BADANIE BEZPIECZEŃSTWA ZABEZPIECZONEJ USŁUGI MPLS VPN O ZESTAW PROTOKOŁÓW IPSEC



Podobne dokumenty
SPECYFIKACJA TECHNIKI MPLS VPN W ŚRODOWISKU SPRZĘTOWYM I SYMULACYJNYM

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Zdalne logowanie do serwerów

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Zastosowania PKI dla wirtualnych sieci prywatnych

Systemy bezpieczeństwa sieciowego

ISP od strony technicznej. Fryderyk Raczyk

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Wprowadzenie do MPLS*

Konfiguracja aplikacji ZyXEL Remote Security Client:

Institute of Telecommunications. koniec wykładu VIII.

Bezpieczeństwo systemów informatycznych

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

12. Wirtualne sieci prywatne (VPN)

ZiMSK. Konsola, TELNET, SSH 1

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Instrukcja do laboratorium 1. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Instrukcja do laboratorium 1

Wykład 3: Internet i routing globalny. A. Kisiel, Internet i routing globalny

IPsec bezpieczeństwo sieci komputerowych

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Sieci VPN SSL czy IPSec?

Materiały przygotowawcze do laboratorium

Protokół IPsec. Patryk Czarnik

Wprowadzenie do technologii VPN

Tworzenie połączeń VPN.

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Laboratorium nr 6 VPN i PKI

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Badanie bezpieczeństwa IPv6

Bezpieczeństwo Systemów Sieciowych

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Laboratorium nr 4 Sieci VPN

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

RUTERY. Dr inŝ. Małgorzata Langer

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Instrukcja do laboratorium 2. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Laboratorium nr 5 Sieci VPN

Konfiguracja WDS na module SCALANCE W Wstęp

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

ZiMSK. VLAN, trunk, intervlan-routing 1

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

VPN IPSec LAN-LAN pomiędzy routerami serii: Vigor 2700 oraz Vigor 2910

Protokoły zdalnego logowania Telnet i SSH

1. Wstęp. Wizualizacja połączenia

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

PBS. Wykład Routing dynamiczny OSPF EIGRP 2. Rozwiązywanie problemów z obsługą routingu.

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6

Protokół IPX (Internetwork Packet Exchange)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Bezpieczne protokoły Główne zagadnienia wykładu

Sklejanie VPN (różnych typów)

8. Tunele wirtualne VPN

Sieci wirtualne VLAN cz. I

Bezpieczeństwo systemów komputerowych

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Uproszczenie mechanizmów przekazywania pakietów w ruterach

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

BRINET Sp. z o. o.

Problemy z bezpieczeństwem w sieci lokalnej

PORADNIKI. Routery i Sieci

Badanie tunelowania. lp wykonawca grupa (g) 1. Grzegorz Pol 2. Michał Grzybowski 3 3. Artur Mazur

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Podstawy Secure Sockets Layer

SSL (Secure Socket Layer)

SMB protokół udostępniania plików i drukarek

Stos TCP/IP. Warstwa aplikacji cz.2

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Załącznik nr 1 do SIWZ. Numer sprawy: DO-DZP

Technologie sieciowe nazwa przedmiotu SYLABUS A. Informacje ogólne

EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH

Transkrypt:

MARCIN PÓLKOWSKI polkowski.marcin@gmail.com DARIUSZ LASKOWSKI dlaskowski@wat.edu.pl Wydział Elektroniki, Instytut Telekomunikacji Wojskowa Akademia Techniczna w Warszawie BADANIE BEZPIECZEŃSTWA ZABEZPIECZONEJ USŁUGI MPLS VPN O ZESTAW PROTOKOŁÓW IPSEC Streszczenie: W dobie rozkwitu Internetu etykietowanie pakietów w sieciach szkieletowych dostawców usług przy pomocy techniki MPLS (Multiprotocol Label Switching) stało się podstawą. Skalowalność sieci jak zapewnianie gwarancji jakości usług QoS stało się wymogiem, któremu tradycyjne rozwiązania oparte na IP (Internet Protocol) nie były w stanie sprostać. Wraz ze swoim rozwojem technika MPLS znalazła kolejne zastosowanie tworzenie wirtualnych sieci prywatnych (Virtual Private Network VPN). Usługa MPLS VPN należy do zaufanych (Trusted VPN). Oznacza to, że dostawca usług odpowiada za uniemożliwienie dostępu do wirtualnych łącz osobom postronnym. Często jednak występuje potrzeba dodatkowego zabezpieczenia przesyłanych danych, np. poprzez ich szyfrowanie. Do tego celu można zastosować zestaw protokołów IPsec (IP Security) lub SSL (Secure Socket Layer). Słowa kluczowe: bezpieczeństwo, Internet, VPN, Ipsec 1. Protokoły szyfrujące stosowane w wirtualnych sieciach prywatnych Z punktu widzenia bezpieczeństwa usługi VPN możemy podzielić na trzy kategorie: bezpieczne, zaufane i hybrydowe. W bezpiecznych usługach ruch prywatny jest szyfrowany przed wejściem do sieci publicznej i deszyfrowany na wyjściu. Zastosowanie odpowiednio silnych algorytmów szyfrujących zapewnia

108 Marcin Pólkowski, Dariusz Laskowski zabezpieczenie przed odczytaniem przesyłanych informacji. Zaufane VPN opierają się na zapewnieniu klienta przez dostawcę usług o nienaruszalności i integralności wydzierżawionych wirtualnych łącz. Wielką zaletą tego rozwiązania jest zachowanie wewnętrznej adresacji przez użytkownika. Hybrydowe VPN polegają szyfrowaniu ruchu wewnątrz wydzierżawionych wirtualnych łącz. Do tej kategorii należą tunele IPsec wewnątrz tunelów MPLS VPN (IPsec over MPLS VPN). Do tworzenia szyfrowanych połączeń stosuje się dwa podejścia: IPsec w warstwie sieciowej i SSL w warstwie aplikacji. Rys. 1. Schemat IPsec VPN IPSec jest zbiorem protokołów zapewniających poufność, integralność danych oraz autentykację pomiędzy użytkownikami. IPSec dostarcza usługi bezpieczeństwa w warstwie 3 (IP Layer), korzystając z IKE (Internet Key Exchange) do negocjacji rodzaju protokołui algorytmów szyfrowania danych oraz do szyfrowania i uwierzytelniania kluczy. Protokół IPSec posiada dwa tryby pracy: tunelowy i transportowy. Tryb tunelowy jest podstawowym trybem. Zazwyczaj jest używany do ochrony ruchu pomiędzy bramami (gateway to gateway), pomiędzy użytkownikiem a bramą (host to gateway) lub opcjonalnie pomiędzy dwoma hostami. W tym trybie szyfrowany jest cały pakiet IP i dodawany jest nowy nagłówek IP. Sesja IPSec Tunnel Mode jest zestawiana pomiędzy klientem VPN a bramą VPN. W trybie transportowym szyfrowane są wyłącznie dane przesyłane w pakiecie.

Badanie bezpieczeństwa zabezpieczonej usługi MPLS VPN 109 Wykorzystanie SSL 3.0 do implementacji SSL VPN (zwanego WebVPN) wspiera zdalny dostęp do zasobów sieciowych przedsiębiorstwa. Dostęp ten jest realizowany przez bramę SSL VPN, która pozwala na zestawienie zabezpieczonego połączenia (tunelu) przy pomocy przeglądarki internetowej. Główną zaletą tego rozwiązania jest łatwy dostęp do zasobów bez potrzeby instalowania specjalnego oprogramowania. Bezpieczeństwo danych wprowadzanych przez przeglądarkę jest zapewniane przez protokół HTTPS szyfrowana wersja protokołu HTTP. Rys. 2. Schemat SSL VPN 2. Implementacja zabezpieczonej usługi MPLS VPN Przedmiotem badań była sieć laboratoryjne złożona z pięciu routerów imitujących sieć szkieletową dostawcy usług oraz czterech routerów klientów. Konfiguracja sprzętu odbyła się za pomocą emulatora terminala PuTTy (MPLS) oraz środowiska graficznego Cisco Configuration Professional (IPsec). Całość konfiguracji została podzielona na kilka etapów: adresacja interfejsów (Gigabit Ethernet i Loopback), konfiguracja protokołu routingu OSPFv3 (Open Shortest Path First), MPLS, MPLS VPN VRF i MP-BGP na routerach brzegowych dostawcy PE (Provider Edge), Tunel IPsec pomiędzy odpowiednimi lokalizacjami VPN.

110 Marcin Pólkowski, Dariusz Laskowski Rys. 3. Schemat badanej sieci Do konfiguracji interfejsów wykorzystano adresy IP z maską 30 bitową, co pozwoliło na ograniczenia wykorzystanej przestrzeni adresowej do minimum. Każdy z routerów dostawcy usług otrzymał również adres pętli zwrotnej (Looback), który w późniejszym etapie konfiguracji został ustawiony jako numer ID każdego z urządzeń. Router-ID jest to identyfikator routera w sieci MPLS, którym posługuje się protokół dystrybucji etykiet (np. LDP Label Distribution Protocol) i protokół routingu MP-BGP (Multiprotocol Border Gateway Protocol). Konfiguracja techniki MPLS polegała na uruchomieniu szybkiego przełączania CEF (Cisco Express Forwarding). Następnie po podaniu globalnej komendy mpls ip i wybraniu protokołu dystrybucji etykiet (w tym przypadku LDP) należało uruchomić MPLS na odpowiednich interfejsach. Po uruchomieniu MPLS w sieci szkieletowej, zadeklarowano na routerach brzegowych PE tablice VRF oraz routing MP-BGP, który odpowiadał za dystrybucję prefixów sieci MPLS VPN. Tablice VRF separują ruch pomiędzy dwoma sieciami prywatnymi podłączonymi do jednego routera brzegowego (VPN1 i VPN2) na podstawie unikalnych prefixów dodawanych do pakietów IP RD (Route Distinguisher). W projekcie przyjęto następujący schemat RD pierwszy człon oznacza ID routera, na którym jest utworzona tablica VRF, natomiast drugi symbolizuje numer sieci VPN (ip_loopback0_routera:nr_vpn). Dzięki nim każda z VPN może zachować własną adresację, nawet jeśli teoretycznie koliduje z innymi adresacjami już

Badanie bezpieczeństwa zabezpieczonej usługi MPLS VPN 111 wykorzystanymi w sieci. Za to, które pakiety mają zostać wpuszczone do danego VPN odpowiada parametr RT (Route Target). ip vrf Customer_1 rd 10.10.1.1:1 route-target export 10.10.1.1:1 route-target import 10.10.1.2:1 exit router bgp 1 bgp log-neighbor-changes neighbor 10.10.1.2 remote-as 1 neighbor 10.10.1.2 update-source Loopback0 address-family vpnv4 neighbor 10.10.1.2 activate Do zestawienia szyfrowanego tunelu pomiędzy lokacjami VPN wykorzystano protokół IPsec w trybie tunelowym z ISAKMP (Internet Security Association and Key Management Protocol) do automatycznego nawiązywania bezpiecznego połączenia pomiędzy routerami brzegowymi klienta (Customer Edge CE). Pierwszym krokiem konfiguracji IPsec było wybór sposobu negocjacji kluczy pomiędzy routerami CE: z wykorzystaniem współdzielonych kluczy (Pre-Shared Keys) lub urzędu certyfikacji (Certification Authority CA) IKE. W tym przypadku zaimplementowano wymianę współdzielonych kluczy z uwagi na jedynie dwie dwulokacyjne sieci VPN. Do zapewnienia bezpieczeństwa użyto następujących algorytmów: szyfrowanie danych 3DES (3 Data Encryption Standard), algorytm funkcji hashującej MD5 (Message Digest 5), uwierzytelnianie RSA. Tak zabezpieczone połączenie zapewnia poufność oraz integralność przesyłanych danych z jednoczesnym uwierzytelnianiem odbiorcy. 3. Badanie bezpieczeństwa skonfigurowanej usługi W celu sprawdzenia bezpieczeństwa badanej sieci posłużono się darmowym programem do przechwytywania pakietów Wireshark. Badanie polegało na przechwytywaniu pakietów wewnątrz sieci szkieletowej i próbie odczytania ich zawartości oraz sprawdzeniu separacji poszczególnych VPNów na routerach PE.

112 Marcin Pólkowski, Dariusz Laskowski Na rysunku 4 przedstawiono rozgłaszane informacje o routingu do sąsiadów BGP. W polu Carried Extended Communities przesyłane są dane z tablic VRF. Następne pole Label Stack=23 informuje sąsiada o tym, że pakiety oznaczone danym RD, a co za tym idzie do danej sieci VPN (na podstawie RT), będą miały etykietę 23. Jak widać na rysunku 5. właśnie taka etykieta została nadana wiadomości ICMP-Echo. Rys. 4. Informacje o sieci rozsyłane w pakietach MP-BGP Rys. 5. Wiadomość ICMP-Echo wysłana z routera CE1B do CE1A Sprawdzenie bezpieczeństwa szyfrowanych pakietów odbyło się poprzez przechwycenie pakietu ICMP-Echo wysłanego z routera CE1A do CE1B. Rysunek 6 pokazuje, że zarówno adresy nadawcy i odbiorca jak i dane są zaszyfrowane.

Badanie bezpieczeństwa zabezpieczonej usługi MPLS VPN 113 Rys. 6. Zaszyfrowany pakiet ICMP-Echo 4. Wnioski Artykuł miał na celu przybliżyć możliwości płynące z implementacji zaszyfrowanych tuneli wewnątrz MPLS VPN jak i sposoby zapewniania przez usługę IPsec over MPLS VPN bezpieczeństwa. MPLS VPN od kilku lat staje się coraz bardziej popularną techniką dotworzenia wirtualnych sieci prywatnych. Dzięki zastosowaniu tablic VRF jest w stanie zapewnić całkowitą separację sieci klienckich od publicznego ruchu. Istotnym dodatkiem do takich sieci jest możliwość szyfrowania przesyłanego ruchu. Dzięki wykorzystaniu IPsec w trybie tunelowym wszystkie przechwycone pakiety posiadały zaszyfrowane nagłówki oraz zawartości. Oznacza to, że bez podania programowi prze-chwytującemu pakietu odpowiedniego klucza deszyfrującego nie da się poznać adresata, nadawcy oraz przesyłanych danych w pakiecie. Dzięki takiemu poziomowi zabezpieczeń IPsec over MPLS VPN stosuje się np. w sieciach szkieletowych LTE (Long Term Evolution), gdzie MPLS VPN odpowiada za podział sieci na poszczególne obszary i ich zarządzanie, a tunele IPsec szyfrują dane użytkowników.

114 Literatura Marcin Pólkowski, Dariusz Laskowski 1. Conlan P. J., Cisco Network Professional s Advenced Interworking Guide, Wiley Publishing Inc., Indianapolis 2009, ISBN: 978-0-470-38360-5 2. De Ghein L., MPLS Fundamentals, Cisco Press, Indianapolis 2007, ISBN: 1-58705-197-4 3. Graziani R., Vachon B., Akademia sieci Cisco CCNA Exploration Semestr 4 Sieci WAN zasady dostępu, Wydawnictwo Naukowe PWN SA, Warszawa 2009, ISBN: 978-83-01-15933-7 4. Habraken J., Routery Cisco w praktyce, Helion, Gliwice 2008, ISBN: 83-7197-214-8 5. Kabaciński W., Żal M., Sieci telekomunikacyjne, WKŁ, Warszawa 2008, ISBN: 978-83-206-1716-0 6. Serafin M., Sieci VPN Zdalna praca i bezpieczeństwo danych, Helion, Gliwice 2008, ISBN: 978-83-246-1521-6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres