Ce este o retea VPN

5/14/2018 Ce este o retea VPN - slidepdf.com

http://slidepdf.com/reader/full/ce-este-o-retea-vpn 1/9

REŢEA VIRTUALĂ IT&C PETRU UITĂŢI DE

ÎVĂŢĂMÂT ŞI CERCETARE DISPERSATEGEOGRAFIC

Obiectivele generale ale proiectului

În contextul integrării învăţământului cu cercetarea se impune dezvoltarea unor infrastructuri performante pentru activităţi în comunfolosind ca suport tehnicile moderne decomunicaţii şi tehnologia reţelelor de calculatoare.Folosind tehnologia VPN se poate realiza o reţea integrată învăţământ-cercetare care oferăcomunicaţii de bandă largă şi crează posibilitatea extinderii zonei de acoperire cu diverseservicii în locaţii defavorabile ca infrastructură de comunicaţii şi de învăţământ.Printre beneficiile promovării reţelei VPN se numără, spre exemplu, creşterea calităţiiinstruirii cercetătorilor, a cadrelor didactice, a studenţilor, etc.Proiectul are ca obiectiv realizarea şi experimetarea unei reţele VPN pentru unităţi deînvăţământ şi cercetare care să permită activităţi diverse precum:

Cursuri şi instruire e-learning, Comunicare, conferinţe cu mijloace multimedia, Crearea de biblioteci virtuale, Teste experimentale privind parametrii de transmisie, calitate şi securitatea

comunicaţiilor, Dezvolatrea de pachete software specifice, etc.

În acest scop se va realiza câte o platformă experimentală multimedia la fiecareunitate din consorţiul care este format din 3 universităţi şi 2 instituţii de cercetare, platformecare se vor integra folosind tehnologia reţelelor VPN.

Rezultatele cercetării se vor concretiza prin realizarea unui ghid care să cuprindăstabilirea condiţiilor de implementare, exploatare şi dezvoltare a platformelor multimedia şi areţelelor VPN, comportamentul sistemelor de acces de bandă largă în realizarea şi calitateaserviciilor oferite, soluţii optime de utilizare şi flexibilitatea acestora, posibilităţile deextindere a aplicaţiilor pentru învăţământ şi cercetare şi elaborarea unor prognoze cu privirela penetrarea noilor tehnologii în mediul de cercetare şi de învăţământ din România.

Ce este o reţea VP

VPN (Virtual Private etwork ) este o conexiune privată între două sau mai multereţele sau calculatoare care trimit date protejate peste o reţea publică de date sau prin Internet.Reţeaua virtuală privată oferă astfel posibilitatea comunicării, folosind o infrastructura dereţea publică, aşa cum este Internetul. VPN conectează componentele şi resursele unei reţele

private prin intermediul unei reţele publice. Altfel spus, o reţea virtuală privată este o reţea acompaniei implementată pe o infrastructură comună, folosind aceleaşi politici de securitate,management şi performanţă care se aplică de obicei într-o reţea privată. Practic, tehnologia



reţelelor virtuale private permite unei firme să-şi extindă prin Internet, în condiţii de maximăsecuritate, serviciile de reţea la distanţă oferite utilizatorilor, reprezentanţelor sau companiilor

partenere.

Cu alte cuvinte, o „reţea privată virtuală”, VPN este o „reţea de calculatoare” în carelegăturile între noduri sunt asigurate prin „circuite virtuale” în cadrul unei reţele mai mari (în

general Internet-ul) în locul unor legături fizice (de exemplu cabluri). Pentru protocoalele delegătură utilizate de reţeaua virtuală se foloseşte denumirea de „tunele” prin reţeaua maimare. În general o reţea VPN are o topologie mai complexă decât „punct-la-punct”. O reţeaVPN permite calculatoarelor ca aparent să fie la o altă adresă IP, decât cea care conecteazăcalculatoarele la Internet.

O reţea VPN poate fi împărţită în trei segmente distincte (figura 1):

dial-in; intern, extern

Cea mai importantă parte a unei soluţii VPN este securitatea. Faptul că prin natura lor, prin VPN-uri se transmit date private prin reţele publice, ridică dubii cu privire la securitateaacestor date şi impactul pierderii datelor. Atributele sunt:

Autentificare (controlul accesului); Prezentare (criptare - confidenţialitate) ; Transport (integritatea datelor) ; Non-repudiere - acest serviciu ar oferi dovezi de nefalsificare, justifică faptul că o

anumită acţiune a avut loc. Non repudierea originii înseamnă că datele au fost trimise şinon repudierea primirii dovedeşte că datele au fost recepţionate.

Beneficiile serviciilor oferite prin VPN sunt:

Convergenţa serviciilor voce, video, date se realizează cu costuri mici; Accesarea securizată de la distanţă a resurselor companiei; Costuri predictibile şi uşor de bugetat, independente de trafic; Posibilitatea transfer any-to-any pentru aplicaţii de date-voce-video;

Utilizator ladistanţă

Internet

Segmentintern A

Segmentintern B

segment dial-in segment intern segment extern

Fig. 1 Segmentele componente ale unei reţele VPN



Suport fiabil pentru integrarea LAN-urilor; Securitatea transmisiei datelor; Rată de transfer constanţa, garantată tehnologic; Soluţii inteligenţe de management.

Structura generală a unei reţele VPN este

prezentată în figura 2.

O reţea VPN poate fi realizată pe diverse reţelede transport deja existente: Internetul public, reţeauafurnizorului de servicii IP, reţele Frame Relay şi ATM.Astăzi, tot mai multe VPN-uri sunt bazate pe reţele IP.

Realizarea comunicaţiilor rapide, fiabile şisigure între sedii, filiale, birouri şi punctele de lucrunecesită uzual folosirea unor reţele WAN (reţele dearie largă).

Tipuri de VP şi moduri de utilizare aacestora

Există trei tipuri principale de VPN-uri:

• VPN-urile cu acces de la distanţă ( Remote Access VP ) permit utilizatorilor (dial-upspre exemplu) să se conecteze securizat la un site central printr-o reţea publică.

• VPN-urile intranet ( Intranet VP ) permit extinderea reţelelor private prin Internet saualt serviciu de reţea publică într-o manieră securizată.

• VPN-urile extranet ( Extranet VP ) permit conexiuni securizate între toate tipurile deutilizatori

Clasificări ale VPN-urilor se pot face şi în funcţie de alte criterii:

dacă sunt suprapuse sau punct la punct dacă sunt sau nu orientate pe conexiune, dacă sunt securizate şi de încredere

Tehnologia VPN foloseşte o combinaţie de tunelare, criptare, autentificare şimecanisme şi servicii de control al accesului, folosite pentru a transporta traficul pe Internet,o reţea IP administrată, sau reţeaua unui furnizor de servicii.

Deci VPN permite utilizatorilor să comunice printr-un tunel prin Internet sau o altăreţea publică în aşa fel încât participanţii la tunel să se bucure de aceeaşi securitate şi

posibilităţi puse la dispoziţie numai în reţelele private.În mod normal, când proiectează o soluţie de acces de la distanţă la o reţea, se doreşteaccesul controlat la resurse şi informaţii. În consecinţă, o soluţie VPN trebuie să realizeze cel

puţin următoarele funcţii vitale:

• Autentificarea utilizatorului - Soluţia trebuie să verifice identitatea utilizatorului şi să permită accesul prin VPN numai utilizatorilor autorizaţi. În plus, soluţia trebuie să

Fig. 2 Structura generală a VPN



permită monitorizarea şi consemnarea activităţilor, pentru a arăta cine şi când a accesat oanume informaţie.

• Gestionarea adreselor. Soluţia trebuie să asocieze unui client o adresă din reţeaua privată şi să asigure că adresele private rămân secrete.

• Criptarea datelor. Datele transferate prin reţeaua publică trebuie făcute ilizibile pentruclienţii neautorizaţi.

• Gestiunea cheilor. Soluţia trebuie să genereze şi să împrospăteze cheile de criptare pentru client şi pentru server.

• Suport multiprotocol. Soluţia trebuie să fie capabilă să folosească protocoalele existenteîn reţelele publice, cum ar fi IP ( Internet Protocol ), IPX ( Internet Packet Exchange) etc.

Pachetele de date se transmit printr-un tunel, folosind operaţia de tunelare. Tehnologiile detunelare există de câtva timp, printre cele mai cunoscute numărându-se:

• Tunelare SA (Secure omadic Access) peste IP. Când traficul SNA este trimis peste ointer-reţea IP de corporaţie, cadrul SNA este încapsulat în UDP (User Datagram

Protocol ) si i se adaugă antet IP.•

Tunelare IPX ( Internetwork Packet Exchange) pentru Novell NetWare peste IP. Când un pachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterulanvelopează pachetul IPX într-un UDP cu antet IP, şi îl trimite apoi peste inter-reţeaua IP.

În ultimii ani au fost create noi tehnologii de tunelare, tehnologii care stau la bazaimplementărilor de VPN existente:

• Protocolul de tunelare punct-la-punct, PPTP. Acesta permite traficului IP, IPX şi NetBEUI să fie criptat şi încapsulat într-un antet IP pentru a fi transmis printr-o reţea detranzit IP de corporaţie sau publică (Internet).

• Protocolul de tunelare pe nivel 2, L2TP. Acesta permite traficului IP, IPX sau NetBEUI

să fie criptat şi transmis prin orice mediu care permite transmisia punct-la-punct adatagramelor, cum ar fi: IP, X.25, Frame Relay sau ATM.

• Tunel bazat pe securitatea IP, IPSec. Acesta permite conţinutului IP să fie criptat şiapoi încapsulat într-un antet IP pentru a fi transmis printr-o reţea de tranzit IP.

Cele patru moduri (metode) de transmisie întâlnite în soluţiile VPN sunt:

• Modul de transmisie „in-place” ( In Place Transmission Mode) - este de obicei o soluţiespecifică unui anumit producător, în care doar datele sunt criptate. Dimensiunea

pachetelor nu este afectată, prin urmare mecanismele de transport nu sunt afectate.

• Modul transport (Transport Mode) - doar segmentul de date este criptat, deci mărimea pachetului va creşte. Acest mod oferă o confidenţialitate adecvată a datelor pentru reţeleVPN de tip nod-la-nod.

• Modul tunel criptat ( Encrypted Tunnel Mode) - informaţia din antetul IP şi datele suntcriptate, anexându-se o nouă adresă IP, mapată pe punctele terminale ale VPN. Se asigurăo confidenţialitate globală a datelor.



• Modul tunel necriptat ( on - encrypted Tunnel Mode) - nici o componentă nu estecriptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurarea confidenţialităţii datelor.

O reţea VPN bine proiectată foloseşte câteva metode care menţin datele şi conexiuneasecurizate: firewall-uri, criptarea, IPSec sau server AAA.

Securizarea traficului cu IPSec se bazează pe:

Crearea unei hărţi a traficului în reţea ce include traficul care trebuie permis sau blocat, punctele sursă destinaţie şi informaţiile despre protocoalele folosite.

Crearea de filtre care corespund traficului de reţea identificat anterior.

Modele de reţeleSe definesc trei modele de reţele bazate pe tehnologia MPLS:

• Modelul overlay, VPN de nivel 2;• Modelul în perechi (peer), VPN de nivel 3;• Modelul perechi - MPLS VPN

Alte reţele VPN:

1. Reţele SSL-VPN crează o reţea VPN peste reţeaua publică Internet, asigurând accesulsecurizat la resursele organizaţiei pentru utilizatori la distanţă, ca şi cum aceştia ar filocalizaţi în reţeaua organizaţiei.

2. ReţeleOpen VPN- OpenVPN este un standard VPN de tip open. Este o variantă deVPN bazată pe SSL capabilă să ruleze peste UDP. Sunt disponibile implementăriclient şi server pentru toate sistemele de operare importante.

3. Reţele VPN cu "tinc" – TincPN este un protocol cu auto-rutare pentru reţele mesh,utilizat pentru dezvoltarea de reţele VPN cu compresie şi criptare. Priectul a fost

demarat în 1998 de Guus Sliepen, Ivo Timmermans şi Robert van der Meulen, fiinddezvoltat sub licenţă GPL. Versiunea activă este 1.08 din iunie 2007.4. Reţele VPN "Hamachi" - “Hamachi” este aplicaţie de reţea VPN gratuită cu fără

configurare (zero-configurare) capabilă să stabilească legături directe întrecalculataore aflate în spatele unor firewall-uri NAT, fără a cere reconfigurare (în celemai multe cazuri). Practic, se stabileşte o conexiune peste Internet care emuleazălegăturile existente între calculatoarele dintr-o reţea locală.

Elemente care determină calitatea serviciilor

Calitatea serviciilor QoS (Quality of Service) se referă la capacitatea unei reţele de aasigura servicii corespunzătoare prin diferite tehnologii. Scopul de bază al QoS este de a

acorda priorităţi în funcţie de lărgimea de bandă, jitter şi întârziere, dar şi să îmbunătăţească pierderile. Acordarea priorităţilor se face în aşa fel încât mărirea priorităţilor la una sau maimulte conexiuni să nu conducă la pierderea altor legături. Mărimile menţionate anterior suntutilizate pentru a caracteriza performanţele reţelei. Cerinţele referitoare la QoS variază înfuncţie de cerinţele aplicaţiilor. Pentru VoIP mărimile importante supravegheate sunt:întârzierea, jitterul şi numărul de pachete pierdute. Pentru aplicaţiile care implică transfer dedate se analizează lărgimea de bandă.

Arhitectura de bază introduce trei părţi fundamentale (figura 3) pentru implementareaQoS:



Identificarea şi coordonarea QoS-ului de la un capăt la altul al transmisiei între

elementele reţelei; QoS în cadrul unui singur element al reţelei; Funcţiilor de management, control şi administrare a traficului între puncte terminale, de-a

lungul reţelei.

Strategii folosite pentru QoS

Pe lângă securitatea datelor, utilizatorii reţelei VPN mai sunt interesaţi şi de calitateaserviciilor care li se oferă atunci când încearcă să acceseze anumite aplicaţii de la distanţă.

Nivelurile acceptate pentru întârzieri diferă şi sunt tolerate diferit, în funcţie de aplicaţie.

Blocurile de bază care alcătuiesc QoS pentru VPN sunt:

• Clasificarea pachetelor utilizând CAR (Committed Access Rate);• Managementul lărgimii de bandă (policing cu CAR, modelare cu GTS/FRTS, alocarea

lărgimii de bandă cu WFQ);• Evitarea Congestiilor (cu WRED);• Continuitatea priorităţii pachetelor peste VPN de strat 2 şi 3 (cu MPLS).

Datorită avantajelor aduse în domeniul comunicaţiilor de date referitoare lascalabilitate, reducerea complexităţii operaţiilor din reţea, uşurinţa de a permite implementareVPN-urilor, posibilitatea de a oferii diferite nivele de servicii MPLS este un pas important înevoluţia tehnologiei de comutare multilevel pentru reţeaua Internet şi nu numai.

Traficul VPN poate fi multiplexat în tunele LSP exterioare astfel încât numărul detunele să corespundă la numărul de rutere marginale şi nu la numărul mult mai mare de VPN-uri deservite de aceste rutere. Această metodă reduce problemele de scalabilitate prinscăderea ordinului problemei la m, unde m este numărul de LSR-uri care asigura accesul la nsite-uri VPN cu m≤n.

Tunelele LSP exterioare pot fi folosite pentru asigurarea diferitelor domenii de CoSceea ce permite furnizorului de servicii să garanteze clienţilor anumite tipuri de servicii.

Fig. 3 Cele trei componente aleimplementării QoS de bază



Criptarea necesită resurse mari de procesare şi memorie, din acest motiv producătoriirecomandă instalarea de carduri acceletatoare (accelerator cards) VPN care sunt destinateexclusiv criptării/decriptării datelor şi în acest fel ruterul nu este implicat în aceste procese,mărindu-se astfel performanţele de rutare.

În cazul cantităţii mare de trafic, ruterul stochează temporar traficul multimedia până

când legătura serială nu se mai poate folosi. Din acest motiv cresc întârzierile pentru cătratamentul preferenţial trebuie aplicat acestui trafic, restul traficului ignorându-se temporar.

Parametrul jitter nu a fost afectat de către VPN. Chiar dacă valorile măsurate sunt puţin peste valorile limită, calitatea videoconferinţei (audio şi video) nu a fost afectată. Înscenariul propus de el nu s-a schimbat nici procentul de pierdere a pachetelor.

Din rezultatele obţinute din măsurătorile efectuate asupra unui scenariu devideoconferinţă, se poate concluziona că este posibilă şi practică implementarea unei VPN

pentru o infrastructură de campus. Dacă VPN-ul este aplicat unei reţele mai mari cum esteInternetul, trebuie luate în considerare aspecte legate de cantitatea mai mare de trafic,momentul din zi etc. Dacă videoconferinţa ar fi fost setată în timpul orelor de vârf şi fără

mecanisme de QoS, atunci calitatea sa ar fi putut fi puternic afectată.

Pentru reţele cu trafic mare este necesar utilizarea tehnicilor de prioritizare a traficului pentru a avea siguranţa transferului fără să se afecteze parametrii QoS.

Această lucrare tratează de asemenea şi configurarea VPN în diferite sisteme deoprerare cum ar fi Unix şi Windows.

În sistemul de operare Unix există mai multe modalităţi de configurare a conexiunilor VPN:

IPSEC ( Internet Protocol SECurity) - este un standard creat de IETF ( Internet

Engineering Task Force) ca metodă obligatorie de codificare atunci când IP versiunea 6va deveni protocolul Internet standard (în prezent versiunea standard este IPV4). În

prezent există numeroase pachete software ce implementează IPSEC prin IPV411.

PPP over OpenSSH - prin utilizarea acestei metode se poate configura o interfaţă PPPastfel încât să utilizeze SSH în vederea codificării tuturor datelor care traverseazăinterfaţa PPP1.

CIPE (Crypto IP Encapsulation) - prin intermediul acestei metode pachetele IP suntdirecţionate prin interfeţele IP selectate sub formă de pachete UDP codificate. CIPEimplică o suprasarcină mai redusă decât PPP over OpenSSH, deci este de aşteptat

obţinerea unor performanţe superioare.

Datorită proiectului CIPE-Win32 se poate configura o conexiune VPN folosind CIPEşi pe Windows. Scopul sistemului CIPE constă din configurarea unei legături securizate întredouă puncte terminale ale unei comunicaţii. Este posibilă autentificarea legăturii (fiecareextremitate a comunicaţiei îşi poate demonstra identitatea), iar datele care trec prin legăturarespectivă pot fi securizate(deoarece sunt codificate). În figura este prezentată o configuraţieVPN.



Tipul de VPN (figura 6. 1) cel mai des implementat este IPSec, de când IPSec este

bazat pe standard. Nu este vorba de un singur protocol ci de un întreg set de protocoale. Cândse foloseşte IPSec, este necesar să se verifice că routerele suportă un subset comun de

protocoale al IPSec, şi că acestea sunt documentate corespunzator. Dacă acest lucru estetrecut cu vederea, echipamentul se poate dovedi incompatibil sau extrem de dificil de

configurat.

Din mai 2004 ruterele SOHO compatibile cu IPSec cau şi cu QoS nu sunt desîntâlnite. Când se alege un ruter compatibil şi cu IPSec si QoS, trebuie verificat ca QoS-ul săfie compatibil prin IPSec VPN. Dacă pachetele sunt marcate pentru utilizarea QoS, dar apoisunt criptate pentru transportul prin VPN, marcajele QoS nu vor mai putea fi citite când esteaplicată politica QoS. Ruterul trebuie să accepte copierea marcajelor QoS de pe pacheteleoriginale pe headerul IPSec.

Specificarea cerinţelor privind arhitectura generală a sistemului

Din considerente de flexibilitate şi disponibilitate pentru o diversitate mare de posibileaplicaţii, se intenţionează dezvoltarea a două tipuri de reţele VPN după cum urmează:

1. CERVIT-VP-PPTP - Reţea VPN construită pe bază de circuite virtuale (tunel) prinInternet, conformă standardului PPTP ( Point-to-point Tunneling Protocol ). Motivul estelarga utilizare în domeniul e-learning a sistemului de operare Windows, care are integratemodule specifice standardului PPTP pentruWindows 2000, XP, Vista

2. CERVIT-Open-VP - Reţea VPN conform standardului OpenVPN (variantă de VPN bazată pe SSL). Motivul, este o soluţie completă “SSL VPN open source” care combină ogamă largă de configuraţii, incluzând acces la distanţă, VPN site-to-site, securitate Wi-Fi,soluţii de acces la distanţă la nivel de organizaţie cu o încărcare echilibrată şi un control

granular al accesului. OpenVPN oferă o alternativă simplă la alte tehnologii VPN avândca ţintă organizaţiile mici şi mijlocii şi sunt disponibile implementări client şi server

pentru toate sistemele de operare importante.

Avantajele acestui mod de organizare constau în:

• economia de resurse,• administrarea mai eficientă a reţelei VPN,• posibilităţi evoluate de monitorizare a parametrilor şi asigurarea calităţii,

Fig. 6. 1 Topologia unei reţele VPN



• implementarea coerentă a modificărilor (adaptărilor).

Obligaţiile care trebuie asumate se referă la:

• Alocarea resurselor (hard şi soft) pentru punerea în funcţiune a serverului,• Asigurarea funcţionării continue a serverului,• Asumarea responsabilităţii de operare continuă a serverului,• Modificare uşoară pentru compatibilitate cu aplicaţiile experimentate,• Asistarea celorlalţi parteneri în configurarea staţiilor pentru lucrul în sistem,• Colaborarea cu ceilalţi parteneri la constituirea „grupului închis de utilizatori”,• Ghidarea partenerilor pentru implementarea măsurilor de securitate convenite,• Asigurarea extensiilor (în măsura posibilităţilor) în funcţie de cerinţe,• Comunicarea permanentă cu partenerii pentru operarea reţelei în ansamblu.

Concluzii

În vederea realizării infrastructurii VPN pentru proiectul CERVIT au fost studiate

principalele soluţii de realizare şi au fost selectate cele mai potrivite variante, în concordanţăcu obiectivele şi condiţiile proiectului.

Cu privire la modalitatea de implementare a reţelei VPN şi conectarea în sistemul decomunicaţii, s-a optat pentru o soluţie „construită” bazată pe reţeaua publică Internet(accesibilă tuturor partenerilor), soluţia de „achiziţie de servicii” de la un furnizor ISP/NSPfiind inacceptabilă pentru resursele şi specificul proiectului.

Problema metodelor şi instrumentelor pentru asigurarea calităţii serviciilor (QoS) estedelicată. Utilizarea acestora este necesară în cazul soluţiei „VPN construit”, dar astfel de

produse nu sunt disponibile în gama GPL – Free software. În aceste condiţii sunt de luat înconsiderare imaginarea unor benchmark-uri particularizate pentru aplicaţiile experimentate în

cadrul proiectului.

Specificaţiile pentru reţeaua VPN au la bază principiul flexibilităţii maxime şirealizarea cât mai rapidă. În acest scop se au în vedere implementarea a două soluţii:

• soluţie bazată pe circuite virtuale PPTP, uşor de pus în funcţiune şi de utilizat, dar limitatăla SO Windows şi cu securitate mai redusă, dar acceptabilă,

• evoluţia, în măsura posibilităţilor, către o soluţie mult mai performantă bazată pe o „reţeavirtuală OpenVPN”.

Ce este o retea VPN

Documents

Transcript of Ce este o retea VPN