VPN Virtual Private Mario Baldi Synchrodyne s, Inc. mbaldi@synchrodyne.com Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della redazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. VPN - 1 M. Baldi: si veda pagina 2 VPN - 2 M. Baldi: si veda pagina 2 Definizione Virtual Private (rete privata virtuale) Connettività per per gli gli utenti su su di di una una infrastruttura pubblica imponendo le le politiche come se se si si usasse una una rete rete privata! Infrastruttura condivisa! Rete privata o pubblica! Per esempio quella di un Internet Service Provider! IP! Frame Relay! ATM! Internet! Politiche Comunicazione sicura! Indirizzamento, sicurezza, qualità del servizio, affidabilità, ecc. VPN - 3 M. Baldi: si veda pagina 2 Perchè VPN? Le reti private sono basate su! Linee private affittate (CDN)! Soluzioni dial-up interurbane Le VPN permettono di abbattere i costi di queste soluzioni costose VPN - 4 M. Baldi: si veda pagina 2
Classificazione! VPN di accesso! Accesso remoto su una infrastruttura condivisa! ISDN, PSTN, cable modem, DSL! Intranet VPN! Collega sede aziendale principale, uffici remoti, filiali! Extranet VPN! Collega ad una rete aziendale clienti, fornitori, partner, o comunità di interesse VPN - 5 M. Baldi: si veda pagina 2 Fornitura di servizi VPN! Overlay Model! Serivizi (gestiti) basati su IPSec! Svariati tunnel altamente magliati! Ogni VPN gateway Model Overlay Peer deve conoscere gli altri Access L2TP, PPTP --! Peer Model Intranet IPSec MPLS! Rete MPLS Extranet IPSec MPLS! Ogni VPN gateway conosce solamente il router di accesso del service povider! Scambio di informazioni di routing! La rete pubblica diffonde informazioni di routing! La rete pubblica inoltra il traffico tra i gateway della stessa VPN VPN - 6 M. Baldi: si veda pagina 2 Frame Relay Tassonomia di tecnologie per VPN Layer 2 VPN VPN ATM Overlay Model MPLS Layer 3 VPN VPN PPTP L2TP VPN VPN IPsec Dedicated CPE Based Provider Provisioned VPN - 7 M. Baldi: si veda pagina 2 Peer Model BGP MPLS VR VR Shared Tunneling! A e B sono indirizzi aziendali! Non devono essere pubblici! Il tunneling rende possibile il funzionamento! Il tunneling di per se non garantisce sicurezza A VPN gateway X IP IP Header from from X to to Y Internet Tunnel VPN gateway Y IP IP Header from from A to to B Payload VPN - 8 M. Baldi: si veda pagina 2 B
VPN di accesso: due modalità operative VPN - 9 M. Baldi: si veda pagina 2 VPN di accesso 1. Remote user initiates PPP connection with NAS that accepts the call 2. NAS identifies remote user 3. NAS initiates L2TP or PPTP tunnel to desired corporate gateway (access server) 4. Corporare gateway authenticates remote user according to corporate security policy 5. gateway confirms acceptance of tunnel 6. NAS logs acceptance and/or traffic (optional) 7. gateway performs PPP negotiations with remote users (e.g., IPaddress assignment) 8. End-to-end data tunneled between user and corporate gateway VPN - 10 M. Baldi: si veda pagina 2 Protocolli per VPN di accesso! L2TP (Layer 2 Tunneling Protocol)! Non è largamente implementato! Indipendente dal protocollo di livello 2! Sicurezza basata su IPsec! Robusta! PPTP (Point-to-Point Tunneling Protocol)! Microsoft: integrato nel dial-up networking! Multiprotocollo! Autenticazione e cifratura deboli! Gestione delle chiavi proprietaria Vantaggi del Virtual Dial-Up! Autenticazione e sicurezza! Fatte dal VPN Gateway! Politiche e informazioni della rete aziendale! Cifratura basata su IPsec! Autorizzazione! Fatta dal VPN Gateway! Politiche e informazioni della rete aziendale! Allocazione degli indirizzi! Indirizzi aziendali sono allocati dinamicamente! Stesso tipo di accesso di quando si è collegati direttamente VPN - 11 M. Baldi: si veda pagina 2 VPN - 12 M. Baldi: si veda pagina 2
VPN basate su IPsec Tunnel IPsec tra VPN gateway! Cifratura! Autenticazione! Imbustamento A VPN (IPsec) gateway X Internet Tunnel VPN (IPsec) gateway Y VPN - 13 M. Baldi: si veda pagina 2 B VPN Gateway and Firewall! Inside! No inspection of VPN traffic! VPN gateway protected by firewall! Parallel! Potential uncontrolled access! Outside! VPN gateway protected by access router! Consistent policy! Integrated! Maximum flexibility Internet Encrypted traffic Public Intranet Firewall VPN - 14 M. Baldi: si veda pagina 2 VPN Gateway Decrypted traffic Private Intranet VPN Gateway and NAT! Authentication Header (AH)! IP addresses are part of AH checksum calculation packets discarded! Transport mode! IP address of IPSec tunnel peer is not what expected packets discarded! No PAT (Protocol Address Translation)! Tunnel mode! IP address within secure packet can be changed before entering the gateway! E.g., same addresses in two different VPN sites! Most often NAT is not needed on external packet VPN - 15 M. Baldi: si veda pagina 2 VPN Gateway and IDS! IDS is usually outside the firewall! No control on VPN traffic! Multiple IDS probes! Outside firewall! Inside VPN gateway Internet Access router Public Intranet IDS probe Firewall VPN - 16 M. Baldi: si veda pagina 2 IDS probe VPN Gateway Private Intranet
VPN peer basate su IP! Dedicated router! Il service provider realizza una rete di router dedicati ad un cliente! Utilizzabile solo per grossi clienti! Shared/virtual router! Il provider crea istanze di router dedicati ad un cliente all interno dei router fisici! di fascia alta permettono di avere centinaia di router virtuali! Tabella di routing e protocolli di routing per istanza! Supporto nel sistema operativo e tramite ASIC! Comunicazione tramite tunnel IPsec o GRE VPN MPLS di livello 2: PWE3! Pseudo Wire Emulation End-to-End! Vari servizi sulla stessa rete:! IP, ma anche leased lines, frame relay, ATM, Ethernet! Customer edge (CE) device offre interfaccia di servizio nativa! Il traffico è trasportato su un LSP tra i CE! Due etichette! Esterna - usata per il routing nella rete! Identifica il punto di accesso alla rete! Interna - multiplexing di vari utenti collegati al punto di accesso VPN - 17 M. Baldi: si veda pagina 2 VPN - 18 M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3! Ci possono essere apparati interni alla rete! Per esempio uno switch ATM all interno della rete del service provider su cui sono attestati LSP! Prevalentemente instaurazione manuale di LSP! Proposte per uso di LDP e BGP VPN MPLS di livello 3! Soluzioni provider provisioned! Politiche della VPN realizzate dal service provider! Non serve esperienza da parte del clienti! Scalabilità! Utilizzo su larga scala! Due alternative! RFC2547bis (BGP)! Inizialmente spinto da Cisco! Approccio attualmente più utilizzato! Virtual router! Inizialmente spinto da Nortel e Lucent VPN - 19 M. Baldi: si veda pagina 2 VPN - 20 M. Baldi: si veda pagina 2
Componenti della soluzione MPLS/BGP! VRF (VPN Routing and Forwarding) table! Associata ad una o più porte! Informazioni per l inoltro dei pacchetti ricevuti da tali porte Provider (P) VFR Customer Edge (CE) Piano di controllo! Routing exchange at edges! Route filtering! PE routers determine which routes to install in VRF! Support for overlapping address spaces! VPN-IPv4 Address family! Route Distinguisher + IPv4 address Route Distinguisher IP IP Address Provider Provider Edge (PE) VPN - 21 M. Baldi: si veda pagina 2 VPN - 22 M. Baldi: si veda pagina 2 MPLS VPN Components CE router creates adjacency with PE router! It advertises its destinations! It receives advertisements of other VPN destinations! Static routing, or! IGP (Interior Gateway Protocol)! (e.g., OSPF, RIP)! E-BGP (Exterior-Border Gateway Protocol)! PE router does not keep routes for all VPNs Provider Edge (PE) MPLS VPN Components! PE routers! Exchange routing information! I-BGP (Interior-Border Gateway Protocol)! Are ingress and egress LSR (Label Switch ) for the backbone! P routers have routes to PE routers only Provider (P) Customer Edge (CE) Provider VPN - 23 M. Baldi: si veda pagina 2 VPN - 24 M. Baldi: si veda pagina 2
Piano di controllo! Creazione di LSP attraverso la dorsale! I-BGP porta informazioni sulle etichette! LDP (Label Distribution Protocol) e/o! RSVP (Resource reservation Protocol)! Maglia di LSP tra i router PE della stessa VPN LSP (Label Switched Path) Provider VFR Provider Edge (PE) VPN - 25 M. Baldi: si veda pagina 2 Customer Edge (CE) Packet Routing Packet from 10.2.3.4 to 10.1.3.8! Default gateway PE2 router VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider 10.1/16 PE2 10.2.3.4 VPN - 26 M. Baldi: si veda pagina 2 Packet Routing! PE2 looks-up VRF! MPLS label advertised by PE1 for 10.1/16: L1! BGP next hop (PE1)! Outgoing interface for LSP to PE1! Initial label for LSP from PE2 to PE1: L2 VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider 10.1/16 PE2 10.2.3.4 VPN - 27 M. Baldi: si veda pagina 2 Packet Routing! PE2 pushes L1 and L2 on label stack! P routers forward packet to PE1 using L2! Last hop before PE1 pops L2! PE1 receives packet with L1! PE1 pops L1: plain IP packet CE1! PE1 uses L1 to route packet to proper output interface IP Payload PE1 L1 IP Payload L2/L1 LSP (L2) IP Payload VPN - 28 M. Baldi: si veda pagina 2 PE2
Vantaggi! Non ci sono vincoli sul piano di indirizzamento! Unicità degli indirizzi solo all interno della VPN! I router CE non scambiano infomazioni di routing tra di loro! Il cliente non deve gestire la dorsale! Il gestore non ha una dorsale per ogni cliente! La VPN può essere definita attraverso le reti di vari provider! Sicurezza equivalente a quella di Frame relay o ATM! Isolamento del traffico! No cifratura (confidenzialità)! Supporto di QoS (qualità di servizio) mediante gli experimental bit di MPLS VPN - 29 M. Baldi: si veda pagina 2 Supporto Multi-Protocol! Access VPN! Trasparente! L2TP e PPTP! Overlay (basato IPsec)! Generic Routing Encapsulation (GRE)! Trasporto di qualsiasi protocolo all interno di IP! Peer (basate su MPLS)! Insito in MPLS (Multi-Protocol Label Switching) VPN - 30 M. Baldi: si veda pagina 2 Riferimenti bibliografici! E. Rosen and Y. Rekhter, BGP/MPLS VPNs, RFC 2547, March 1999.! E. Rosen et al., BGP/MPLS VPNs, <draftrosen-rfc2547bis-02.txt>, July 2000.! C. Semeria, RFC 2547bis: BGP/MPLS VPN Fundamentals, Juniper s, White paper 200012-001, March 2001.! IETF MPLS Working Group, http://www.ietf.org/html.charters/mplscharter.html Riferimenti bibliografici! Hanks, S., Editor, "Generic Routing Encapsulation over IPv4", RFC 1702, October 1994.! Brian Browne, Best Practices For VPN Implementation, Business Communication Review, March 2001.! http://www.ietf.org/html.charters/l2vpncharter.html! http://www.ietf.org/html.charters/l3vpncharter.html VPN - 31 M. Baldi: si veda pagina 2 VPN - 32 M. Baldi: si veda pagina 2