
Corporate
net
Dial up: procedure
Sv Autenticazione
Tunnel L2TP
Rete di accesso
(PSTN, ISDN,
GSM, ecc.)
LAC
Rete ISP
LNS
Sito RPV
1 – utente remoto inizia sessione PPP
2 – LAC accetta chiamata e identifica utente
3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS
4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP
con utente
5 – inizia scambio dati tra utente remoto e VPN
L2PT: architettura di protocolli
Tunnel L2TP
LAC
MAC header
IP header
Rete ISP
UDP header
LNS
Sito RPV
L2TP header
Data (PPP)
Modalità di trasporto: VPN Overlay
Connessione Virtuale
Routing di livello 3
Router del
Cliente
PVC/Tunnel IP
Sito RPV
Rete pubblica
Router del
Cliente
Sito RPV
Switch Frame Relay o ATM, Router IP
•Introducono un secondo livello di rete
•Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza)
•Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel
•Elevato num. PVC in caso di VPN magliate
•Elevato livello di sicurezza
•QoS attraverso il PVC
Modalità di trasporto: VPN P2P
Protocollo di Routing
Router di
accesso
Router del
Cliente
Sito RPV
Router del
Cliente
Rete del fornitore
del servizio
• Informazioni di routing solo con i nodi di accesso
• Facilità di estensione della VPN
VPN P2P: router condivisi/dedicati
Sito 1 RPVA
segregazione attraverso
tabelle di routing “virtuali” collegate
Router di
accesso
condiviso
Sito 2 RPVA
RA[1]
Sito RPV-B
alle singole interfacce
Rete del fornitore
del servizio
Sito 1
RPV-A
segregazione attraverso
Sito 2
RPV-A
separazione fisica
delle tabelle di routing
RA[1]
RT
RA[2]
Sito RPVB
Router di accesso
dedicati:
Rete del fornitore
POP
del servizio
Topologie Intranet: Stella
Centro
Stella
Centri
Stella
Rete del
fornitore del
servizio
Sito perif.
1
X
Sito perif.
2
Sito perif.
N
Rete del
fornitore del
servizio
Non permesso lo scambio diretto
del traffico tra i siti periferici
Collegamenti di accesso
Collegamenti virtuali
Flusso di traffico
Sito perif.
1
X
Sito perif.
2
Sito perif.
N
Topologie Intranet : Maglia
Topologie Intranet : Mista
Regione 1
Backbone
Regione 2
Riepilogo
RPV
“overlay”
“peer-to-peer”
“dial-up”
L2TP
Livello 2
X.25
F.R.
ATM
Livello 3
GRE
IP-in-IP
Router
condivisi
IPSec
RPV
BGP/MPLS
Router
dedicati
VPN BGP/MPLS
• Adotta una filosofia P2P
RPV-B (sito
1)
RPV-A (sito
3)
RPV-A (sito
1)
RPV-A (sito
2)
Tabelle di routing virtuali
Sessioni iBGP
RPV-C (sito
1)
RPV-C (sito
2)
Ricorda:
Architetture di routing BGP/MPLS
iBGP
eBGP
LSP MPLS
RPV-B (sito
1)
RPV-B (sito
1)
Security Threats in the Network
Environment
To know you have security in the network environment,
you want to be confident of three things:
• that the person with whom you’re communicating really
is that person
• that no one can eavesdrop on your communication
• that the communication you’ve received has not been
altered in any way during transmission
These three security needs, in industry terms, are:
• authentication
• confidentiality
• integrity
Secure Virtual Private Networks:
IPSec
any communication passing through an IP
network, including the Internet, has to use
the IP protocol.
So, if you secure the IP layer, you secure the
network.
Protocolli IPsec
• AH (Authentication Header)
autenticazione, integrità
• ESP (Encapsulating Security Payload)
riservatezza, autenticazione, integrità
• IKE (Internet Key Exchange)
scambio delle chiavi
Protocollo IKE
• Per utilizzare AH e/o ESP i due interlocutori
devono aver prima negoziato una .security
association. (SA).
• La SA è un “contratto” che specifica gli
algoritmi crittografici e le relative chiavi, e
qualsiasi altro parametro necessario alla
comunicazione sicura.
• La negoziazione delle SA è compito del
protocollo IKE.
ESP (Encapsulating Security
Payload)
• fornisce servizi di riservatezza, integrità,
autenticazione e anti−replay.
• ESP agisce su ciò che incapsula, quindi
non sull’header IP esterno.
ESP header
Security Parameters Index (SPI)
Sequence number
Pad length
Next
header
Authentication data: payload
(TCP + variable length data)
Encrypted
Padding
(0-255 bytes)
Authenticated
Payload data (variable length)
Il protocollo AH
• AH (Authentication Header) fornisce servizi
di autenticazione, integrità e anti−replay.
• L’autenticazione copre praticamente l’intero
pacchetto IP.
• sono esclusi solo i campi variabili dell’header IP
(TTL, checksum...)
AH header
Pad length Next header Reserved
Security Parameters Index (SPI)
Sequence number
Authentication data
(TCP + variable length data)
IP
AH hdr
authenticated
TCP
data
Modalità Trasporto
Tunnel Mode
Tunnel IP
Sito RPV A
Rete ISP
Sito RPV A