380 likes | 765 Views
Reti Private Virtuali (VPN) . Alfio Lombardo. VPN: servizi. Fornire servizi di comunicazione aziendale (utenza Business): Autenticazione : i dati sono originati dalla sorgente dichiarata Controllo d’accesso : utenti non autorizzati non sono ammessi nella VPN
E N D
Reti Private Virtuali (VPN) Alfio Lombardo
VPN: servizi • Fornire servizi di comunicazione aziendale (utenza Business): • Autenticazione: i dati sono originati dalla sorgente dichiarata • Controllo d’accesso: utenti non autorizzati non sono ammessi nella VPN • Confidenzialità: non è possibile leggere i dati che passano sulla VPN • Integrità dei dati: salvaguardia da corruzione dei dati da parte di terzi
VPN : Background • Reti private fisiche (collegamenti tra siti aziendali: dedicati) • Scarso utilizzo mezzi trasmissivi • Elevati investimenti in tecnologia e gestione • Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel) • Elevati investimenti in gestione • Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)
Classificazione VPN • Modello di comunicazione • Intraaziendale (Intranet ) • Interaziendale (Extranet) • Dial up • Modalità di trasporto informazioni • VPN Overlay • VPN Peer to Peer • Topologia • stella, doppia stella, magliata
Nessuna possibilità di comunicazione tra le due Intranet X Intranet A Intranet B Modello di comunicazione: Intranet
Modello di comunicazione: Extraaziendale Possibilità di comunicazione tra siti di Aziende diverse X Intranet A Intranet B
Rete di accesso a comm. circuito (PSTN, ISDN, GSM, ecc.) PVC/Tunnel AC Rete ISP Modello di comunicazione: Dial up Sessione PPP • AC: Access Concentrator (gestito da ISP) • NS: Net Server (gestito dal cliente) NS Sito RPV
Dial UP: il protocollo L2TP(Layer 2 Tunnel Protocol) Sessione PPP • L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F) Rete di accesso (PSTN, ISDN, GSM, ecc.) Tunnel L2TP Client lsmit Sito RPV LAC Rete ISP LNS Corporate net
Dial up: procedure Sv Autenticazione Tunnel L2TP Rete di accesso (PSTN, ISDN, GSM, ecc.) LAC LNS Rete ISP Sito RPV 1 – utente remoto inizia sessione PPP 2 – LAC accetta chiamata e identifica utente 3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS 4 – LAC autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP con utente 5 – inizia scambio dati tra utente remoto e VPN
L2PT: architettura di protocolli Tunnel L2TP LAC LNS Rete ISP Sito RPV
Connessione Virtuale Routing di livello 3 PVC/Tunnel IP Router del Cliente Router del Cliente Sito RPV Sito RPV Rete pubblica Switch Frame Relay o ATM, Router IP Modalità di trasporto: VPN Overlay • Introducono un secondo livello di rete • Gestione della rete overlay da parte del Cliente (routing, piani nume., sicurezza) • Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel • Elevato num. PVC in caso di VPN magliate • Elevato livello di sicurezza • QoS attraverso il PVC
Protocollo di Routing Router di accesso Router del Cliente Router del Cliente Rete del fornitore del servizio Sito RPV Modalità di trasporto: VPN P2P • Informazioni di routing solo con i nodi di accesso • Facilità di estensione della VPN
VPN P2P: router condivisi/dedicati Sito 1 RPV-A segregazione attraverso tabelle di routing “virtuali” collegate alle singole interfacce Router di accesso condiviso Sito 2 RPV-A RA[1] Rete del fornitore del servizio Sito RPV-B Sito 1 RPV-A RA[1] Sito 2 RPV-A segregazione attraverso separazione fisica delle tabelle di routing RT RA[2] Rete del fornitore del servizio Sito RPV-B POP Router di accesso dedicati:
Centri Stella Rete del fornitore del servizio Sito perif. 1 Sito perif. N Sito perif. 2 Topologie Intranet: Stella Centro Stella Rete del fornitore del servizio X Sito perif. 1 Sito perif. N Sito perif. 2 Non permesso lo scambio diretto del traffico tra i siti periferici Collegamenti di accesso Collegamenti virtuali X Flusso di traffico
Regione 1 Regione 2 Backbone Topologie Intranet : Maglia Topologie Intranet : Mista
VPN BGP/MPLS • Adotta una filosofia P2P RPV-B (sito 1) RPV-A (sito 3) RPV-A (sito 1) RPV-C (sito 2) RPV-A (sito 2) RPV-C (sito 1) Tabelle di routing virtuali Sessioni iBGP
Security Threats in the Network Environment To know you have security in the network environment, you want to be confident of three things: • that the person with whom you’re communicating really is that person • that no one can eavesdrop on your communication • that the communication you’ve received has not been altered in any way during transmission These three security needs, in industry terms, are: • authentication • confidentiality • integrity
Secure Virtual Private Networks:IPSec any communication passing through an IP network, including the Internet, has to use the IP protocol. So, if you secure the IP layer, you secure the network.
Protocolli IPsec • AH (Authentication Header) autenticazione, integrità • ESP (Encapsulating Security Payload) riservatezza, autenticazione, integrità • IKE (Internet Key Exchange) scambio delle chiavi
Protocollo IKE • Per utilizzare AH e/o ESP i due interlocutori devono aver prima negoziato una .security association. (SA). • La SA è un “contratto” che specifica gli algoritmi crittografici e le relative chiavi, e qualsiasi altro parametro necessario alla comunicazione sicura. • La negoziazione delle SA è compito del protocollo IKE.
ESP (Encapsulating Security Payload) • fornisce servizi di riservatezza, integrità, autenticazione e anti−replay. • ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.
ESP header Security Parameters Index (SPI) Sequence number Payload data (variable length) Padding (0-255 bytes) Authenticated Pad length Next header Encrypted Authentication data: payload (TCP + variable length data)
Il protocollo AH • AH (Authentication Header) fornisce servizi di autenticazione, integrità e anti−replay. • L’autenticazione copre praticamente l’intero pacchetto IP. • sono esclusi solo i campi variabili dell’header IP (TTL, checksum...)
AH header Pad length Next header Reserved Security Parameters Index (SPI) Sequence number Authentication data (TCP + variable length data) IP AH hdr TCP data authenticated
Sito RPV A Sito RPV A Tunnel Mode Tunnel IP Rete ISP