EFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU POUFNOŚCI DANYCH W SIECIACH KOMPUTEROWYCH

Transkrypt

1 RADOSŁAW WIELEMBOREK DARIUSZ LASKOWSKI Wydział Elektroniki i Telekomunikacji Wojskowa Akademia Techniczna w Warszawie EFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU POUFNOŚCI DANYCH W SIECIACH KOMPUTEROWYCH Streszczenie: Dane przesyłane przez sieć publiczną narażone są na niepowołany dostęp z zewnątrz i wyciek prywatnych informacji. Ważne jest, aby ich bezpieczeństwo było możliwie jak największe przy optymalizacji działań ograniczających użytkownika. W tym celu między oddziałami organizacji (filiami korporacji) wykorzystywane są wirtualne sieci prywatne (VPN). Obecnie coraz częściej implementuje się ich kolejną wersję zwaną DMVPN wprowadzającą wiele udogodnień. Dlatego też w artykule zostanie przedstawiona ocena efektywności techniki DMVPN dla usług przesyłu danych z wykorzystaniem komercyjnych i open source-owych mechanizmów. Słowa kluczowe: DMVPN, kanał wirtualny, NHRP, GRE, poufność 1. Tunele VPN i DMVPN W większości przedsiębiorstw używane topologie sieci bazują na łączeniu zdalnych oddziałów firm (na przykład pracowników mobilnych) z oddziałem centralnym (na przykład serwerem danych czy określonych usług). Nierzadko też potrzebna jest łączność między oddziałami zdalnymi w celu wymiany informacji. Połączenia takie najczęściej zestawiane są za pośrednictwem publicznej sieci Internet. W celu zwiększenia bezpieczeństwa najczęściej używanym protokołem jest IPSec pozwalający na tworzenie bezpiecznych, szyfrowanych połączeń pomiędzy punktami końcowymi transmisji. Jednak ma on pewne ograniczenia.

2 124 Radosław Wielemborek, Dariusz Laskowski Tworzone przez niego tunele mogą być tylko typu point-to-point. Rozwiązaniem tego problemu jest łączenie tuneli IPSec w topologie Hub & Spoke lub full/partial mesh. Topologia full meshed VPN pozwala na bezpośrednie zestawianie tuneli VPN między wszystkimi urządzeniami VPN. Jednak technika ta sprawdza się tylko w mniejszych sieciach, gdzie liczba tuneli VPN jest mała. Konfiguracja wszystkich połączeń w większych sieciach byłaby niepraktyczna. W topologii Hub & Spoke, gdzie węzeł centralny pośredniczy w zestawianiu tuneli dla innych urządzeń VPN, konfigurowanie i zestawianie bezpośrednich połączeń ze wszystkimi urządzeniami VPN przy dużej liczbie tuneli VPN jest również mało efektywne. Natomiast podstawowym problemem występującym w topologiach VPN wykorzystujących IPSec jest brak możliwości wykorzystania protokołów dynamicznego routingu ze względu na to, że korzystają one z komunikacji multicastowej lub broadcastowej a protokół IPSec nie umożliwia przenoszenia takich pakietów. Problemy te rozwiązano przez użycie protokołu GRE w połączeniu z tunelami IPSec. Protokół ten wymaga statycznej adresacji końców tunelu oraz istnienia routingu pomiędzy punktami końcowymi. W dużych sieciach konfiguracja węzła centralnego byłaby bardzo długa i skomplikowana, dlatego też stosowane są topologie full mesh w połączeniach bezpośrednich pomiędzy oddziałami Spoke. DMVPN łączy zalety protokołu GRE z NHRP. Wiąże się z tym wiele zalet. Technika ta zapewnia uzyskanie większej skalowalności i elastyczności działania sieci VPN IPSec. Rys. 1. Topologia Hub & Spoke [3] Minimalizowany jest rozmiar konfiguracji routerów koncentrujących ruch z wielu lokalizacji. Szyfrowanie między routerami, które początkowo nic

3 Efektywność techniki DMVPN w zapewnianiu poufności danych 125 o sobie nie wiedzą, następuje automatycznie. DMVPN umożliwia także zestawianie połączeń z routerami, którym adres IP został nadany dynamicznie przez DHCP, co jest niewątpliwym uproszczeniem. W konfiguracji podstawowej pokazanej na rysunku poniżej można wyróżnić węzeł centralny Hub i oddziały zdalne Spoke. Każdy oddział zdalny posiada stałe połączenie z oddziałem centralnym za pomocą statycznego tunelu IPSec. Każdy z routerów typu Spoke rejestruje się jako klient do serwera NHRP. Gdy wystąpi komunikacja z jednego oddziału zdalnego do innego, wtedy router w oddziale źródłowym wysyła zapytanie do serwera NHRP (Hub) o rzeczywisty adres IP oddziału docelowego. Po odpowiedzi serwera może zostać zestawiony bezpośredni tunel IPSec pomiędzy tymi oddziałami zdalnymi z pominięciem urządzenia centralnego. Jest to możliwe, gdy istnieją odpowiednie wpisy w tablicy routingu oraz tablicy mapowania NHRP. DMVPN wspiera ruch multicastowy obsługiwany przez protokół GRE jak i protokoły routingu dynamicznego. Aby możliwe było zestawienie bezpośredniego tunelu między oddziałami Spoke-to-Spoke, konieczne jest wykorzystanie protokołu Multipoint-GRE. Protokoły routingu dynamicznego działają w tunelach GRE pomiędzy oddziałem centralnym (router Hub) a filiami (routery Spoke). Dzięki aktualizacjom protokołu routingu dynamicznego wysyłanym przez urządzenie centralne Hub, urządzenia typu Spoke uzyskują informacje o topologii poszczególnych sieci LAN we wszystkich oddziałach oraz w centrali. Protokoły dynamicznego routingu nie działają bezpośrednio między oddziałami, lecz zawsze poprzez urządzenia centralne typu Hub. Wykorzystywanymi protokołami routingu dynamicznego w topologiach DMVPN są OSPF, BGP oraz RIP. Protokół NHRP zapewnia urządzeniu typu Spoke możliwość dynamicznego uzyskiwania informacji o rzeczywistych adresach interfejsów innych oddziałów. Oznacza to, że każdy router oddziałowy może dynamicznie uzyskać informację, wystarczającą do zestawienia bezpośredniego tunelu IPSec z innym oddziałem Spoke. Jest to możliwe dzięki współpracy protokołów routingu dynamicznego, mapowania oraz rozwiązywaniu adresów interfejsów tuneli do rzeczywistych adresów interfejsów fizycznych (NHRP). Technologia DMVPN umożliwia łączenie węzłów IPSec z adresami IP przydzielanymi dynamicznie. DMVPN obsługuje także funkcję dzielonego tunelowania (ang. split tunneling) dla Spoke, co oznacza jednoczesne kierowanie nieszyfrowanych pakietów do Internetu i zaszyfrowanych przez tunel IPSec. Konfiguracja każdego z węzłów typu Spoke jest bardzo podobna. Jedyną różnicą jest adres IP lokalnego interfejsu. Pozwala to na łatwą i szybką konfigurację węzłów używając tego samego wzorca oraz dodawanie nowych urządzeń do istniejącej topologii DMVPN. Dla nowego oddziału typu Spoke, należy wykonać podstawową konfigurację jak dla

4 126 Radosław Wielemborek, Dariusz Laskowski każdego węzła oraz dodać informacje konieczne dla autoryzacji ISAKMP nowego oddziału w konfiguracji urządzenia centralnego. Protokół dynamicznego routingu roześle informację o nowej sieci docelowej do wszystkich urządzeń końcowych. Technologia DMVPN znacznie zmniejsza rozmiar pliku konfiguracyjnego w każdym węźle sieci VPN. Oprócz opisanych powyżej zalet techniki DMVPN warto również wspomnieć o niezmiennej konfiguracji węzła Hub przy dołączaniu nowych urządzeń Spoke. DMVPN umożliwia także łączenie węzłów IPSec z adresami IP przydzielanymi dynamicznie a także rozgraniczenie ruchu polegające na jednoczesnym kierowaniu nieszyfrowanych pakietów do Internetu i zaszyfrowanych przez tunel IPSec. W celu zapewnienia odporności na awarie, typowa topologia Hub & Spoke sieci DMVPN może zostać rozszerzona o dodatkowe urządzenia centralne typu Hub lub kolejne sieci DMVPN bazujące na łączach innego operatora ISP. W pierwszym przypadku, z kilkoma urządzeniami typu Hub, każde urządzenie typu Spoke używa pojedynczego tunelu mgre wskazującego na kilka urządzeń typu Hub nazywane NHS (ang. Next-Hop-Server). Urządzenia centralne także używają pojedynczych tuneli mgre. W przypadku dwóch sieci DMVPN każde z urządzeń Spoke posiada po dwa tunele mgre, przy czym każdy tunel GRE jest połączony z innym urządzeniem typu Hub. Hub'y używają po jednym tunelu mgre [3]. 2. Koncepcja środowiska badawczego Środowisko testowe techniki DMVPN swoim zakresem obejmuje szeroką tematykę poczynając od różnorodnych urządzeń sieciowych przez media transmisyjne po mechanizmy konfiguracji sieci takie jak protokoły routingu czy tunele VPN. Urządzeniami użytymi do realizacji środowiska badawczego były urządzenia sieciowe: Access Point Drytek Vigor 2930n, routery Cisco 1812, 2811, 2951, firewalle Cisco ASA 5515, LANForge Fire i ICE, serwery HP DL380 oraz switche. Do platformy programowej można zaliczyć: LANforge Manager, Wireshark, JPerf oraz CCP. W badaniu wykorzystana została platforma LANForge, włączona w sieci szkieletowej, jako emulator ruchu sieciowego pozwalający na możliwie jak najdokładniejsze odwzorowanie rzeczywistych warunków występujących w sieciach teleinformatycznych poprzez dowolną regulację parametrów sieciowych. Efektywność i jakość usługi DMVPN badana była na podstawie określenia wpływu zmiany opóźnienia i straty pakietów na przepływność sieci w po-

5 Efektywność techniki DMVPN w zapewnianiu poufności danych 127 równaniu ze zwykłą siecią teleinformatyczną LAN (czyli bez mechanizmów bezpieczeństwa). Pożądany rodzaj ruchu sieciowego generowany był przez program JPerf zainstalowany na urządzeniach końcowych sieci (PC1 oraz Serwerze). Natomiast ruch sieciowy zbierany był przez analizator protokołów Wireshark zainstalowany na komputerze PC3 podłączonym do sieci przez koncentrator. Topologia testowanej sieci przedstawiona została na poniższym rysunku. Rys. 2. Testbed badania wydajności techniki DMVPN Warto wspomnieć, że żaden z pomiarów nie był wolny od wpływu czynników zniekształcających wyniki badań. Na sieć miały wpływ jakość instalacji kablowej, błędy wynikające z długotrwałego działania urządzeń, obciążenie sieci ruchem IP oraz zakłócenia od wszystkich innych pracujących urządzeń. Wpływ wyżej wymienionych czynników na wyniki badań był znikomy i oddziaływał na wszystkie pomiary w równym stopniu. 3. Testy wydajnościowe sieci Testowanie sieci odbywało się poprzez przesłanie przez sieć 1000 pakietów o wielkości 256 kb. Testy te były wykonane dla sieci podstawowej oraz techni-

6 128 Radosław Wielemborek, Dariusz Laskowski ki DMVPN z użyciem algorytmów szyfrujących DES, 3DES i AES256. Wyniki testu zostały przedstawione w poniższej tabeli oraz wykresie. Tab. 1. Przepływność jednostki strumienia danych dla 1000 pakietów wielkości 256 kb Interval [sec] Bez DMVPN DMVPN AES256 DMVPN 3DES DMVPN DES Bandwidth [Mbits/sec] 1 88,1 86,0 88,1 92,7 2 90,2 88,1 88,1 87,9 3 90,2 90,2 90,2 90,7 4 91,8 91,8 90,2 90,0 5 90,7 88,6 88,1 87,9 6 90,2 89,6 88,1 88,7 7 90,2 88,6 90,2 89,5 8 90,2 90,1 90,2 88,2 9 90,2 90,2 88,0 90, ,1 88,1 88,1 87, ,2 90,2 90,1 88, ,2 90,2 90,2 88, ,2 90,2 88,1 88, ,8 90,2 90,2 87, ,7 90,2 88,1 89, ,2 88,1 90,2 88, ,2 90,2 88,1 89, ,2 90,2 88,1 89, ,2 88,0 90,2 89, ,2 88,1 90,2 88, ,2 90,1 88,1 88,3 Sieć LAN po uruchomieniu techniki DMVPN przy wykorzystaniu któregokolwiek algorytmu szyfrowania charakteryzowała się niższą przepływnością. Przyczyną tego są zachodzące w niej procesy zabezpieczania strumienia danych protokołem IPSec. Dane wysyłane są od stacji nadawczej do stacji odbiorczej. Na drodze tej pakiety najpierw natrafiają na router Spoke 1. W routerze tym pakiety danych są enkapsulowane przy użyciu protokołu mgre, aby umożliwić protokołowi IPSec zabezpieczenie poprzez szyfrowanie przesyłanych pakietów, gdyż protokół ten nie obsługuje ruchu multicastowego. Użytymi protokołami

7 Efektywność techniki DMVPN w zapewnianiu poufności danych 129 były DES, 3DES oraz AES z 256 bitowym kluczem. Następnie tak zaszyfrowane pakiety trafiają do routera Hub, który przeprowadza te same czynności w odwrotnej kolejności a następnie rozszyfrowane pakiety docierają do miejsca przeznaczenia. Procesy związane z zestawianiem tunelu DMVPN i przygotowywaniem pakietów do przejścia przez sieć (wyżej wspomniana szyfracja i enkapsulacja) wykonywane są w routerach z włączoną techniką DMVPN (Hub i Spoke i). Sprawia to, że routery te muszą poświęcić część swojej mocy obliczeniowej na te procesy. Może to też powodować spadki przepływności i zwiększenie strat pakietów związanych z wykonywaniem przez te routerów również innych procesów. Rys. 3. Wykres przepływności jednostki strumienia danych 1000 pakietów wielkości 256 kb Z powyższych zestawień widać, że sieć z zaimplementowaną techniką DMVPN z algorytmem szyfrowania AES 256 charakteryzuje się najwyższą średnią przepływnością. Wadą natomiast są duże zmienności wahające się od 86 Mb/s do 91,8 Mb/s dla 1000 pakietów o wielkości 256 kb. Niższą średnią charakteryzują się natomiast algorytmy DES i 3DES, ale za to stałość wartości przepływności przez nieoferowanych jest wyższa (wynosi ona 2,2 dla 3DES oraz 3,3 dla DES przy 5,8 dla AES256). W stosunku do zwykłej sieci LAN najlepiej, więc wypada technika DMVPN z wykorzystaniem szyfrowania AES

8 130 Radosław Wielemborek, Dariusz Laskowski z 256 bitową długością klucza. Jest ona gorsza od zwykłej sieci LAN zaledwie o około 0,8% dla przesyłania 1000 pakietów wielkości 256 kb. Jednak różnice te w porównaniu do zwykłej sieci LAN są tak niewielkie, że użytkownik w żaden sposób nie będzie w stanie odczuć niedogodności w pracy z tunelem czy bez niego. Wielkości te zgodnie z teorią mogą wynosić nawet do 10%, więc otrzymane wyniki z nawiązką mieszczą się w danych teoretycznych. Wprowadzenie techniki DMVPN w niewielkim stopniu wydłuża proces otrzymywania pożądanych danych w stacji końcowej, ale nie sprawia to problemu, gdyż wielkości te są za małe by być odczuwalnymi. W celu dokładniejszego zbadania wydajności sieci z techniką DMVPN przeprowadzono drugi test polegający na zbadaniu przepływności sieci między klientem PC1 a serwerem znajdującym się w domenie serwerowej w warunkach narastającej wartości opóźnienia generowanej przez urządzenia LANForge. Badanie polegało na przesłaniu 250 MB danych przez sieć oraz wyciągnięciu średniej ze wszystkich próbek przepływności pobieranych, co sekundę w sieci z różnymi tunelami i bez niego. Wyniki pomiarów przedstawione zostały poniżej. Tab. 2. Przepływności w funkcji zmiany opóźnienia Opóźnienie [ms] C [Mb/s] bez DMVPN DMVPN AES256 DMVPN 3DES DMVPN DES 10 43,7 42,0 42,2 42, ,0 41,8 42,1 42, ,5 40,9 41,9 41, ,3 41,1 41,8 41, ,8 41,4 40,4 40, ,9 40,8 37,1 37, ,3 29,1 36,1 36, ,9 20,2 38,2 38, ,9 17,6 38,7 28,9 Z rysunku 4 wynika, iż sieć LAN z zaimplementowaną techniką DMVPN jest bardziej podatna na zwiększające się wartości opóźnienia. Do opóźnienia wynoszącego około 80 ms różnice te są praktyczne niezauważalne (strata maksymalnie 2 Mb/s). Powyżej tej wartości odnotowano ogromny spadek wartości przepływności dla tunelu DMVPN z algorytmem szyfrowania AES256. Pozostałe algorytmy wypadły lepiej gdyż spadek przepływności w całym zakresie wykonanych pomiarów (wybrane wartości opóźnienia od 10 do 200 ms) nie był większy niż 2 Mb/s.

9 Efektywność techniki DMVPN w zapewnianiu poufności danych 131 Rys. 4. Wykres przepływności jednostki strumienia danych w funkcji opóźnienia Warto dodać, że występujące w sieci publicznej opóźnienia nie osiągają wartości powyżej 80 ms. Średnie ich wielkości mieszczą się w 30 ms. Oznacza to, że praca z tunelem i wykorzystaniem któregokolwiek algorytmu szyfrowania nie nastręczy żadnych trudności użytkownikowi, gdyż występująca 2% różnica w przepływności dla wszystkich testowanych algorytmów szyfrowania dla opóźnień do 80 ms w porównaniu do zwykłej sieci LAN jest niezauważalna. W rzeczywistych warunkach sieciowych - gdy dąży się do zapewnienia jak najlepszych warunków użytkowania sieci, wpływ DMVPN jest zupełnie niezauważalny, a zapewniane przez niego poziom bezpieczeństwa i skalowalność w dowolnych warunkach sieciowych są wyższe niż dla zwykłej sieci LAN. 4. Wnioski Celem artykułu było zbadanie istoty działania dynamicznych skalowalnych sieci VPN oraz analizy poufności przesyłanych za ich pomocą danych w sieciach szkieletowych o stosie protokołów TCP/IP.

10 132 Radosław Wielemborek, Dariusz Laskowski W niniejszej publikacji zostało opisane rozwiązanie sieci DMVPN typu Hub and Spoke, gdzie tunele są zestawiane na drodze Spoke- Hub. Tryb ten powoduje, że Hub- węzeł centralny jest w pełni funkcjonalnym nadzorcą i pośrednikiem w każdej transmisji danych. W celu oceny wpływu dynamicznych skalowalnych wirtualnych sieci prywatnych na jakość połączenia dokonano próby transmisji danych poprzez tunel IPSec z wykorzystaniem platformy LANForge jako emulatora rzeczywistych warunków sieciowych. Dane przedstawione w punkcie poprzednim dotyczącym analizy badawczej świadczą o minimalnym, praktycznie niezauważalnym wpływie tej techniki na czas otrzymania danych. Technika DMVPN w żaden zauważalny sposób nie utrudnia pracy zwykłemu użytkownikowi, jest przez niego niezauważalna. Podsumowując technika DMVPN jest bardzo dobrym i wygodnym rozwiązaniem dla dużych firm, gdzie mobilność pracowników i bezpieczeństwo danych odgrywają główne role. Przez charakter działania technika ta daje możliwość bezpiecznej transmisji danych nie zmuszając do utrzymywania ciągle aktywnych zwykłych połączeń VPN a dzięki dostępności oprogramowania CCP każdy jest w stanie szybko i skutecznie ustanowić takie połączenia nawet w domowych warunkach. Literatura 1. Kabaciński W., Żal M.: Sieci telekomunikacyjne; WKŁ, Warszawa, H. Osterloh: Szkoła programowania TCP/IP; Helion, Gliwice,