VPN Virtual Private Mario Baldi Synchrodyne s, Inc. mbaldi@synchrodyne.com VPN - 1 M. Baldi: si veda pagina 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della redazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. VPN - 2 M. Baldi: si veda pagina 2 Definizione Virtual Private (rete privata virtuale) Connettività per per gli gli utenti su su di di una una infrastruttura pubblica imponendo le le politiche come se se si si usasse una una rete rete privata Infrastruttura condivisa Rete privata o pubblica Per esempio quella di un Internet Service Provider IP Frame Relay ATM Internet Politiche Comunicazione sicura Indirizzamento, sicurezza, qualità del servizio, affidabilità, ecc. VPN - 3 M. Baldi: si veda pagina 2
Perchè VPN? Le reti private sono basate su Linee private affittate (CDN) Soluzioni dial-up interurbane Le VPN permettono di abbattere i costi di queste soluzioni costose VPN - 4 M. Baldi: si veda pagina 2 Classificazione VPN di accesso Accesso remoto su una infrastruttura condivisa ISDN, PSTN, cable modem, DSL Intranet VPN Collega sede aziendale principale, uffici remoti, filiali Extranet VPN Collega ad una rete aziendale clienti, fornitori, partner, o comunità di interesse VPN - 5 M. Baldi: si veda pagina 2 Fornitura di servizi VPN Overlay Model Serivizi (gestiti) basati su IPSec Svariati tunnel altamente magliati Ogni VPN gateway Model Overlay Peer deve conoscere gli altri Access L2TP, PPTP -- Peer Model Intranet IPSec MPLS Rete MPLS Extranet IPSec MPLS Ogni VPN gateway conosce solamente il router di accesso del service povider Scambio di informazioni di routing La rete pubblica diffonde informazioni di routing La rete pubblica inoltra il traffico tra i gateway della stessa VPN VPN - 6 M. Baldi: si veda pagina 2
Tassonomia di tecnologie per VPN VPN VPN Overlay Model Peer Model Layer 2 VPN VPN Layer 3 VPN VPN Dedicated MPLS Shared Frame Relay ATM MPLS PPTP L2TP IPsec BGP VR VR CPE Based Provider Provisioned VPN - 7 M. Baldi: si veda pagina 2 Tunneling A e B sono indirizzi aziendali Non devono essere pubblici Il tunneling rende possibile il funzionamento Il tunneling di per se non garantisce sicurezza A VPN gateway X IP IP Header from from X to to Y Internet Tunnel VPN gateway Y IP IP Header from from A to to B Payload B VPN - 8 M. Baldi: si veda pagina 2 VPN di accesso: due modalità operative VPN - 9 M. Baldi: si veda pagina 2
VPN di accesso 1. Remote user initiates PPP connection with NAS that accepts the call 2. NAS identifies remote user 3. NAS initiates L2TP or PPTP tunnel to desired corporate gateway (access server) 4. Corporare gateway authenticates remote user according to corporate security policy 5. gateway confirms acceptance of tunnel 6. NAS logs acceptance and/or traffic (optional) 7. gateway performs PPP negotiations with remote users (e.g., IPaddress assignment) 8. End-to-end data tunneled between user and corporate gateway VPN - 10 M. Baldi: si veda pagina 2 Protocolli per VPN di accesso L2TP (Layer 2 Tunneling Protocol) Non è largamente implementato Indipendente dal protocollo di livello 2 Sicurezza basata su IPsec Robusta PPTP (Point-to-Point Tunneling Protocol) Microsoft, Apple, Integrato nel dial-up networking Multiprotocollo Autenticazione e cifratura deboli Gestione delle chiavi proprietaria VPN - 11 M. Baldi: si veda pagina 2 Vantaggi del Virtual Dial-Up Autenticazione e sicurezza Fatte dal VPN Gateway Politiche e informazioni della rete aziendale Cifratura basata su IPsec Autorizzazione Fatta dal VPN Gateway Politiche e informazioni della rete aziendale Allocazione degli indirizzi Indirizzi aziendali sono allocati dinamicamente Stesso tipo di accesso di quando si è collegati direttamente VPN - 12 M. Baldi: si veda pagina 2
VPN basate su IPsec Tunnel IPsec tra VPN gateway Cifratura Autenticazione Imbustamento A VPN (IPsec) gateway X Internet Tunnel VPN (IPsec) gateway Y B VPN - 13 M. Baldi: si veda pagina 2 VPN Gateway and Firewall Inside No inspection of VPN traffic VPN gateway protected by firewall Parallel Potential uncontrolled access Outside VPN gateway protected by access router Consistent policy Integrated Maximum flexibility Encrypted traffic VPN Gateway Decrypted traffic Internet Public Intranet Private Intranet Firewall VPN - 14 M. Baldi: si veda pagina 2 VPN Gateway and NAT Authentication Header (AH) IP addresses are part of AH checksum calculation packets discarded Transport mode IP address of IPSec tunnel peer is not what expected packets discarded No PAT (Protocol Address Translation) Tunnel mode IP address within secure packet can be changed before entering the gateway E.g., same addresses in two different VPN sites Most often NAT is not needed on external packet VPN - 15 M. Baldi: si veda pagina 2
VPN Gateway and IDS IDS is usually outside the firewall No control on VPN traffic Multiple IDS probes Outside firewall Inside VPN gateway Internet Access router Public Intranet IDS probe Firewall IDS probe VPN Gateway Private Intranet VPN - 16 M. Baldi: si veda pagina 2 VPN peer basate su IP Dedicated router Il service provider realizza una rete di router dedicati ad un cliente Utilizzabile solo per grossi clienti Shared/virtual router Il provider crea istanze di router dedicati ad un cliente all interno dei router fisici di fascia alta permettono di avere centinaia di router virtuali Tabella di routing e protocolli di routing per istanza Supporto nel sistema operativo e tramite ASIC Comunicazione tramite tunnel IPsec o GRE VPN - 17 M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3 Pseudo Wire Emulation End-to-End Vari servizi sulla stessa rete: IP, ma anche leased lines, frame relay, ATM, Ethernet Customer edge (CE) device offre interfaccia di servizio nativa Il traffico è trasportato su un LSP tra i CE Due etichette Esterna - usata per il routing nella rete Identifica il punto di accesso alla rete Interna - multiplexing di vari utenti collegati al punto di accesso VPN - 18 M. Baldi: si veda pagina 2
VPN MPLS di livello 2: PWE3 Ci possono essere apparati interni alla rete Per esempio uno switch ATM all interno della rete del service provider su cui sono attestati LSP Prevalentemente instaurazione manuale di LSP Proposte per uso di LDP e BGP VPN - 19 M. Baldi: si veda pagina 2 VPN MPLS di livello 3 Soluzioni provider provisioned Politiche della VPN realizzate dal service provider Non serve esperienza da parte del clienti Scalabilità Utilizzo su larga scala Due alternative RFC2547bis (BGP) Inizialmente spinto da Cisco Approccio attualmente più utilizzato Virtual router Inizialmente spinto da Nortel e Lucent VPN - 20 M. Baldi: si veda pagina 2 Componenti della soluzione MPLS/BGP VRF (VPN Routing and Forwarding) table Associata ad una o più porte Informazioni per l inoltro dei pacchetti ricevuti da tali porte Provider (P) Provider Provider Edge (PE) VRF Customer Edge (CE) VPN - 21 M. Baldi: si veda pagina 2
Piano di controllo Routing exchange at edges Route filtering PE routers determine which routes to install in VRF Support for overlapping address spaces VPN-IPv4 Address family Route Distinguisher + IPv4 address Route Distinguisher IP IP Address VPN - 22 M. Baldi: si veda pagina 2 MPLS VPN Components CE router creates adjacency with PE router It advertises its destinations It receives advertisements of other VPN destinations Static routing, or IGP (Interior Gateway Protocol) (e.g., OSPF, RIP) E-BGP (Exterior-Border Gateway Protocol) PE router does not keep routes for all VPNs VPN - 23 M. Baldi: si veda pagina 2 MPLS VPN Components PE routers Exchange routing information I-BGP (Interior-Border Gateway Protocol) Are ingress and egress LSR (Label Switch ) for the backbone P routers have routes to PE routers only Provider Edge (PE) Provider (P) Customer Edge (CE) Provider VPN - 24 M. Baldi: si veda pagina 2
Piano di controllo Creazione di LSP attraverso la dorsale I-BGP porta informazioni sulle etichette LDP (Label Distribution Protocol) e/o RSVP (Resource reservation Protocol) Maglia di LSP tra i router PE della stessa VPN LSP (Label Switched Path) VFR Customer Edge (CE) Provider Provider Edge (PE) VPN - 25 M. Baldi: si veda pagina 2 Packet Routing Packet from 10.2.3.4 to 10.1.3.8 Default gateway PE2 router 10.1.3.8 PE1 CE1 VFR 10.2/16 10.1/16 LSP (L2) CE2 Provider PE2 10.2.3.4 VPN - 26 M. Baldi: si veda pagina 2 Packet Routing PE2 looks-up VRF MPLS label advertised by PE1 for 10.1/16: L1 BGP next hop (PE1) Outgoing interface for LSP to PE1 Initial label for LSP from PE2 to PE1: L2 10.1.3.8 PE1 CE1 VFR 10.2/16 10.1/16 LSP (L2) CE2 Provider PE2 10.2.3.4 VPN - 27 M. Baldi: si veda pagina 2
Packet Routing PE2 pushes L1 and L2 on label stack P routers forward packet to PE1 using L2 Last hop before PE1 pops L2 PE1 receives packet with L1 PE1 pops L1: plain IP packet PE1 uses L1 to route packet to proper output interface CE1 IP Payload PE1 LSP (L2) L2/L1 IP Payload L1 IP Payload PE2 VPN - 28 M. Baldi: si veda pagina 2 Vantaggi Non ci sono vincoli sul piano di indirizzamento Unicità degli indirizzi solo all interno della VPN I router CE non scambiano informazioni di routing tra di loro Il cliente non deve gestire la dorsale Il gestore non ha una dorsale per ogni cliente La VPN può essere definita attraverso le reti di vari provider Sicurezza equivalente a quella di Frame relay o ATM Isolamento del traffico No cifratura (confidenzialità) Supporto di QoS (qualità di servizio) mediante gli experimental bit di MPLS VPN - 29 M. Baldi: si veda pagina 2 Supporto Multi-Protocol Access VPN Trasparente L2TP e PPTP Overlay (basato IPsec) Generic Routing Encapsulation (GRE) Trasporto di qualsiasi protocolo all interno di IP Peer (basate su MPLS) Insito in MPLS (Multi-Protocol Label Switching) VPN - 30 M. Baldi: si veda pagina 2
Riferimenti bibliografici E. Rosen and Y. Rekhter, BGP/MPLS VPNs, RFC 2547, March 1999. E. Rosen et al., BGP/MPLS VPNs, <draftrosen-rfc2547bis-02.txt>, July 2000. C. Semeria, RFC 2547bis: BGP/MPLS VPN Fundamentals, Juniper s, White paper 200012-001, March 2001. IETF MPLS Working Group, http://www.ietf.org/html.charters/mplscharter.html VPN - 31 M. Baldi: si veda pagina 2 Riferimenti bibliografici Hanks, S., Editor, "Generic Routing Encapsulation over IPv4", RFC 1702, October 1994. Brian Browne, Best Practices For VPN Implementation, Business Communication Review, March 2001. http://www.ietf.org/html.charters/l2vpncharter.html http://www.ietf.org/html.charters/l3vpncharter.html VPN - 32 M. Baldi: si veda pagina 2