. Retea Virtuala Privata Pentru Corporatii
CUPRINS
INTRODUCERE…………………………………………………………………………………………………….1
SCOPUL LUCRĂRII………………………………………………………………………………………………2
1. Considerații teoretice de bază………………………………………………………………………………..5
1.1. Modelul OSI……………………………………………………………………………………………………….5
1.2. Cum circula informația?……………………………………………………………………………………….8
1.3. Despre TCP/IP, protocoale……………………………………………………………………………….10
1.4. LAN………………………………………………………………………………………………………………..12
1.5. Hubul……………………………………………………………………………………………………………….16
1.6. Switchul……………………………………………………………………………………………………………17
1.7. VLAN………………………………………………………………………………………………………………20
1.8. Routerul……………………………………………………………………………………………………………22
1.9. Rețele WAN……………………………………………………………………………………………………..25
2. VPN-ul………………………………………………………………………………………………………………………28
2.1. Descrierea diferitelor aspecte ale VPN…………………………………………………………………28
2.2. Rețele virtuale private tipice………………………………………………………………………………..29
2.2.1. Intranet VPN………………………………………………………………………………………32
2.2.2. Remote Access VPN……………………………………………………………………………34
2.2.3. Extranet VPN……………………………………………………………………………………..37
2.3. Cum funcționează VPN-ul…………………………………………………………………………………40
2.4. Metode de transmisie prin VPN………………………………………………………………………….41
2.5. In interiorul tunelului…………………………………………………………………………………………42
2.5.1. Controlul sesiunii de comunicație prin tunel…………………………………………..43
2.5.2. Exemplu de VPN………………………………………………………………………………..44
3. Securitate si VPN……………………………………………………………………………………………………45
3.1. Premise in implementarea unui sistem securizat de transmisie de date……………………46
3.2. Internet Security & Acceleration Server 2000………………………………………………………48
4. Implementarea VPN………………………………………………………………………………………………50
4.1. Proiectul de realizare a VPN……………………………………………………………………………….51
4.2. Detaliile implementării. Echipamente………………………………………………………………….52
4.3. Stabilirea conexiunii…………………………………………………………………………………………..53
4.4. Structurarea rețelei…………………………………………………………………………………………….55
4.5. Implementarea LAN………………………………………………………………………………………….56
4.6. Implementarea Wireless……………………………………………………………………………………..64
4.7. Adresele IP si ieșirea la Internet………………………………………………………………………….67
4.8. Realizarea conexiunilor de VPN………………………………………………………………………….69
5. Avantaje ale rețelelor virtuale private…………………………………..……………………………77
BIBLIOGRAFIE……………………………………………………………………………………………………79
SIMBOLURI FOLOSITE………………………………………………………………………………… 80
=== l ===
RETEA VIRTUALA PRIVATA PENTRU CORPORATII
– proiectare și realizare –
INTRODUCERE
Internetul schimbă în fiecare zi modul în care comunicăm, ne informăm, și nu în ultimul rând modul în care se fac afacerile.
Dintre noile tehnologii, Rețelele Virtuale Private (VPN) au cel mai puternic impact asupra metodelor de a face afaceri.
O Rețea Virtuală Privată este descrisă în general ca fiind o conexiune sigură peste o rețea publică; VPN-ul folosește ca suport de comunicație Internetul pentru a realiza legături sigure cu partenerii de afaceri, cu filialele regionale și pentru a scade costurile legate de comunicația cu angajații aflați la distanță sau în deplasare. Practic, tehnologia rețelelor private virtuale permite unei firme sa-si extindă prin Internet, în condiții de maximă securitate, serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor sau companiilor partenere. Avantajul este evident: crearea unei legături de comunicație rapidă, ieftină și sigură. VPN-urile fac posibilă creșterea vânzărilor, dezvoltarea mai rapidă de noi produse și colaborarea strategică cu diverși parteneri fără a apela la liniile închiriate care sunt mult mai costisitoare.
După statisticile realizate în Statele Unite, piața dedicată securității informației a crescut de la 1.1 miliarde $ în 1995 la 16.6 miliarde $ în 2000, din care piața dedicată VPN-urilor a crescut intr-un ritm și mai rapid: de la 205 milioane $ în 1997, la aproximativ 11.9 miliarde $ în 2001, cu o rată de creștere de 100% pe an. VPN (Virtual Private Network) este o rețea care permite realizarea conexiunilor private între doua sau mai multe rețele de calculatoare care transfera date protejate prin intermediul unei rețele publice de date sau prin Internet. Folosind VPN se poate crea o conexiune securizată între rețelele distante ale unei companii care deține filiale situate în locații diferite. De asemenea, utilizatorii mobili pot accesa în mod securizat de la distanță, oricând, informațiile din rețeaua companiei. Calitatea serviciilor este asigurată printr-un management performant al rețelei.
“Cei care vor putea comunica ieftin și în deplina securitate cu partenerii de afaceri vor avea un avantaj considerabil în fața tuturor competitorilor din branșă.” Această afirmație, cunoscută de toate marile companii transnaționale, face ca rețelele virtuale private să fie privite astăzi cu un interes deosebit.
SCOPUL LUCRĂRII
Lucrarea de față are ca scop descrierea modului în care trebuie realizată implementarea unei rețele de calculatoare intr-o societate comercială care are mai multe sedii răspândite geografic la distanță mare.
Am ales un număr de trei locații inițiale și gândirea proiectului în așa fel incit să poată fi scalabil pana la un număr oricât de mare în funcție de viitoarea extindere economică. În cursul realizării planului de design trebuie ținut cont în mod obligatoriu de câteva cerințe principiale. In general aceste cerințe sunt valabile pentru toate tipurile de rețele.
funcționalitatea
scalabilitatea
adaptabilitatea
posibilitățile de management
Funcționalitatea în contextul networkingului înseamnă ca rețeaua trebuie să meargă, mai exact utilizatorii sa-si poată îndeplini cerințele muncii lor. Rețeaua trebuie să furnizeze atât conectivitatea utilizator-la-utilizator cat și utilizator-la-aplicație (în cazul aplicațiilor care operează pe un server) la o viteză și siguranță rezonabilă.
Scalabilitatea. Rețeaua trebuie să fie pregătită pentru orice viitoare extindere. Iar acestă creștere în dimensiuni nu trebuie să afecteze în mare măsură designul inițial.
Adaptabilitatea înseamnă ca rețeaua trebuie implementată cu un ochi ațintit spre viitoarele tehnologii. Această înseamnă ca nu trebuie să includă elemente care ar putea să impieteze implementarea noilor tehnologii odată ce acestea devin disponibileIn acest sens trebuie respectate cât mai în detaliu standardele existente.
In ceea ce privește crearea posibilităților de management există două lucruri de menționat : posibilitățile de monitorizare și posibilitatea de control a traficului, accesului etc.
In procesul de design în cazul rețelei pe care am ales-o se impune de menționat ca sunt doua aspecte ale proiectării și anume LAN-disign-ul și WAN-designul. Cele doua aspecte sunt diferite și la fiecare trebuie ținut cont de parametri diferiți. Pe de o parte când vorbim despre LAN-uri (Local Area Network – rețea locală) ne referim la acele comunități de calculatoare care se afla intr-o locație bine precizată, dimensiunea dintre cele mai depărtate mașini fiind de maxim câteva sute de metri. Uzual aceste rețele acoperă suprafața unei clădiri sau cel mult un campus. Elementele acestor rețele sunt alcătuite din simple calculatoare (PC-uri cel mai adesea), servere, imprimante etc. Viteza la care se face conexiunea este mare iar timpul în care este disponibila conexiunea este virtual nelimitata.
în cazul LAN-urilor există câteva cerințe critice care trebuie urmărite în cazul implementării :
* Plasarea serverelor și definirea funcției lor.
* Detecția coliziunilor.
* Segmentarea rețelei.
* Definirea domeniilor de broadcast și a celor de bandwidth.
Un al doilea aspect al implementării este cel legat de realizarea rețelei WAN (Wide Area Network-rețea de mare întindere ). Există deosebiri mari intre cele două tipuri de rețele. Rețelele de mare întindere leagă intre ele mașini aflate la mare distanță geografica, punctul maxim constituindu-l Internetul. În general conexiunile de acest gen sunt realizate pentru a permite comunicarea intre rețele locale. În rețelele de mare întindere rareori se întâlnesc simple PC-uri, cel mai adesea la “capetele cablurilor “ se afla modemuri, routere sau switchuri WAN. Transferul datelor se face la viteze mici, existând posibilitatea creșterii de banda, dar acesta necesita cheltuieli mari. Din acest motiv trebuie foarte judicios calculat și ales cel mai bun raport calitate/preț. În genere serviciile WAN sunt cumpărate sau închiriate de la un furnizor sau provider generic numit ISP.
Pentru designul WAN trebuie ținut cont de următorii factori :
* Conexiunea trebuie să facă față la cerințele de trafic.
* Asigurarea securității specifice.
* Costul deținerii conexiunii.
Proiectul atinge toate aspectele enunțate mai sus cu un deosebit accent pe cerințele de securitate deoarece este prevăzut ca intre cele trei sedii vor circula informații critice pentru activitatea financiară.
Cele trei locații ale firmei procesează date vitale pentru activitatea economica a societății și din această cauza este deosebit de importantă menținerea comunicării pe de o parte la un nivel securizat cat și pe parcursul desfășurării activităților specifice.
Sediul principal este în București, iar filialele sunt în Cluj și Timișoara.
Imaginea alăturată reprezintă o schematizare a proiectului.
1. CONSIDERAȚII TEORETICE DE BAZĂ
(modelul OSI, despre TCP/IP despre routing, switching, LAN, WAN)
1.1 Modelul OSI
In literatură este adesea întâlnită denumirea "OSI Reference Model "( modelul de referința OSI). OSI a fost emis în 1984, este un model în șapte straturi dezvoltat de ISO (Internațional Standardization Organization) pentru descrierea modului în care se pot combina diverse dispozitive pentru a comunica intre ele. Acest model este conceput ca având șapte straturi (sau învelișuri), iar fiecăruia i se asociază o anumită funcție (mai exact un anumit set de funcții). Aceste șapte straturi formează o ierarhie plecând de la stratul cel mai de sus 7 – application 1 (aplicație) și pană la ultimul din partea de jos a stivei stratul 1 physical. OSI a fost elaborat pentru a furniza producătorilor de echipamente de comunicație un set de standarde, respectarea cărora asigurând compatibilitatea și interoperabilitatea intre diverse tehnologii furnizate de firme diferiteInsuși termenul de Open din denumire semnifica faptul ca utilizarea standardelor este publica și gratuită spre deosebire de sistemele « proprietary » a căror folosire trebuie licențiată de firma care le-a produs și distribuitInainte de a trece mai departe cu descrierea modelului OSI este necesar să lămurim câteva aspecte legat de ceea ce numim în general networking protocol. Ca și intre oameni, pentru a putea să comunice intre ele, calculatoarele trebuie să vorbească aceeași limba sau altfel spus să folosească același protocol. Așadar un protocol este un set de reguli pe care fiecare calculator trebuie sa-l respecte pentru a comunica cu un altul. O definiție ceva mai tehnică ar suna cam așa: un protocol de comunicare reprezintă un set de reguli care determină formatul și modalitatea în care datele sau informația pot fi trimise sau primite. Pe lângă modul de împărțire pe verticala în modelul OSI se mai poate înțelege unul pe orizontală, adică fiecare strat este subdivizat pe orizontală, în aceste locuri aflându-se protocoalele. Ca și principiu un protocol M dintr-un strat 4 al calculatorului source va comunica în calculatorul destination cu protocolul M din stratul 4 al mașini respective. Spre exemplu TCP de strat 4 comunica cu TCP de strat 4 din calculatorul cu care a stabilit o conexiune. Imaginea de mai jos evidențiază cel mai bine modul de comunicare intre protocoale.
Care sunt scopurile pentru care a fost propus acest sistem ? Deși astăzi sunt și alte sisteme în funcțiune cei mai mulți distribuitori de echipamente de comunicație folosesc OSI pentru a educa utilizatorii în folosirea echipamentelor; se consideră ca OSI este cel mai bun mijloc prin care se poate face înțeles modul în care informația este trimisă și primita. În modelul OSI sunt șapte straturi care fiecare au funcții diferite în rețea, această repartiție purtând numele de stratificare (layering ).
Avantajele folosirii OSI:
Descompune fenomenul de comunicare în rețea în parți mai mici și implicit mai simple.
Standardizează componentele unei rețele permițând dezvoltarea independentă de un anumit producător.
Permite comunicarea intre diferite tipuri de hardware și software.
Permite o înțelegere mai ușoara a fenomenelor de comunicație.
Care sunt funcțiile fiecărui strat în modelul OSI ?
Stratul 7 (layer 7- application) este cel mai aproape de utilizator și are rolul de a face legătura dintre aplicație și serviciile oferite de rețea pentru acea aplicație. El este mai aparte decât celelalte straturi în aceea că nu furnizează servicii altor straturi. Spre exemplu: o aplicație ca editorul de text pe care tocmai scriu acest text folosește stratul 7 când ii comand să salvez pe un disc care este în rețea. Daca este să asociem acest strat cu un cuvânt cel mai potrivit ar fi: browser. La acest nivel se afla situate network shell-urile care permit de exemplu unui Workstation să se integreze în rețea. Programe și protocoale la acest nivel : NICE – facilitați pentru monitorizarea rețelei, FTP – facilitați pentru transferul de fișiere, SNMP – folosit pentru monitorizarea și controlul rețelei, telnet, rlogin.
Stratul 6 (layer 6 – presentation) are ca scop traducerea informațiilor în formate pe care mașinile care comunica le pot înțelege. Poate fi asociat principial cu sintagma : formatul informației. Convertește cele doua formate EBCDIc și ASCII, formate de imagine, audio, video etc.
Stratul 5 (layer 5 – session ) pornește, administrează și termina sesiunile de comunicare intre calculatoare. Este asociat cu termenul de dialog. Protocoale pentru acest strat : ADSP, NetBEUI, NetBIOS.
Stratul 4 (layer 4 – transport ) segmentează și reasamblează informația care circula intre noduri. Granița dintre acest strat și cel de deasupra lui este foarte importantă pentru ca delimitează straturile care se ocupa cu procesarea locală a informației (7 application, 6 presentation și 5 session) și pe cele care au ca funcție definirea modului în care trebuie să circule datele intre echipamente (4 transport, 3 network, 2 data link și 1 phisycal). Funcțiile principale ale stratului transport ar fi : definește caracteristicile transportului intre noduri, se asigura ca datele au ajuns la destinație, stabilește, menține și termina circuite virtuale, detectează și remediază erorile care au apărut în procesul de transport, controlează fluxul de date. Dacă trebuie gândit în câteva cuvinte, cele mai bune ar fi : calitatea serviciului și încrederea în serviciu. Protocoale: TCP și UDP, SPX, PEP, VOTS.
Stratul 3 (layer 3 – network) poate fi gândit în două funcții: rezolva adresarea intre hosturi și găsește cea mai buna cale pe care informația trebuie să o parcurgă pentru a ajunge la destinație. Aici se desfășoară procesul de routing. Protocoale ARP (mapează adrese MAC cu IP), ICMP (folosit pentru anunțarea erorilor), IGP, IS-IS, IGRP, EIGRP, RIP (toate routing protocoale folosite pentru schimbarea tabelelor de rutare intre routere), IPX, IP.
Stratul 2 (layer 2 – data link) face trecerea informației din calculator în mediul prin care este trimisă informația (cablu, fibra optica sau unde radio). Acest strat mai controlează fluxul de date în mediul de transport oferă adresarea fizica (adresele MAC), aici se regăsesc tehnologiile care asigura diferite topologii logice ale rețelelor (Ethernet, IEEE 802.3, IEEE 802.5,FDDI, Token Ring etc.). Ne putem aminti ușor de acest strat asociindu-l cu frame-uri și MAC. Protocoale: HDLC, LAPB, LAPD, PPP, SLIP. Multe dintre acestea definesc modalitatea de încapsulare în liniile seriale.
Stratul 1 (layer 1 – phisycal) definește la nivel electric, mecanic, procedural și funcțional legătura fizică intre calculatoarele care comunică. Spre exemplu are în grijă: nivelele de voltaj din cablu, tipurile de cablu sau fibra optică, distanța maximă dintre două capete ale conductorului etc. Il putem asocia cu termenii semnal și cablu. Tipuri de specificații pentru acest strat : EIA-232D (specifică interfețele și semnalul intre DTE și DCE), Ethernet, IEEE 802.3 (asemănător cu Ethernetul dar standardizat public) IEEE 802.5 ( forma standardizată de IEEE 1 pentru Token Ring )
1.2 Cum circulă informația ?
Odată ce a fost creată (spre exemplu după ce am scris un email) informația trebuie să treacă prin toate cele 7 straturi unde va fi procesată pentru trimitere. Această procesare presupune desfacerea și asamblarea ei în niște pachete de date procesul purtând numele de încapsulare. Acest proces constă pe langă crearea pachetelor și intr-un fenomen prin care se adăuga la fiecare pachet headere și trailere care definesc un anumit protocol care va procesă la destinație acel pachet.
Pentru o mai simpla înțelegere a fenomenului se poate lua exemplul cu emailul. Așadar pașii vor fi următorii :
1. Construirea datelor. Utilizatorul scrie emailul al cărui text și eventual imagine vor fi procesate în straturile superioare pentru a avea un format care să poată fi trimis în rețea.
2. Segmentarea datelor. Se face la stratul 4, în felul acesta se garantează ca datele vor ajunge în siguranță de la o mașină la alta.
3. Adăugarea adreselor de rețea. Se face la nivelul stratului 3 și se face prin adăugarea unui header la segmentul stratului 3 rezultând ceea ce numim pachet. Acest header vine cu informații deosebit de prețioase: adresă logica 3 către care va fi expediat pachetul, adresa logică a sursei. Tot la cest nivel se decide care va fi următoarea mașina căreia i se va livra pachetul (next hop).
4. Adăugarea headerului de strat 2. Aici se adaugă un header care conține informații cu privire la următoarea mașina care va primi acea informație. Rezultatul acestei asamblări fiind ceea ce numim un frame. Trebuie deosebită această adresare de cea de la layer 3: spre exemplu daca sunt intr-o rețea A și trimit informație în aceeași rețea, IP-ul destinației va fi al mașinii către care trimit, MAC-ul deasemeni; pe când daca trimit intr-o altă rețea IP-ul va fi al destinației iar MAC-ul va fi al default gateway-ul din rețeaua A în care mă aflu eu.
5. Convertirea frame-ului intr-o secvența de biți (0 și 1). Așa circulă informația în mediul de propagare. Aici se mai află și un ceas care permite celor doua mașini care comunică să se poată sincroniza.
Același parcurs îl are informația odată ce a atins destinația dar în sens contrar de la stratul 1 pana la 7. În sensul acesta trebuie precizat ca fiecare strat comunica cu echivalentul sau din mașina cu care s-a stabilit o conexiune. Acest tip de comunicare se numește comunicare peer-to peer 1 și implică folosirea unor PDU-uri (protocol data units). Pentru layer 4 PDU-ul este segmentul, pentru layer 3 packet-ul, iar pentru layer 2 frame-ul.
1.3 Despre TCP/IP, protocoale
Deși modelul OSI este universal recunoscut, din punct de vedere istoric și tehnic vorbind, în ceea ce privește internetul, standardul aplicat este TCP/IP, adică Transmission Control Protocol/Internet Protocol. Modelul de referința TCP/IP și stiva sa de protocoale fac comunicarea posibilă intre doua calculatoare care se afla în orice colț al lumii la viteze care cresc pe zi ce trece.
TCP/IP a luat naștere în laboratoarele armatei americane în speranța de a crea un mod de comunicare posibil în orice condiții de luptă. Datorită fiabilității sale a fost mai târziu preluat de dezvoltatorii de UNIX și adus la un nivel care să permită comunicarea în Internet astăzi fiind cea mai răspândită limba în care «vorbesc computerele» oriunde în lume. TCP/IP este un model în patru straturi: application, transport, internet și network access (sau mai simplu network).
Intre cele doua modele există similaritudini. Stratul application include și straturile session și presentation ale modelului OSI. Stratul transport al modelului TCP/IP are în grijă calitatea serviciului de comunicare, siguranța liniei de transport, controlul fluxului și detecția și corecția erorilor.
La nivelul stratului transport se afla și protocolul TCP care este un protocol orientat pe conexiune (spre deosebire de colegul sau de strat UDP care nu este orientat pe conexiune). Aceasta înseamnă ca doua computere pot comunica asigurându-se ca aud exact ceea ce interlocutorul spune și anunțând periodic acel interlocutor că a interes exact. Aceasta este tehnica acknowledgement-urilor. Tot odată TCP permite și comunicarea rapidă, adaptată la posibilitățile rețelei prin folosirea window-ingului.
Stratul Internet este cel care face adresarea logică în stiva TCP/IP. Cele două lucruri pe care le face: odată găsește care este cea mai bună cale pe care trebuie să o urmeze un pachet pentru a ajunge la destinație, iar cea de a doua constă în switchingul acelui pachet, aceasta fiind posibilitatea de a trimite pachetul printr-o altă interfață decât aceea de primire. Acesta este locul unde acționează routerul în Internet.
Stratul network Access este acela unde rezidă ambele tehnologii LAN și WAN. Așadar aici se găsesc toate lucrurile menționate la nivelele 1 și 2 ale modelului OSI.
1.4 LAN
LAN-local area network sau rețea locală. Un LAN este o colecție alcătuită dintr-unul sau mai multe computere localizate la o distantă limitată unul de celalalt și care comunica reciproc ( direct sau indirect ).LAN-urile difera în modul în care computerele sunt conectate intre ele, în modul în care informația circula intre ele și în modul în care se repartizează funcțiile fiecărui calculator component. Computerele dintr-un LAN pot fi PC-uri, Macintosh, minicomputere, mainframe-uri etcIn general computerele care se afla intr-un LAN sunt denumite noduri care la rândul lor pot să fie stații sau servere. De asemenea mai pot fi întâlnite și alte tipuri de componente : imprimante de rețea, scanere, switchiuri etc. Calculatoarele dintr-un LAN sunt legate prin intermediul plăcii de rețea (Network Interface Card – NIC) care se inserează în sloturi ca PCI. Serverele pot să aibe mai multe NIC-uri.
In general putem diferenția LAN-urile în două moduri :
* în ceea ce privește relația administrativă intre noduri: avem rețele client-server (server based) și rețele peer-to-peer.
* în ceea ce privește modul în care se stabilește relația fizică și logică, adică modul în care circulă informația intre componente avem mai multe arhitecturi: Ethernet, Token Ring FDDI și avem mai multe topologii: bus, stea, inel, rețea extinsă, dispoziție ierarhică, mesh.
In continuare voi prezenta câteva cuvinte despre fiecare, dar punând un deosebit accent Ethernet (sau IEEE 80.3), deoarece este cea mai răspândită tehnologie. În imagine este o hartă a tehnologiilor cele mai răspândite la realizarea unui LAN. Se poate vedea că aceste tehnologii sunt în principal implementate la primele doua straturi ale modelului OSI. Ar mai fi de remarcat și faptul ca stratul 2 (data link) este subîmpărțit în două substraturi: LLC independent de tehnologii și MAC care este total dependent de tehnologia implementată.
Token Ring (transfer la 4-16 Mbps) a fost dezvoltat de IBM, iar mai apoi standardizat sub denumirea de IEEE 802.5. Denumirea sa vine de la token, în engleza jeton. Din punct de vedere al topologiei logice avem un inel. Intre stațiile dispuse în acest inel circula un jeton – acesta este un frame de mici dimensiuni. Acest jeton rămâne la fiecare stație un anumit interval de timp după care este transmis mai departe stației din vecinătate. Fiecare stație are voie să transmită numai atunci când se află în posesia acestui jeton. Odată transmisă informația în rețea nu se mai afla nici un jeton. Informația circula de la o stație la alta pană când atinge destinația unde este copiată și se modifică un bit din header, iar mai apoi e trimisă mai departe. Ciclul se termină atunci când informația reajunge la stația de pornire care poate să afle dacă ea si-a atins destinația și apoi o scoate din circuit eliberând după aceea un nou jeton în circulație. Avantajele acestui tip sunt determinismul ei și lipsa de coliziuni. Prin determinism putem să înțelegem ca se poate calcula precis timpul în care o cantitate de informație ajunge la destinație. Lipsa de coliziuni : nu pot să emită doua stații în același timp (cum este cazul în Ethernet guvernat de SMA/CD). Dezavantajul principal ar fi că în cazul în care apare o lezare a cablului sau la o stație întreagă rețeaua este compromisă. Imaginea de mai jos schematizează circulația informației intr-o rețea Token Ring.
FDDI (rată de 100 Mbps) este o topologie mai scumpă, dar se impune ca și backbone sau în locuri unde este necesară o conexiune foarte sigură intre computere de mare putere. Folosește aceeași tehnologie a jetonului ca și Token Ringul deci este lipsită de problema coliziunilor. În plus FDDI folosește transmisia prin fibră optică, deci avantaj la viteză și posibilitate de trafic teoretic nelimitat. Este alcătuită din două inele din care al doilea este în cele mai multe cazuri utilizat ca și rezervă pentru cazuri în care primul cedează.
Ethernet este în mod sigur cea mai răspândită arhitectură în lume la ora actuală aceasta datorându-se probabil raportului calitate/preț pe care îl are. În general este cunoscută și ca tehnologia IEEE 802.3. Noile implementări aduc o creștere enormă în capacitatea de trafic a Ethernetului: Fast Ethernet (100 Mbps) și Gigabit Ethernet 1000 Mbps). Imaginea de mai jos prezintă standardele Ethernet:
Ethernetul folosește o topologie logică de tip bus și cel mai adesea una fizică de tip stea sau stea extinsă (datorată hub-urilor și switchurilor). Mediul de transfer este cel mai adesea cablul UTP Cat 5 (cablul coaxial nemaifiind recomandat). Există câteva lucruri standardizate în legătura cu modul în care se face cablarea în Ethernet și pe care trebuie să le prezentăm pentru ca sunt foarte utile în realizarea proiectului pe care l-am propus. Modul în care este construită o rețea Ethernet este cel mai adesea de tip stea sau stea extinsă, standardele care se aplică pentru acest caz sunt EIA/TIA 568A, acesta definind distantele maxime ale fiecărui segment al cablării. În cazul folosirii acestor standarde se presupune ca în centrul arhitecturii se afla un hub (sau switch) din care pornesc cablurile ce merg pană la stații. Acest hub se află intr-o cameră specială denumită camera echipamentelor, tot aici aflându-se cam toate echipamentele care deservesc facilitățile de comunicare ale rețelei, pot fi și servere de rețea, routere etc.
Probabil cel mai caracteristic termen relativ la Ethernet este tehnologia CSMA/CD (elaborată undeva în Hawai). Acesta constă în mare în următoarea secvența de pași :
• O stație vrea să transmită
• Asamblează informația
• Ascultă pe cablu daca cineva transmite
• Daca da atunci așteaptă și apoi reîncearcă
• Daca linia este liberă transmite
• Se poate întâmpla ca două stații să emită în același timp și să apară o coliziune, moment în care informația este distrusă « bit by bit ».Prima stație care a decelat fenomenul trimite un semnal prin care avertizează ca s-a produs o coliziune, în felul acesta având certitudinea ca toate stațiile au auzit ca s-a petrecut o coliziune. Din acest moment fiecare stație intră intr-o perioada de așteptare precis calculată pentru fiecare, timp în care nu mai pot să transmită nici un mesaj.
Atât Ethernet cat și IEEE 802.3 sunt rețele de tip broadcast adică fiecare stație poate să vadă frameurile trimise în rețea. Fiecare stație încarcă o copie a frameului care circulă prin mediu și examinează adresa MAC de destinație a frameului. Dacă acesta corespunde cu adresa respectivei stații atunci este trimis stratului 3 pentru a se examina și IP-ul acelui frame. În cazul în care adresa MAC nu corespunde, acel frame este descărcat. Așadar în ceea ce privește Ethernetul una dintre problemele de care trebuie ținut seama cu prioritate este chestiunea coliziunilor și mai exact a evitării acestora. Una dintre modalități ar fi folosirea cailor full-duplex. Mai exact, în cazul huburilor clasice transmisia are loc pe un singur canal atât la trimitere cat și la recepția semnalului, în cazul transmiterii full-duplex există canale separate dedicate fiecărei acțiuni în felul acesta evitându-se coliziunile și practic dublând rata de transfer deoarece un computer poate să trimită și să primească în același timp informație. Crearea acestor circuite se poate realiza pe vechile infrastructuri de cabluri, dar în general necesită prezența unui switch.
Un subiect extrem de important atunci când tratăm problema designului în rețelele Ethernet este aceea a segmentării acestora. Pentru a o putea descrie în ansamblu este nevoie de o scurtă prezentare a echipamentelor care pot fi folosite în implementarea unui LAN. Cablurile – în general vom folosi UTP categoria 5, acesta fiind momentan recomandat de standarde ca fiind tehnologia cea mai scalabilă. Este un cablu alcătuit din patru perechi torsadate pentru eliminarea efectului de cross-talk. Din păcate este susceptibil de a fi sensibil la radiația electromagnetică și chiar lumina de neon. Este recomandată de asemenea folosirea sa cu deosebită grijă în ceea ce privește respectarea dimensiunilor recomandate.
1.5 Hubul
este un echipament de strat 1.
Funcțiile sale sunt relativ simple: regenerarea semnalului primit printr-un port și retransmiterea lui pe toate celelalte porturi. Nu face nici un fel de decizie în ceea ce privește traficul. Poate avea mai multe porturi 4, 8, 32 etc. Este un echipament ieftin.
Se mai numește și multiport repeater. Este important de menționat ca se înlocuiește prin folosirea sa vechea tehnologie de tip bus în care se utiliza cablul coaxial (acum nemaifiind recomandat de standarde).
Exemplu tipic de hub cu 4 porturi RJ45
1.6 Switchul
Switchul este denumit și multiport bridge. În general combină caracteristicile unui hub (are o multitudine de porturi) cu cele ale uni bridge – operează la stratul 2 al modelului OSI.
Pentru a înțelege cum operează un switch este foarte important de înțeles structura unui frame acesta iind elementul cu care lucrează acest echipament.
Funcțiile sale sunt următoarele :
• inspectează frameurile pe care le primește pe un port, citește adresaMAC sursă
• daca adresa este găsită (daca nu o găsește si-o notează în tabela de switching asociind-o cu portul pe care aceasta a sosit apoi) citește adresă MAC de destinație
• daca aceasta este găsită se trimite frameul pe acel port
• daca nu este găsită frameul este trimis pe toate porturile în afara de cel pe care a sosit
Există pe piață o multitudine de tipuri de switchuri. Ideea este ca toate implementează ceea ce se numește microsegmentație, adică stabilesc conexiuni virtuale dedicate intre mașinile de comunicație. Sunt switchuri care au posibilitatea de VLAN2 și trunking aducând performante deosebite în proiectarea rețelelor. Funcțiile unui switch sunt deosebit de importante în contextul în care se face trecerea la LANuri de capacitate tot mai mare. În prezent se recomanda înlocuirea huburilor cu switchuri. Un alt factor care trebuie menționat este existența unor switchuri cărora li se poate face un management strict și adaptat la cerințele unei anumite rețele. În acest sens sunt și switchurile Catalyst 1900 produse de Cisco Systems Inc. in SUA. In continuare am să prezint captura de ecran preluată de la interfață sistemului de operare al unui switch Catalyst 1900. Configurarea unui switch se face prin conectarea acestuia printr-un port special al switchului (console port) la portul COM (1 sau 2) al unui PC cu un sistem de operare ca de exemplu Windows NT 4.0 Conectarea se face prin intermediului unui cablu UTP roll-over (console cable). Interfața cu sistemul de operare se face prin intermediul utilitarului HyperTerminal stabilind o conexiune la o rată de 9600 bps. Iată inițierea unei legături cu switchul.
Catalyst 1900 Management Console
Copyright (c) Cisco Systems, Inc. 1993-1998
All rights reserved.
Enterprise Edition Software
Ethernet Address: 00-D0-D3-74-DB-00
PCA Number: 73-3122-04
PCA Serial Number: FAB0326328T
Model Number: WS-C1912-EN
System Serial Number: FAB0334U08U
Power Supply S/N: PHI03230458
PCB Serial Number: FAB0326328T,73-3122-04
––––––––––––––––-
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
Enter Selection: K
CLI session with the switch is open.
To end the CLI session, enter [Exit].
UP_SW>ena
Enter password: *****
Incorrect password
Enter password: ******
UP_SW#menu
Catalyst 1900 – Main Menu [C] Console Settings
[S] System
[N] Network Management
[P] Port Configuration
[A] Port Addressing
[D] Port Statistics Detail
[M] Monitoring
[V] Virtual LAN
[R] Multicast Registration
[F] Firmware
[I] RS-232 Interface
[U] Usage Summaries
[H] Help
[K] Command Line
[X] Exit Management Console Enter Selection: F
Catalyst 1900 – Firmware Configuration
–––––––– System Information ––––––––
FLASH: 1024K bytes
V8.01.02 : Enterprise Edition
Upgrade status:
No upgrade currently în progress.
–––––––– Settings –––––––––––
[S] TFTP Server name or IP address sw
[F] Filename for firmware upgrades
[A] Accept upgrade transfer from other hosts Enabled
–––––––– Actions –––––––––––-
[U] System XMODEM upgrade [D] Download test subsystem
(XMODEM)
[T] System TFTP upgrade [X] Exit to Main Menu
Enter Selection: X Catalyst 1900 – Main Menu
[C] Console Settings
[S] System
[N] Network Management
[P] Port Configuration
[A] Port Addressing
[D] Port Statistics Detail
[M] Monitoring
[V] Virtual LAN
[R] Multicast Registration
[F] Firmware
[I] RS-232 Interface
[U] Usage Summaries
[H] Help
[K] Command Line
[X] Exit Management Console Enter Selection: K
UP_SW#sh mac
UP_SW#show mac-address-table
Number of permanent addresses : 45
Number of restricted static addresses : 0
Number of dynamic addresses : 33
Address Dest Interface Type Source Interface List
–––––––––––––––––––––––-
0020.1888.C0F3 Ethernet 0/1 Permanent All
0040.05A6.DC0E Ethernet 0/1 Permanent All
0020.182D.38BC Ethernet 0/1 Permanent All
0000.B4B6.11AB Ethernet 0/1 Permanent All
00C0.DFE3.14D2 Ethernet 0/1 Permanent All
0040.33B0.1731 Ethernet 0/1 Permanent All
0030.80E8.9D90 Ethernet 0/9 Dynamic All
0020.1888.2322 Ethernet 0/9 Dynamic All
0080.5FA9.F253 Ethernet 0/9 Dynamic All
0048.5412.FBB7 Ethernet 0/9 Dynamic All
00A0.D2A4.4864 Ethernet 0/9 Dynamic All
0048.5413.0473 Ethernet 0/9 Dynamic All
0001.E608.4BC0 Ethernet 0/9 Dynamic All
0040.9530.095F Ethernet 0/9 Dynamic All
0060.5C21.7699 Ethernet 0/9 Dynamic All
00E0.290F.9219 Ethernet 0/9 Dynamic All
0048.5413.066D Ethernet 0/9 Dynamic All
00A0.D2A4.470D Ethernet 0/9 Dynamic All
0000.216E.9850 Ethernet 0/9 Dynamic All
0020.182A.F9A0 Ethernet 0/9 Dynamic All
0020.1858.4766 Ethernet 0/9 Dynamic All
0020.182A.F213 Ethernet 0/9 Dynamic All
00E0.290F.7A55 Ethernet 0/9 Dynamic All
0020.182A.F9B2 Ethernet 0/9 Dynamic All
0050.736C.1B18 Ethernet 0/9 Dynamic All
0020.182A.F1FB Ethernet 0/9 Dynamic All
0040.0557.406B Ethernet 0/9 Dynamic All
0020.188A.9D8E Ethernet 0/9 Dynamic All
0020.182A.F1FE Ethernet 0/9 Dynamic All
00E0.7D78.9144 Ethernet 0/9 Dynamic All
0050.BF5D.2ACC Ethernet 0/9 Dynamic All
UP_SW#exit
1.7 VLAN
Un subiect actual în ceea ce privește switchurile este utilizarea de VLANuri (Virtual LAN). Termenul trebuie descris pentru că am să-l folosesc în proiectul meu deoarece aduce îmbunătățiri categorice în securitatea și eficienta rețelelor Ethernet. VLAN este o grupare logică de utilizatori și echipamente conectați administrativ la porturile unui switch. Mai exact VLANul permite realizarea intr-un switch a mai multor domenii de broadcast (și coliziune). Cel mai simplu este să descriem pe o imagine în care avem trei VLANe pe o arhitectura de trei switchuri și un router
După cum se vede în imaginea de mai sus cele trei VLANe împart cele trei switchuri. Spre exemplu se poate ca VLAN 1 să fie al departamentului de marketing, 2 al celui de vânzări, iar ultimul aparținând celui de salarii. Cu toate că stațiile sunt introduse în porturile aceluiași switch ele nu vor putea comunica intre ele decât dacă sunt în același VLAN sau daca există un router care să routeze intre VLANe. Cele trei switchuri pot să fie la etaje diferite condiția este ca ele să fie conectate intre ele. Comunicarea intre aceste switchuri se va face prin intermediul unui backbone (în genere de minim 100 Mbps) pe care se folosește un protocol de trunking (IEEE 802.1Q spre exemplu).
Folosirea acestui mecanism în rețele are avantajul deosebit ca degrevează foarte mult rețeaua de calculatoare de traficul generat de broadcast exagerat. Spre exemplu stațiile Windows 98 își pierd tabela ARP la o perioadă de 2 minute după aceasta reînnoind-o prin generarea unor noi broadcasturi (se obțin adresele MAC cunoscându-se cele de IP). Un alt avantaj este cel legat de securitate – cu toate că sunt introduse în porturile aceluiași switch stațiile nu pot să comunice fără acordul administratorului. Folosirea unui router este extrem de avantajoasă deoarece aduce avantajele sale de securitate ca de exemplu folosirea ACL-urilor.
In logoul de mai jos se poate observa modul cum au fost repartizate porturile unui switch în doua VLANe
Catalyst 1900 – VLAN Membership Configuration
Port VLAN Membership Type
––––––––––
1 1 Static
2 1 Static
3 1 Static
4 1 Static
5 1 Static
6 1 Static
7 1 Static
8 1 Static
9 2 Static
10 2 Static
11 2 Static
12 2 Static
AUI 1 Static
A 1 Static
B 1 Static
[M] Membership type [V] VLAN assignment
[R] Reconfirm dynamic membership [X] Exit to previous menu
Enter Selection: X
1.8 ROUTERUL
Este un echipament esențial astăzi atât în LANuri cat și în WANuri. Există mai multe posibilități de realiza un router, una dintre ele fiind folosirea unui PC simplu cu OS Linux și cu mai multe placi de rețea. In continuare vom vorbi despre routerele dedicate realizate de Cisco și mai exact cele din seria 2500 (tipurile 2501 și 2514).
Routerul este un echipament de strat 3 lucrând cu pachete și cu adrese IP (în cazul folosirii TCP/IP-ului).
Un router are două funcții principale:
1. Găseste cea mai bună cale către o anumită destinație. Acest fenomen se produce utilizând rute statice sau routing protocoale (RIP, IGRP, EIGRP, IS-IS, BGP, etc.).
2. Face switching de pachete intre diferitele sale interfețe spre exemplu daca a primit un pachet la nivelul interfeței Ethernet e0 poate sa-l trimită mai departe către destinație prin intermediul interfeței seriale s0.
Întreaga activitate de routing și switching routerul o desfășoară folosind tabela de routing unde mapează rețelele în care poate să trimită pachete cu interfețele pe care trebuie să facă switchingul pentru a ajunge în acele rețele. Intrările în tabela de rutare se pot crea manual sau pot fi folosite routing protocoale care asigură o intrare dinamică în tabela de rutare.
Dacă un router primește un pachet pentru a cărui destinație nu are o rută el va trimite acel pachet către ceea ce se numește default router care în prealabil va trebui configurat. Termenul este asemănător cu default gateway-ul pentru un computer. Daca default routerul nu este definit atunci pachetul este descărcat și înștiințată sursa acelui pachet. Routerul Cisco 2514 are doua interfețe pentru Ethernet (conectorii sunt de tip AUI și necesită transceiveri pentru UTP sau BNC în funcție de necesitați – noi vom folosi pe cei pentru UTP) și doua interfețe seriale sincrone. Acestea se pot conecta folosind cablu serial V.35 asigurând o rată a datelor de pana la 2 Mbps.
Acest router mai are o interfață pentru consola (console port) și o interfață AUX (pentru management prin intermediul unei perechi de modemuri); aceste două interfețe sunt de tip asincron și servesc ambele doar pentru monitorizare și management.
Routerul 2501 este asemănător cu mențiunea că nu are decât o interfață pentru Ethernet. Legarea pentru management se face asemănător cu cea pentru switch. Trebuie menționat ca se poate realiza conectarea la un router sau la un switch și prin intermediul telnetului interfața fiind în mare măsura asemănătoare cu cea rezultată prin conectarea cu HyperTerminalul oferit de Windows. Mai există de asemenea posibilă conectarea prin intermediului unui browser după ce pe router a fost configurat un server de HTTP. Este o modalitate mai puțin folosită.
Routerul este o mașină dedicată pentru internetworking care nu are nici un dispozitiv drive de tip disc ci doar memorii (flash, RAM, ROM).
Rezultatul folosirii routing protocoalelor sau a rutelor manual definite sunt tabelele de routare. Acestea sunt stocate în memoria RAM și determină modul în care vor fi trimise pachetele.
ACL ( Access Control List )
Sunt niște mecanisme extrem de utile în ceea ce privește asigurarea securității rețelelor. ACL-urile pot fi folosite doar cu routerul, mai exact se aplica pe interfețele acestuia. ACL reprezintă o succesiune de declarații de tip admis/respins care se aplică pe interfețele unui router pentru a admite sau respinge un anumit tip de trafic. Citirea și aplicarea acestor declarații o face routerul în mod secvențial atunci când inspectează un pachet. Printre avantajele folosirii ACL-urilor sunt: posibilitatea de a asigura un control al traficului, scăderea traficului inutil în rețea ducând astfel la îmbunătățirea benzii disponibile, posibilitatea de a preciza exact tipul traficului permis sau interzis în funcție de porturi și adresă de IP.
Există o multitudine de tipuri de ACL-uri, în această lucrare ne vom ocupa de ACL pentru IP și anume de cele extinse. Acestea pot fi folosite pentru a limita traficul în funcție de porturi și adresele IP de destinație sau sursă. Cel mai bine de explicat modul în care pot fi acestea folosite se face prin folosirea unui exemplu practic.
1.9 Rețelele WAN
Rețelele WAN (Wide Area Network – rețele de mare întindere) sunt acelea care în genere interconectează rețele LAN aflate la mare distantă geografica. Rețelele WAN operează la nivelul straturilor 1 și 2 ale modelului OSI și au următoarele caracteristici: :
Operează pe distante mult mai mari decât LANurile de aceea cel mai adesea folosesc serviciile oferite de un ISP (internet service provider – furnizor de servicii internet). Aceste servicii fie ca sunt cumpărate fie închiriate.
Folosesc legăturile seriale; în general acestea oferă o lărgime de bandă mult mai mică decât cea oferită de rețelele LAN, costul acestei bande fiind de asemenea mult mai mare în cazul rețelelor de mare întindere.
Rețelele de mare întindere folosesc o gamă de echipamente special adaptate pentru cerințele acestora: routere (interfețele seriale), switchuri WAN, modemuri, comm servere.
Routerele sunt aceleași folosite și în conexiunile LAN cu deosebirea că în acest caz sunt folosite interfețele seriale care de obicei se conectează la un modem care transformă (modulează/demodulează) tipul de semnal (electric/cablu de cupru sau optic/fibra optică) pe care îl transportă furnizorul de servicii internet. Comm serverul este un echipament care este în parte router și în parte modem aflat în mare majoritate a cazurilor în dotarea providerului de internet, din această cauza nu vom insista asupra sa.
Switchul WAN este diferit ca și funcție de cel LAN și este aflat de asemenea în dotarea furnizorului de servicii internet. In principiu asigură transferul informației în interiorul rețelei providerului, dar are funcții mult mai complexe.
Următoarele imagini schematizează operațiunile care se desfășoară în rețelele WAN și tipurile de echipamente folosite.
Există o multitudine de tehnologii WAN care diferă prin lărgimea benzii pe care o distribuie, mediul folosit la propagarea datelor, prețul sau, gradul de încredere în serviciul folosit. Iata câteva mai cunoscute.
Următoarele imagini indică câteva dintre protocoalele și standardele folosite în rețelele WAN.
In ceea ce privește protocoalele folosite intre routere m-am oprit asupra PPP pentru ca este pe deplin standardizat și în plus oferă posibilități forte bune de autentificare (folosind CHAPul).
2. VPNul
« today VPN may be the most used term în enterprise networking »
In primul rând trebuie spus ce înseamnă o rețea privata. Aceasta s-ar putea face cel mai bine printr-un exemplu: dacă ar trebui sa-si facă o rețea privată o firma ar trebui să tragă cabluri și stâlpi intre toate sediile sale, să cumpere echipamente foarte scumpe, să angajeze oameni care să instaleze, iar mai apoi să mențină toată această infrastructură. Așadar cheltuielile ar atinge un prag exorbitant pentru o firmă care are ca obiect de activitate vânzările de textile spre exemplu. Deci situația ar trebui altfel gândită.
Alternativa ar fi să închirieze banda de la un provider de internet și să-si lege locații le sale punându-le adrese de IP reale. Vorbim aici despre partajarea unei conexiuni. Aici insă apar probleme de securitate. S-ar simți mulți provocați fie să spargă sistemul sau măcar sa-l blocheze periodic (prin flooding spre exemplu). Așadar ar trebui înăsprită foarte mult securitatea, fapt care în primul rând costă, iar în al doilea ar impune asemenea restricții încât ar fi imposibil ca firma sa-si mai desfășoare activitatea economică.
Partea buna este că mai există o alternativă și aceasta este de departe cea mai viabilă: crearea unei rețele care să fie virtual privata. Așadar este un hibrid: aduce securitatea rețelei integral private și se apropie ca și cost de cea obținută prin partajarea de banda la internet.
Așadar un VPN este o rețea care conectează în mod securizat diferite locații folosind infrastructura deja partajată a rețelei internet. VPN menține aceeași securitate, prioritate a traficului, posibilitățile de management și încredere ca și o rețea privată.
VPN este cea mai eficientă alternativă în ceea ce privește costurile de implementare și menținere pentru firmele private.
2.1 Descrierea diferitelor aspecte ale VPN
Înainte ca afacerile "online" și comerțul electronic sa-si atingă adevăratul potențial, companiile trebuie să se simtă în siguranță folosind Internetul ca suport pentru comunicațiile secrete. VPN-urile sunt primul pas în atingerea acestui scop. Configurate adecvat, acestea asigură protecția împotriva virușilor, a spionării companiilor și orice alte pericole ce rezultă dintr-o configurare greșită, din controlul slab al accesului, dintr-o administrare superficiala a rețelei sau din autentificarea laxă.
Cele trei funcții definitorii ale VPN-ului sunt: criptarea, autentificarea și controlul accesului. Deși autentificarea și criptarea sunt componente critice ale VPN, ele sunt simplu de verificat și implementat. In schimb, controlul accesului este ceva mai complex deoarece implementarea lui este strâns legată de restul facilităților de securitate.
Cu noile tehnologii de VPN se poate verifica identitatea utilizatorilor folosind "toke-card"-uri, certificate digitale și chiar și "amprente". Odată identificați, utilizatorilor li se acordă accesul la resurse în conformitate cu "profile"-ul definit și cu rolul acestuia în cadrul unui grup. VPN-urile încep să ofere și utilitare pentru monitorizarea activității utilizatorului odată intrat în rețeaua companiei.
O soluție completă ar trebui să cuprindă un firewall, un router, un server Proxy, hardware și software VPN sau toate cele menționate. Oricare din aceste echipamente pot asigura o comunicație sigura, în funcție de prioritățile firmei, dar o combinație a acestora oferă soluția cea mai buna.
2.2 Rețele virtuale private tipice
Implementările VPN-urilor se pot grupa în 3 categorii:
Intranet – Rețea Virtuala Privată intre sediile și departamentele aceleiași firme
Remote Access VPN – Rețea Virtuala Privată intre rețeaua firmei și angajații aflați la distantă sau în deplasare
Extranet VPN – Rețea Virtuala Privată intre o firma și partenerii strategici, clienți, furnizori
In cadrul unui Intranet, VPN-ul care asigură comunicația intre sediile unei firme trebuie să ofere metode puternice de criptare pentru a proteja confidențialitatea datelor, fiabilitate pentru a garanta transmiterea datelor către aplicațiile critice, cum ar fi bazele de date ale clienților și ale vânzărilor, schimbul de documente, și nu în ultimul rând scalabilitate pentru a putea fi ușor adaptat la creșterile rapide ale numărului de utilizatori, sedii și aplicații.
In cazul unei Rețele Virtuale Private de tip Remote Access, intre sediul unei firme și angajații săi, necesitățile sunt altele. Autentificarea este critica pentru verificarea identității utilizatorului, iar din punctul de vedere al administratorului rețelei, managementul trebuie să fie centralizat și foarte flexibil și scalabil pentru a putea face fată numărului mare de utilizatori care accesează VPN-ul.
Extranetul, rețeaua dintre firma și parteneri, clienți și furnizori necesită o soluție bazată pe standarde pentru a putea interopera cu soluțiile implementate de aceștia. Standardul acceptat pentru VPN este IPSec – Internet Protocol Security. La fel de important este și controlul traficului pentru a elimina congestiile în punctele de acces în rețea și pentru a asigura transmiterea rapidă a datelor pentru aplicațiile critice.
Majoritatea furnizorilor de echipamente pentru Rețele Virtuale Private oferă soluții numai pentru una din aceste implementări. Firmele insă se dezvoltă rapid în toate aceste direcții: apar noi sedii care trebuiesc conectate cu celelalte, odată cu acestea apar și mai mulți angajați la distantă sau mobili, și mereu este dorința de a fi cat mai aproape de clienți și de partenerii de afaceri.
De aceea, o soluție de VPN trebuie să ofere facilitățile asociate tuturor celor trei direcții de dezvoltare; deși o firma își poate planifica implementarea unui anume tip de VPN la un moment dat, este absolut necesar ca acea soluție să ofere posibilitatea unei dezvoltări cat mai ușoare în celelalte direcții.
2.2.1 Intranet VPN
Permite realizarea unei rețele interne complet sigură pentru o firmă. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot să atingă rate de transfer foarte bune limită fiind determinată de suma pe care firma respectivă este dispusă să o investească în infrastructura sa informațională.
Arhitectura aceasta utilizează două routere la cele două capete ale conexiunii, intre acestea se realizează un tunel criptat. In acest caz nu mai este necesară folosirea unui client de VPN ci folosirea IPSec. IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care asigura autentificarea, confidențialitatea și integritatea transferului de date intre o pereche de echipamente care comunică. Folosește ceea ce se numește Internet Key Exchange (IKE) care necesită introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciprocă.
Schematic conexiunea arată cam așa :
Intranet-ul este definit ca o legătură semi-permanentă peste o rețea publică intre un WAN și o filială a companiei. Aceste tipuri de conexiuni LAN-LAN se presupune ca au cel mai mic risc din punct de vedere al securității pentru că firmele au încredere în filialele lor. In astfel de cazuri compania are control asupra rețelei/nodurilor destinație cat și asupra celei sursa.
Administratorii de sistem trebuie să decidă daca această situație este întâlnită și în propria firmă.
Cazul general
In situația în care ambele capete ale canalului de comunicație sunt de încredere, compania poate adopta o soluție VPN care se axează mai degrabă pe performantă decât pe securitate care este limitată la puterea metodelor de criptare și autentificare intre cele doua routere. Cantități mari de date sunt schimbate frecvent intre LAN-uri intr-o rețea privata, deci importantă este viteza de transmisie și interoperabilitatea. LAN-urile care sunt conectate prin intermediul unor baze de date centralizate sau prin alte resurse de calcul răspândite în rețeaua firmei ar trebui să fie considerate ca făcând parte din aceeași rețea.
Intranet VPN tipic, unde tunele bidirecționale și criptate sunt stabilite intre LAN-uri de încredere peste Internet
Cazul de securitate maximă
Amenințările la securitate vin adesea din interiorul firmei. Dintr-un studiu efectuat de FBI și Computer Security Institute reiese ca aproape jumătate din accesul neautorizat în rețeaua firmei vine din interiorul acesteia.
Dacă firma este îngrijorată de posibilitatea scurgerii de informații prin intermediul angajaților, fie intenționat sau nu, sau daca aplică diferite niveluri de încredere în funcție de departament sau chiar persoane, atunci ar trebui să investească intr-o soluție VPN care oferă un control asupra traficului de informație pe baza unui sistem de autentificare și a unei politici de securitate la nivel utilizator decât pe baza încrederii acordate rețelei în sine.
Intranet VPN de mare securitate, unde numai anumiți utilizatori din filiale au acces la resursele firmei și fiecare are diferite drepturi. Toate datele transferate peste Internet sunt complet criptate și autentificate pana la punctul de destinație, nu numai în cadrul rețelei.
2.2.2 Remote Access VPN
Access VPNul Prin Remote Acces VPN, angajații aflați la distanță au acces direct la resursele companiei. In acest caz, esențiale sunt simplitatea pentru utilizator (pe principiul: "Indiferent de distanță, trebuie ca resursele sa-ti fie la fel de accesibile ca și cum ai fi în sediul firmei") și administrarea ușoară și centralizată. Pe de altă parte, accesul este permis utilizatorilor diferențiat, în funcție de profilul prestabilit.
Sunt două tipuri pentru acest tip de VPN după cum urmează :
Conexiune inițiată de client. Clienții care vor să se conecteze la site-ul firmei trebuie să aibă instalat un client de VPN acesta asigurându-le incriptarea datelor intre computerul lor și sediul ISPului. Mai departe conexiunea cu sediul firmei se face de asemenea în mod criptat, în concluzie întregul circuit al informației se face în mod criptat. Trebuie precizat ca în cazul acestui tip de VPN sunt folosiți o multitudine de clienți de VPN. Un exemplu este Cisco Secure VPN, dar spre exemplu și Windows NT, 2000 sau XP au integrat clienți de VPN. Un alt fapt este folosirea unui NAS (Network Access Server) acesta fiind un server de acces care face logarea și stabilirea tunelului criptat în ambele direcții. Următoarea imagine schematizează acest tip de Access VPN :
Access VPN inițiat de NAS 1 este ceva mai simplă pentru că nu implică folosirea unui client de VPN. Tunelul criptat se realizează intre NASul ISPului și sediul firmei la care se vrea logarea. Intre client și NAS securitatea se bazează pe siguranța liniilor telefonice (fapt care uneori poate fi un dezavantaj).
In oricare dintre scenariile de acces la distantă prin VPN, ușurința în utilizare este un criteriu important. Majoritatea breșelor de securitate sunt atribuite erorilor de configurare, deci cu cat sistemul este mai ușor de administrat, cu atât șansele de a scapă ceva din vedere sunt mai mici. Din punctul de vedere al clientului, simplitatea este critica, pentru ca mulți angajați aflați în deplasări sau la distantă nu au cunoștințele necesare sau accesul la resursele tehnice pentru a depista și rectifica cauzele unor eventuale disfuncționalități. Clienții nu trebuie să construiască un tunel VPN manual, manual însemnând să lanseze software-ul de VPN de fiecare dată când vor să stabilească un canal de comunicație sigur. Software-ul de VPN ar trebui să se lanseze automat, la start-up, și să ruleze în background. Pe de altă parte, o administrare ușoară și centralizată este esențială pentru ca monitorizarea unui număr mare de utilizatori, adăugarea și excluderea utilizatorilor în mod regulat poate duce la un haos și la riscuri în privința securității.
Cazul General
In cazul majorității VPN-urilor cu acces la distantă se presupune ca firma are încredere în persoana aflată în celalalt capăt al legăturii, care în mod obișnuit este un agent de vânzări aflat în deplasare sau la distantă. Decât să își facă probleme că angajații ar putea să strice rețeaua în vreun fel sau să sustragă informații confidențiale, compania este mai degrabă interesată să nu apară probleme neidentificate intre punctele de comunicație. Aceste companii vor adopta o politica de acces transparentă, de genul: "Angajații de la distantă trebuie să aibă acces la toate resursele la care ar avea acces daca ar fi intr-un birou la sediul firmei."
Din aceste motive, prioritatea este criptarea datelor transmise astfel incit numai cel căruia ii sunt adresate să le poată decripta. Majoritatea VPN-urilor îndeplinesc majoritatea cerințelor de securitate, așa ca cel care evaluează diferitele oferte trebuie să ia în considerare alte criterii, cum ar fi: "tăria" mecanismului de criptare și autentificare pentru o securitate suplimentară. VPN tipic cu acces la distantă, unde utilizatorul se loghează la Internet prin intermediul unui ISP și stabilește un tunel criptat intre calculatorul lui și rețeaua companiei; identitatea utilizatorului este necunoscută, fiind accesibilă doar adresa IP a calculatorului.
Cazul de securitate maximă
Domeniile care trebuie să excludă orice risc de securitate, cum ar fi cele financiar, sănătate, sectoare guvernamentale, sunt paradoxal cele care au adoptat cel mai repede tehnologia VPN, care este percepută ca fiind mai puțin sigură decât metodele clasice de transmisie prin rețea. In realitate, tehnologiile VPN sunt mult mai sigure decât liniile închiriate sau accesul la distantă prin dial-up, deoarece VPN-urile de mare securitate criptează toate datele și oferă drepturi foarte specifice de acces. Soluțiile de acces în siguranță de la distantă sunt implementate de specialiști IT care înțeleg pe deplin riscurile inerente ce apar în comunicația prin rețea. Politica adoptată este: "Angajații de la distantă trebuie să aibă un acces foarte bine supravegheat/controlat, la anumite resurse, în concordantă cu cerințele funcție i pe care o ocupa. "Companiile implementează VPN-uri pentru a le oferi un acces la distantă în deplina siguranță peste rețeaua publica. VPN-urile axate pe securitate autentifica utilizatorii, nu numai adresele IP, astfel incit firma să știe exact ce angajat încearcă să acceseze rețeaua. Aceasta poate fi realizată cu ajutorul parolelor, certificatelor digitale, token card-uri, smart card-uri, sau chiar amprente sau scanarea retinei. Odată autentificat pentru accesul la serverul VPN al firmei, angajatului i se garantează diferite niveluri de acces în funcție de profile-ul asociat, profile ce este instalat de administratorul de rețea pentru a fi în concordantă cu politica de securitate a companiei. Acest sistem este esențial pentru companiile ce permit accesul la informații critice, în special în cazul în care angajaților nu li se acorda deplina încredere.
Mai jos este un exemplu de VPN de mare securitate cu acces la distantă unde utilizatorii sunt identificați printr-o metodă de autentificare după care le este permis sau respins accesul la resursele cerute sau la rețeaua firmei. Toate datele sunt criptate intre capetele tunelului de comunicație. De fiecare dată când firma vrea să acorde diferite niveluri de acces astfel incit diferite resurse să fie disponibile diferiților angajați când este nevoie sau când vrea să prevină accesul pe "ușa din dos" în rețea, ceea ce se întâmpla în cazul unor sisteme, recomandată este soluția unui VPN cat mai robust. Un VPN de mare securitate trebuie să poată intercepta traficul din rețea destinat unui anume calculator, să adauge criptarea necesara, să identifice utilizatorul și să aplice restricțiile și filtrarea conținutului datelor în consecință.
2.2.3 Extranet VPN
Acest tip de VPN seamănă cu precedentul cu deosebirea ca extinde limitele intranetului permițând legarea la sediul corporației a unor parteneri de afaceri, clienți etc.; acest tip permite accesul unor utilizatori care nu fac parte din structura firmei.
Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru. Spre deosebire de Intranet, care este relativ izolat, Extranetul este destinat comunicării cu partenerii, clienții, furnizorii și cu angajații la distanta. Securizarea unei rețele de dimensiuni mari necesită îndrumări și instrumente adecvate. Un Extranet VPN trebuie să ofere o ierarhie a securității și accesarea datelor confidențiale să se facă sub cel mai strict control. Trebuie să protejeze toate aplicațiile, inclusiv cele ce folosesc TCP și UDP, cum ar fi RealAudio, FTP, etc.; aplicații de firma, ca SAP, BAAN, PeopleSoft, Oracle, etc.; și aplicații dezvoltate în cadrul firmei în Java, Active X, Visual Basic, etc.
Deoarece majoritatea rețelelor firmelor sunt eterogene și cu numeroase sisteme mai vechi, o soluție VPN trebuie să fie cat mai versatila și să interopereze cu multitudinea de platforme, protocoale și metode de autentificare și criptare, și să fie una bazată pe standardele acceptate pentru a putea colabora cu soluțiile VPN ale partenerilor.
Cazul General / Cazul de mare securitate
Principalul obiectiv al unui Extranet sau al VPN-ului intre companii este să se asigure ca datele secrete ajung intacte și exact cui ii sunt adresate fără a există riscul de a expune resursele protejate unor eventuale amenințări, așa ca firmele ar trebui să ia în considerare cele mai avansate soluții de VPN. Elementele de securitate dintr-un VPN pot fi ierarhizate în diferite moduri, dar în cazul unui Extranet VPN, toate aceste componente – criptare, autentificare și controlul accesului – trebuie să fie strâns integrate intr-un perimetru de securitate. Aceasta înseamnă în mod uzual situarea unui server VPN în spatele unui Firewall impenetrabil care blochează tot traficul neautentificat. Orice trafic care este autorizat este transmis direct serverului VPN care face filtrarea conținutului în conformitate cu politica de securitate a firmei. Este esențial ca legătura intre firewall și VPN să fie sigură și fiabilă, iar software-ul client să fie cat mai transparent posibil.
Afacerile online sau comerțul electronic nu se rezumă numai la tranzacții cu cărți de credit; presupune de asemenea negocieri complexe și colaborări la diferite proiecte. Când informații vitale și confidențiale sunt implicate, administratorii IS nu pot risca compromiterea nici unei parți din rețea. Un Extranet VPN trebuie să folosească cea mai buna criptare posibila, care acum este pe 128 de biți. In plus, VPN-ul trebuie să suporte diferite metode de autentificare și criptare pentru a putea comunica cu partenerii, furnizorii sau clienții, care au foarte probabil diferite platforme și infrastructuri.
-Un Extranet VPN sigur, în care o companie împarte informații cu clienții, partenerii, furnizorii și angajații aflați la distantă prin intermediul rețelei publice stabilind legături unidirecționale de la un capăt la altul printr-un server VPN-. Acest tip de sistem permite unui administrator de rețea să definească drepturi specifice, cum ar fi cele ce ar permite unui membru din conducerea unei firme partenere să acceseze diferite/anumite rapoarte de vânzări de pe un server protejat. Acest tip de acces nu este posibil cu orice tip de soluție VPN. Intr-o situație reala de interconectare intre parteneri de afaceri, administratorii trebuie să caute o soluție de VPN care să filtreze accesul la resurse în funcție de cat mai multi parametrii posibili, inclusiv sursa, destinația, utilizarea aplicației, tipul de criptare și autentificare folosit, și identitățile individuale și de grup. Managerii de sistem trebuie să identifice utilizatorii individual, nu numai adresele IP, fie prin parole, token card, smart card, sau orice altă metodă de autentificare. Parolele sunt de obicei suficiente pentru o aplicație obișnuită de birou, dar nu sunt la fel de sigure precum token-urile sau smart card-urile. Angajații sunt adesea neglijenți cu parolele lor, și rareori își schimbă codurile în timp ce token-ul și smart card-urile își schimba parolele în mod regulat, adesea chiar și la 60 de secunde. Odată autentificat, administratorul trebuie să poată ruta traficul autorizat la resursele protejate fără să pericliteze securitatea rețelei. Controlul accesului este cel care face diferența intre diferitele soluții de VPN. Fără a avea un control asupra cui cere accesul la fiecare resursă din rețea, VPN-ul este inutilizabil în afara perimetrului de securitate al rețelei. Odată autentificat, un utilizator nu trebuie să aibă acces total la rețea. Trebuie adoptate drepturi speciale pentru fiecare utilizator astfel incit să se obțină un control cat mai bun asupra tuturor resurselor. Securitatea trebuie întărita, nu slăbită pe măsură ce utilizatorul primește accesul la zone mai sensibile. Folosind o criptare, autentificare și metode de control al accesului cat mai bune, companiile își pot proteja rețelele de orice breșe de securitate.
Deci VPNul oferă o multitudine de posibilități de conectare :
Realizarea de intranet intre diferite locații aflate la distanta. VPN – permite conectarea diferitelor sedii ale unei firme folosind legături dedicate. Diferența fată de Access VPN constă în faptul ca se folosesc legături dedicate cu rată de transfer garantată, fapt care permite asigurarea unei foarte bune calități a transmisiei pe lângă securitate și banda mai larga.
Conectarea utilizatorilor mobili. Access VPN – permite conectarea individuala ( utilizatori mobili ) sau a unor birouri la sediul central al unei firme, această realizându-se în cele mai sigure condiții.
Realizarea unor legături Extranet cu partenerii de afaceri. este folosit pentru a lega diferiți clienți sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxima.
2.3 Cum funcționează VPN
Principalele componente ale unei rețele virtuale sunt software-ul client, serverul de tunel, rețeaua și securitatea datelor, arhitectura scalabilă și metodele de autentificare.
Prin software-ul de client și serverul de tunel, se stabilește o cale privată, criptată, de comunicație printr-o rețea extinsă, de tip public. De securitatea rețelei se ocupă un firewall, care va verifica cele trei componente fundamentale ale securității datelor: integritatea, secretul și autenticitatea. O arhitectură scalabilă permite oricărui utilizator care dorește să se conecteze la rețea să o poată face, devenind nod al rețelei fără restricții din partea acesteia. In fine, o rețea virtuală va dispune de un mecanism de autentificare flexibil, pentru a permite diferiților clienți să își decline identitatea folosind propria politică de autentificare la conectarea în rețea. Pentru a utiliza Internetul ca o rețea privată virtuală, de tip Wide Area Network (WAN), trebuie depășite două obstacole principale. Primul apare din cauza diversității de protocoale prin care comunica rețelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înțelege numai traficul de tip IP. Astfel, VPN-urile trebuie să găsească un mijloc prin care să transmită protocoale non-IP de la o rețea la alta. Al doilea obstacol este datorat faptului ca pachetele de date prin Internet sunt transportate în format textIn consecința, oricine poate „vedea” traficul poate să și citească datele conținute în pachete. Aceasta este cu adevărat o problema în cazul firmelor care vor să comunice informații confidențiale si, în același timp, să folosească Internetul.
Soluția la aceste probleme a permis apariția VPN și a fost denumită „Tunneling”. In loc de pachete lansate intr-un mediu care nu oferă protecție, datele sunt mai întâi criptate, apoi încapsulate în pachete de tip IP și trimise printr-un „tunel” virtual prin Internet.
2.4 Metode de transmisie prin VPN
O rețea privată virtuala (VPN) este inițiată în jurul unui protocol de securizare, cel care criptează sau decriptează datele la sursă și la destinație pentru transmisia prin IP. In prezent există o mare varietate de astfel de protocoale – de exemplu L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun în funcționalitate, altele oferă funcții similare dar complementare. Fiecare dintre protocoalele existente necesită o investigație mai atentă, în faza de achiziție și implementare a unei rețele virtuale.
Iată pe scurt cele mai importante caracteristici ale acestor protocoale.
Layer-2 Tunneling Protocol, sau L2TP, este o combinație dintre un protocol al firmei Cisco Systems (L2F) și cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și AppleTalk, acest L2TP poate fi rulat pe orice tip de rețea WAN, inclusiv ATM, X.25 sau SONET. Cea mai importantă trăsătura a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o componentă a sistemelor de operare Windows 95, Windows 98 și Windows NT. Astfel ca orice client PC care rulează Windows este echipat implicit cu o funcție de Tunneling, iar Microsoft furnizează și o schema de criptare denumită Point-to-Point Encryption.
In afara capacitații de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la același client, de exemplu spre o bază de date a firmei și spre intranetul aceleiași firme.
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei rețele virtuale private prin Internet. IPSec este o funcție de layer 3 și de aceea nu poate interacționa cu alte protocoale de layer 3, cum ar fi IPX și SNA. Insă IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și autenticității pachetelor trimise prin IP.
Protocolul funcționează cu o larga varietate de scheme de criptare standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate, incluzând semnături digitale, certificate digitale, chei publice („public keys”) sau autorizații.
Încapsulând pachetul original de date intr-un pachet de tip IP, protocolul IP-Sec scrie în header toată informația cerută de terminalul de destinație. Deoarece nu există modalități de autentificare sau criptare licențiate, IPSec se detașează de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor și standardelor, chiar și în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea și autentificarea criptării în timp ce o rețea virtuală de tip L2TP primește un pachet, inițiază tunelul și trimite pachetul încapsulat către celălalt terminal VPN.
SOCKS 5 constituie o altă abordare a rețelelor virtuale private. Inițial produs de Aventail, SOCKS 5 este puțin mai diferit de L2TP sau IPSec: el seamănă cu un server proxy și lucrează la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie încărcate cu un software client dedicat. In plus, firma trebuie să ruleze un server de tip SOCKS 5.
Partea pozitivă a lui SOCKS 5 este aceea ca permite administratorilor de rețea să aplice diverse limitări și controale traficului prin proxy. Deoarece lucrează la nivel TCP, SOCKS 5 va permite să specificați care aplicații pot traversa prin firewall către Internet și care sunt restricționate.
2.5 In interiorul tunelului
Tunelarea reprezintă abilitatea de a crea conexiuni orientate pe circuit în topologii WAN orientate pe pachet. Acest proces este conceptul tehnic fundamental al VPN. Spre deosebire de protocoalele orientate pe pachete, cum ar fi IP, care pot trimite pachete pe rute diferite pana la o destinație comuna, un tunel reprezintă un circuit virtual dedicat intre cele doua puncte terminale din rețea. Din moment ce acest proces are loc pe o infrastructură de rețea partajată, tunelarea oferă organizațiilor un nivel tehnologic mediu, eficient din punct de vedere economic, situat intre comunicațiile prin pachete și comunicațiile pe linie închiriată.
Pentru a crea un circuit virtual, un protocol special de tunelare trebuie să încapsuleze fiecare pachet din rețea intr-un nou pachet care conține informația pentru managementul conexiunii. Această informație este necesara pentru stabilirea, monitorizarea și eliberarea tunelului.
Acesta este și modul în care lucrează protocoalele prestandard PPTP (Point-to-Point Tunneling Protocol – protocolul de tunelare punct la punct) și L2F (Layer 2 Forwarding – retransmisia pe nivel 2). In același mod operează și L2TP care a fost derivat din aceste protocoale mai vechi. L2TP încapsulează datele de aplicație, datagrama de protocol pe LAN și informația de încadrare punct la punct intr-un pachet ce conține un antet de livrare, un antet IP și un antet GRE (Generic Routing Encapsulation – încapsulare generică de rutare).
Antetul de livrare conține informația de încadrare pentru mediul de transmisie în care se va stabili tunelul, fie o rețea IP, fie o rețea de tip frame relay. Antetul IP conține adresele IP pentru sursă și destinație, precum și alte date importante. Antetul GRE conține extensii referitoare, de exemplu, la semnalizare, care adaugă informații relative la conexiune. Pentru a forma un tunel, L2TP realizează două funcții fundamentale:
– o funcție de tip client (LAC – L2TP Access Concentrator – concentrator de acces L2TP)
– o funcție de tip server (LNS – L2TP
Network Server – server de rețea L2TP).
In situația în care L2TP se află în concentratorul de acces al operatorului rețelei de comunicații, funcția LAC va iniția un tunel în momentul în care un utilizator activează o conexiune de tip PPP cu furnizorul de servicii Internet (ISP). după ce faza de autentificare inițiala se încheie, LAC acceptă apelul și adăuga diferite antete la formatul PPP. Apoi, LAC stabilește un tunel pana la echipamentul terminal LNS aflat la frontiera rețelei din organizație. Acest echipament poate fi un server cu acces de la distantă, un comutator VPN specializat sau un ruter convențional.
Odată cu stabilirea tunelului, un serviciu de securitate (SNS) la nivelul organizației, cum ar fi ACE/Server al firmei Security Dynamics Inc. sau serviciul de securitate și nume incorporat în Windows NT autentifică identitatea utilizatorului și cea a punctului terminal. LNS acceptă tunelul, apoi stabilește o interfață virtuala pentru protocolul PPP. Cadrele sosite sunt descărcate de antetul L2TP și procesate ca niște cadre normale PPP. In mod normal, apoi se asignează sesiunii o adresă IP locală pentru organizație.
2.5.1 Controlul sesiunii de comunicație prin tunel
Pentru optimizarea performantelor tunelului au fost stabilite diferite mesaje de control L2TP, care se transmit în paralel cu pachetele sesiunii de transmisie. In timpul stabilirii conexiunii mesajele constau în majoritate din mesaje de tip Start-Control-Connection-Request-and-Reply cu valori de securizare a apelului care conțin date privind utilizatorul și destinația sesiunii (cunoscute ca ANI/DNI).
In timpul derulării sesiunii, mesajele de control includ diverse mesaje pentru detectarea problemelor și chiar o funcție de menținere a tunelului pentru a permite diferențierea intre eventualele anomalii de funcționare și perioadele de inactivitate ale tunelului.
Mesajele de control pot fi folosite și pentru controlul opțional al traficului și congestiei din tunel. Acest aspect reprezintă diferența principala dintre L2TP și versiunile anterioare de protocol, L2F și PPTP, care nu ofereau controlul congestiei.
L2TP, aflat în faza de adoptare de către Internet Engineering Task Force, pare a fi o alegere sigură ca protocol standard de tunelare. Din punctul de vedere al securității, L2TP definește IPSec ca prima metodă pentru securitatea și criptarea datelor. IPSec modifica structura protocolului IP în două moduri importante:
– adaugă un antet de autentificare;
– criptează cadrul care conține pachetul L2TP și celelalte date (SNA sau IPX) încapsulate.
De reținut este ca IPSec este proiectat să prelucreze doar protocoalele IP. Spre deosebire de L2TP, el nu poate încapsula IPX, SNA sau alte protocoale non-IP.
L2TP oferă avantaje suplimentare, cum ar fi:
– prin funcțiile de servicii ANI/DNI permite furnizorilor de servicii Internet să ofere nivele de serviciu diferențiate pe VPN
– spre deosebire de PPTP sau IPSec, poate funcționa pe protocoale ale operatorului rețelei de comunicații, cum ar fi frame-relay sau SONET (Synchronous Optical Network)
Această facilitate oferă atât operatorului cit și managerilor de rețea din organizație avantajele consolidării rețelei și micșorării costurilor în afara de beneficiile cunoscute ale VPN.
2.5.2. Exemplu de VPN
Putem presupune ca suntem un furnizor principal al unei companii producătoare. Termenele contractuale sunt foarte stricte, produsele trebuie să fie gata la timp, aveți nevoie de informații privind stocurile existente la beneficiar și de planul de producție al acestuia. Daca facem asta încă manual, este o operație greoaie, costisitoare și poate inexactă în majoritatea cazurilor. Dorim să găsim un mijloc mai ușor, rapid și eficient de a comunica. Totuși, fiind dată confidențialitatea informației, beneficiarul poate nu dorește să publice datele pe pagina de Web a companiei sau să le distribuie lunar printr-un raport extern. Pentru a rezolva problema, furnizorul și beneficiarul pot implementă un așa-numit eNetwork de tip VPN.
O rețea privată virtuala poate fi inițiată intre o stație de lucru client, în intranetul furnizorului, direct către serverul aflat în intranetul beneficiarului. Clientul își va declina identitatea fie unui firewall care protejează intranetul beneficiarului, fie direct serverului acestuia. In acest moment se poate stabili un tunel de comunicație, datele sunt criptate la nivelul beneficiarului și transmise prin Internet la serverul solicitant.
Un mod de a implementa acest scenariu implică achiziția unui cont de Internet de la un provider. Apoi urmează achiziția și instalarea unui server sau a unui firewall care rulează protocolul IPSec, pentru protecția intranetului împotriva accesului neautorizat. In majoritatea cazurilor, protecția trebuie realizată la ambele capete, adică și la furnizor și la beneficiar. Acum, odată investiția făcută, beneficiarul va putea cu ușurință sa-si extindă intranetul prin includerea unui număr potențial nelimitat de furnizori în aceeași rețea internă, beneficiind de costurile reduse oferite de folosirea Internetului ca backbone.
Se știe insă ca odată cu extinderea rețelei, administrarea ei devine tot mai dificila Există hardware și „unelte” software care realizează toate funcțiile de management necesare: politica de administrare, de certificare, protejarea serverului DNS, suport de protocol LDAP și managementul adreselor de IP.
La implementarea unei VPN trebuie stabilite înainte un set de criterii de configurare, cum ar fi tipul de algoritmi de securitate ce vor fi folosiți de către fiecare IPSec, care chei de criptare vor trebui înnoite și când.
Cheile de criptare publice sunt cele mai uzuale protocoale de securitate în rețelele actuale. Fiecărui utilizator ii este conferită o cheie publica unică. Certificatele, în forma semnăturilor digitale, validează autenticitatea identității și cheii de criptare. Aceste certificate trebuie stocate intr-o bază de date publică, cum ar fi un server DNS securizat.
3. Securitate și VPN
Rețelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei rețele.
Astăzi, securitatea rețelei este în principal asigurată de firewall-uri, produse care pun o bariera software intre resursele companiei și Internet. CheckPoint Software Technologies și Raptor Systems sunt două dintre cele mai cunoscute firme care vând soft de firewall pentru servere Unix, situate în apropierea router-ului de rețea. Alte firme, ca Cisco Systems și Ascend Communications, vând produse de securitate la nivel de router.
Cel mai întâlnit dintre protocoalele VPN este IPSec – un „open-standard” de securitate folosit de cele mai mari firme, printre care se număra IBM, Sun sau BayNetworks – pentru stabilirea comunicațiilor directe private prin Internet. IPSec va protejează datele în trei moduri, folosind tehnici criptografice:
• Autentificare: Procesul prin care este verificată identitatea unui host sau stație de lucru.
• Verificarea integrității: Procesul prin care se semnalează orice modificări ale datelor survenite în procesul de transport prin Internet, intre sursă și destinație.
• Criptare: Procesul de codificare a informației în tranzit prin rețea, pentru a asigura caracterul sau privat.
Procesarea eficientă și sigură este mai importantă ca oricând pentru o companie ca să poată rămâne competitivă. Windows Server 2003 conține caracteristici importante pentru accesul de la distanță și rețele wireless, funcționalitate ce nu era disponibilă în Windows NT 4.0.
Astăzi, organizațiile trebuie să găsească un echilibru între productivitatea forței de muncă –- îmbunătățită prin capabilitățile de acces mobil – și costurile crescânde generate de conexiunile dial-up, liniile închiriate și soluțiile de acces securizat wireless Utilizarea unor tehnologii puternice de autentificare și criptare ca parte a rețelelor virtuale private (VPN) în Windows Server 2003, permite organizațiilor să utilizeze Internet-ul ca mijloc de transport al datelor între rețele răspândite geografic.
Una dintre problemele cele mai importante ale transmiterii datelor prin rețele virtuale private este modul în care acestea sunt codificate și cat de puternic este sistemul de criptare.
Un sistem criptografic, al cărui mod de implementare nu este cunoscut, este considerat suspectIn schimb, un sistem criptografic asupra căruia s-au realizat studii detaliate și a trecut de diverse teste poate fi considerat ca unul sigur.
In această din urma categorie se regăsește algoritmul DES, sau Standardul de criptare a datelor (Digital Encryption Standard), cel care a apărut și a fost testat mai bine de 20 de ani. Puterea sa de codificare este extrem de eficientă și de aceea a apărut ca o alegere excelentă în dispozitivele de criptare a transmisiilor prin rețea.
Puterea relativa a soluțiilor de criptare este determinată de algoritmii utilizați și de lungimea cheilor folosite pentru codificare și decodificare a datelor. De exemplu, acum se folosește așa-numitul Triple Pass DES, cu chei pe 168 de biți.
Deoarece DES și variantă să Triple Pass DES sunt tehnologii mature și binecunoscute, s-au depus multe eforturi de a „sparge” o cheie de codificare DES. Lungimea unei astfel de chei va indica nivelul de securitate pe care îl dorim.
Un raport recent făcut de un grup de cercetători de la marile firme și centre recunoscute pe plan mondial în domeniul rețelelor și telecomunicațiilor – AT&T Research, Sun Microsystems, MIT Laboratory for Computer Science, the San Diego Supercomputer Center, Bell Northern Research etc. – a fost intitulat „lungimi minimale pentru cheile de codificare în asigurarea unui nivel de securitate adecvat”. Autorii au gasit ca sistemele criptografice cu chei de 40 de biți nu oferă, virtual, nici o protecție împotriva atacurilor externe. Sugestia lor a fost exprimată simplu: „Pentru a proteja informația în mod adecvat, pentru următorii 20 de ani, în fată avansului extraordinar al puterii de calcul, cheile de criptare în noile sisteme instalate vor trebui să aiba o lungime de minim 90 de biți”
3.1 Premise în implementarea unui sistem securizat de transmisie de date
Principiul de funcționare al unei rețele virtual private se bazează pe autentificarea și acceptarea clientului ca făcând parte din grupul privilegiat de utilizatori care pot accesă datele private și crearea unui "tunel" de comunicație criptată intre server și utilizatorul care accesează datele. Astfel orice încercare de interceptare a transmisei de date private va avea un rezultat descurajator pentru orice utilizator neautorizat.
Elementele care sunt evaluate în construirea unei "rețele private de comunicații" (VPN) sunt:
Criptarea datelor
Generarea și managementul cheilor de criptare
Certificare utilizatorilor
Crearea unui tunel criptat
Interoperabilitatea
Controlul accesului
Criptarea datelor
Criptarea este punctul de pornire în implementarea unui VPN, pentru această folosindu-se algoritmi cunoscuți de criptare și chei de criptare lungi.
Există câțiva algoritmi consacrați folosiți în criptarea datelor, algoritmi care folosesc o criptare "simetrica" de tipul DES sau cei care folosesc criptarea cu chei publice de tipul RSA, algoritmul Diffie-Hellman pentru schimbarea cheilor.
Criptarea datelor este un proces dificil atunci când trebuie codate o cantitate mare de date în timp realIn acest moment, în cazul în care algoritmul de criptare se execută pe un calculator se poate sesiza o încărcare a procesorului de pana la 90%, având un efect de încetinire a tuturor proceselor executate în acel moment de calculator dar și un efect de "bottle neck" (încetinirea semnificativa a traficului efectuat). Din acest motiv, pentru a obține viteze mari în criptarea datelor se folosesc echipamente hardware specializate.
Generarea și managementul cheilor de criptare
Datorită faptului ca algoritmi de criptare sunt în general standardizați, puterea criptării stă în generarea și folosirea cheilor de criptare. Acestea sunt secvențe de date care sunt folosite atât pentru criptarea cit și pentru decriptarea datelor, asemănătoare cu parolele folosite de programele de criptare 'statica'.
Implementarea cu succes a unei chei de criptare constă intr-o combinație dată de următorii factori:
• Lungimea cheii – în general, cu cit cheia are o lungime mai mare, cu atât este mai greu de descoperit.
• Mecanismul de schimbare al cheilor – cum a fost menționat anterior, cheile de criptare asigura de fapt siguranță transmiterii datelor pe suport public.
Schimbarea cheilor trebuie făcută, din acest motiv tot printr-un proces cit mai ascuns utilizatorului neautorizat. Pentru schimbarea acestor chei sunt folosiți în general algoritmi consacrați (ex. Diffie-Hellman).
Schimbarea cheilor trebuie făcută automat și frecvent. Cu cat schimbarea cheilor se face mai des, cu atât criptarea este mai puternica, înlăturând posibilitatea de a afla prin încercări cheia folosita.
De asemenea, schimbarea cheilor de criptare trebuie făcută automat, și nu prin intervenția utilizatorului evitând situațiile în care utilizatorul 'uita' să schimbe chei de criptare cu serverul.
• Generarea cheilor de criptare – în principiu, pentru implementarea cu succes a unei soluții VPN se folosesc chei de criptare generate aleator.
Alegerea unei chei aleatoare folosită în criptarea datelor evită posibilitatea de a se putea deduce cheile folosite în trecut sau posibilitatea de a descoperi cheile folosite în viitor. Cea mai buna metoda de a genera astfel de chei este cea hardware, existând insă și algoritmi software cu performante satisfăcătoare.
Certificare utilizatorilor
Certificarea utilizatorilor constă în identificarea și acceptarea utilizatorilor în sistemul de comunicație VPN. Astfel, un sistem VPN trebuie să nu permită "atașarea" unui utilizator neautorizat, prin deschiderea de canale private de comunicație cu acesta.
Crearea unui tunel criptat
Crearea unui tunel de comunicații criptat se realizează după ce utilizatori sunt certificați ca autorizați pentru a accesă sistemul VPN și se face schimbul de chei de criptare. Din acest moment, toate datele schimbate intre utilizator și server sunt criptate, creându-se astfel un "tunel" virtual de comunicație.
Un sistem VPN care criptează numai datele utilizator, nu este suficient de sigur, putându-se extrage suficient de multe informații din parametrii folosiți în transmisie.
Interoperabilitatea
In general, pentru a implementă sisteme VPN se folosește un protocol standard (IPSec bazat pe sistemul de management al cheilor de criptare ISAMKMP/Oakley), acest lucru asigurând portabilitatea soluției și independentă acesteia fată de echipamentele sau software-ul folosit.
Controlul accesului
Implementarea unui sistem VPN implica în același timp și crearea unui sistem de control al accesului la resursele interne (firewall), care va interzice utilizatorilor neautorizați să acceseze datele aflate în spatele acestui sistem.
In general, atunci când se folosește o soluție software, acest sistem este mai puțin securizat, deoarece apare dezavantajul ca pot fi folosite "bug-uri" cunoscute ale sistemului de operare folosit (ex. NT, Unix) acest lucru fiind mai greu de exploatat la sistemele hardware.
3.2 Internet Security & Acceleration Server 2000
Securitate prin firewall Internet Security and Acceleration (ISA) Server 2000 – asigură un firewall extensibil la nivel de companie și un server de Web caching ce se integrează cu politicile Windows Server 2003 de securitate, accelerare și management.
Serviciile firewall-ului ISA asigură securitate la nivelul întregii companii pentru conexiunile la Internet. Este ușor de administrat, asigură protecție substanțială rețelei, detectează și reacționează la atacuri și intruziuni. In plus, facilitează rezolvarea unor cerințe operaționale, cum ar fi rețelele virtuale private (VPN) sau reguli cu privire la exploatarea lățimii de bandă.
ISA Server preia din serviciile sistemului de operare pentru a îmbunătăți securitatea și pentru a aduce facilități cum ar fi VPN sau controlul lățimii de bandă
Microsoft ISA Server oferă conectivitate Internet securizată, rapidă și gestionabilă.
ISA Server include un firewall de întreprindere extensibil pe mai multe nivele caracterizat prin filtrarea dinamică a pachetelor, SecureNAT transparent, filtre de aplicații inteligente, protecție a sistemului și sistem inclus de detectare a intruziunilor.
Cache-ul de înaltă performanță accelerează accesul la Web economisind în același timp din lățimea de bandă și se scalează pentru o echilibrare eficientă și dinamică a sarcinii. Instrumentele de gestionare flexibile oferă politici pe mai multe nivele pentru utilizatori, aplicații, destinații, orare și tipuri de conținut
Beneficii:
* Conectivitate Internet securizată, rapidă
* Securitatea întreprinderii (prin firewall)
* Acces rapid la Web prin caching
* Gestionare flexibilă
* Securitate extensibilă
Politicile de securitate și imperativele variază de la organizație la organizație. Volumul de trafic și formatele de conținut impune asemenea probleme specifice. Selecția largă a soluțiilor de la terți: un număr în creștere de parteneri terți oferă funcționalitatea care extinde și personalizează ISĂ Server, incluzând scanarea de viruși, instrumente de gestionare, filtrare de conținut, blocarea siturilor, monitorizare în timp real și raportare.
4. Implementarea VPN
Să vedem cum putem efectiv crea o rețea virtuala privata.
Cel mai important aspect pe care trebuie să îl avem în vedere de la început este modalitatea de criptare a pachetelor de date.
O prima decizie va constă în tipul de codificare folosit: hardware sau software. Soluțiile de codificare hardware asigura doua avantaje distincte, acelea de performantă și de securitate. Prin comparație, majoritatea soluțiilor de codificare software, cum ar fi cele folosite în unele produse firewall, pot asigura viteze de criptare de pana la 400 kbps, în condiții optime. De aceea soluțiile software exclusive vor prezentă o performantă semnificativ mai redusa.
O componentă cheie pentru securitatea oricărei soluții de criptare este gradul de generare aleatoare a cheilor în cadrul sistemului de „Key Management”. Un gateway VPN folosește un algoritm special proiectat și verificat pentru a produce o secvența cu adevărat aleatoare de generare a cheilor pentru fiecare pachet transmis.
Am amintit pana acum de un server de tunel și un firewall. Cele doua servesc doua funcții diferite. Un firewall este analog unui grănicer care păzește o frontiera de stat. El se asigura ca orice trafic neautorizat, venit din afara rețelei, nu poate penetra în structura interna a acesteia. Protecția prin firewall este realizată la punctele de intrare în rețea împotriva atacurilor din exterior. Serverul de tunel, pe de altă parte, asigura imposibilitatea citirii sau interceptării datelor în timpul în care acestea se afla în afara rețelei si, deci, în afara controlului.
Serverul de tunel va autentifica identitatea emitentului unui anumit mesajIn sfârșit, el va restricționa traficul doar la datele codificate pentru a fi transmise prin tunel.
In practica, o politica de securitate eficientă va impune utilizarea atat a unui firewall cat și a unui server de tunel.
La nivelul utilizatorului extern al rețelei VPN, daca această este independent de un furnizor de servicii Internet, atunci va trebui instalat un „client VPN”. Acesta este de fapt un software cu trei caracteristici fundamentale: poate folosi modemurile sau adaptoarele de rețea disponibile în diverse variante, poate crea un tunel și codifica pachetele de date.
Instalarea unui client VPN implica adăugarea printre device-urile recunoscute de sistemul de operare a unui „dialer” standard. Software-ul este în general disponibil în pachetul cumpărat de la furnizorul de echipament VPN, cu toate ca Microsoft plănuiește să adauge un client de tip L2TP cu suport IPsec în viitoarele versiuni de Windows.
4.1 Proiectul de realizare VPN
A. Principalii pași ar putea fi:
1. Descriere proiect
2. Achiziționare echipamente hardware (pc-uri, huburi, switchuri, cablu…)
2.1 Echipamente sediul București
2.2 Echipamente sediul Cluj
2.3 Echipamente sediul Timișoara
2.3 Legătura dintre locațiile București, Timișoara, Cluj
3. Construcția efectiva hardware a rețelei
4. Regulile de acces în rețea
3.1 Echipamente necesare
3.2 Regulile de acces pe departamente, parola s.a.
5. Monitorizare
4.1 Pagina de Web pentru monitorizare nod
4.2 Reguli de intervenție în cazul unei probleme apărute
6Intreținere
5.1 Intervenția ISP-ului în cazul apariției unei probleme
5.2 Operațiuni periodice pentru buna funcționare a rețelei
B. Descrierea cronologica a principalelor activități:
4.2 Detaliile implementării. Echipamente
Pentru implementarea unui VPN există un necesar de echipamente software și hardware. Vom lua în considerare echipamentele și cerințele Cisco.
Routere
Cisco recomanda următoarea gama de routere pentru VPN :
Seria transfer maxim date utilizare preț info.
Cisco 800 series. Pana la 128 Kbps ISDN SOHO cca.: 250$-500$
Cisco uBr900 series. Pana la T1 SOHO cca.: 750$-4300$
Cisco 827 DSL SOHO cca.: 590$
Cisco 1700 Series. Pana la T1/E1 Small Office cca.:800$-3000$
Cisco 2600 Series. Pana la T1/E1 Branch Office 1800$-6000$
Cisco 3600 Series. n * T1/E1 Large Branch cca.: 2500$-14500$
Cisco 7120. n * T1/E1 Large Branch cca.: 14900$
Cisco 7100 Series. Pana la DS3 Central Site 14900$
Cisco 7200 Series. Pana la DS3 Central Site cca.: 9500$-20000$
In al doilea rand avem nevoie de routere care să suporte IPSec. Cateva din acestea ar fi : Cisco 1600 series routers
Cisco 800 series routers
Cisco 1740 series routers
Cisco 2500 series routers
Cisco 2600 series routers
Cisco 3600 series routers
Cisco 4000 (Cisco 4000, 4000-M, 4500, 4500-M, 4700, 4700-M) series routers
Cisco 7100 series routers
Cisco 7200 series routers
Cisco 7500 series routers
Cerințele de sistem se grupează în doua categorii : în primul rând ar fi vorba despre cerințele clientului și al doilea rând despre cele pentru server.
Clienții
Cerințele de client sunt software. Un client pentru a putea fi configurat este necesar să întrunească următoarele cerințe :
PC cu procesor Pentium sau echivalent
OS : Microsoft Windows 95, 98, NT 4.0 (Service Pack 3 sau 4), 2000, XP
Minimum 32 MB RAM, CD-ROM, disponibil pe hard disk 9 MB
TCP/IP
Conexiune dial-up ( modem intern sau extern )
Conexiune la rețea Ethernet.
Serverul
Trebuie să respecte câteva cerințe hard și soft :
Trebuie să fie unul dintre routerele menționate mai sus să permită folosirea IPSec și să aibă ca sistem de operare minimum IOS 12.04. Este recomandat de asemenea ca routerul să fie ales în concordantă cu necesitățile de trafic ale companiei.
4.3 Stabilirea conexiunii
In continuare iată schematizat câteva date importante legat de modul în care VPN este încriptat și cum se face stabilirea conexiunii.
In primul rând despre modul în care se face autentificarea. în ceea ce urmează vom folosi ca protocol de strat 2 în cazul legăturilor seriale intre routere protocolul PPP pentru ca este pe deplin standardizat și oferă o buna modalitate de autentificare. Mai exact această autentificare se produce la stabilirea conexiunii intre cele doua capete ale circuitului și are ca rezultat accesul (sau nu) al celui care a cerut conectarea. Protocolul PPP are doua modalități de autentificare : PAP și CHAP.
PAP-ul este mai puțin folosit în ultima vreme deoarece nu este foarte sigur, trimițând parolele în „clear text” sistemul putând pierde astfel informație prețioasă daca se insera un sniffer. CHAP-ul este cel mai folosit protocol de autentificare datorită modului sau mai elaborat în care asigura autentificarea folosind „provocări” (challenge) ale serverului de autentificare. Este de asemenea important și faptul că autentificarea se face pe parcursul menținerii circuitului nu numai la startul acestuia. Procesul de autentificare are loc ca în schița care urmează.
1.Cand clientul inițializează conexiunea PPP cu NAS, acesta din urma ii trimite un challenge catre client.
2.Clientul trimite un răspuns. NAS-ul analizează acest răspuns și începe negocierea cu routerul gateway al firmei. după ce se stabilește un tunel intre aceștia NAS trimite mai departe informațiile primite de la client.
3.Urmatorul pas este realizat intre gateway și client, gatewayul autentifica clientul și trimite acestuia înștiințarea de acceptare sau nu a conexiunii.
Stabilirea tunelului L2F este tot o chestiune de negociere intre doua noduri dar am considerat ca depășește spațiul acestei lucrări și nu am introdus date suplimentare. În continuare este indicat modul în care se face autentificarea unui utilizator.
Pe schema de mai sus se pot vedea pașii care sunt urmați pentru ca un utilizator dintr-o filiala să poată stabili o conexiune cu rețeaua din centrul firmei.
Au loc următoarele etape :
Utilizatorul de la distantă inițiază o conexiune PPP, are loc autentificarea CHAP, NAS acceptă sesiunea.
NAS identifica utilizatorul.
NAS inițiază tunelul criptat L2F intre el și site-ul principal al firmei ( mai exact routerul care are rol de gateway ).
Routerul firmei autentifica acel utilizator și daca este acceptat atunci aproba tunelul cu NAS.
Routerul gateway confirma acceptare sesiunii și a tunelului L2F.
NAS face un fișier de log pe care îl înregistrează.
Gatewayul și utilizatorul încep negocierile PPP ( LCP, NCP, se poate acorda o adresă IP prin DHCP ).
Tunelul intre utilizator și firma este realizat pe deplin și se pot schimba în siguranță datele.
4.4 Structurarea rețelei
Așa cum am spus în partea de premize și obiective ne propunem să implementăm un proiect de VPN pentru o firmă care are trei locații în România. Am ales spre exemplu: Cluj-Napoca, Timișoara și București. Sediul central al firmei se afla situat în București toate celelalte fiind filiale.
Între cele trei sedii trebuie să circule informația în cel mai sigur mod cu putință, aceste date fiind vitale pentru activitatea economica a firmei. Cu toate acestea această firma nu are fondurile necesare pentru a-si putea crea propria sa rețea pe o distanță atât de mare. astfel ca apelează la o soluție de compromis foarte viabilă : implementarea unui VPN. Aceasta se va face cu prețuri mult mai mici decât cea a realizării unei rețele private dar cu același grad de securitate. Important este și faptul ca cea mai mare parte a circuitului va fi în seama providerului de servicii internet eliminând astfel o bună parte din cheltuielile de întreținere ale rețelei.
Așadar să schematizam rețeaua pe care dorim să o implementam :
După cum se vede în imagine, aceste trei locații vor fi interconectate prin legături la rețeaua internet. Insă trebuie menționat foarte clar ca aceste legături nu sunt suficient de sigure pentru a permite transmiterea de informație vitala. Așa ca s-a optat pentru VPN care pe acest tip de legături transmite în modul cel mai sigur datele prin criptarea lor. In cele ce urmează voi detalia modul în care se va face implementarea rețelei atât la nivel de LAN cat și de WAN.
Am considerat ca cel mai bine este să pornesc de la designul LAN în fiecare dintre cele trei sedii ale firmei iar în cele din urma să indic modul în care a fost realizat VPNul.
4.5 Implementarea LAN
Cele trei sedii au o structura diferită în ceea ce privește cerințele utilizatorilor rețelei așa ca cel mai bine este să le prezint în mod separat. Voi începe cu locația din București.
Locația din București
Aici se afla sediul firmei așa ca vor fi cerințe mai mari în ceea ce privește performantele de trafic. Din punct de vedere administrativ am prevăzut pentru sediu următoarele departamente de care vom tine seama în cadrul proiectului :
PRIMUL NIVEL :
Departamentul de vânzări și relații cu clienții
Departamentul economic și de salarii
Departamentul de comunicații
AL DOILEA NIVEL :
Departamentul de evidentă stocurilor
Departamentul de resurse umane și training
LA TREILEA NIVEL :
Departamentul de producție
Departamentul de cercetare
Este importantă repartiția pe diferite departamente pentru plasarea serverelor și distribuirea în mai multe VLANe. De asemenea este importantă și gândirea modului în care se vor defini polițele de acces intre aceste VLANe care sunt rețele diferite.
In continuare trebuie precizate câteva aspecte în legătura cu cablarea. Ideea este ca se va folosi cablu UTP Cat 5. Acest tip așa cum am mai precizat folosește o topologie fizica de tip stea (și una logica de tip bus) în care lungimea fiecărei raze nu trebuie să depășească 100 m din considerente de atenuare. In cazul în care se depășește această dimensiune este indicată folosirea repeaterelor. In cazul nostru nu va fi nevoie de nici un repeater pentru ca vom folosi o multitudine de switchuri și huburi cascadate.
Probabil cea mai importantă parte a designului este definirea VLANelor pentru fiecare departament, daca există departamente care trebuie să împartă același VLAN, daca există utilizatori ai unui VLAN care trebuie să aibă acces intr-un altul dar fără o relație de reciprocitate intre aceste doua VLANe. De asemenea trebuie ținut cont de modul în care alegem folosirea switchurilor sau a huburilor. Intr-adevăr huburile sunt mai ieftine decât switchurile dar sunt locuri unde avem nevoie de trafic mare și de coliziuni puține, loc unde se pretează cel mai bine switchurile. Mai trebuie ținut cont și de faptul ca huburile tind să fie complet înlocuite de switchuri. Un alt factor este cum repartizăm lărgimea benzii în această rețea. Momentan există tendință de a face trecerea la Gigabit Ethernet ( 1000 Mbps ).
Aici va trebui să urmărim cam ce departamente au nevoie de o bandă cat mai largă și care se pot mulțumi și cu un trafic de 10 Mbps. Facem precizarea că toate conexiunile care asigură backbonuri intre componente vor fi de 100 Mbps; acest tip de cablu UTP Cat 5 este pregătit să poată trece la rate mai mari fără a fi nevoie să fie modificat. Un alt factor de care trebuie să ținem seama este routerul. Acesta este nodul central al tuturor conexiunilor și al rețelei. El va fi acela care va permite legătura intre VLANe și intre rețelele celorlalte noduri. De el vor fi atașate o grămada de alte device-uri care vor aduce servicii utilizatorilor (ca de exemplu telefonie pe internet Voice-over-IP sau VoIP).
Așadar vom începe cu definirea unor VLANe. Vom construi în principiu cate un VLAN pentru fiecare dintre departamente cu mențiunea ca vom introduce două departamente într-un singur VLAN: evidența stocurilor și producției. Fac acest lucru pe motiv că cele doua structuri au ca obiect de lucru aceeași bază de date. Așadar vom avea următoarele VLANe pe departamente :
1.Vanzări și relații cu clienții VRC
2.Economic și salarii ES
3.Comunicatii COM
4.Productie și evidentă stocurilor PES
5.Resurse umane și training RUT
6.Cercetare CER
In concluzie avem 6 VLANe la momentul implementării. Este posibil ca pe parcursul activității să mai fie nevoie și de altele, din această cauză va trebui să alegem un switch care să permită și porturi redundante. Intre VLANe pentru a permite comunicarea este nevoie de un router cu care switchul mare (big-sw1) va fi legat printr-un port de trunk. Acest port este recomandat să aibă cel puțin 100 Mbps trafic. Este important de menționat ca și routerul trebuie să aibă pentru aceasta un port disponibil pentru Fast Ethernet. După cum se vede în imaginea de mai jos am ocupat deja 6 porturi pe big-sw toate trebuie să fie de 100 MB. Va trebui să pregătim un astfel de debit informațional pentru viitor chiar daca acum nu este în totalitate folosit. Nu va fi o cheltuială tocmai mică.
Fiecare departament va avea un server propriu – este ceea ce se numește workgroup-server. Există departamente care au nevoie ca serverul lor să fie în deplină securitate, din această cauza este recomandat să fie plasat împreună cu alte servere importante intr-o singură cameră cu acces numai pentru personalul de specialitate. În acest sens m-am gândit să introduc serverele departamentelor de cercetare, producție și evidentă stocurilor. Așadar am să le leg la porturile lui big-sw ocupând inca doua porturi scumpe.
O altă categorie de servere sunt cele intitulate enterprise servers. Acestea sunt o categorie aparte de cele denumite workgroup servere prin aceea ce au funcții utilizate de toate mașinile și utilizatorii din firmă. Spre exemplu sunt serverele de mail, serverele de nume, servere de web și ftp în cazul în care se dorește publicarea unui site pe internet. M-am gândit să pun toate aceste servere intr-un singur vlan – COM. Există și aici anumite cerințe în ceea ce privește viteza de acces de aceea prefer să leg cat mai multe dintre aceste servere la big-sw.
Serverele mari ale firmei (mail, DNS, web, ftp) împreună cu cele vitale ca informație (de cercetare și cel de producție) vor fi situate în doua camere din cele trei ale departamentului de comunicație (la primul nivel al construcției). Imaginea schematizează în detaliu modul de aranjare a componentelor rețelei la primul nivel al construcției.
Vom începe cu departamentul de comunicație. După cum se observa există acolo trei camere: în camera A am introdus serverele mari ale întreprinderii precum și serverele departamentelor de producție și cercetare. Conexiunea lor se face la big-sw care este în camera B. Ideea este ca această conexiune să fie de minim 100
Mb daca nu chiar de 1Gb, aceasta depinde și de ce tip este big-sw.
Am introdus în camera A doar acele servere care se conectează direct la porturile lui big-sw fără nici un alt switch intermediar.
In camera B am introdus echipamente Cisco. Vedem aici big-sw și routerul bigro. Practic acesta este inima întregii rețele și trebuie să respecte niște condiții de mediu extrem de riguroase.
In camera C se afla com-sw (switchul celor care lucrează în departamentul de comunicație ). Legat la com-sw se afla computerele celor care lucrează în acest departament, o imprimantă de rețea și câteva servere. Printre aceste servere pot fi cel de web, mail etc. Decizia este luată de administratorul de sistem. Am introdus pentru acest departament un număr de 9 calculatoare și o imprimantă de rețea, un număr de trei servere.
Deci pentru început avem treisprezece noduri care trebuie să fie legate la porturile com-sw. Trebuie urmărit pentru a asigura un număr redundant de porturi și disponibilitatea unui port care să permită realizarea unui trunk cu un viitor switch care s-ar putea tasă acestui departament. Departamentul de vânzări și relații cu clienții are pentru început un număr de 30 calculatoare, un file-server, o imprimantă de rețea, un plotter de rețea și un scanner de rețea. De asemenea sala de primire tine tot de acest departament. Este de recomandat ca toate aceste noduri să fie legate la porturile lui vrc-sw care pot să fie atât de 100 cat și de 10 Mbps.
Trebuie făcută mențiunea că pentru sala de primire mai trebuie folosit un hub deoarece este posibilă depășirea distanței limită de 100 metri pentru unele mașini. Consider ca este suficient un simplu hub deoarece traficul pentru aceste calculatoare este relativ mic. Departamentul economic și de salarii are nevoie de două imprimante de rețea deoarece tipărește o multitudine de facturi. Pentru moment sunt 29 de calculatoare un file-server, și două printere de rețea. Pentru a reuni și ultimele mașini mai avem nevoie de un hub. Așadar o parte dintre calculatoare se leagă direct la es-sw, iar o altă parte se leagă la un hub.
In continuare vom prezentă arhitectura celui de al doilea nivel al clădirii sediului central al firmei. Aici rezida doua din departamentele firmei : în primul rând departamentul de evidentă a stocurilor și o serie de birouri administrative iar în al doilea rând departamentul de training și resurse umaneIn ceea ce privește departamentul de evidentă stocurilor, acesta face parte din același vlan cu cei de la producție.
Așadar avem trei posibilități: fie să aducem din big-sw un cablu aparte pentru fiecare dintre cele doua departamente să le reunim pe același cablu folosind astfel un sigur port al big-sw și un singur switch pentru ambele departamente plus un hub de Fast Ethernet sau să folosim un singur port de la big-sw și doua switchuri pentru fiecare departament legate intre ele printr-un trunk.
Am optat pentru a doua variantă fiind cea mai ieftina în ideea ca un port al lui bigsw este mai scump decât unul de la pes-sw. Mai există de asemenea posibilitatea ca în loc de hub să folosim un switch fără posibilitate de management care ar fi mai ieftin decât unul cu management și ar permite microsegmentatie și o buna performantă a traficului. Putem folosi în acest sens un 3Com. Așadar acest departament are un număr de 30 workstation-uri, un server, o imprimantă de rețea.
In ceea ce privește celalalt departament cerințele de banda disponibila sunt ceva mai riguroase pentru următorul fapt : există la ora actuala o regândire a cheltuielilor de training ale unei întreprinderi înspre orientarea acestora pe soluții de desktop. Mai exact există doi factori importanți:
1.toate firmele mari sunt conștiente ca trainingul trebuie să fie o realitate permanentă, multe având un departament care se ocupa permanent cu așa ceva
2.cheltuielile cu educarea permanentă a angajaților sunt mari, pentru ca în afara de plată unor instructori mai apar și cheltuieli adiacente : transport, cazare, masă, lipsă de la locul de munca.
In aceste condiții a apărut tendința ca unele corporații sa-si facă o rețea de calculatoare suficient de puternică incit să suporte trafic intensiv pentru ținerea unor cursuri on-line în intranet sau pentru consultarea on-line a unor materiale. Această modalitate este foarte performantă pentru ca în afară de reducerea masivă a cheltuielilor permite și o menținere riguroasa la zi a tuturor materialelor ce se predau precum și folosirea unor tehnici electronice foarte rapide prin care se anunță apariția unor noutăți.
Această noua tehnologie de training poate fi disponibilă prin buna dotare a unui departament care se ocupa cu așa ceva. In acest departament toate serverele vor fi performante asigurând o bună viteza de acces. Legarea acestora la rut-sw se va face pe porturi de minim 100 M.
Acest departament are:
• un numar de 30 de calculatoare,
• doua printere de rețea,
• un fax server,
• un proiector,
• doua camere de luat vederi digitale,
• câteva displayuri de mari dimensiuni,
• un plotter de rețea,
• un scanner de rețea,
• patru servere.
Asta înseamnă aproximativ 45 de noduri pentru început. La acestea mai trebuie să adăugam un număr suplimentar de porturi redundante fiind un departament în plină expansiune ca importanta. Așadar rezultă un număr necesar de aproximativ 60 porturi. In aceste condiții se recomandă ca fiind necesara folosirea unui switch suplimentar. Acesta poate fi adus direct din big-sw sau poate fi realizat un trunk intre rut-sw și un alt switch rut2-sw.
Prezenta unui al doilea switch chiar daca poate fi considerată scumpă se poate considera ca se amortizează în timp acest departament având ca scop atât un training mult mai eficient cat și mult mai ieftin.
Al treilea nivel al construcției conține departamentele de cercetare și respectiv pe cel de producție. Departamentul de cercetare are mai multe servere, file-serverul principal fiind situat în sediul departamentului de comunicații din motive de securitate.
Departamentul de cercetare este unul relativ mic :
• 21 de calculatoare
• 2 servere
• un printer de rețea
• un server de fax
Așadar 25 de noduri. Traficul în această rețea nu va fi forte mare, din această cauza se poate folosi și un hub daca se depășește numărul de porturi disponibile de cer-sw. Departamentul de producție este legat în aceeași rețea cu cel care asigura evidentă stocurilor. Este alcătuit dintr-un mare număr de mașini :
• 45 de calculatore
• 2 printere de rețea
• 2 servere
In plus fată de acestea urmează adăugarea altor device-uri pe măsura extinderii firma fiind în plin progres. Se pot folosi doua switchuri 3Com fără capacitate de management. Rețeaua este gândită ca fiind Fast Ethernet. Un aspect mai deosebit al acestui departament este acela ca trebuie să mentina legatura directă tot timpul cu halele de producție și cu depozitele de stocare.Pentru a realiza astă există mai multe soluții, una dintre ele fiind: folosirea unei rețele LAN Wireless (rețea LAN care să nu folosească cabluri). Această rețea va fi introdusă în vlanul pes atașarea să poate să fie la porturile lui pes-sw sau big-sw.
4.6 Rețeaua wireless
In continuare am să prezint câteva considerații relativ la implementarea unei rețele Lan Wireless. Intrucât în capitolul de considerații teoretice nu am introdus acest subiect am să facă aici o scurtă prezentare a subiectului urmată de datele implementării despre care vorbim.
Până acum câțiva ani toate rețelele LAN fără fir erau implementării de tip proprietar și în plus foarte lente. Acest fapt făcea comunicarea imposibilă intre echipamente aparținând firmelor diferite. De curând a fost implementat standardul IEEE-802.11B și s-a constituit un consorțiu WECA ce are în grijă dezvoltarea tehnologiilor wireless LAN. Acest fapt a dus la posibilitatea de interoperabilitate intre produse de firmă diferită precum și la o creștere calitativă a vitezelor de transfer. Acest fapt face momentan din rețelele LAN wireless o modalitate de a extinde rețelele LAN cablate. Toate firmele care livrează astfel de echipamente trebuie să respecte un standard Wi-Fi emis de WECA sau cel intitulat IEEE-802.11B.
Există și alte standarde LAN fără fir: Bluetooth (30-400 kbps) ce se pretează pentru rețele personale (intre PDA, laptop, telefon mobil) permițând sincronizarea datelor intre acestea. Distanța permisă intre dispozitive este de 9 m.; momentan se lucrează la implementări mai răspândite.
Standardul IEEE-802.11B asigură o acoperire de 15-90 m în funcție de obstacole întâlnite de unde ( pereți, plafoane etc.). Funcționează la o rată de 11 M sau 22M teoretic, deci este asemănătoare ca și performanțe cu Ethernetul de 10 M. Posibilități de folosire sunt toate cele valabile pentru standardul Ethernet, dar se pretează cel mai bine la utilizarea în depozite, spitale, aeroporturi în principiu locuri care necesită mișcarea dispozitivelor de rețea. Această alegere se datorează preturilor de implementare care sunt destul de ridicate. O rețea LAN fără fir are două componente : un punct de acces și un adaptor LAN client. Punctul de acces este un dispozitiv mic care se conectează la rețeaua LAN cablată și care asigură transferul intre datele transmise prin cupru și cele transmise ca și unde radio (transceiver radio). In plus acest dispozitiv mai conține soft pentru criptarea și decriptarea datelor. Clientul este în principiu o placă de rețea care are un transceiver radio și o antena. Această placa trebuie adaptată cu interfețe specifice dispozitivelor de care se atașează : laptopuri, PDA, desktopuri. Distantele acoperite de un singur punct de acces variază în funcție de obstacolele pe care le întâmpină undele. In spațiu liber pot să meargă pana la o raza de câteva zeci de metri (chiar 90 m), iar în spatii de tip campus, depozite, în jur de 18 m. Cele doua dispozitive: clientul și punctul de acces negociază rată de transfer la inițierea conexiunii. Există bineînțeles posibilitatea de a extinde mult mai mult raza de acoperire prin folosirea mai multor puncte de acces. Astfel se definesc niște celule asemănătoare celor din cazul telefoniei mobile. Deplasarea intre celule se face automat prin negociere, fenomenul purtând numele de roaming. Așa cum am mai spus securitatea intre client și punctul de acces se asigură prin incriptarea datelor odată transmise sub forma de unde radio. Firme care comercializează echipamente pentru wireless LAN sunt Cisco, Apple, Compaq, Lucent, 3Com, Nortel, Planet și altele. In ceea ce privește proiectul meu este nevoie de o rețea LAN fără fir în cazul halelor de producție și a depozitelor. În aceste incinte se pot folosi diferite echipamente de rețea mobile: scannere de coduri de bare, etichetatoare, laptopuri. Arhitectura rețelei este prezentată în schița care urmează.
Schițele care urmează prezintă schematic celelalte doua sedii Cluj-Napoca și respectiv Timișoara.
Locația din Cluj este una fără utilități deosebite având rolul în principal de reprezentare. Aici avem următoarele echipamente :
• 21 computere
• un printer de rețea
• un server
• facilitați de training
Nodul de comunicare este dotat cu un router și un switch la care se mai pot adăuga opțional un hub și un switch.
Locația de la Timișoara este ceva mai mare având și facilitați de producție. Echipamente :
• 35 de calculatoare
• doua severe
• 2 printere de rețea și un plotter
• 1 scanner, 1 server de fax
• facilitati de training
Toate aceste echipamente și posibila adăugare a altora determina folosirea a doua switchuri și un backbone intre ele.
4.7 Adresele IP și iesirea la internet
Arhitectura propusă poate folosi doua variante de adrese IP : – se pot folosi adrese reale pentru fiecare mașina prin achiziționarea câtorva sute de adrese de clasă C (spre exemplu achiziționarea a doua clase la un preț cam de 1 $ pe adresă ).De asemenea se pot achiziționa un număr ceva mai mic de adrese IP care vor fi repartizate în primul rând gatewayurilor prin intermediul cărora se va iesi la internet iar restul preferențial pentru anumite mașini.
Se pot folosi în intregime adrese private și achiziționarea de adrese reale doar strict pentru gatewayurile care vor ieși la internet. In acest caz gatewayul care va fi un router ceva mai puternic va face conversia intre adresă să reala și adresele private folosind protocolul NAT (Network Address Translation) cu varianta sa overloading. Imaginea de mai jos descrie în mare cum are loc procesul :
După cum se vede mai sus este folosită o singura adresă reala și mai multe private, la ieșirea în internet asignandu-se diferite porturi care sunt mapate cu adresele private. Trebuie menționat ca se va folosi o singura legătura la Internet realizată în sediul firmei. Această legătura se va face pe un canal diferit de cele pentru legătura cu celelalte locații ale firmei folosind de preferință același provider de internetIn arhitectura noastră vom folosi același router dar cu interfețe diferite pentru tipurile de ieșiri. Setarea gatewayului pentru internet este foarte importantă deoarece se pun probleme deosebit de stricte de securitate.
Ideea pe care o vom urmări în acest sens este : pentru ce folosim legătura la internet? Răspunsul depinde de unde privim această conexiune :
– daca privim dinspre internet este necesar să se vadă în primul rând serverul de web și ftp. Cu timpul se va pune și problema implementării unor soluții de e-commerce.
– Daca privim dinspre companie spre internet este nevoie de cat mai multă liberate de mișcare așa ca vom fi mai permisivi.
Așadar pentru conexiunea la internet vom folosi o arhitectura de tip firewall care tip este alcătuită din mai multe mașini dar în acest caz vom folosi doar un router pe care vom setă securitatea cu ACLuri. Arhitectura va arată ca mai jos :
In imaginea de mai sus big-ro va face atât legătura la internet, intre locațiile VPNului cat și rutarea intre vlanele descrise mai devreme. Ideea este ca cel mai bine este achiziționarea unui set de adrese reale, să spunem 100 și folosirea în rest a adreselor private. De asemenea este indicat să achiziționam o banda garantată de 2,048 Mbps pentru conexiunea la internet.
Ar mai trebui să controlam accesul la internet printr-o politică austeră cu privire la conexiune pe http. Toată lumea trebuie să aibă acces la email, dar nu toți angajații trebuie să poată vizita site-uri, sau unii trebuie să o facă cu prioritate. Acestea pot fi coordonate în detaliu cu ACL și QoS disponibile în sistemul de operare al routerului (IOS). Trebuie ținut cont de faptul ca toate celelalte locații vor accesă internetul tot prin intermediul lui big-ro. De asemenea este important și faptul ca firma trebuie să aibă suficientă iesire pentru internet pentru o eventuală trecere la sistemul de voice-over-ip (fiecare canal de voce necesită 16 kbps) care ar permite convorbiri internaționale la preturi foarte mici.
Important atunci când ținem seama de banda de ieșire pentru internet este dacă această firmă are servere de web sau ftp puternice și dacă va planifica trecerea la vânzările on-line. Aceasta nu se va întâmpla de la început așa cum am prevăzut deja. Trecerea la e-commerce este ceva mai complexă deoarece presupune realizarea unei multitudini de soluții redundante.
4.8 Realizarea conexiunilor de VPN
Iată ca am ajuns și la acest punct. L-am lăsat la urma pentru ca poate este cel mai dificil de proiectat. Si astă se întâmpla din cauza faptului ca este destul de dificila alegerea intre diferitele tipuri de VPN și diferitele tipuri de echipamente disponibile la ora actuala. Soluții de echipament pe care le-am ales sunt exclusiv Cisco datorită simplului fapt ca această firma asigura la ora actuala 80% din infrastructura internetului.
Așadar soluțiile alese de noi vor fi pentru un intranet VPN în ceea ce privește locațiile din Timișoara și Cluj. Totuși este important de realizat de asemenea și un Access VPN pentru angajații care vor să lucreze acasă, daca aceasta este mai profitabil pentru firma. Această din urma soluție permite de asemenea și a treia variantă a Extranet VPN, acesta fiind dedicat pentru conexiunile realizate cu partenerii de afaceri ai firmei (furnizori, resealeri etc.).Vom prezenta aceste implementări pe rând împreuna cu tipurile de echipament pe care le putem folosi.
Intranet VPN. Imaginea de mai jos prezintă modul în care am proiectat conexiunea intre cele trei sedii. Am preferat ca pentru moment să leg doar prin doua conexiuni dar să fac posibila și o treia intre Cluj și Timișoara.
După cum se vede am preferat folosirea numai a routerelor cu toate ca există soluții care cuprind pe lângă routere și hardware firewalls (în acest caz routerul este degrevat de o multitudine de sarcini). Am ales arhitectura cu routere deoarece mi se pare mai scalabilă. Va trebui să alegem routere ceva mai puternice. Pană aici totul este simplu, dar trebuie alese routerele pe care să le folosim în cele trei locații și tipul de legătura WAN.
Pentru routere vom ține seama în principal de recomandările făcute de firma producătoare Cisco întrucât acesta este un proiect teoretic. In cazul practic adesea se coboară cu o treaptă mai jos decât recomandările producătorilor.
Pentru sediul firmei se recomanda ca alegerea să se facă dintre următoarele serii : 2600, 3600, 7100. Fac mențiunea ca am ales să folosesc serii cu routere VPN-optimized mai puternice (există și categoria VPN-enabled care sunt recomandate pentru soluțiile care cer o criptare moderată și cerințe limitate de tunel). Este un fapt extrem de important în alegerea routerului să ținem seama de scalabilitatea echipamentului, domeniul fiind extrem de dinamic din toate punctele de vedere. Există tendință de a se concentra pe un singur backbone cam tot ceea ce tine de comunicarea de date de orice fel : video, voce, informații. In acest sens trebuie ținut cont de tehnologii ca Voice-over-IP. Așa ca în ceea ce privește routerele vom prefera categoric o soluție modulară aceasta permițând adăugarea unor noi componente pe șasiu.
Așadar pentru sediul central este un router din cele trei serii mai sus menționate. Am să le prezint pe fiecare în câteva cuvinte, iar în cele din urmă am să prezint alegerea mea.
Seriile 2600 și 3600 permit folosirea unei multitudini de tipuri de interfețe pentru WAN (de la ISDN și pana la cele mai rapide conexiuni). Permit de asemenea să fie folosite în toate cele trei tipuri de VPN având un design modular. Ambele serii au procesoare RISC. Permit realizarea unor tunele folosind: Ipsec, GRE, L2F și L2TP, iar incriptarea hardware (ca modul opțional). Se pot folosi module de voce permițând trecerea la tehnologii avansate. Imaginea de mai jos prezintă modulele de VPN pentru cele doua serii.
Seria de routere 7100 (și cele care urmează permit opțiunile cele mai avansate în routing și switching, au opțiuni de scalabilitate extreme (pot merge lejer pe Gigabit Ethernet). Partea mai puțin plăcută este ca și prețul este pe măsură. Aceste routere permit folosirea unei game foarte variate de porturi permițând totodată și folosirea unui mare număr de placi pe un singur router. Pot fi folosite în toate tipurile de VPN permițând Tunneling și incriptarea cu cele mai bune tehnologii (Ipsec, L2TP,L2F,GRE,3DES,PPTP,MPPE). Această serie mai permite și folosirea setului de caracteristici Cisco IOS Firewall.
Pentru filiale – Seria 1700 mi se pare cea mai buna alegere pentru că în primul rând este modulară, în al doilea rând permite o mare diversitate a porturilor pentru WAN (pot fi folosite aceeași gama de conexiuni ca și pentru seriile 2600 și 3600). In plus permite facilitați de Tunneling ca L2F,L2TP, Ipsec, GRE, iar incriptarea o realizează în software. In plus față de aceste aspecte mai oferă posibilitatea de rutare pe Fast Ethernet ceea ce ar fi ideal pentru necesitățile noastre de a realiza LANuri 100% Fast Ethernet. Această serie oferă și avantajul posibilității de a folosi module pentru transmiterea de voce făcând posibila realizarea unei rețele care să suporte în totalitate VoIP și telefonia intre cele trei locații.
Am ales din considerente economice pentru sediul din București un router din seria 3600 iar pentru cele doua filiale cate unul din seria 1700.
Alegerea o fac ținând cont și de faptul ca acestea sunt modulare și permit opțiuni VoIP.
Alegerea furnizorului de servicii internet (ISP). Acest lucru poate fi considerat o opțiune subiectiva. Am luat hotărârea după ce am consultat mai multe oferte. Am ales RDS care după părerea mea sunt cei mai buni pe piață la ora actuală având o rată de dezvoltare foarte buna. Vom trata aici problema VPN-ului nu și pe cea a conexiunii la internet aceasta fiind deja schițata. În general prefer conexiunile end-to-end cu providerul (la un necesar de bandă ca acesta ar fi și ceva mai dificilă utilizarea unor linii închiriate). Așadar toate cele trei locații vor avea conexiune neintermediată cu providerul. Eu as alege cablu coaxial sau modemuri radio datorită bunului raport performanta/preț. Se mai pot face alegeri hibride ca de exemplu în București varianta pe cablu iar în Timișoara și Cluj variantă radio.
Implementarea Access VPN
Realizarea unui astfel de VPN consider ca este necesară pentru ca extinde granițele informatice ale firmei, permițând salvarea unor costuri prin posibilitatea de a folosi angajați care la fel de bine își pot desfășura activitatea și acasă. Un alt avantaj este faptul ca în felul acesta se pot realiza conexiuni importante intre diferiți utilizatori mobili (care spre exemplu trebuie să circule în interes comercial) și firmă.
De asemenea este posibilitatea de a seta conexiuni de backup intre sediul firmei și filialele sale, acestea fiind necesare în cazul în care se ajunge ca intre aceste sedii să circule informație vitala pentru activitatea comerciala a firmei.
In ceea ce urmează voi încerca să prezint cam ce posibilități ar fi pentru realizarea unei astfel de conexiuni.
Prin intermediul providerului de servicii internet acesta punând la dispoziție contra cost majoritatea echipamentelor necesare (NAS, modemuri, conexiunea tunelată și criptată cu firma). Această este una care mi se pare mai avantajoasă din punct de vedere financiar. În plus această situație oferă și avantajul ca utilizatorii se pot conectă și din alte localități având de plătit doar costul convorbirilor locale. Toate aceste argumente sunt suficiente pentru a convinge staff-ul acestei firme ca este mult mai sănătos financiar implementarea acestui tip de access VPN decât oricare altul.
In continuare am să prezint modul în care se poate realiza un access VPN folosind un NAS al providerului. Acesta va fi un exemplu de VPN inițiat de serverul de acces al providerului care așa cum am mai menționat și în partea teoretica a lucrării are avantajul că nu mai necesită folosirea unui client de VPN pe partea utilizatorului care se conectează la site-ul firmei și are dezavantajul ca nu asigura un tunel criptat decât intre NAS și routerul firmei. In cazul unui astfel de acces VPN responsabilitățile vor fi împărțite intre administratorul de sistem al firmei și ISP după cum urmează:
ISP :
-achiziționează, configurează și menține Network Access Serverul (NAS) în POP sau
-achiziționează și suportă modemurile necesare pentru conexiuni împreună cu numărul de telefon necesar conectării (în general este un număr, dar procedura de achiziționare este ceva mai complicată pentru ca în cazul în care ai 20 de modemuri folosești un singur număr de telefon cu care ești văzut din afara dar achiziționezi de la Romtelecom 20 de numere pe care le asociezi cu modemurile. Stabilirea conexiunii se face printr-un procedeu de hunting: primul modem gasit liber va fi folosit pentru realizarea conexiunii. Acest hunting il realizează centrala Romtelecomului.)
– menține un server de autentificare și autorizare (AAA)
– menține un router care se va conectă cu routerul firmei .
Firma :
– achiziționează, configurează și menține routerul sau
– autentifică și autorizează (username și parola) utilizatorii (server AAA).
Imaginea de mai jos prezintă schematic tipul de aparatura utilizată pentru realizarea acestui tip de Access VPN. după cum se poate vedea pe partea utilizatorului nu este nevoie decât de un terminal și un modem fără a trebui configurat nimic altceva decât un username și o parola de acces în serverul ISPului.
Utilizatorul poate în principiu folosi orice sistem de operare cu condiția ca acesta să fie capabil de dial-up. Odată ce utilizatorul inițiază o sesiune de dial-up se va conectă la NAS. Logarea se va face la serverul de parole al ISPului. Pentru această logare va fi folosită un alt username configurat în client, ca de exemplu [anonimizat]. Serverul de parole va fi interesat numai să descopere ce domeniu vrea să contacteze acel utilizator. Va găsi în baza sa de date ca acel client dorește să se conecteze la domeniul firma.ro. Din acest moment face legătura cu routerul ISPului și trimite acestuia comanda.
Routerul ISPului va începe negocierea unui tunel criptat cu big-ro. După ce acesta va fi funcțional se face legătura cu sesiunea deschisă de utilizator, echipamentul ISPului devenind transparent pentru procesul de logare care va urma. Utilizatorul se loghează cu usernameul și parola pe care le-a configurat în clientul sau de dial-up. Este verificat în serverul de parole al firmei și se dă acordul sau nu asupra începerii transferului de date sau orice altceva se dorește în rețeaua firmei.
Din acest moment utilizatorul poate fi considerat ca făcând parte integrantă din rețea firmei. Fiecare utilizator poate fi asociat cu anumite drepturi, privilegii, asociat unui anumit grup de utilizatori, asociat cu anumite ore în care poate sa-si desfășoare activitatea. Cisco vinde mai multe tipuri de servere de acces (NAS) unul recomandat pentru o astfel de utilizare ar fi Cisco AS5300. Ca router pentru ISP se poate folosi un Cisco 4500- M.
A doua modalitate prin care s-ar putea realiza un Access VPN este folosirea independent de ISP a unor echipamente care să permită realizarea conexiunilor. În acest caz putem spune fără să greșim ca firma se transforma intr-un ISP mai mic. Acesta poate avea avantajele sale, dar mai presus de toate are costuri ridicate nu atât de mult la implementare cat mai ales la management și întreținere. Acest fapt se datorează preluării tuturor atribuțiilor de către firma. Totuși și aici există o soluție de compromis : folosirea unui concentrator de Remote Access VPN. Cisco este de asemenea lider de piață și la această categorie de echipamente.
Există doua serii de echipamente furnizate în acest sens : Cisco 5000 Concentrator Series și Cisco Concentrator 3000 Series. Prima categorie este una mamut, poate asigura de pana la 40 000 de conexiuni simultane. A doua categorie este cea de care ne vom ocupa fiind mai apropiată de dimensiunile la care este firma noastră – permite pana la 100 de sesiuni simultane.
Acest tip de VPN necesită ca pe lângă folosirea acestui concentrator, utilizatorul care se conectează la site-ul firmei să aibă instalat și configurat și un client de VPN. Aceasta este o componentă software care de obicei se livrează gratis cu concentratorul.
Concentratorul are o structură modulară permițând scalabilitatea în funcție de cerințele de conexiune sau de cerințele de criptare acestea putând fi făcute atât în hardware cat și în software ( mult mai performantă ).
Criptarea se face folosind următoarele tehnologii: IPsec, PPTP, L2TP, L2TP/IPsec, NAT Transparent Ipsec. Criptarea se face folosind : IPsec Encapsulating Security Payload (ESP), folosind DES/3DES (56/168-bit) cu MD5 sau SHA, MPPE folosind 40/128-bit RC4. Pentru conexiune se pot folosi dial-up, ISDN, cablu coaxial, xDSL.
Ca și clienți se pot folosi următoarele produse : Cisco VPN Client, VPN 3002 Hardware Client, Microsoft Windows 2000 L2TP/IPsec Client și Microsoft PPTP pentru Windows 95, Windows 98, Windows NT și Windows 2000.
Procesul de comunicare intre client și concentrator parcurge următorii pași :
Se negociază tunelul : adrese, algoritmi etc.
Se stabilește tunelul în funcție de factorii definiți mai devreme.
Autentificarea utilizatorilor : username, grupul din care fac parte, parole, alte certificate (semnătura electronica etc.).
Stabilirea drepturilor pe care le are utilizatorul : ore de acces, durată conexiunii, protocoalele folosite.
Negocierea cheilor de securitate.
Începe procesul de incriptare iar comunicația poate să înceapă.
In imaginea care urmează se schematizează echipamentele de care este nevoie pentru realizarea acestui tip de Access VPN. Se poate observa ca avantajul principal constă în faptul ca tot circuitul informației în afara perimetrului firmei se realizează criptat. Acesta este așadar un tip de Access VPN intitulat client-initiated.
Extranet VPN
În legătura cu acest subiect nu mai sunt aici prea multe de spus pentru ca în mare s-au acoperit aspectele tehnice.
Așadar acest tip de VPN permite conexiunea site-ului firmei cu potențiali colaboratori : clienți, resealeri, alți parteneri. Drepturile pe care le au aceștia în rețeaua firmei pot fi setate funcție de tipul relației stabilite cu aceștia.
Din punct de vedere tehnic nu este mare deosebire în realizarea linkurilor cu aceștia sau angajații firmei. Acestea pot făcute fie prin legături dedicate fie prin dial-up. Acestea au fost deja prezentate și sunt valabile și pentru acest tip de VPN.
Si aici se pot folosi metode de certificare ca semnături electronice unde arhitectura este ceva mai complexă întrucât implică și o autoritate de certificare.
5.3 Avantajele rețelelor virtuale private
Internetul da posibilitatea companiilor să își extinda piată de desfacere.
Furnizorii de VPN pot înșira o mulțime de beneficii pe care le aduce tehnologia, multe apărând odată cu dezvoltarea ei. Poate cel mai puternic argument folosit este reducerea costurilor. Daca se folosește Internetul pentru a distribui servicii de rețea la mare distanta, atunci se poate evită achiziția de linii închiriate, extrem de scumpe, intre reprezentante și firma, dar și costurile convorbirilor interurbane pe modemuri dial-up sau ISDN. Reprezentantă va trebui să se conecteze numai local, la un provider Internet, pentru a ajunge în rețeaua firmei mamă.
Economii se fac și relativ la lipsa necesității investițiilor în echipament WAN adițional, singura achiziție fiind legată de îmbunătățirea capacitaților de conectare la Internet a serverului.
Un alt aspect pozitiv al rețelelor private virtuale este acela că sunt mediul ideal de comunicație pentru utilizatorii mobili, adică cei care posedă laptop-uri, PDA-uri sau palmtop-uri cu care, în timpul unei tranzacții importante, de exemplu, vor să acceseze serverul firmei pentru obținerea unor informații confidențiale.
În același fel, se poate instala o legătura intre doua rețele, extrem de rapid și ieftin. Nu e necesara configurarea liniilor de date și interfețele WAN pentru fiecare locație; un avantaj evident în lumea de astăzi a afacerilor, în care companiile partenere se conectează la rețele pentru a îmbunătăți viteza și randamentul operațiunilor distribuite.
Pentru providerii de Internet (ISP), rețelele virtuale private prezintă o oportunitate de a furniza servicii de calitate și cu un profit potențial important. Investiția în tehnologia de tunneling este importanta, iar firma furnizoare de Internet care va reuși să îndeplinească toate standardele de calitate va lua „frișca de pe tort”. Marile companii au demonstrat în ultimii ani ai deceniului 80 ca agreează conceptul de rețele private virtuale, atunci când traficul telefonic a fost mutat de la linii închiriate private către noile servicii de voce prin VPN, oferite de furnizorii de rețea publica. Acum, se întâmpla același lucru, insă la nivel de informație și intr-un mediu al afacerilor care are din ce în ce mai puține frontiere.
Reducerea costurilor – soluțiile VPN reduc costurile de operare ale companiilor (linii închiriate, echipamente, administratori rețea)
Simplificarea topologiei rețelei. Integrarea pe aceeași conexiune a mai multor aplicații: transfer de date, VoIP, videoconferință, elimină necesitatea folosirii mai multor rețele dedicate.
Mobilitatea oferită angajaților mobili și partenerilor de afaceri (distribuitori sau furnizori) – care se pot conectă la rețeaua companiei într-un mod sigur, indiferent de locul unde se află.
Securitatea informațiilor – transferul datelor se face criptat utilizând IPSec (IP Security Protocol); IPSec este un protocol standard de criptare care asigură confidențialitatea și integritatea transferului de date
Scalabilitate – Afacerile iau amploare, deci apare o nevoie permanentă de noi angajați mobili, de noi conexiuni sigure cu partenerii strategici, distribuitorii, furnizorii. Soluțiile VPN pot fi extinse în timp în funcție de necesitați.
Oportunități de afaceri – există posibilități de implementare a unor noi modele de afaceri (B2B, B2C, e-commerce) care vor rezulta în creșterea veniturilor companiei.
BIBLIOGRAFIE:
Cărți:
CCNA Cisco Certified Network Associate-Study guide–Todd Lammle;
Internetworking Case Studies – Cisco Press 2000
MCSE: Elemente fundamentale ale rețelelor de calculatoare – James Chellis, Charles Perkins, Matthew Strebe;
MCSE: Windows 2000 Network Infrastructure Administration – Paul Robichaux, James Chellis;
MCSE: Windows 2000 Server – Lisa Donald, James Chellis
Cisco Secure VPN Client; Solutions Guide
Principiile marketingului, 2000, Ph. Kotler, pag. 430-440
Adrese de web utile:
http://www.managementulproiectului.basepoate.ro
http://www.3logic.ru
http://www.cisco.com
http://vpn.rdsnet.ro/aboutvpn.htm
http://www.logicnet.ro/ro/services/vpn.htm
http://www.artelecom.ro/service1.html
http://www.mediasat.ro/internet/vpn-nas.html
http://www.antohe.tripod.com/
http://www.d-net.ro/Data_Ser/vpn_ro.asp
http://www.gfs.ro/comun/it/web3.html
http://www.enfusion-group.com/~adrian/docs/VMware_VPN_infrastructure/#vmware
http://vpn.shmoo.com/
http://www.internetweek.com/VPN/
http://www.vpnlabs.com/
http://www.vpnc.org/
http://www.tldp.org/HOWTO/VPN-HOWTO/
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: . Retea Virtuala Privata Pentru Corporatii (ID: 149011)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.