Proiectarea Si Simularea Unei Aplicatii Vpn de Tip Site To Site

CUPRINS

Introducere

Securizarea conexiunilor la distanta prin intermediul VPN (Virtual Private Network)

Bazele retelelor VPN

Beneficiile unui VPN

Tipuri de conexiuni VPN

Site-to-site VPN

Remote acces VPN

Protocoale de tunelare

Point-to-Point Tunneling Protocol (PPTP)

Layer Two Tunneling Protocol (L2TP)

Secure Socket Tunneling Protocol (SSTP)

Standardizarea retelelor VPN – protocoalele ISAKMP si IPsec

Protocolul Authentication Header (AH)

Protocolul Encapsulated Security Payload (ESP)

Protocolul IKE si IKEv2

Aplicatie: implementarea si simularea unei retele VPN site-to-site

Configurare

Adaptorul Loopback in Windows 7

Echipamente Cisco utilizand GNS3

Tabela de adrese

Topologia retelei

Parametrii de securitate

Setari VPN

Testare functionare VPN

Concluzii

Bibliografie

Lucrarea de fata are in vedere proiectarea si simularea unei aplicatii VPN de tip site-to-site utilizand softul GNS3. Topologia retelei, asa cum a fost gandita, se regaseste in capitolul 2.

S-a avut in vedere o societate fictiva care are biroul central in Bucuresti si o filiala in Cluj. Dupa o crestere exploziva a productiei s-a hotarit deschiderea unui nou punct la o distanta foarte mare de sediul initial. In ideea de a continua succesul si a avea acces permanent la informatii complete si corecte, s-a luat decizia implementarii unei solutii de VPN. Premisele au fost ca orice lucrator din filiala sa se poate conecta in siguranta in reteua interna a companiei pentru a putea citi mailurile stocate pe server si de a utiliza aplicatia web interna cu baza de date comuna. Aplicatia web nu este accesibila din Internet ci doar utilizand conexiunea VPN.

Inainte de a fi implementat, VPN-ul a fost proiectat si testat in aplicatia GNS3. In aceasta teza voi reda analiza amanuntita efectuata pe topologia stabilita.

Totodata, in capitolul 1 este prezentat un studiu de ansamblu asupra tipurilor de conexuni la distanta, ce presupune si cat de sigura este fiecare solutie. Astfel, s-a stabilit faptul ca varianta de VPN site-to-site este cea mai avantajoasa de a fi pusa in practica in situatia de fata. Deoarece activitatea este desfasurata doar la birou, nu s-a optat pentru remote VPN, dar nu am restrictionat nici accesul la reteua publica Internet.

Aici vor fi prezentate detaliile necesare configurarii echipamentelor de retea din cele doua locatii astfel incat sa avem posibilitatea de a comunica de la un capat la celalat al retelei private. Conexiunea intre cele doua site-uri consta intr-un tunel efectuat peste reteaua publica de Internet. Informatiile sunt criptate, iar accesul in retea din afara acesteia este restrictionat prin intermediul unei liste de acces (ACL) bine definite, care permite comunicare doar intre IP-urile din clasele stabilite. In capitolul aferent prezentarii aplicatiei voi reda integral toate setarile de pe routerele si PC-urile implicate. De asemenea se va putea observa si avantajul utilizarii acestei solutii in pofida inchirierii unei linii WAN, lucru ce ar fi generat costuri nejustificate.

CAPITOLUL 1 – SECURIZAREA CONEXIUNILOR LA DISTANTA PRIN INTERMEDIUL VPN (Virtual Private Network)

Securitatea este o preocupare de amploare atunci cand pentru a se desfasura activitatea unei companii se utilizeaza reteua publica de Internet. Retelele virtuale private (VPN) sunt folosite pentru a asigura securitatea datelor pe Internet. Un VPN este folosit pentru a crea un tunel privat intr-o retea publica. Datele pot fi securizate prin criptare odata ce sunt trimise in acest tunel din Internet si prin protejarea lor de accesul neautorizat utilizand autentificarea la destinatie.

1.1 Bazele retelelor VPN

Retelele virtuale private (VPN) sunt conexiuni punct-la-punct peste o retea privata sau publica, cum ar fi Internetul. Un client VPN utilizeaza protocoale speciale bazate pe TCP/IP, numite protocoale de tunelare pentru a apela un port virtual de pe un server VPN. Intr-o implementare tipica VPN, un client initiaza o conexiune virtuala punct-la-punct pentru acces de la distanta la un server din Internet. Serverul raspunde la apel, autentifica apelantul si transfera date intre clientul VPN si reteaua privata a organizatiei.

Pentru a crea o conexiune punct-la-punct, informatia este incapsulata cu un antet. Antetul ofera informatii de rutare, care permit datelor sa traverseze reteaua comuna sau publica astfel incat sa ajunga la obiectivul final. Pentru a crea un link privat, datele trimise sunt criptate pentru pastrarea confidentialitatii. Pachetele interceptate in reteaua partajata sau publica sunt indescifrabile fara cheile de decriptare. Tunelul in care datele confidentiale sunt incapsulate si criptate este cunoscut ca o conexiune VPN.

Companiile, organizatiile au nevoie de siguranta, fiabilitate si modalitati eficiente de a interconecta mai multe retele, de exemplu sa existe permisiunea de a se conecta la sediul unei societati atat filialele, cat si clientii. In plus, avand in vedere faptul ca numarul persoanele care lucreaza de acasa este in crestere, intreprinderile au nevoie tot mai mare de metode sigure, fiabile si eficiente pentru a conecta angajatii care lucreaza in birouri mici / birouri home (SOHO) si in alte locatii de la distanta, utilizand resursele de care dispune in site.

Fig. 1 – Topologii retele moderne

Figura alaturata ilustreaza topologiile retelelor moderne utilizate pentru conexiuni la locatii indepartate. In unele cazuri, locurile de unde se initiaza conexiunile au acces doar la resursele companiei, in timp ce in alte cazuri poate exista si acces la Internet fara restrictii.

Organizatiile folosesc VPN-ul pentru a crea o conexiune privata end-to-end prin retetelele terte cum ar fi Internetul sau extranetul. Tunelul elimina bariera distantei si permite utilizatorilor din alte locatii sa acceseze resursele retelei din site-ul central. Un VPN este un mediu de comunicare in care accesul este strict controlat pentru a permite conexiuni de la egal la egal in cadrul unei comunitati cu interese definite.

Primele retele private virtuale au fost strict tunele IP care nu includeau autentificarea sau criptarea datelor. De exemplu, Generic Routing Encapsulation (GRE) este un protocol de tunelare dezvoltat de Cisco care poate incapsula o mare varietate de pachete in functie de layer intr-un tunel IP. Acest lucru creeaza o legatura virtuala punct-la-punct legand routerele Cisco la toate punctele de la distanta.

In zilele noastre, o implementare sigura a VPN cu criptare, cum ar fi IPsec VPN, este ceea ce, de obicei, practic este realizat printr-o retea virtuala privata.

Pentru a implementa un VPN este necesar un gateway in acest sens. Gateway-ul poate fi un router, un firewall sau un Cisco Adaptive Security Appliance (ASA). Un ASA este un dispozitiv firewall independent care include intr-o singura imagine IOS: firewall, VPN concentrator plus functionalitate de prevenire a intruziunilor neautorizate.

Fig. 2 – Conexiuni VPN in Internet

Asa cum este evidentiat si in imagine, un VPN utilizeaza conexiuni virtuale care sunt dirijate prin intermediul internetului de la reteaua privata a organizatiei la site-ul de la distanta sau locatia angajatului. Informatiile dintr-o retea privata sunt transportate in siguranta peste reteaua publica si astfel formeaza o retea virtuala.

1.2 Beneficiile unui VPN sunt urmatoarele:

reducerea costurilor – VPN-ul permite organizatiilor o comunicare intre angajati la un cost mic, utilizarea a terte parti de transport date prin Internet pentru a conecta birourile de acasa sau de la distanta la sediul principal; prin urmare, sunt elimintate link-urile WAN dedicate ce insemnau costuri enorme. In plus, odata cu aparitia tehnologiilor de inalta latime de banda, organizatiile pot utiliza VPN pentru a reduce costurile de conectare in timp ce creste, in acelasi timp, latimea de banda de conectare de la distanta.

scalabilitate – VPN permite organizatiilor sa utilizeze infrastructura ISP si echipamentele acestora, ceea ce permite adaugarea facila de noi utilizatori. De aceea, organizatiile pot avea foarte multe resurse umane la distanta fara a adauga infrastructura semnificativa.

compatibilitatea cu tehnologia de banda larga – VPN-ul permite angajatilor mobile si din telecomunicatii viteze mare de conectivitate pentru a accesa reteaua societatii. Conectivitatea de banda larga ofera flexibilitate si eficienta.

securitate – VPN-ul poate include mecanisme de securitate care asigura cel mai inalt nivel de securitate prin utilizarea criptarii si autentificarii, protocoale care protejeaza datele de accesul neautorizat.

Tipuri de conexiuni VPN

Intalnim doua tipuri de retele VPN:

site-to-site

acces remote

Site to site VPN

O conexiune VPN site-to-site este creata atunci cand dispozitivele de pe ambele parti sunt configurate in avans pentru a functiona in acest sens. VPN-ul ramane static, iar echipamentele interne nu stiu de la sine daca mai exista sau nu conexiuna VPN. Intr-o retea VPN site-to-site echipamentele trimit si primesc trafic TCP/IP normal printr-un “gateway” VPN dedicat.

Fig. 3 – Site-to-site VPN

Gateway-ul de acces VPN este responsabil de incapsularea si criptarea intregului trafic de iesire dintr-o anumita locatie. Tot gateway-ul se ocupa si cu trimiterea datelor catre portul corespondent din celalalt site. Acolo, la livrare, pachetele de date sunt sumarizate, in functie de antet, se decripteaza continutul si informatia este trimisa catre echipamentul tinta din reteaua privata.

Conexiunile VPN site-to-site (cunoscute si sub numele de conexiuni VPN router-to-router) permit organizatiilor sa aiba rute intre birouri din filiale indepartate sau conexiuni cu alte societati prin intermediul retelei publice de Internet, dar mentinand comunicatiile securizate. O conexiune VPN rutata pe Internet functioneaza logic ca o legatura de retea dedicata de arie larga (WAN). Cand retelele sunt conectate prin Internet, asa cum se poate observa si din figura alaturata, un router transmite pachete la un alt router pe o conexiune VPN. Pentru routere, conexiunea VPN functioneaza ca o legatura de date – link layer.

O conexiune VPN de tip site-to-site aduce la un loc doua portiuni ale unei retele private. Serverul VPN ofera o conexiune rutata la reteaua la care este atasat. Router-ul de asteptare (clientul VPN) se autentifica la router-ul telefonic (serverul VPN), dar are loc si o autentificare reciproca, routerul de raspuns se autentifica la routerul de asteptare. Intr-o conexiune VPN de tip site-to-site pachetele, de obicei, nu provin de la routere.

Remote-acces VPN

In timp ce solutia de VPN site-to-site este adoptata pentru a conecta intre ele retele intregi, varianta de VPN acces la distanta ajuta utilizatorii din domeniul telecomunicatiilor, utilizatorii de telefoane si dispozitive mobile; ofera suport pentru extranet si gestioneaza traficul dintre clienti si organizatii. Un VPN cu acces la distanta este creat atunci cand nu este stabilit un flux standardizat de informatii, totusi permite schimbarea dinamica de informatii, aceasta functie poate fi activata sau dezactivata in functie de necesitati. VPN-ul acces la distanta are la baza o arhitectura de tip client/server, unde clientul VPN (gazda de la distanta) primeste acces securizat la reteaua companiei printr-un server VPN amplasat la celalalt capat al retelei.

Fig. 4 – Remote-acces VPN

VPN-ul remote este utilizat si pentru a conecta intre ele dispozitive individuale (statii de lucru sau device-uri mobile) care trebuie sa acceseze reteaua companiei in siguranta pe Internet. Conexiunea la Internet utilizata de acestia este, de obicei, de tip broadband, DSL, wireless sau prin cablu, asa cum este indicat si in figura.

Pentru a se putea initia conexiunea, pe fiecare dispozitiv final trebuie sa avem instalat clientul software VPN. De exemplu, fiecare gazda poate avea instalat clientul software Cisco AnyConnect Secure Mobility. Cand dispozitivul incearca sa initieze orice tip de trafic, software-ul client VPN Cisco AnyConnect Secure Mobility incapsuleaza si cripteaza acest trafic. Datele criptate sunt apoi trimise prin Internet la gateway-ul VPN al retelei destinatie. Odata livrat traficul, gateway-ul se comporta la fel ca si in cazul VPN-ului de tip site-to-site. De precizat faptul ca softul Cisco AnyConnect Secure Mobility suporta conectivitatea pe IPv6.

Conexiunile de acces prin VPN de la distanta permit utilizatorilor care lucreaza la domiciliu sau sunt in deplasare sa acceseze un server dintr-o retea privata utilizand infrastructura asigurata de o retea publica, asa cum este Internetul de exemplu. Din perspectiva utilizatorului, VPN-ul este o conexiune punct-la-punct intre computerul folosit (clientul VPN) si serverul companiei. Infrastructura exacta a retelei partajate sau publice este irelevanta deoarece, asa cum pare si logic, informatiile circula printr-o legatura privata dedicata.

Protocoale de tunelare

Tunelling-ul permite incapsularea unui pachet de la un tip de protocol in datagrama unui protocol diferit. De exemplu VPN utilizeaza PPTP pentru a incapsula pachete IP intr-o retea publica, cum ar fi Internetul. Solutiile VPN ce se pot configura au la baza: protocolul de tunnelling poit-to-point (PPTP), protocoul de tunnelling layer doi (L2TP) sau Secure Socket Tunnelling Protocol (SSTP).

PPTP, L2TP si SSTP depind in mare masura de caracteristicile specificate initial pentru protocolul punct-la-punct (PPP). PPP a fost conceput sa trimita date prin intermediul retelelor bazate pe dial-up sau conexiuni dedicate punct-la-punct. Pentru IP, PPP incapsuleaza pachetele IP in cadre PPP si apoi transmite pachetele PPP incapsulate printr-o conexiune punct-la-punct. Protocolul PPP a fost initial definit sa se utilizeze intre un client dial-up si un server de acces la retea.

PPTP

PPTP permite traficul multiprotocolar astfel incat informatiile sa fie criptate apoi incapsulate intr-un antet IP pentru a fi trimise peste o retea privata sau o retea publica, cum ar fi Internetul. PPTP poate fi utilizat pentru solutiile de VPN remote acces si site-to-site. Atunci cand se utilizeaza Internetul ca retea publica pentru acces in VPN, serverul PPTP are o interfata cu acces la Internet si a doua interfata cu acces la Intranet.

PPTP incapsuleaza cadre PPP in datagrame IP pentru transmiterea prin retea. PPTP foloseste o conexiune TCP pentru managementul tunelului si o versiune modificata a Generic Routin Encapsulation (GRE) pentru a incapsula frame-uri PPP pentru datele trimise prin tunel. Payload-ul frame-urilor PPP incapsulate pot fi criptate, comprimate sau ambele variante. Urmatoare figura prezinta structura unui pachet PPTP ce contine o datagrama IP.

Fig. 5 – Structura unu pachet PPTP

Frame-ul PPP este criptat. Clientii retelei private trebuie sa foloseasca protocolul de autentificare pentru a decripta initial payload-ul ca apoi sa acceseze cadrele PPP criptate. PPTP are ca avantaj algoritmul de criptare care sta la baza PPP, ramanand doar sa incapsuleze frame-ul PPP criptat.

L2TP

L2TP permite ca traficul multiprotocolar sa fie criptat si apoi trimis peste orice mediu care accepta tip de livrare datagrama point-to-point, cum ar fi IP sau modul de transfer asincron (ATM). L2TP este o mixtura intre PPTP si Layer 2 Forwardind (L2F), o tehnologie dezvoltata de Cisco Systems Inc. Protocolul L2TP ofera cele mai bune caracteristici ale PPTP si L2F.

Fig. 6 – Structura unui pachet L2TP

Spre deosebire de PPTP, criptarea datagramelor se efectueaza prin IPsec. L2TP este instalat implicit cu protocolul TC/IP.

Incapsularea pentru pachetele L2TP/IPsec consta in doua straturi:

primul layer – incapsulare L2TP un frame PPP este infasurat cu un antet L2TP si un header UDP.

a doilea layer – incapsulare IPsec mesajul L2TP rezultat este apoi infasurat cu un payload IPsec ESP (Encapsulating Security Payload) header si trailer, un trailer IPsec Authenticatin care ofera integritatea si posibilitatea de autentificare pentru accesarea mesajului si un header IP. Antentul contine adresele IP sursa si destinatie care corespund cu cele ale clientului, respectiv serverului VPN.

Mesajul L2TP este criptat cu DES sau 3DES utilizand chei de criptare generate de IKE (Internet Key Exchange).

SSTP

Secure Socket Tunneling Protocol (SSTP) este un nou protocol de tunelare care foloseste protocolul HTTPS pe portul TCP 443 pentru a trece traficul prin firewall-uri și proxy-uri web, care ar putea bloca traficul PPTP si L2TP / IPsec. SSTP ofera un mecanism pentru a ingloba trafic PPP peste canalul Secure Sockets Layer (SSL) din protocolul HTTPS. Utilizarea PPP permite sprijin pentru metode de autentificare puternice, cum ar fi EAP-TLS. SSL ofera securitate la nivel de transport cu control imbunatatit pe partea de criptare, integritate si de obtinere a cheii in urma procesului de negociere.

Cand un client incearca sa stabileasca o conexiune VPN bazata pe SSTP, SSTP stabilste mai intai un strat HTTPS bidirectional cu serverul SSTP. Peste acest layer HTTPS, pachetele de sunt vazute ca payload.

SSTP incapsulează cadre PPP in datagrame IP pentru transmiterea prin retea. SSTP utilizeaza o conexiune TCP (portul 443) pentru gestionarea tunelului, acelasi port pe care-l utilizeaza si frame-urile PPP.

CAPITOLUL 2 – Aplicatie: implementarea si simularea unei retele VPN site-to-site

Configurare

Adaptorul Loopback in Windows 7

Pentru ca echipamentele din reteaua noastra de VPN sa se poata conecta si la Internet voi adauga sistemului de operare utilizat, Windows 7 Professional SP1, un adaptor virtual de retea prin care va trece traficul pentru Internet. Conexiunea la Internet este partajata, in functie de tipul conexiunii fizice, de placa LAN, wireless sau modemul de date mobile.

In continuare vor fi prezentati pasii necesari configurarii adapatorului virtual de retea.

Se deschide Command Promt cu privilegii de Administraror si scriem hdwwiz.exe pentru a incepe configurarea.

Fig. 7 – P1 Loopback

Se apasa click pe butonul Next pentru a continua.

Selectam “Instal the hardware that I manually select from a list (Advanced)” si continuam cu click pe Next.

Fig.8 – P2 Loopback

Derulam lista din fereastra noua deschisa si selectam “Network adapters”, apoi click pe butonul Next.

Fig. 9 – P3 Loopback

In ecranul de selectie a adaptorului de retea se alege Microsoft, ca producator, si Microsoft Loopback Adapter pentru tipul de adaptor de retea. Click pe Next pentru a continua.

Fig. 10 – P4 Loopback

In ecranul de confirmare se da click pe Next pentru a instala adaptorul virtual de retea ales.

Fig. 11 – P5 Loopback

Odata ce instalarea este completa se apasa pe butonul Finish pentru a inchide etapa de adaugare.

Fig. 12 – P6 Loopback

Acum trebuie sa configuram adaptorul adaugat. In Control Panel deschidem Network and Sharing settings din panoul de pe partea stanga.

Fig. 13 – Network an Sharing Center

In ecranul Network Connections selectam Local Area Connection de tip Microsodt Loopback Adapter. Click dreapta pe el si alegem proprietati.

Fig. 14.a – Network Connections

In ecranul nou deschis, click pe Internet Protocol Version 4 (TCP/IPv4) si click pe butonul Properties.

Fig. 15 – Loopback Properties

In fereastra de proprietati pentru Internet Protocol Version 4 (TCP/IPv4) se va completa o adresa IP din spatiul privat care este din alta clasa fata de locatiile deja cunoscute.

Fig. 16 – IPv4 Properties

Odata adaugate informatiile despre IP se da click pe butonul OK pentru a continua. Vom fi adusi inapoi in fereastra Properties pentru adaptorul nostru de retea, cu click pe Close incheiem procesul.

Fig. 14.b – Network Connections

Configurari echipamente Cisco utilizand GNS3

In continuare voi prezenta modalitatea de a configura o retea privata virtuala de tip site-to-site cu routere Cisco utilizand aplicatia GNS3. Avem doua locatii, una la Bucuresti si una la Cluj.

Tabela de adrese

Toplogia retelei este urmatoarea (fig. 17):

Testare comunicare intre PC1(Bucuresti) si PC2 (Cluj) – fig. 18:

Testare comunicare intre statia cu Windows 7 din Cluj si statia cu Windows XP din Bucuresti – fig. 19:

Se poate observa faptul ca, in urma configurarilor efectuate toate echipamentele comunica intre ele, se primeste raspuns la ping.

Verificare functionare protocoale securitate setate pentru tunelul VPN

Etapa 1: Se va rula comanda show crypto ipsec sa pe router-ul de la Bucuresti, inainte si dupa, generare trafic de date intre cele doua locatii.

Rezultatul afisat inaintea generarii traficului este afisat mai jos. Se observa faptul ca numarul pachetelor incapsulate, criptate, decriptate, decapsulate este zero pentru toate.

Fig. 20 – Verificare pachete

Etapa 2: De pe una din statii se va executa comanda ping catre un IP din locatia opusa.

Fig. 21 – Verificare ping

Etapa 3: Revenim in consola router-ului intial pentru a verifica rezultatul rularii comenzii: show crypto ipsec sa. Acum se poate nota faptul ca numarul pachetelor este mai mare decat zero, deci criptarea IPsec a tunelului VPN este functionala – fig. 22.

In continuare, se pot verifica, pentru investigarea unor probleme aparute in retea, diverse informatii legate de configurarile stabilite.

#show crypto isakmp sa – afiseaza asociatiile facute de protocolul de securitate ISAKMP

Fig. 23 – Asociatii ISAKMP

#show crypto isakmp policy – afiseaza politicile de securitate stabilite prin protocolul ISAKMP

FIg. 24 – Politici securitate ISAKMP

#show crypto map – afiseaza maparile

Fig. 25 – Verificare mapari

#verificare moduri debug

Fig. 26 – Verificare debug

3. CONCLUZII

Retelele private sunt o parte integranta a comunicatiilor desfasurate la distanta prin Internet in ceea ce priveste partea de bussines. Odata cu trimiterea informatiilor private intr-o retea publica ne expunem sa fim atacati de catre hackeri anonimi. VPN-ul poate fi un mijloc eficient de securizarea datelor afacerii, respectiv identitatii clientilor. VPN-ul nu este numai o solutie de prevenire a acesului la informatiile confidentiale din partea persoanelor neautorizate. Utilizand o retea virtuala privata se poate reduce poluarea, pentru cazul in care, periodic, o filiala ar fi trebuit sa se deplaseze la firma mama in vederea aducerii diverselor formulare sau documente., reducem astfel impactul asupra mediului inconjurator. VPN-ul joaca un rol important in posibilitatea de a lucra de acasa, oferind totodata si varianta de a tine legatura permanent cu ceilalti colegi prin videoconferinte sigure. Tot prin conferinte video, aceasta solutie permite angajatilor din filialele sau agentiile de la distante mari sa participe la reuniunile organizate in sediul central, fara a fi necesar sa se mai deplaseze pentru a fi acolo in persoana, scutind astfel drumul si oboseala.

De asemenea, foarte important de precizat este faptul ca din intreaga infrastructura necesara alegerii unui tip de VPN, societatea in sine are nevoie de o mica parte, restul fiind deja pusa la dispozitie de reteaua publica de Internet. Nu mai sunt necesare conexiuni dedicate dintr-o locatie in alta. Acum, pentru a implementa un VPN investitia este minima.

4. BIBLIOGRAFIE