Wirtualne sieci prywatne

Wielkość: px

Rozpocząć pokaz od strony:

Download "Wirtualne sieci prywatne"

Józef Matuszewski
8 lat temu
Przeglądów:

Rozdzia l 7 Wirtualne sieci prywatne Contents 7.1 Wirtualne sieci prywatne.................... 135 7.1.1 Przegl ad.............................. 137 7.2 Przyk ladowa implementacja VPN w Linuxie.

1 Rozdzia l 7 Wirtualne sieci prywatne Contents 7.1 Wirtualne sieci prywatne Przegl ad Przyk ladowa implementacja VPN w Linuxie Wirtualne sieci prywatne VPN wykorzytuje Internet zapewniajac bezpieczeństwo. Zwykle sk lada z centralnego wez la i szeregu zewnetrznych reprezentujacych biura czy pracowników w domu. Wszyscy sa po l aczeni przez bezpieczne tunelowane po l aczenie. Router klienta pobiera informacje z lokalnej podsieci, opakowuje ja i wstawia do tunelu gdzie jest przesyw lana do routera serwera i odpakowywana. I wszystko wyglada tak, jak byśmy nigdy nie opuszczali naszej lokalnej sieci. By zaimplementować VPN, można skonfigurować odpowiednio firewall. VPN ma szczególne zastosowanie w implementacji rozleg lej sieci formowej z odleg lymi oddzia lami, pracownikami pracujacymi w domu, i z pracownikami w podróży. Przyk ladowe architektury to 7.1 i 7.2. Rysunek 7.1: Tunel VPN mi edzy dwoma sieciami (Cisco) Rysunek 7.2: Tunel VPN miedzy siecia a hostem (Cisco) VPN wykorzystuje kodowanie na poziomie warstwy sieciowej albo warstwy danych dla stworzenia kana lu miedzy dwoma końcówkami. Protoko lami mo ga być 135

Wszyscy sa po l aczeni przez bezpieczne tunelowane po l aczenie.

2 136 Wirtualne sieci prywatne \ \ ) ) Remote Client \ Internet \ Server Private Network Router ) ) Router Network \ \ ) ) Client Router (-> / \ Remote --> / > Tunnel >---\ Network > > / ) > Internet \-----> / > IP Masquerade >---) Server Router /-> / \ (--> Tunnel >-- --> / > Private Internet >-- -- \--> / ) Network /12 \-----> / > /dev/null /16 IPSec (IP Security) to zestaw standardów obs lugujacych szyfrowanie, autoryzacje, zapewnienie integralności danych, przy czym jest dość efektywne L2TP (Layer 2 Tunelling protocol) tunelujacy dane na poziomie warstwy danych (warstwa 2), zwykle wykorzystywany do po l aczeń typu Point to Point PPTP (Point To Point Tunelling Protocol) pozwala na tworzenie tuneli poprzez odleg le sieci; jest rozwiazaniem ukierunkowanym w strone klienta (na przyk lad klienci mobilni), inaczej niż IPSec, a także nie jest ograniczone dla IP, lecz potrafi przesy lać pakiety innych standardów, np. IPX Zapora sieciowa musi obs lugiwać odpowiednie dla VPN protoko ly: IPSec(patrz 8.1, str. 141), L2TP. Router klienta (Client Router) dzia la jako gateway i zapora ogniowa (firewall) odleg lej sieci. Podstawowa idea to routowanie wszystkich pakietów do lokalnych sieci przez tunel. Lokalne sieci wykorzystuja nieroutowalne adresy. Komunikacja niekoniecznie jest dwukierunkowa możliwe jest, że odleg las ieć widzi prywatna sieć, ale jednocześnie prywatna sieć nie musi mieć dostepu do odleg lej. By tak by lo trzeba zadeklarować komunikacje jako dwukierunkowa. Widać też wyraźnie, że wychodzace z routera klienta pakiety dziela jeden adres IP. Maskarada IP oznacza, że komputery do laczone do hosta z w l aczon a maskarada też maja dostep do Internetu mimo, że same nie maja przypisanych adresów IP. Maskarada przypomina odwzorowanie jeden-do-wielu (1:many) w translacji NAT (patrz 6.6.4, str.115). Dla innych hostów te wykorzystujace maskarade wygladaj a tak, jak gdyby wykorzystywa ly ten sam adres IP. Przy dobrej konfiguracji zapory zwieksza to bezpieczeństwo.

$16.0.0/255.240.0.0 -- ----> Private Internet >-- -- \--> 192.168.0.0/255.255.0.0 ) Network 172.16.0.0/12 \-----> 0.0.0.0/0.0.0.0 -----> /dev/null 192.168.0.0/16 IPSec (IP Security) to zestaw$

3 7.1 Wirtualne sieci prywatne Przegl ad Rysunek 7.3: Logiczna konfiguracja VPN (Microsoft) VPN to rozwiniecie prywatnej sieci przez sieci publiczne w Internecie pozwalajace na przesy lanie danych i dzielenie zasobów przez Internet tak, jak gdybyśmy korzystali z prywatnych po l aczeń. Dla emulacji po l aczenia punkt punkt (ang. point-to-point) kaźdy pakiet jest opakowywany (enkapsulacja) z dodaniem nag lówka zapewniajacym informacje o routingu. Dodatkowo dla zachowania prywatności dane sa kodowane. Koncepcje VPN widać na rysunku 7.3 Po l aczenie (patrz rysunek 7.4) VPN sk lada z servera vpn przyjmujacego po l aczenia od klientów vpn klienta vpn inicjujacego z serwerem; może nim być host zdobywajacy vpn typu router to router. Może to być zaimplementowane przez szereg protoko lów i us lug; może to być jakiś protokó l tunelujacy typu punkt punkt (PPTP Point to Point Tunneling Protocol) czy klient L2TP (Layer 2 Tunneling Protocol) wykorzystujacy IPSec tunel l acz acy vpn w którym dane sa zakodowane (jeśli dane nie sa kodowane, to nie jest to uznawane za vpn, chociaż w laściwie dlaczego?) Po l aczenie router to router oznacza miedzy klientem (routerem) vpn a serwerem (także traktowanym jako router) vpn. Hosty korzystajace z po l aczenia sa w jakiś sposób po l aczone z jednym z końców po l aczenia. Podstawowe cechy vpn wykorzystujacego PPTP i L2PT oraz IPSec to enkapsulacja czyli opkaowanie pakietów by mog ly przechodzić przez Internet autoryzacja wzajemna klienta i serwera vpn jest konieczna dla nawiazania po l aczenia kodowanie danych dla zapewnienia ukrycia (confidentiality) danych sa one kodowane przez serwer i klienta opierajacych na znajomości wspólnego klucza przypisanie adresów i nazw serwera w trakcie konfiguracji serwera, tworzony jest wirtualny interfejs z którym tworzone bed a wszystkie po l aczenia; gdy klient nawiazuje po l aczenie, tworzony jest interfejs klienta i ten l aczy z interfejsem serwera przez point-to-point. Każdy z interfejsów musi mieć przypisany adres IP przez serwer VPN domyślnie serwer dostaje w lasny IP, a klient przez DHCP Pojedynczy klient może sie, zamiast wykonywać odleg le po l aczenie, po l aczyć z lokalnym ISP i stamtad wykonać po l acznie przez klienta vpn.

korzystali z prywatnych po l aczeń. Dla emulacji po l aczenia punkt punkt (ang. point-to-point) kaźdy pakiet jest opakowywany (enkapsulacja) z dodaniem nag lówka zapewniajacym informacje o routingu.

4 138 Wirtualne sieci prywatne Rysunek 7.4: Elementy po l aczenia VPN (Microsoft) Rysunek 7.5: Odleg le pojedynczego klienta i sieci z vpn (Microsoft)

5 7.2 Przyk ladowa implementacja VPN w Linuxie Przyk ladowa implementacja VPN w Linuxie Do implementacji tunelowania wykorzytywany bedzie ssh, a nastepnie pppd do przesy lania przez tunel wszystkich pakietów. Dzieki aplikacji pppd bedzie komunikowa l z ssh tak jak gdyby przez l acze szeregowe. Po stronie serwera pppd jest wykorzystywane do uruchamiania pow lok klientów. Potrzebne jest tylko routowanie. Podstawowa jest możliwość realizacji protoko lów PPTP to protokó l Microsoftu dla VPN IPSec Bezpieczeństwo IP CIPE

przez tunel wszystkich pakietów. Dzieki aplikacji pppd bedzie komunikowa l z ssh tak jak gdyby przez l acze szeregowe.

6 140 Wirtualne sieci prywatne

Podobne dokumenty

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,