VPN Virtual Private Network



Documenti analoghi
VPN Virtual Private Network

VPN. Virtual Private Network. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. VPN - 1 M. Baldi: si veda pagina 2

VPN Virtual Private Network

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Interdomain routing. Principi generali e protocolli di routing. Mario Baldi

Interdomain routing. Principi generali e protocolli di routing. Argomenti della presentazione. Nota di Copyright. Routing interdominio

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2

Università di Genova Facoltà di Ingegneria

Le Reti Private. Cristina Vistoli INFN-CNAF. 25 giugno 2002 C.Vistoli Incontri GARR-B

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa

Reti di Trasporto. Ing. Stefano Salsano. AA2006/07 - Blocco 5. Programma del corso

Voce su IP e Telefonia su IP

Voce su IP e Telefonia su IP

Autenticazione tramite IEEE 802.1x

Unbundling e xdsl. Mario Baldi

Multi-Protocol Label Switching (MPLS)

SMDS: Switched Multi-Megabit Data Service. Silvano GAI

Gestione delle Reti di Telecomunicazioni

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

Multicast e IGMP. Pietro Nicoletti

I protocolli di routing dell architettura TCP/IP

SIP e SDP. Segnalazione nelle reti VoIP. Fulvio Risso. Politecnico di Torino

RETI DI CALCOLATORI. Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI. Facoltà di Ingegneria Università degli Studi di Udine

Progettazione di reti locali basate su switch - Switched LAN

SNMP e RMON. Pietro Nicoletti Studio Reti s.a.s. Mario Baldi Politecnico di Torino. SNMP-RMON - 1 P. Nicoletti: si veda nota a pag.

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it

MPLS Multi-protocol label switching Mario Baldi Politecnico di Torino mario.baldi [at] polito.it

Servizi integrati su Internet

Servizi End-To-End VPN

Esercizi di Sniffing

RETI INTERNET MULTIMEDIALI MPLS

Wireless monitoring & protection

MPLS is the enabling technology for the New Broadband (IP) Public Network MPLS. Mario Baldi. Nota di Copyright. Multi-protocol label switching

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

FONDAMENTI DI MATEMATICA BINARIA

Il protocollo VTP della Cisco

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

I protocolli di routing dell architettura TCP/IP

RETI DI CALCOLATORI. Prof. PIER LUCA MONTESSORO. Facoltà di Ingegneria Università degli Studi di Udine

Installazione di una rete privata virtuale (VPN) con Windows 2000

ACCESS LIST. Pietro Nicoletti

PROF. Filippo CAPUANI. Accesso Remoto

Cenni sull ingegneria del software e sulla qualità dei programmi

IGRP Interior Gateway Routing Protocol

La sicurezza delle reti

Domain Name Service. Mario BALDI. Silvano GAI. Fulvio RISSO. staff.polito.it/mario.baldi. sgai[at]cisco.com. fulvio.risso[at]polito.

Introduzione (parte I)

IP Multicast. Mario Baldi staff.polito.it/mario.baldi. Silvano Gai Nota di Copyright. Comunicazioni di gruppo

Pier Luca Montessoro (si veda la nota di copyright alla slide n. 2) 1

Ricerca ed analisi della causa di un problema o guasto di rete

StarShell. IPSec. StarShell

Multi-layer switch commutazione hardware a vari livelli. Mario Baldi. Politecnico di Torino.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Reti di Calcolatori. Il software

Reti di Telecomunicazioni R. Bolla, L. Caviglione, F. Davoli MPLS LER, LSR 37.2

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Transparent bridging

Gli indirizzi di IPv6

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA

Sicurezza architetturale, firewall 11/04/2006

Reti private virtuali (VPN) con tecnologia IPsec

10_MLSwitching. ! Normalmente server web! Portali. ! Yahoo, Netscape. ! Notizie in tempo reale. ! CNN, La Stampa. ! Reperimento software. !

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

La sicurezza nelle reti di calcolatori

Hot Standby Routing Protocol e Virtual Router Redundancy Protocol

Sicurezza a livello IP: IPsec e le reti private virtuali

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

FONDAMENTI DI INFORMATICA. Ing. DAVIDE PIERATTONI. Facoltà di Ingegneria Università degli Studi di Udine. Compressione MPEG

OpenVPN: un po di teoria e di configurazione

Interdomain routing Principi generali e BGP

Cenni sulle principali tecnologie di rete. IZ3MEZ Francesco Canova

Sicurezza applicata in rete

Reti di calcolatori. Lezione del 10 giugno 2004

Architetture software per la QoS

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori (a.a. 2010/11)

Indirizzamento privato e NAT

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Servizi differenziati su Internet

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

Connessione di reti private ad Internet. Fulvio Risso

Autonomous system (AS) Autonomous system: perchè? Autonomous system. Autonomous system: perchè? Autonomous system: perchè?

Hot Standby Routing Protocol e Virtual Router Redundancy Protocol

Service e Switch Recovery

La virtualizzazione dell infrastruttura di rete

Link Aggregation - IEEE 802.3ad

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Nota di Copyright. 09_Prog_dorsale_fibra - 2 Copyright M. Baldi - P. Nicoletti: see page 2

Simulazione seconda prova Sistemi e reti Marzo 2016

Virtual Private Networks

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Cognome Nome Matricola Tempo a disposizione per lo svolgimento: 1 ora e 20 min Avvertenza: Si usi lo spazio dopo ogni quesito per lo svolgimento.

VPN. Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet)

Panasonic. KX-TDA Hybrid IP -PBX Systems Informazioni di base per connessioni Voice Over IP

Transcript:

VPN Virtual Private Mario Baldi Synchrodyne s, Inc. mbaldi@synchrodyne.com Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Ogni utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della redazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. VPN - 1 M. Baldi: si veda pagina 2 VPN - 2 M. Baldi: si veda pagina 2 Definizione Virtual Private (rete privata virtuale) Connettività per per gli gli utenti su su di di una una infrastruttura pubblica imponendo le le politiche come se se si si usasse una una rete rete privata! Infrastruttura condivisa! Rete privata o pubblica! Per esempio quella di un Internet Service Provider! IP! Frame Relay! ATM! Internet! Politiche Comunicazione sicura! Indirizzamento, sicurezza, qualità del servizio, affidabilità, ecc. VPN - 3 M. Baldi: si veda pagina 2 Perchè VPN? Le reti private sono basate su! Linee private affittate (CDN)! Soluzioni dial-up interurbane Le VPN permettono di abbattere i costi di queste soluzioni costose VPN - 4 M. Baldi: si veda pagina 2

Classificazione! VPN di accesso! Accesso remoto su una infrastruttura condivisa! ISDN, PSTN, cable modem, DSL! Intranet VPN! Collega sede aziendale principale, uffici remoti, filiali! Extranet VPN! Collega ad una rete aziendale clienti, fornitori, partner, o comunità di interesse VPN - 5 M. Baldi: si veda pagina 2 Fornitura di servizi VPN! Overlay Model! Serivizi (gestiti) basati su IPSec! Svariati tunnel altamente magliati! Ogni VPN gateway Model Overlay Peer deve conoscere gli altri Access L2TP, PPTP --! Peer Model Intranet IPSec MPLS! Rete MPLS Extranet IPSec MPLS! Ogni VPN gateway conosce solamente il router di accesso del service povider! Scambio di informazioni di routing! La rete pubblica diffonde informazioni di routing! La rete pubblica inoltra il traffico tra i gateway della stessa VPN VPN - 6 M. Baldi: si veda pagina 2 Frame Relay Tassonomia di tecnologie per VPN Layer 2 VPN VPN ATM Overlay Model MPLS Layer 3 VPN VPN PPTP L2TP VPN VPN IPsec Dedicated CPE Based Provider Provisioned VPN - 7 M. Baldi: si veda pagina 2 Peer Model BGP MPLS VR VR Shared Tunneling! A e B sono indirizzi aziendali! Non devono essere pubblici! Il tunneling rende possibile il funzionamento! Il tunneling di per se non garantisce sicurezza A VPN gateway X IP IP Header from from X to to Y Internet Tunnel VPN gateway Y IP IP Header from from A to to B Payload VPN - 8 M. Baldi: si veda pagina 2 B

VPN di accesso: due modalità operative VPN - 9 M. Baldi: si veda pagina 2 VPN di accesso 1. Remote user initiates PPP connection with NAS that accepts the call 2. NAS identifies remote user 3. NAS initiates L2TP or PPTP tunnel to desired corporate gateway (access server) 4. Corporare gateway authenticates remote user according to corporate security policy 5. gateway confirms acceptance of tunnel 6. NAS logs acceptance and/or traffic (optional) 7. gateway performs PPP negotiations with remote users (e.g., IPaddress assignment) 8. End-to-end data tunneled between user and corporate gateway VPN - 10 M. Baldi: si veda pagina 2 Protocolli per VPN di accesso! L2TP (Layer 2 Tunneling Protocol)! Non è largamente implementato! Indipendente dal protocollo di livello 2! Sicurezza basata su IPsec! Robusta! PPTP (Point-to-Point Tunneling Protocol)! Microsoft: integrato nel dial-up networking! Multiprotocollo! Autenticazione e cifratura deboli! Gestione delle chiavi proprietaria Vantaggi del Virtual Dial-Up! Autenticazione e sicurezza! Fatte dal VPN Gateway! Politiche e informazioni della rete aziendale! Cifratura basata su IPsec! Autorizzazione! Fatta dal VPN Gateway! Politiche e informazioni della rete aziendale! Allocazione degli indirizzi! Indirizzi aziendali sono allocati dinamicamente! Stesso tipo di accesso di quando si è collegati direttamente VPN - 11 M. Baldi: si veda pagina 2 VPN - 12 M. Baldi: si veda pagina 2

VPN basate su IPsec Tunnel IPsec tra VPN gateway! Cifratura! Autenticazione! Imbustamento A VPN (IPsec) gateway X Internet Tunnel VPN (IPsec) gateway Y VPN - 13 M. Baldi: si veda pagina 2 B VPN Gateway and Firewall! Inside! No inspection of VPN traffic! VPN gateway protected by firewall! Parallel! Potential uncontrolled access! Outside! VPN gateway protected by access router! Consistent policy! Integrated! Maximum flexibility Internet Encrypted traffic Public Intranet Firewall VPN - 14 M. Baldi: si veda pagina 2 VPN Gateway Decrypted traffic Private Intranet VPN Gateway and NAT! Authentication Header (AH)! IP addresses are part of AH checksum calculation packets discarded! Transport mode! IP address of IPSec tunnel peer is not what expected packets discarded! No PAT (Protocol Address Translation)! Tunnel mode! IP address within secure packet can be changed before entering the gateway! E.g., same addresses in two different VPN sites! Most often NAT is not needed on external packet VPN - 15 M. Baldi: si veda pagina 2 VPN Gateway and IDS! IDS is usually outside the firewall! No control on VPN traffic! Multiple IDS probes! Outside firewall! Inside VPN gateway Internet Access router Public Intranet IDS probe Firewall VPN - 16 M. Baldi: si veda pagina 2 IDS probe VPN Gateway Private Intranet

VPN peer basate su IP! Dedicated router! Il service provider realizza una rete di router dedicati ad un cliente! Utilizzabile solo per grossi clienti! Shared/virtual router! Il provider crea istanze di router dedicati ad un cliente all interno dei router fisici! di fascia alta permettono di avere centinaia di router virtuali! Tabella di routing e protocolli di routing per istanza! Supporto nel sistema operativo e tramite ASIC! Comunicazione tramite tunnel IPsec o GRE VPN MPLS di livello 2: PWE3! Pseudo Wire Emulation End-to-End! Vari servizi sulla stessa rete:! IP, ma anche leased lines, frame relay, ATM, Ethernet! Customer edge (CE) device offre interfaccia di servizio nativa! Il traffico è trasportato su un LSP tra i CE! Due etichette! Esterna - usata per il routing nella rete! Identifica il punto di accesso alla rete! Interna - multiplexing di vari utenti collegati al punto di accesso VPN - 17 M. Baldi: si veda pagina 2 VPN - 18 M. Baldi: si veda pagina 2 VPN MPLS di livello 2: PWE3! Ci possono essere apparati interni alla rete! Per esempio uno switch ATM all interno della rete del service provider su cui sono attestati LSP! Prevalentemente instaurazione manuale di LSP! Proposte per uso di LDP e BGP VPN MPLS di livello 3! Soluzioni provider provisioned! Politiche della VPN realizzate dal service provider! Non serve esperienza da parte del clienti! Scalabilità! Utilizzo su larga scala! Due alternative! RFC2547bis (BGP)! Inizialmente spinto da Cisco! Approccio attualmente più utilizzato! Virtual router! Inizialmente spinto da Nortel e Lucent VPN - 19 M. Baldi: si veda pagina 2 VPN - 20 M. Baldi: si veda pagina 2

Componenti della soluzione MPLS/BGP! VRF (VPN Routing and Forwarding) table! Associata ad una o più porte! Informazioni per l inoltro dei pacchetti ricevuti da tali porte Provider (P) VFR Customer Edge (CE) Piano di controllo! Routing exchange at edges! Route filtering! PE routers determine which routes to install in VRF! Support for overlapping address spaces! VPN-IPv4 Address family! Route Distinguisher + IPv4 address Route Distinguisher IP IP Address Provider Provider Edge (PE) VPN - 21 M. Baldi: si veda pagina 2 VPN - 22 M. Baldi: si veda pagina 2 MPLS VPN Components CE router creates adjacency with PE router! It advertises its destinations! It receives advertisements of other VPN destinations! Static routing, or! IGP (Interior Gateway Protocol)! (e.g., OSPF, RIP)! E-BGP (Exterior-Border Gateway Protocol)! PE router does not keep routes for all VPNs Provider Edge (PE) MPLS VPN Components! PE routers! Exchange routing information! I-BGP (Interior-Border Gateway Protocol)! Are ingress and egress LSR (Label Switch ) for the backbone! P routers have routes to PE routers only Provider (P) Customer Edge (CE) Provider VPN - 23 M. Baldi: si veda pagina 2 VPN - 24 M. Baldi: si veda pagina 2

Piano di controllo! Creazione di LSP attraverso la dorsale! I-BGP porta informazioni sulle etichette! LDP (Label Distribution Protocol) e/o! RSVP (Resource reservation Protocol)! Maglia di LSP tra i router PE della stessa VPN LSP (Label Switched Path) Provider VFR Provider Edge (PE) VPN - 25 M. Baldi: si veda pagina 2 Customer Edge (CE) Packet Routing Packet from 10.2.3.4 to 10.1.3.8! Default gateway PE2 router VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider 10.1/16 PE2 10.2.3.4 VPN - 26 M. Baldi: si veda pagina 2 Packet Routing! PE2 looks-up VRF! MPLS label advertised by PE1 for 10.1/16: L1! BGP next hop (PE1)! Outgoing interface for LSP to PE1! Initial label for LSP from PE2 to PE1: L2 VFR 10.1.3.8 CE1 10.2/16 PE1 LSP (L2) CE2 Provider 10.1/16 PE2 10.2.3.4 VPN - 27 M. Baldi: si veda pagina 2 Packet Routing! PE2 pushes L1 and L2 on label stack! P routers forward packet to PE1 using L2! Last hop before PE1 pops L2! PE1 receives packet with L1! PE1 pops L1: plain IP packet CE1! PE1 uses L1 to route packet to proper output interface IP Payload PE1 L1 IP Payload L2/L1 LSP (L2) IP Payload VPN - 28 M. Baldi: si veda pagina 2 PE2

Vantaggi! Non ci sono vincoli sul piano di indirizzamento! Unicità degli indirizzi solo all interno della VPN! I router CE non scambiano infomazioni di routing tra di loro! Il cliente non deve gestire la dorsale! Il gestore non ha una dorsale per ogni cliente! La VPN può essere definita attraverso le reti di vari provider! Sicurezza equivalente a quella di Frame relay o ATM! Isolamento del traffico! No cifratura (confidenzialità)! Supporto di QoS (qualità di servizio) mediante gli experimental bit di MPLS VPN - 29 M. Baldi: si veda pagina 2 Supporto Multi-Protocol! Access VPN! Trasparente! L2TP e PPTP! Overlay (basato IPsec)! Generic Routing Encapsulation (GRE)! Trasporto di qualsiasi protocolo all interno di IP! Peer (basate su MPLS)! Insito in MPLS (Multi-Protocol Label Switching) VPN - 30 M. Baldi: si veda pagina 2 Riferimenti bibliografici! E. Rosen and Y. Rekhter, BGP/MPLS VPNs, RFC 2547, March 1999.! E. Rosen et al., BGP/MPLS VPNs, <draftrosen-rfc2547bis-02.txt>, July 2000.! C. Semeria, RFC 2547bis: BGP/MPLS VPN Fundamentals, Juniper s, White paper 200012-001, March 2001.! IETF MPLS Working Group, http://www.ietf.org/html.charters/mplscharter.html Riferimenti bibliografici! Hanks, S., Editor, "Generic Routing Encapsulation over IPv4", RFC 1702, October 1994.! Brian Browne, Best Practices For VPN Implementation, Business Communication Review, March 2001.! http://www.ietf.org/html.charters/l2vpncharter.html! http://www.ietf.org/html.charters/l3vpncharter.html VPN - 31 M. Baldi: si veda pagina 2 VPN - 32 M. Baldi: si veda pagina 2

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back