Reti Private Virtuali (VPN) Alfio Lombardo
VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): Autenticazione: i dati sono originati dalla sorgente dichiarata Controllo d’accesso: utenti non autorizzati non sono ammessi nella VPN Confidenzialità: non è possibile leggere i dati che passano sulla VPN Integrità dei dati: salvaguardia da corruzione dei dati da parte di terzi
VPN : Background Reti private fisiche (collegamenti tra siti aziendali: dedicati) Scarso utilizzo mezzi trasmissivi Elevati investimenti in tecnologia e gestione Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel) Elevati investimenti in gestione Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)
Classificazione VPN Modello di comunicazione Intraaziendale (Intranet ) Interaziendale (Extranet) Dial up Modalità di trasporto informazioni VPN Overlay VPN Peer to Peer Topologia stella, doppia stella, magliata
Modello di comunicazione: Intranet X Intranet B Intranet A Nessuna possibilità di comunicazione tra le due Intranet
Modello di comunicazione: Extraaziendale Possibilità di comunicazione tra siti di Aziende diverse X Intranet A Intranet B
Modello di comunicazione: Dial up Sessione PPP Rete ISP AC Rete di accesso a comm. circuito (PSTN, ISDN, GSM, ecc.) PVC/Tunnel NS Sito RPV AC: Access Concentrator (gestito da ISP) NS: Net Server (gestito dal cliente)
Dial UP: il protocollo L2TP (Layer 2 Tunnel Protocol) Sessione PPP Rete di accesso (PSTN, ISDN, GSM, ecc.) Tunnel L2TP Client lsmit Sito RPV LAC Rete ISP LNS Corporate net L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F)
Dial up: procedure 1 – utente remoto inizia sessione PPP Sv Autenticazione Tunnel L2TP Rete di accesso (PSTN, ISDN, GSM, ecc.) LAC Rete ISP LNS Sito RPV 1 – utente remoto inizia sessione PPP 2 – LAC accetta chiamata e identifica utente 3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS 4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP con utente 5 – inizia scambio dati tra utente remoto e VPN
L2PT: architettura di protocolli Tunnel L2TP LAC Rete ISP LNS Sito RPV MAC header IP header UDP header L2TP header Data (PPP)
Modalità di trasporto: VPN Overlay PVC/Tunnel IP Sito RPV Connessione Virtuale Router del Cliente Routing di livello 3 Rete pubblica Switch Frame Relay o ATM, Router IP Introducono un secondo livello di rete Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza) Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel Elevato num. PVC in caso di VPN magliate Elevato livello di sicurezza QoS attraverso il PVC
Modalità di trasporto: VPN P2P Router di accesso Router del Cliente Protocollo di Routing Sito RPV Rete del fornitore del servizio Informazioni di routing solo con i nodi di accesso Facilità di estensione della VPN
VPN P2P: router condivisi/dedicati Sito 1 RPV-A segregazione attraverso tabelle di routing “virtuali” collegate alle singole interfacce Router di accesso condiviso Sito 2 RPV-A RA[1] Rete del fornitore del servizio Sito RPV-B Sito 1 RPV-A RA[1] Sito 2 RPV-A segregazione attraverso separazione fisica delle tabelle di routing RT RA[2] Rete del fornitore del servizio Sito RPV-B POP Router di accesso dedicati:
Topologie Intranet: Stella Centro Stella Sito perif. N Rete del fornitore del servizio Sito perif. 2 Sito perif. 1 Centri Stella Rete del fornitore del servizio X Sito perif. 1 Sito perif. N Sito perif. 2 Non permesso lo scambio diretto del traffico tra i siti periferici Collegamenti di accesso Collegamenti virtuali Flusso di traffico X
Topologie Intranet : Maglia Topologie Intranet : Mista Regione 1 Regione 2 Backbone
Riepilogo RPV “overlay” “peer-to-peer” “dial-up” RPV BGP/MPLS L2TP Livello 2 Livello 3 Router dedicati Router condivisi Nel modello “peer-to-peer”, il router della rete dell’ISP a cui si connette il sito della RPV (PE, Provider Edge), scambia le informazioni di routing direttamente con il router del Cliente (CE). L’instradamento del traffico avviene così in modo ottimale all’interno della rete dell’ISP. Anche dal punto di vista del Cliente la soluzione è vantaggiosa in quanto le configurazioni sui propri router sono mantenute al minimo, è sufficiente connettersi alla rete dell’ISP. Altri vantaggi, rispetto al modello “overlay” sono: i router CE devono scambiare le informazioni di routing solo con i router PE, quindi hanno una sola adiacenza; per contro, nel modello “overlay”, il numero delle adiacenze potrebbe essere molto elevato; aggiungere un nuovo sito alla RPV è molto più semplice poiché richiede cambia-menti alla sola configurazione del router PE a cui il nuovo sito si connette; per contro nel modello “overlay” l’attivazione di un nuovo sito richiede l’attivazione di vari collegamenti (fisici o virtuali). Esistono due modalità di realizzazione del modello “peer-to-peer”: - con router dedicati; - con router condivisi. Senza entrare nei dettagli, entrambe le modalità hanno dei problemi in termini di: complessità di configurazione dei PE; segregazione del traffico (che può essere ottenuta a prezzo della implementazione di complesse “liste di accesso” che tra l’altro rallentano le prestazioni dei router); utilizzo degli indirizzi privati (che non sono riconosciuti dai router della rete dell’ISP). X.25 F.R. ATM GRE IP-in-IP IPSec RPV BGP/MPLS
Tabelle di routing virtuali VPN BGP/MPLS Adotta una filosofia P2P RPV-B (sito 1) RPV-A (sito 3) RPV-A (sito 1) La soluzione RPV basata sul modello BGP/MPLS combina i benefici dei modelli “overlay e “peer-to-peer” cercando di evitarne difetti e limiti, soprattutto in termini di sicurezza e scalabilità. L’idea del modello BGP/MPLS è essenzialmente una generalizzazione del concetto di architettura di routing BGP/MPLS visto nel paragrafo “MPLS e BGP” del capitolo “MPLS su Livello 2 di tipo “Frame” “. La generalizzazione consiste nella creazione all’interno dei router (più correttamente, Edge-LSR) PE di più tabelle di routing (VRF, vedi prossimo paragrafo), ciascuna contenente le informazioni di raggiungibilità per le sole destinazioni raggiungibili da una RPV. In un certo senso, ogni PE può essere visto come un insieme di router “virtuali”, ciascuno dedicato ad una certa RPV. La segregazione del traffico viene garantita “fisicamente” associando in fase di configurazione, ciascuna interfaccia fisica del PE ad una particolare VRF. Le VRF vengono popolate da un lato direttamente dai router del Cliente i quali, come nel modello “peer-to-peer”, scambiano le informazioni di routing con gli Edge-LSR, dall’altro dagli altri PE i quali inviano le destinazioni da depositare nelle VRF appropriate. Lo scambio delle informazioni di routing tra PE avviene tramite sessioni BGP (più precisamente, MP-iBGP) tra le varie coppie di PE (NOTA: nelle reti di grandi dimensioni, per ridurre il numero selle sessioni MP-iBGP è possibile far ricorso a “Route Reflectors”). I dettagli della soluzione BGP/MPLS saranno ampia-mente visti nei prossimi paragrafi. Tra i vantaggi del modello BGP/MPLS, oltre ai già citati scalabilità e sicurezza, ricordiamo: Semplicità e flessibilità di realizzazione delle RPV (es. possibilità di realizzare svariate topologie) Possibilità di utilizzo di piani di indirizzamento privati Fornitura di Qualità del Servizio (es. garanzie di banda, differenziazione del traffico, ecc.) Traffic Engineering Architettura standard Per queste ragioni, la soluzione BGP/MPLS è quella che oggi sta guadagnando di più il favore dei vari ISP i quali stanno iniziando ad offrire alla propria Clientela, servizi RPV basati sul modello BGP/MPLS. RPV-C (sito 2) RPV-A (sito 2) RPV-C (sito 1) Tabelle di routing virtuali Sessioni iBGP
Ricorda: Architetture di routing BGP/MPLS iBGP eBGP LSP MPLS RPV-B (sito 1) RPV-B (sito 1)
Security Threats in the Network Environment To know you have security in the network environment, you want to be confident of three things: that the person with whom you’re communicating really is that person that no one can eavesdrop on your communication that the communication you’ve received has not been altered in any way during transmission These three security needs, in industry terms, are: authentication confidentiality integrity
Secure Virtual Private Networks: IPSec any communication passing through an IP network, including the Internet, has to use the IP protocol. So, if you secure the IP layer, you secure the network.
Protocolli IPsec AH (Authentication Header) autenticazione, integrità ESP (Encapsulating Security Payload) riservatezza, autenticazione, integrità IKE (Internet Key Exchange) scambio delle chiavi
Protocollo IKE Per utilizzare AH e/o ESP i due interlocutori devono aver prima negoziato una .security association. (SA). La SA è un “contratto” che specifica gli algoritmi crittografici e le relative chiavi, e qualsiasi altro parametro necessario alla comunicazione sicura. La negoziazione delle SA è compito del protocollo IKE.
ESP (Encapsulating Security Payload) fornisce servizi di riservatezza, integrità, autenticazione e anti−replay. ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.
ESP header Security Parameters Index (SPI) Sequence number Payload data (variable length) Padding (0-255 bytes) Authenticated Pad length Next header Encrypted Authentication data: payload (TCP + variable length data)
Il protocollo AH AH (Authentication Header) fornisce servizi di autenticazione, integrità e anti−replay. L’autenticazione copre praticamente l’intero pacchetto IP. sono esclusi solo i campi variabili dell’header IP (TTL, checksum...)
AH header Pad length Next header Reserved Security Parameters Index (SPI) Sequence number Authentication data (TCP + variable length data) IP AH hdr TCP data authenticated
Modalità Trasporto
Tunnel Mode Sito RPV A Tunnel IP Rete ISP