Reti Private Virtuali (VPN)

Alfio Lombardo

VPN: servizi• Fornire servizi di comunicazione aziendale

(utenza Business):– Autenticazione: i dati sono originati dalla

sorgente dichiarata– Controllo d’accesso: utenti non autorizzati non

sono ammessi nella VPN– Confidenzialità: non è possibile leggere i dati

che passano sulla VPN– Integrità dei dati: salvaguardia da corruzione

dei dati da parte di terzi

VPN : Background

• Reti private fisiche (collegamenti tra siti aziendali: dedicati)– Scarso utilizzo mezzi trasmissivi– Elevati investimenti in tecnologia e gestione

• Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel)– Elevati investimenti in gestione

• Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)

Classificazione VPN

• Modello di comunicazione – Intraaziendale (Intranet )– Interaziendale (Extranet)– Dial up

• Modalità di trasporto informazioni– VPN Overlay– VPN Peer to Peer

• Topologia– stella, doppia stella, magliata

Modello di comunicazione: Intranet

X

Intranet BIntranet A

Nessuna possibilità di comunicazione tra le due Intranet

Modello di comunicazione: Extraaziendale

X

Intranet BIntranet A

Possibilità di comunicazione tra siti di Aziende diverse

Modello di comunicazione: Dial up

• AC: Access Concentrator (gestito da ISP)• NS: Net Server (gestito dal cliente)

NSSito RPV

Sessione PPP

Rete ISP AC

Rete di accesso

a comm. circuito

(PSTN, ISDN, GSM, ecc.)

PVC/Tunnel

Dial UP: il protocollo L2TP(Layer 2 Tunnel Protocol)

• L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F)

Rete ISP LNSLAC

Rete di accesso

(PSTN, ISDN, GSM, ecc.)

Sito RPV

Sessione PPP

Tunnel L2TP

Clientlsmit Corporate

net

Dial up: procedure

Rete ISP LNSLAC

Rete di accesso

(PSTN, ISDN, GSM, ecc.)

Sito RPV

Tunnel L2TP

1 – utente remoto inizia sessione PPP2 – LAC accetta chiamata e identifica utente3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP

con utente5 – inizia scambio dati tra utente remoto e VPN

Sv Autenticazione

L2PT: architettura di protocolli

Rete ISP LNSLACSito RPV

Tunnel L2TP

MAC header IP header UDP header L2TP header Data (PPP)

Modalità di trasporto: VPN Overlay

PVC/Tunnel IP

Sito RPVSito RPV

Connessione Virtuale

Router delCliente

Routing di livello 3

Router delCliente

Sito RPVSito RPVRete pubblicaRete pubblica

Switch Frame Relay o ATM, Router IP

•Introducono un secondo livello di rete•Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza)•Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel•Elevato num. PVC in caso di VPN magliate

•Elevato livello di sicurezza•QoS attraverso il PVC

Modalità di trasporto: VPN P2P

• Informazioni di routing solo con i nodi di accesso• Facilità di estensione della VPN

Router di accesso

Router delCliente

Protocollo di Routing

Router delCliente

Sito RPVSito RPV Rete del fornitore Rete del fornitore del serviziodel servizio

VPN P2P: router condivisi/dedicati

Router di accesso

condiviso

Sito 1 RPV-A

Rete del fornitore Rete del fornitore del serviziodel servizio

Sito 2 RPV-A

Sito RPV-B

RA[1]

Router di accesso dedicati:

Sito 1 RPV-A

Rete del fornitore Rete del fornitore del serviziodel servizio

Sito 2 RPV-A

Sito RPV-B

RA[1]

POPPOP

RA[2]

RTsegregazione attraverso

separazione fisica

delle tabelle di routing

segregazione attraverso

tabelle di routing “virtuali” collegate

alle singole interfacce

Topologie Intranet: Stella

Sito perif. N

Rete del Rete del fornitore del fornitore del

servizioservizio

Sito perif. 2

Sito perif. 1

Centro Stella

X

Collegamenti virtualiFlusso di traffico

Collegamenti di accesso

Non permesso lo scambio diretto del traffico tra i siti periferici

Sito perif. N

Rete del Rete del fornitore del fornitore del

servizioservizio

Sito perif. 2

Sito perif. 1

Centri Stella

X

Topologie Intranet : Maglia

Topologie Intranet : Mista

Regione 1 Regione 2Backbone

RPV

“overlay” “peer-to-peer”

Livello 2 Livello 3

X.25 F.R. ATM GRE IPSec

Router condivisi

RPV BGP/MPLS

Router dedicati

IP-in-IP

“dial-up”

L2TP

Riepilogo

VPN BGP/MPLS

• Adotta una filosofia P2P

RPV-A (sito RPV-A (sito 2)2)

RPV-B (sito RPV-B (sito 1)1)

RPV-C (sito RPV-C (sito 2)2)

RPV-A (sito RPV-A (sito 3)3)

RPV-A (sito RPV-A (sito 1)1)

RPV-C (sito RPV-C (sito 1)1)

Sessioni iBGP

Tabelle di routing virtuali

Ricorda:Architetture di routing BGP/MPLS

iBGPiBGP eBGPeBGP

LSP MPLS

RPV-B (sito RPV-B (sito 1)1)

RPV-B (sito RPV-B (sito 1)1)

Security Threats in the Network Environment

To know you have security in the network environment,you want to be confident of three things:• that the person with whom you’re communicating reallyis that person• that no one can eavesdrop on your communication• that the communication you’ve received has not beenaltered in any way during transmission

These three security needs, in industry terms, are:• authentication• confidentiality• integrity

Secure Virtual Private Networks:IPSec

any communication passing through an IP network, including the Internet, has to use the IP protocol.

So, if you secure the IP layer, you secure the network.

Protocolli IPsec

• AH (Authentication Header)

autenticazione, integrità

• ESP (Encapsulating Security Payload)

riservatezza, autenticazione, integrità

• IKE (Internet Key Exchange)

scambio delle chiavi

Protocollo IKE

• Per utilizzare AH e/o ESP i due interlocutoridevono aver prima negoziato una .securityassociation. (SA).

• La SA è un “contratto” che specifica glialgoritmi crittografici e le relative chiavi, equalsiasi altro parametro necessario allacomunicazione sicura.

• La negoziazione delle SA è compito delprotocollo IKE.

ESP (Encapsulating Security Payload)

• fornisce servizi di riservatezza, integrità,

autenticazione e anti−replay.

• ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.

ESP headerSecurity Parameters Index (SPI)

Sequence number

Payload data (variable length)

Pad lengthNext

header

Authentication data: payload (TCP + variable length data)

Padding (0-255 bytes)

Enc

rypt

ed

Aut

hen

ticat

ed

Il protocollo AH

• AH (Authentication Header) fornisce servizi

di autenticazione, integrità e anti−replay.• L’autenticazione copre praticamente l’intero

pacchetto IP.• sono esclusi solo i campi variabili dell’header IP

(TTL, checksum...)

AH header

Pad length

Security Parameters Index (SPI)

Authentication data (TCP + variable length data)

Next header Reserved

Sequence number

IP AH hdr TCP data

authenticated

Modalità Trasporto

                                                                     

Sito RPV ASito RPV A

Tunnel Mode

                                                                     

Rete ISP

Tunnel IP