Virtual Private Networks
Aggiornamento al 14/4/2003
dell’attivita’ del wg VPN
Netgroup
Il gruppo di lavoro

Componenti:
• A. Brunengo
• E. M. V. Fasanelli
• E. Mazzoni
• O. Pinazza
• C. Soprano
• R. Veraldi
• S. Zani
Prima fase: orientamento
e documentazione
(autunno 2002)

PPTP (Microsoft)
•
•
•

L2TP (Microsoft + Cisco)
•
•
•

autenticazione dell’utente: PAP, CHAP MS-CHAP (sessioni ppp)
usa GRE per incapsulare i pacchetti, CCP (Compression Control Protocol) + RSA
a 40 bit per la criptazione
e’ accusato di avere numerose vulnerabilita’
come PPTP usa PAP e CHAP per autenticare
e’ piu’ veloce (UDP) di PPTP
non prevede criptazione e confidenzialita’, che vanno fatte a livelli inferiori,
percio’ va usato su IPSec
IPSec
•
e’ stato disegnato per la sicurezza




autenticazione
access control
confidenzialita’
integrita’ dei dati
Seconda fase: le prove!
(gennaio-aprile 2003)
1) studiare un layout di TEST che
riproduca le esigenze di una unita’
operativa INFN
 2) provare

BOX commerciali
 Software OpenSource

Terza fase: conclusioni e
produzione documenti
(e’ ora di iniziare?!)
documentare le prove effettuate
 elaborare una proposta operativa
adatta alla realta’ INFN

Riepilogo: Test effettuati o in corso
Windows
2000 Server
FreeS/WAN
(Linux RH)
KAME
(FreeBSD)
Cisco 3005
Netscreen
Clavister
Lecce
Bologna
Firenze
CNAF +
Genova
Pisa
Bologna
completato
completato
completato
completato
in corso
da fare?
Test effettuati: tabella comparativa
Windows
2000
Server
FreeS/WAN
(Linux RH)
KAME
(FreeBSD)
Cisco 3005
Netscreen
Clavister
Protocolli
supportati
PPTP, L2TP
IPSec
IPSec
IPSec
PPTP, IPSec,
L2TP/IPsec,
IPsec/tcp/udp
IPSec
IPSec
Autenticazione
Certificati,
p. key, AD e
domain
Certificati o
preshared
key
Certificati o
preshared
key
Datab. locale,
radius, AD o
domain, NIS,
AFS, certs…
AES, 3DES,
DES, Twofish,
Blowfish
AES, 3DES,
DES, Twofish,
Blowfish
Facilita’
facile
Non facile
Non facile
Facile
Da testare
Da testare
Client o
sistemi
compatibili
Windows xx
~ tutti i
sistemi IPSec
~ tutti i
sistemi IPSec
client Wxx,
linux, MacOS,
SunOS
Client
Windows xx
Client
Windows xx
Performance
5000 conn a
15 Kbs, aggr.
60-70 Mbs
Non testate
Non testate
4 Mbs, 100
conn. simult
Costo
Licenza
server
free
free
4000 Euro
100 conness
?~ Cisco
8000 Euro
(firewall)
Riferimenti
Novita’, dettagli e risultati dei test sono
reperibili sui siti:
WEB:
http://www.infn.it/netgroup
http://www.bo.infn.it/pinazza/infn/vpn
AFS:
/infn.it/bo/user/pinazza/public/www/infn/vpn/