VIRTUAL PRIVATE NETWORKS (VPN)

Traditional Connectivity

[From Gartner Consulting]

What is VPN?
Virtual Private Network is a type of private network that uses public telecommunication, such as the Internet, instead of leased lines to communicate. Became popular as more employees worked in remote locations. Terminologies to understand how VPNs work.

What is a VPN

Public networks are used to move information between trusted network segments using shared facilities like frame relay or atm

A VIRTUAL Private Network replaces all of the above utilizing the public Internet Performance and availability depend on your ISP and the Internet

Private Networks vs. Virtual Private Networks

Employees can access the network (Intranet) from remote locations. Secured networks. The Internet is used as the backbone for VPNs Saves cost tremendously from reduction of equipment and maintenance costs. Scalability

Why?

T1 is a 1.544 Mbps point-to-point dedicated, digital circuit provided by the telephone companies

Remote Access Virtual Private Network

(From Gartner Consulting)

Brief Overview of How it Works

Two connections one is made to the Internet and the second is made to the VPN. Datagrams contains data, destination and source information. Firewalls VPNs allow authorized users to pass through the firewalls. Protocols protocols create the VPN tunnels.

Four Critical Functions

Authentication validates that the data was sent from the sender. Access control limiting unauthorized users from accessing the network. Confidentiality preventing the data to be read or copied as the data is being transported. Data Integrity ensuring that the data has not been altered

Encryption
Encryption -- is a method of scrambling data before transmitting it onto the Internet. Public Key Encryption Technique Digital signature for authentication

Tunneling
A virtual point-to-point connection made through a public network. It transports encapsulated datagrams.
Original Datagram Encrypted Inner Datagram

Datagram Header

Outer Datagram Data Area

Data Encapsulation [From Comer]

Two types of end points: Remote Access Site-to-Site

Four Protocols used in VPN

PPTP -- Point-to-Point Tunneling Protocol L2TP -- Layer 2 Tunneling Protocol IPsec -- Internet Protocol Security SOCKS is not used as much as the ones above

VPN Encapsulation of Packets

Types of Implementations
What does implementation mean in VPNs? 3 types
Intranet Within an organization Extranet Outside an organization Remote Access Employee to Business

Virtual Private Networks (VPN)

Basic Architecture

VPN Topology: Types of VPNs

Remote access VPN Intranet VPN Extranet VPN

VPN Topology: Remote Access VPN

VPN Topology: Intranet VPN

VPN Topology: Extranet VPN

VPN Component
Tunneling Encryption Authentication,Identity Integrity, Prevent tampering

Tunneling
Tunnel dalam VPN sebenarnya hanya logical point-to-point connection dengan otentikasi dan enkripsi Paket lama dibungkus dalam paket baru. Alamat ujung tujuan terowongan (tunnel endpoints) diletakkan di destination address paket baru, yang disebut dengan encapsulation header. Tujuan akhir tetap ada pada header paket lama yang dibungkus (encapsulated). Saat sampai di endpoint, kapsul dibuka, dan paket lama dikirimkan ke tujuan akhirnya

Teknologi Tunneling
Protokol tunneling layer 2 (Data Link Layer) dan layer 3 (Network Layer) model OSI layer : Tunneling Layer 2 (Data Link Layer) :
PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) L2F (Layer 2 Forwarding)

Tunnelling Layer 3 (Network Layer):

IPSec (IP Security) VTP (Virtual Tunneling Protocol) ATMP (Ascend Tunnel Management Protocol)

Point-to-Point Tunneling Protocol (PPTP)

PPTP merupakan protokol jaringan yang memungkinkan pengamanan transfer data dari remote client ke server pribadi perusahaan dengan membuat sebuah VPN melalui TCP/IP. Umumnya terdapat tiga komputer yang diperlukan untuk membangun PPTP, yaitu sebagai berikut : Klien PPTP, Network access server (NAS), Server PPTP

Layer 2 Tunneling Protocol (L2TP)

L2TP adalah tunneling protocol yang memadukan dua buah tunneling protokol yaitu L2F (Layer 2 Forwarding) milik cisco dan PPTP milik Microsoft. Umumnya L2TP menggunakan port 1702 dengan protocol UDP untuk mengirimkan L2TP encapsulated PPP frames sebagai data yang di tunnel.

Seperti gambar di bawah ini :

Gambar 3. Perangkat L2TP

Perangkat dasar L2TP :

Remote Client Suatu end system atau router pada jaringan remote access (mis. : dial-up client). L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call. L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call. Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.

Model Compulsory L2TP, seperti gambar di bawah ini :

Gambar 4. Model Compulsory L2TP

Compulsory L2TP, melakukan :

1. Remote client memulai koneksi PPP ke LAC melalui PSTN. 2. 3.
Pada gambar diatas LAC berada di ISP. ISP menerima koneksi tersebut dan link PPP ditetapkan. ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP. LAC kemudian menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

4. 5. 6. 7.

Model Voluntary L2TP

Gambar 5. Model Voluntary L2TP

Voluntary L2TP, melakukan :

1. Remote client mempunyai koneksi pre- established ke ISP.
Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP. Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

2. 3. 4. 5.

Cara Kerja L2TP

Komponen-komponen pada tunnel, yaitu : Control channel Sessions (data channel) Sessions (data channel)

Cara kerjanya seperti gambar di bawah ini :

Gambar 6. Cara Kerja L2TP

IPSecurity (IPSec)
IPSec bekerja dengan tiga cara, yaitu: Network-to-network Host-to-network Host-to-host

Koneksi host-to-network, biasanya digunakan oleh seseorang yang menginginkan akses aman terhadap sumberdaya suatu perusahaan. Prinsipnya sama dengan kondisi network-tonetwork, hanya saja salah satu sisi gateway digantikan oleh client, seperti gambar di bawah ini :

Gambar 6. Network-to-network dan Host-to-network

Protokol yang berjalan dibelakang IPSec adalah :

AH (Authentication Header) ESP (Encapsulated Security Payload) Kelebihan mengapa IPSec menjadi standar, yaitu: Confidentiality Integrity Authenticity Anti Replay

VPN works via crypto/Encapsulation

Digital Signature to verify data not changed in transit

PKI the full picture

WebVPN

WebVPN Features

WebVPN and IPSec Comparison