Documente Academic
Documente Profesional
Documente Cultură
Ce este o reea VP
VPN (Virtual Private etwork) este o conexiune privat ntre dou sau mai multe reele sau calculatoare care trimit date protejate peste o reea public de date sau prin Internet. Reeaua virtual privat ofer astfel posibilitatea comunicrii, folosind o infrastructura de reea public, aa cum este Internetul. VPN conecteaz componentele i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea privat. Practic, tehnologia
reelelor virtuale private permite unei firme s-i extind prin Internet, n condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor sau companiilor partenere. Cu alte cuvinte, o reea privat virtual, VPN este o reea de calculatoare n care legturile ntre noduri sunt asigurate prin circuite virtuale n cadrul unei reele mai mari (n general Internet-ul) n locul unor legturi fizice (de exemplu cabluri). Pentru protocoalele de legtur utilizate de reeaua virtual se folosete denumirea de tunele prin reeaua mai mare. n general o reea VPN are o topologie mai complex dect punct-la-punct. O reea VPN permite calculatoarelor ca aparent s fie la o alt adres IP, dect cea care conecteaz calculatoarele la Internet. O reea VPN poate fi mprit n trei segmente distincte (figura 1): dial-in; intern, extern Segment intern A Utilizator la distan Internet Segment intern B segment dial-in segment intern segment extern
Fig. 1 Segmentele componente ale unei reele VPN Cea mai important parte a unei soluii VPN este securitatea. Faptul c prin natura lor, prin VPN-uri se transmit date private prin reele publice, ridic dubii cu privire la securitatea acestor date i impactul pierderii datelor. Atributele sunt: Autentificare (controlul accesului); Prezentare (criptare - confidenialitate) ; Transport (integritatea datelor) ; Non-repudiere - acest serviciu ar oferi dovezi de nefalsificare, justific faptul c o anumit aciune a avut loc. Non repudierea originii nseamn c datele au fost trimise i non repudierea primirii dovedete c datele au fost recepionate. Beneficiile serviciilor oferite prin VPN sunt: Convergena serviciilor voce, video, date se realizeaz cu costuri mici; Accesarea securizat de la distan a resurselor companiei; Costuri predictibile i uor de bugetat, independente de trafic; Posibilitatea transfer any-to-any pentru aplicaii de date-voce-video;
Suport fiabil pentru integrarea LAN-urilor; Securitatea transmisiei datelor; Rat de transfer constana, garantat tehnologic; Soluii inteligene de management. Structura general a unei reele VPN este prezentat n figura 2. O reea VPN poate fi realizat pe diverse reele de transport deja existente: Internetul public, reeaua furnizorului de servicii IP, reele Frame Relay i ATM. Astzi, tot mai multe VPN-uri sunt bazate pe reele IP. Realizarea comunicaiilor rapide, fiabile i sigure ntre sedii, filiale, birouri i punctele de lucru necesit uzual folosirea unor reele WAN (reele de arie larg). Fig. 2 Structura general a VPN
permit monitorizarea i consemnarea activitilor, pentru a arta cine i cnd a accesat o anume informaie. Gestionarea adreselor. Soluia trebuie s asocieze unui client o adres din reeaua privat i s asigure c adresele private rmn secrete. Criptarea datelor. Datele transferate prin reeaua public trebuie fcute ilizibile pentru clienii neautorizai. Gestiunea cheilor. Soluia trebuie s genereze i s mprospteze cheile de criptare pentru client i pentru server. Suport multiprotocol. Soluia trebuie s fie capabil s foloseasc protocoalele existente n reelele publice, cum ar fi IP (Internet Protocol), IPX (Internet Packet Exchange) etc.
Pachetele de date se transmit printr-un tunel, folosind operaia de tunelare. Tehnologiile de tunelare exist de ctva timp, printre cele mai cunoscute numrndu-se: Tunelare S A (Secure omadic Access) peste IP. Cnd traficul SNA este trimis peste o inter-reea IP de corporaie, cadrul SNA este ncapsulat n UDP (User Datagram Protocol) si i se adaug antet IP. Tunelare IPX (Internetwork Packet Exchange) pentru Novell NetWare peste IP. Cnd un pachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul anvelopeaz pachetul IPX ntr-un UDP cu antet IP, i l trimite apoi peste inter-reeaua IP.
n ultimii ani au fost create noi tehnologii de tunelare, tehnologii care stau la baza implementrilor de VPN existente: Protocolul de tunelare punct-la-punct, PPTP. Acesta permite traficului IP, IPX i NetBEUI s fie criptat i ncapsulat ntr-un antet IP pentru a fi transmis printr-o reea de tranzit IP de corporaie sau public (Internet). Protocolul de tunelare pe nivel 2, L2TP. Acesta permite traficului IP, IPX sau NetBEUI s fie criptat i transmis prin orice mediu care permite transmisia punct-la-punct a datagramelor, cum ar fi: IP, X.25, Frame Relay sau ATM. Tunel bazat pe securitatea IP, IPSec. Acesta permite coninutului IP s fie criptat i apoi ncapsulat ntr-un antet IP pentru a fi transmis printr-o reea de tranzit IP. Cele patru moduri (metode) de transmisie ntlnite n soluiile VPN sunt: Modul de transmisie in-place (In Place Transmission Mode) - este de obicei o soluie specific unui anumit productor, n care doar datele sunt criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele de transport nu sunt afectate. Modul transport (Transport Mode) - doar segmentul de date este criptat, deci mrimea pachetului va crete. Acest mod ofer o confidenialitate adecvat a datelor pentru reele VPN de tip nod-la-nod. Modul tunel criptat (Encrypted Tunnel Mode) - informaia din antetul IP i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele terminale ale VPN. Se asigur o confidenialitate global a datelor.
Modul tunel necriptat ( on - encrypted Tunnel Mode) - nici o component nu este criptat, toate datele sunt transportate n text clar. Nu se ofer nici un mijloc de asigurare a confidenialitii datelor.
O reea VPN bine proiectat folosete cteva metode care menin datele i conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA. Securizarea traficului cu IPSec se bazeaz pe: Crearea unei hri a traficului n reea ce include traficul care trebuie permis sau blocat, punctele surs destinaie i informaiile despre protocoalele folosite. Crearea de filtre care corespund traficului de reea identificat anterior. Modele de reele Se definesc trei modele de reele bazate pe tehnologia MPLS: Modelul overlay, VPN de nivel 2; Modelul n perechi (peer), VPN de nivel 3; Modelul perechi - MPLS VPN
Alte reele VPN: 1. Reele SSL-VPN creaz o reea VPN peste reeaua public Internet, asigurnd accesul securizat la resursele organizaiei pentru utilizatori la distan, ca i cum acetia ar fi localizai n reeaua organizaiei. 2. ReeleOpen VPN- OpenVPN este un standard VPN de tip open. Este o variant de VPN bazat pe SSL capabil s ruleze peste UDP. Sunt disponibile implementri client i server pentru toate sistemele de operare importante. 3. Reele VPN cu "tinc" TincPN este un protocol cu auto-rutare pentru reele mesh, utilizat pentru dezvoltarea de reele VPN cu compresie i criptare. Priectul a fost demarat n 1998 de Guus Sliepen, Ivo Timmermans i Robert van der Meulen, fiind dezvoltat sub licen GPL. Versiunea activ este 1.08 din iunie 2007. 4. Reele VPN "Hamachi" - Hamachi este aplicaie de reea VPN gratuit cu fr configurare (zero-configurare) capabil s stabileasc legturi directe ntre calculataore aflate n spatele unor firewall-uri NAT, fr a cere reconfigurare (n cele mai multe cazuri). Practic, se stabilete o conexiune peste Internet care emuleaz legturile existente ntre calculatoarele dintr-o reea local.
Identificarea i coordonarea QoS-ului de la un capt la altul al transmisiei ntre elementele reelei; QoS n cadrul unui singur element al reelei; Funciilor de management, control i administrare a traficului ntre puncte terminale, de-a lungul reelei.
Datorit avantajelor aduse n domeniul comunicaiilor de date referitoare la scalabilitate, reducerea complexitii operaiilor din reea, uurina de a permite implementare VPN-urilor, posibilitatea de a oferii diferite nivele de servicii MPLS este un pas important n evoluia tehnologiei de comutare multilevel pentru reeaua Internet i nu numai. Traficul VPN poate fi multiplexat n tunele LSP exterioare astfel nct numrul de tunele s corespund la numrul de rutere marginale i nu la numrul mult mai mare de VPNuri deservite de aceste rutere. Aceast metod reduce problemele de scalabilitate prin scderea ordinului problemei la m, unde m este numrul de LSR-uri care asigura accesul la n site-uri VPN cu mn. Tunelele LSP exterioare pot fi folosite pentru asigurarea diferitelor domenii de CoS ceea ce permite furnizorului de servicii s garanteze clienilor anumite tipuri de servicii.
Criptarea necesit resurse mari de procesare i memorie, din acest motiv productorii recomand instalarea de carduri acceletatoare (accelerator cards) VPN care sunt destinate exclusiv criptrii/decriptrii datelor i n acest fel ruterul nu este implicat n aceste procese, mrindu-se astfel performanele de rutare. n cazul cantitii mare de trafic, ruterul stocheaz temporar traficul multimedia pn cnd legtura serial nu se mai poate folosi. Din acest motiv cresc ntrzierile pentru c tratamentul preferenial trebuie aplicat acestui trafic, restul traficului ignorndu-se temporar. Parametrul jitter nu a fost afectat de ctre VPN. Chiar dac valorile msurate sunt puin peste valorile limit, calitatea videoconferinei (audio i video) nu a fost afectat. n scenariul propus de el nu s-a schimbat nici procentul de pierdere a pachetelor. Din rezultatele obinute din msurtorile efectuate asupra unui scenariu de videoconferin, se poate concluziona c este posibil i practic implementarea unei VPN pentru o infrastructur de campus. Dac VPN-ul este aplicat unei reele mai mari cum este Internetul, trebuie luate n considerare aspecte legate de cantitatea mai mare de trafic, momentul din zi etc. Dac videoconferina ar fi fost setat n timpul orelor de vrf i fr mecanisme de QoS, atunci calitatea sa ar fi putut fi puternic afectat. Pentru reele cu trafic mare este necesar utilizarea tehnicilor de prioritizare a traficului pentru a avea sigurana transferului fr s se afecteze parametrii QoS. Aceast lucrare trateaz de asemenea i configurarea VPN n diferite sisteme de oprerare cum ar fi Unix i Windows. n sistemul de operare Unix exist mai multe modaliti de configurare a conexiunilor VPN: IPSEC (Internet Protocol SECurity) - este un standard creat de IETF (Internet Engineering Task Force) ca metod obligatorie de codificare atunci cnd IP versiunea 6 va deveni protocolul Internet standard (n prezent versiunea standard este IPV4). n prezent exist numeroase pachete software ce implementeaz IPSEC prin IPV411. PPP over OpenSSH - prin utilizarea acestei metode se poate configura o interfa PPP astfel nct s utilizeze SSH n vederea codificrii tuturor datelor care traverseaz interfaa PPP1. CIPE (Crypto IP Encapsulation) - prin intermediul acestei metode pachetele IP sunt direcionate prin interfeele IP selectate sub form de pachete UDP codificate. CIPE implic o suprasarcin mai redus dect PPP over OpenSSH, deci este de ateptat obinerea unor performane superioare.
Datorit proiectului CIPE-Win32 se poate configura o conexiune VPN folosind CIPE i pe Windows. Scopul sistemului CIPE const din configurarea unei legturi securizate ntre dou puncte terminale ale unei comunicaii. Este posibil autentificarea legturii (fiecare extremitate a comunicaiei i poate demonstra identitatea), iar datele care trec prin legtura respectiv pot fi securizate(deoarece sunt codificate). n figura este prezentat o configuraie VPN.
Tipul de VPN (figura 6. 1) cel mai des implementat este IPSec, de cnd IPSec este bazat pe standard. Nu este vorba de un singur protocol ci de un ntreg set de protocoale. Cnd se folosete IPSec, este necesar s se verifice c routerele suport un subset comun de protocoale al IPSec, i c acestea sunt documentate corespunzator. Dac acest lucru este trecut cu vederea, echipamentul se poate dovedi incompatibil sau extrem de dificil de configurat.
Fig. 6. 1 Topologia unei reele VPN Din mai 2004 ruterele SOHO compatibile cu IPSec cau i cu QoS nu sunt des ntlnite. Cnd se alege un ruter compatibil i cu IPSec si QoS, trebuie verificat ca QoS-ul s fie compatibil prin IPSec VPN. Dac pachetele sunt marcate pentru utilizarea QoS, dar apoi sunt criptate pentru transportul prin VPN, marcajele QoS nu vor mai putea fi citite cnd este aplicat politica QoS. Ruterul trebuie s accepte copierea marcajelor QoS de pe pachetele originale pe headerul IPSec.
implementarea coerent a modificrilor (adaptrilor). Obligaiile care trebuie asumate se refer la:
Alocarea resurselor (hard i soft) pentru punerea n funciune a serverului, Asigurarea funcionrii continue a serverului, Asumarea responsabilitii de operare continu a serverului, Modificare uoar pentru compatibilitate cu aplicaiile experimentate, Asistarea celorlali parteneri n configurarea staiilor pentru lucrul n sistem, Colaborarea cu ceilali parteneri la constituirea grupului nchis de utilizatori, Ghidarea partenerilor pentru implementarea msurilor de securitate convenite, Asigurarea extensiilor (n msura posibilitilor) n funcie de cerine, Comunicarea permanent cu partenerii pentru operarea reelei n ansamblu.
Concluzii
n vederea realizrii infrastructurii VPN pentru proiectul CERVIT au fost studiate principalele soluii de realizare i au fost selectate cele mai potrivite variante, n concordan cu obiectivele i condiiile proiectului. Cu privire la modalitatea de implementare a reelei VPN i conectarea n sistemul de comunicaii, s-a optat pentru o soluie construit bazat pe reeaua public Internet (accesibil tuturor partenerilor), soluia de achiziie de servicii de la un furnizor ISP/NSP fiind inacceptabil pentru resursele i specificul proiectului. Problema metodelor i instrumentelor pentru asigurarea calitii serviciilor (QoS) este delicat. Utilizarea acestora este necesar n cazul soluiei VPN construit, dar astfel de produse nu sunt disponibile n gama GPL Free software. n aceste condiii sunt de luat n considerare imaginarea unor benchmark-uri particularizate pentru aplicaiile experimentate n cadrul proiectului. Specificaiile pentru reeaua VPN au la baz principiul flexibilitii maxime i realizarea ct mai rapid. n acest scop se au n vedere implementarea a dou soluii: soluie bazat pe circuite virtuale PPTP, uor de pus n funciune i de utilizat, dar limitat la SO Windows i cu securitate mai redus, dar acceptabil, evoluia, n msura posibilitilor, ctre o soluie mult mai performant bazat pe o reea virtual OpenVPN.