Post on 24-Feb-2016
description
Reti Private Virtuali (VPN)
Alfio Lombardo
VPN: servizi• Fornire servizi di comunicazione aziendale
(utenza Business):– Autenticazione: i dati sono originati dalla
sorgente dichiarata– Controllo d’accesso: utenti non autorizzati non
sono ammessi nella VPN– Confidenzialità: non è possibile leggere i dati
che passano sulla VPN– Integrità dei dati: salvaguardia da corruzione
dei dati da parte di terzi
VPN : Background• Reti private fisiche (collegamenti tra siti
aziendali: dedicati)– Scarso utilizzo mezzi trasmissivi– Elevati investimenti in tecnologia e gestione
• Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel)– Elevati investimenti in gestione
• Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)
Classificazione VPN• Modello di comunicazione
– Intraaziendale (Intranet )– Interaziendale (Extranet)– Dial up
• Modalità di trasporto informazioni– VPN Overlay– VPN Peer to Peer
• Topologia– stella, doppia stella, magliata
Modello di comunicazione: Intranet
X
Intranet BIntranet A
Nessuna possibilità di comunicazione tra le due Intranet
Modello di comunicazione: Extraaziendale
X
Intranet BIntranet A
Possibilità di comunicazione tra siti di Aziende diverse
Modello di comunicazione: Dial up
• AC: Access Concentrator (gestito da ISP)• NS: Net Server (gestito dal cliente)
NSSito RPV
Sessione PPP
Rete ISP AC
Rete di accessoa comm. circuito(PSTN, ISDN, GSM,
ecc.)
PVC/Tunnel
Dial UP: il protocollo L2TP(Layer 2 Tunnel Protocol)
• L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F)
Rete ISP LNSLAC
Rete di accesso
(PSTN, ISDN, GSM, ecc.)
Sito RPV
Sessione PPP
Tunnel L2TP
Clientlsmit Corporate
net
Dial up: procedure
Rete ISP LNSLAC
Rete di accesso(PSTN, ISDN, GSM, ecc.)
Sito RPV
Tunnel L2TP
1 – utente remoto inizia sessione PPP2 – LAC accetta chiamata e identifica utente3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS4 – LAC autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP
con utente5 – inizia scambio dati tra utente remoto e VPN
Sv Autenticazione
L2PT: architettura di protocolli
Rete ISP LNSLACSito RPV
Tunnel L2TP
MAC header IP header UDP header L2TP header Data (PPP)
Modalità di trasporto: VPN Overlay
PVC/Tunnel IP
Sito RPV
Connessione Virtuale
Router delCliente
Routing di livello 3
Router delCliente
Sito RPVRete pubblica
Switch Frame Relay o ATM, Router IP
• Introducono un secondo livello di rete• Gestione della rete overlay da parte del Cliente (routing, piani nume., sicurezza)• Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel• Elevato num. PVC in caso di VPN magliate
• Elevato livello di sicurezza• QoS attraverso il PVC
Modalità di trasporto: VPN P2P
• Informazioni di routing solo con i nodi di accesso• Facilità di estensione della VPN
Router di accesso
Router delCliente
Protocollo di Routing
Router delCliente
Sito RPV Rete del fornitore del servizio
VPN P2P: router condivisi/dedicati
Router di accesso
condiviso
Sito 1 RPV-A
Rete del fornitore del servizio
Sito 2 RPV-A
Sito RPV-B
RA[1]
Router di accesso dedicati:
Sito 1 RPV-A
Rete del fornitore del servizio
Sito 2 RPV-A
Sito RPV-B
RA[1]
POP
RA[2]
RTsegregazione attraverso separazione fisica delle tabelle di routing
segregazione attraverso tabelle di routing “virtuali” collegate alle singole interfacce
Topologie Intranet: Stella
Sito perif. N
Rete del fornitore del
servizio
Sito perif. 2
Sito perif. 1
Centro Stella
X
Collegamenti virtualiFlusso di traffico
Collegamenti di accesso
Non permesso lo scambio diretto del traffico tra i siti periferici
Sito perif. N
Rete del fornitore del
servizio
Sito perif. 2
Sito perif. 1
Centri Stella
X
Topologie Intranet : Maglia
Topologie Intranet : Mista
Regione 1 Regione 2Backbone
VPN BGP/MPLS
• Adotta una filosofia P2P
RPV-A (sito 2)
RPV-B (sito 1)
RPV-C (sito 2)
RPV-A (sito 3)
RPV-A (sito 1)
RPV-C (sito 1)
Sessioni iBGPTabelle di routing virtuali
Security Threats in the Network Environment
To know you have security in the network environment,you want to be confident of three things:• that the person with whom you’re communicating reallyis that person• that no one can eavesdrop on your communication• that the communication you’ve received has not beenaltered in any way during transmission
These three security needs, in industry terms, are:• authentication• confidentiality• integrity
Secure Virtual Private Networks:IPSec
any communication passing through an IP network, including the Internet, has to use the IP protocol.
So, if you secure the IP layer, you secure the network.
Protocolli IPsec• AH (Authentication Header)
autenticazione, integrità• ESP (Encapsulating Security Payload)
riservatezza, autenticazione, integrità• IKE (Internet Key Exchange)
scambio delle chiavi
Protocollo IKE• Per utilizzare AH e/o ESP i due interlocutori
devono aver prima negoziato una .securityassociation. (SA).
• La SA è un “contratto” che specifica glialgoritmi crittografici e le relative chiavi, equalsiasi altro parametro necessario allacomunicazione sicura.
• La negoziazione delle SA è compito delprotocollo IKE.
ESP (Encapsulating Security Payload)
• fornisce servizi di riservatezza, integrità,autenticazione e anti−replay.
• ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.
ESP headerSecurity Parameters Index (SPI)
Sequence number
Payload data (variable length)
Pad length Next header
Authentication data: payload (TCP + variable length data)
Padding (0-255 bytes)
Enc
rypt
ed
Aut
hent
icat
ed
Il protocollo AH
• AH (Authentication Header) fornisce servizidi autenticazione, integrità e anti−replay.
• L’autenticazione copre praticamente l’interopacchetto IP.
• sono esclusi solo i campi variabili dell’header IP(TTL, checksum...)
AH header
Pad length
Security Parameters Index (SPI)
Authentication data (TCP + variable length data)
Next header Reserved
Sequence number
IP AH hdr TCP data
authenticated
Modalità Trasporto
Sito RPV ASito RPV A
Tunnel Mode
Rete ISP
Tunnel IP