Reti Private Virtuali (VPN) Alfio Lombardo VPN: servizi • Fornire servizi di comunicazione aziendale (utenza Business): – Autenticazione: i dati sono originati dalla sorgente dichiarata – Controllo d’accesso: utenti non autorizzati non sono ammessi nella VPN – Confidenzialità: non è possibile leggere i dati che passano sulla VPN – Integrità dei dati: salvaguardia da corruzione dei dati da parte di terzi VPN : Background • Reti private fisiche (collegamenti tra siti aziendali: dedicati) – Scarso utilizzo mezzi trasmissivi – Elevati investimenti in tecnologia e gestione • Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel) – Elevati investimenti in gestione • Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica) Classificazione VPN • Modello di comunicazione – Intraaziendale (Intranet ) – Interaziendale (Extranet) – Dial up • Modalità di trasporto informazioni – VPN Overlay – VPN Peer to Peer • Topologia – stella, doppia stella, magliata Modello di comunicazione: Intranet Nessuna possibilità di comunicazione tra le due Intranet X Intranet A Intranet B Modello di comunicazione: Extraaziendale Possibilità di comunicazione tra siti di Aziende diverse X Intranet A Intranet B Modello di comunicazione: Dial up Sessione PPP Rete di accesso PVC/Tunnel a comm. circuito NS Sito RPV Rete ISP AC (PSTN, ISDN, GSM, ecc.) • AC: Access Concentrator (gestito da ISP) • NS: Net Server (gestito dal cliente) Dial UP: il protocollo L2TP (Layer 2 Tunnel Protocol) Sessione PPP Rete di accesso Client lsmit (PSTN, ISDN, GSM, ecc.) Tunnel L2TP LAC Rete ISP LNS Sito RPV • L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F) Corporate net Dial up: procedure Sv Autenticazione Tunnel L2TP Rete di accesso (PSTN, ISDN, GSM, ecc.) LAC Rete ISP LNS Sito RPV 1 – utente remoto inizia sessione PPP 2 – LAC accetta chiamata e identifica utente 3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS 4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP con utente 5 – inizia scambio dati tra utente remoto e VPN L2PT: architettura di protocolli Tunnel L2TP LAC MAC header IP header Rete ISP UDP header LNS Sito RPV L2TP header Data (PPP) Modalità di trasporto: VPN Overlay Connessione Virtuale Routing di livello 3 Router del Cliente PVC/Tunnel IP Sito RPV Rete pubblica Router del Cliente Sito RPV Switch Frame Relay o ATM, Router IP •Introducono un secondo livello di rete •Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza) •Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel •Elevato num. PVC in caso di VPN magliate •Elevato livello di sicurezza •QoS attraverso il PVC Modalità di trasporto: VPN P2P Protocollo di Routing Router di accesso Router del Cliente Sito RPV Router del Cliente Rete del fornitore del servizio • Informazioni di routing solo con i nodi di accesso • Facilità di estensione della VPN VPN P2P: router condivisi/dedicati Sito 1 RPVA segregazione attraverso tabelle di routing “virtuali” collegate Router di accesso condiviso Sito 2 RPVA RA[1] Sito RPV-B alle singole interfacce Rete del fornitore del servizio Sito 1 RPV-A segregazione attraverso Sito 2 RPV-A separazione fisica delle tabelle di routing RA[1] RT RA[2] Sito RPVB Router di accesso dedicati: Rete del fornitore POP del servizio Topologie Intranet: Stella Centro Stella Centri Stella Rete del fornitore del servizio Sito perif. 1 X Sito perif. 2 Sito perif. N Rete del fornitore del servizio Non permesso lo scambio diretto del traffico tra i siti periferici Collegamenti di accesso Collegamenti virtuali Flusso di traffico Sito perif. 1 X Sito perif. 2 Sito perif. N Topologie Intranet : Maglia Topologie Intranet : Mista Regione 1 Backbone Regione 2 Riepilogo RPV “overlay” “peer-to-peer” “dial-up” L2TP Livello 2 X.25 F.R. ATM Livello 3 GRE IP-in-IP Router condivisi IPSec RPV BGP/MPLS Router dedicati VPN BGP/MPLS • Adotta una filosofia P2P RPV-B (sito 1) RPV-A (sito 3) RPV-A (sito 1) RPV-A (sito 2) Tabelle di routing virtuali Sessioni iBGP RPV-C (sito 1) RPV-C (sito 2) Ricorda: Architetture di routing BGP/MPLS iBGP eBGP LSP MPLS RPV-B (sito 1) RPV-B (sito 1) Security Threats in the Network Environment To know you have security in the network environment, you want to be confident of three things: • that the person with whom you’re communicating really is that person • that no one can eavesdrop on your communication • that the communication you’ve received has not been altered in any way during transmission These three security needs, in industry terms, are: • authentication • confidentiality • integrity Secure Virtual Private Networks: IPSec any communication passing through an IP network, including the Internet, has to use the IP protocol. So, if you secure the IP layer, you secure the network. Protocolli IPsec • AH (Authentication Header) autenticazione, integrità • ESP (Encapsulating Security Payload) riservatezza, autenticazione, integrità • IKE (Internet Key Exchange) scambio delle chiavi Protocollo IKE • Per utilizzare AH e/o ESP i due interlocutori devono aver prima negoziato una .security association. (SA). • La SA è un “contratto” che specifica gli algoritmi crittografici e le relative chiavi, e qualsiasi altro parametro necessario alla comunicazione sicura. • La negoziazione delle SA è compito del protocollo IKE. ESP (Encapsulating Security Payload) • fornisce servizi di riservatezza, integrità, autenticazione e anti−replay. • ESP agisce su ciò che incapsula, quindi non sull’header IP esterno. ESP header Security Parameters Index (SPI) Sequence number Pad length Next header Authentication data: payload (TCP + variable length data) Encrypted Padding (0-255 bytes) Authenticated Payload data (variable length) Il protocollo AH • AH (Authentication Header) fornisce servizi di autenticazione, integrità e anti−replay. • L’autenticazione copre praticamente l’intero pacchetto IP. • sono esclusi solo i campi variabili dell’header IP (TTL, checksum...) AH header Pad length Next header Reserved Security Parameters Index (SPI) Sequence number Authentication data (TCP + variable length data) IP AH hdr authenticated TCP data Modalità Trasporto Tunnel Mode Tunnel IP Sito RPV A Rete ISP Sito RPV A