77875119 virtuelne privatne mreze
TRANSCRIPT
-
8/12/2019 77875119 Virtuelne Privatne Mreze
1/64
Elektrotehniki fakultetU n i v e r z i t e t u B e o g r a d u
D I P L O M S K I R A D
V I R T U E L N E P R I V A T N E M R E E
Mentor StudentProf! dr "el#ko Milutinovi$ %or&e Ili$ '()(***
Beograd, april 2006.
-
8/12/2019 77875119 Virtuelne Privatne Mreze
2/64
-
8/12/2019 77875119 Virtuelne Privatne Mreze
3/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
; ! U " O D
Privatna mrea predtavl!a mre "o! @ini i#olovani "p "orini"a "o!i me?o>no mog
da "omni%ira! t!. ra#men!! podat"e na ta!an na@in. Ta!an mil da ni"o drgi em "orini"a
i# datog "pa ne moe da @etv!e "omni"a%i!i, niti !e te "omni"a%i!e vetan. Tradi%ionalneprivatne mree e #aniva! na privatno! in7ratr"tri, t!. na i#na!ml!enim lini!ama dotpnim
amo "orini%ima privatne mree. A>i@no tada vi "orini%i i# ite organi#a%i!e. Ava"av pritp,
ia"o a in/erentno >ol!im mog;notima #a odravan!e privatne prirode "omni"a%i!e poledn!e
vreme g>i primat odno na virtelne privatne mree $eng. VPN - Virtual Priate Net!ork"#Krat"o re@eno, VPN mrea vo!o! onovi predtavl!a privatn mre "o!a e potavl!a pre"o
!avne in7ratr"tre, ali #adrava igrnot i prote"%i! privatne mree. Termin virtelna e odnoi
na @in!eni% da !e potavl!ena privatna mrea tvari logi@"e prirode, t!. nata!e logi@"om
podelom !avne mree "o! ito vreme "oriti veli"i >ro! "orini"a i organi#a%i!a. Naravno, led
toga dola#i do #a/teva #a poe>nim merama "o!ima e odrava privatnot "omni"a%i!e, @em ;e
dal!em te"t >iti pove;ena dna pan!a. lede;i pro>lem "o!i e potavl!a !ete "valitet ervia
$o - $ualit% o& 'eri(e&.Tradi%ionalne privatne mree podra#meva! da n!i/ove per7ormane
"orini%ima napred odre?ene i po#nate, a po:to e o n!i/ovom odravan! tara! ami "orini%i,
to atomat"i #na@i i !edno predvidl!ivo pona:an!e. a drge trane, "ori:;en!e !avne in7ratr"tre
@ini "valitet ervia otvorenim pitan!em #a "orii"e VPN mree.
Slika ;! VPN mrea
Nagli porat #aintereovanoti #a virtelne privatne mree pove#an !e a ra#lo#ima
e"onom"e prirode. Naime, dana:n!e vreme veli"e "orpora%i!e i organi#a%i!e $glavni vlani%i
privatni/ mrea& e ato!e od mno:tva geogra7"i dal!eni/ delova. Cpotavl!an!e tradi%ionalne
DN mree )*ide Area Net!ork" ovom l@a! >i e"onom"i >ilo vrlo nepovol!no re:en!e.
Pla;an!e i#na!ml!eni/ lini!a >i i#i"ivalo #natna materi!alna redtva, pogotovo l@a!organi#a%ioni/ !edini%a me:teni/ ra#li@itim dravama. Tro:"ovi pove#ani a potre>om #a
3
-
8/12/2019 77875119 Virtuelne Privatne Mreze
4/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
odgovara!;om opremom i neop/odnim angaovan!em odgovara!;eg oo>l!a, "o!e >i e taralo o
n!enom odravan! !o: !edna mana. lede;i nedotata" tradi%ionalni/ privatni/ mrea !ete
n!i/ova ne7le"i>ilnot. Pove#ivan!e veli"og >ro!a #apoleni/, "li!enata i partnera na "orpora%i!"
privatn mre $:to !e naravno i %il!& >i #a/tevalo poto!an!e veli"og >ro!a pritpni/ ta@a"a "o!e >i
e !o: i dinami@"i men!ale, :to !edn ta"v mre @ini pra"ti@no nemog;om #a reali#a%i!. Cledvega toga !e re:en!e potraeno VPN mreama, "o!e "orite;i !avn in7ratr"tr, dana:n!e
vreme omog;ava! pra"ti@no glo>aln pove#anot. Tari7iran!e ovom l@a! e vodi na %en
lo"alnog pove#ivan!a a prova!derom "o!i omog;ava pritp !avno! in7ratr"tri. Aim toga,
7ormiran!e i odravan!e VPN mree e moe preptiti prova!der lga, :to moe 7inani!"om
i te/ni@"om pogled rela"irati "orini"e.
Ne"e od prednoti i iplativoti VPN-a moemo mirati na lede;i na@inE
Pove;an!e geogra7"e po"rivenoti.
C:tede i#na!ml!enim lini!ama.
C:tede dal!enim i me?narodnim dial-uppo#ivima. og;not >r#og dodavan!a novi/ dal!eni/ "orini"a.
man!en!e potre>ne opreme #a remote-a((ess#
C:tede l!dtv.
a drge trane, moemo mirati i ne"e nedotat"e VPN-a, "o!i e o>i@no ne pomin! literatriE
VPN mree #a/teva! do>ra #nan!a ose(urit%-+u $#a:titi podata"a&, prventveno pogled
/a"er"i/ napada i "on7igra%i!e VPN re?a!a #a rad pre#i a 7ireall-ovima.
og;not "ori:;en!a VPN-a $dotpnot i o& #avie od 7a"tora van ";e $od "valiteta
lge "o! da!e +nternet ervi%e Provider +P& i naro@ito !e i#raeno na:im lovima. Na
Fapad oigran!e rada "one"%i!e a +P-om e potie potpiivan!em govora a +P-omo odre?enom minimalnom nivo dali/ lga, odnono ( )'eri(e Leel A,reemet"#
C"oli"o VPN "one"%i!a imlira rad ra@nara (N-, #avinoti od "valiteta VPN
ervera i ve#e a +P-om, proto" podata"a i#me? ra@nara mreeni/ VPN- !e oetno
pori!i odno na (N.
Pitan!e interopera>ilnoti ra#ni/ proi#vo?a@a. Avo !e i#raeno #a ve te/nologi!e ra#vo!,
a ima veli" log pri i#gradn!i tranet VPN-a gde va"i VPN egment $va"i partner,
organi#a%i!a i l& ima re?a!e "pl!ene od ra#li@itog proi#vo?a@a. Avim pro>lemom >ave e
i mnoge organi#a%i!e, nprE Iteratioal .omputer 'e(urit Asso(iatio $+&
.i%ala> .net i Virtual Priate Net!ork .osortium $VPN& .vpn% .org .
Geto e pre;tno podra#meva da !e !avna mrea "o!a li "ao onova VPN mree +nternet
!er e ve;ina VPN mrea 7ormira pre"o n!ega. e?tim, poto!e i t#v. non-+P VPN mree, "o!e
ni >a#irane na +nternet. T pada! T )As(/roous Tras&er Mode"# =rame rela). i
poledn!e vreme P( )MultiProlo(ol La0el '!it(/i," VPN mree.
4
http://www.icsalabs.net/http://www.vpnc.org/http://www.vpnc.org/http://www.icsalabs.net/http://www.vpnc.org/ -
8/12/2019 77875119 Virtuelne Privatne Mreze
5/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
( ! " P , M R E < E - O P = > I K O , ? E P >
Ve;ina implementa%i!a VPN mrea !e na nivo P re?a!a ).PE 0ased VPN"1 "ada !e
+nternet amo in7ratr"tra "o!a omog;!e pove#anot "orini"a i pre"o "o!e e "omni%ira, a o
7ormiran! i odravan! VPN mree e tara! P i H $ome Hatea)& re?a!i, i ona ee7e"tivno terminira i#me? n!i/. C poledn!e vreme !e pove;ana #aintereovanot #a t#v. Net!ork0ased VPN mree, "od "o!i/ e o 7ormiran! i odravan! VPN mree tara +P. C ovom l@a!
"orini%i ne mora! na>avl!ati poe>n oprem niti e >rinti o n!enom odravan!, a itovremeno
e +P- pra mog;not #a "ori:;en!e novog i#vora pri/oda. VPN mrea e ada e7e"tivno
terminira na trani +nternet prova!dera, na N re?a!ima.
Be# o>#ira na tip implementa%i!e, prin%ip"i #a/tevi "o!i e potavl!a! pred !edn VPN
mre lede;iE
;. Koncept tajnosti tj. privatnosti (securit!" u o#viru #o$a i%a%o&
Autentika0i#aNe"ad !e potre>no pre nego :to e napravi VPN "one"%i!a identi7i"ovati "orini"a ili re?a!.
Poto!e dve vrte atenti"a%i!eE
re?a!a
"orini"a.
Autentika0i#a ure&a#a omog;ava ograni@en!e pritpa VPN- na onov atenti"ovani/in7orma%i!a "o!e dal!eni VPN re?a! prole?!e. A>i@no e "orite dve vrte ove atenti"a%i!eE
Nedel!ivi Kl!@evi
Iigitalni potpi
Nedel!ivi "l!@evi e o>i@no "orite man!im VPN o"ren!ima. Jedan ili vi:e "l!@eva !e
"on7igrian i "oriti e #a prepo#navan!e re?a!a. Kon7igrian!e ovi/ "l!@eva !e vrlo
!ednotavno, #a ra#li" od digitalnog potpia, ali #a/teva r@no "on7igrian!e na va"om re?a!
"o!i @etv!e VPN mrenom o"ren!.
Iigitalni potpi e "oriti #a prepo#navan!e re?a!a veli"im VPN o"ren!ima. Ti
erti7i"ati i#dati od trane odre?eni/ tanova po#nati/ "ao %erti7i%ate at/orit) $&. va"i pt
"ada e ne"i re?a! doda VPN mre novi erti7i"at ;e >iti generian i adra;e in7orma%i! #a
prepo#navan!e re?a!a. Irgi VPN re?a!i mog pritpiti da potvrde identitet drgog re?a!a.
Autentika0i#a "orini"a )user aut/eti(atio" - pod ovim e podra#meva pro%e
tvr?ivan!a da li "orini" "o!i pritpa VPN mrei ima pravo pritpa i da li !e on tvarno ta! #a"oga e i#da!e. Poto!e tri generalno "ori:;ena metoda atenti"a%i!eE
- e2to 2to 3a2 - ovo !e na!tari!i metod atenti"a%i!e #anovan na predtavl!an! "orini"a
pomo; imena i lo#in"e )userame ipass!ord"
- e2to 2to ima2 )posedu+e2" - ovom metod "orini" pored predtavl!an!a imenom i
lo#in"om mora da poed!e ne" identi7i"a%i! 7i#i@"om o>li" )'mart.ard1
.redit.ard###" ili ele"tron"i e"vivalent $digitalni erti7i"at...&
- e2to 2to +esi - ova! metod "l!@!e indenti7i"a%i! >iometri" t!. oo>ine l!d"i/
organa $oti%i prti!, oti%i dlana, prepo#navan!e ron!a@e o"a i l&.
'
-
8/12/2019 77875119 Virtuelne Privatne Mreze
6/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Integritet .odataka - predtavl!a do"a# da prili"om prenoa adra! ni!e i#men!en. Avo epotie pomo; poe>ni/ metoda "o!i "l!@eni algoritme #a "riptovan!e.
Poverl#ivo7t .odataka - pod ovim e podra#meva da poda%i, prili"om prenoa, ni mogli
>iti pro@itani i i"ori:;eni od tre;e trane. Poverl!ivot e potie pomo; algoritama #a"riptovan!e "o!i emlira! privatnot lin"a. Pri tome, dve onovne vrte algoritama #a
"riptovan!e E
- imetri@ni algoritmi -!edintven "l!@ #a "riptovan!e i de"riptovan!e,
- aimetri@ni algoritmi - par "l!@eva od "o!i/ e !edan "oriti #a "riptovan!e a drgi #a
de"riptovan!e. Kl!@evi i# para matemati@"i pove#ani. Ne:to vi:e o "l!@evima i
me/ani#mima "riptovan!a ;e >iti dato dal!em te"t.
Enka.7ula0i#aPod en"apla%i!om e podra#meva "a"o ;e "orini@"a in7orma%i!a, "ao podata", >iti
en"aplirana i prene:ena pre"o mree. Irgim re@ima, "o!i !e a"telni 7ormat podat"a. To e
moe poti;i potavl!an!em lede;i/ pitan!aE
4o+a pol+a se ala3e u 5elu i 3a5el+u VPN i&orma(i+e6
U kom poredku e se pol+a po+al+iati6
4o+a +e eli5ia pol+a6
n"apla%i!a ta"o?e de7ini:e "o!i proto"oli ;e >iti me:teni VPN pa"et. Ka"o !e
in7orma%i!a en"aplirana !e vrlo vano !er to ti@e da li ;e do;i do pro>lema a 7ireall-om ili a
re?a!ima #a prevo?en!e adrea.
2. Vi'eproto#ona podr'#a (%utiprotoco support!- VPN mrea >i tre>alo da podri
ra#men podata"a pod ra#li@itim proto"olima $+P. +P ...&, odnono da omog;i lo>od
"orini%ima i#>or ne"og od proto"ola mrenog nivoa "o!i ;e "orititi me?o>no!
"omni"a%i!i.
3. Upravjanje adresa%a (address %ena$e%ent! - privatne adree "o!e "orini%i
ima! o"vir VPN mree ne me! da >d dotpne na !avno! mrei. Avim e :tite +P adree
"orini"a, a ito vreme e omog;!e da vi:e "orini"a ra#li@itim VPN mreama ima ite +P
adree.
4. )arantovani #vaitet usu$e (*oS!- pod ovim e o>i@no podra#meva! propni
opeg dotpan "orini%ima, ma"imalna "a:n!en!a pa"eta i garan%i!a ipor"e pa"eta.
e?tim, mnoga pra"ti@na re:en!a ne ipn!ava! ve ove navedene love. Na!ve;i pro>lempredtavl!a "valitet lge, pogotovo l@a! P >aed VPN mrea. Tada +nternet prova!der
pra amo onovn lg pritpa mrei, :to pra"i #na@i da ne poto!i ni"a"av napred
o>e#>e?en "valitet lge. Lto e ti@e netor" >aed VPN-a, i#me? prova!dera i "orini"a e
potpi!e t#v. ervi%e (evel greement $(&. To !e tvari govor "o!ima e prova!der lge
o>ave#!e na odre?eni, napred dogovoreni "valitet lge. e/ani#mi "o!ima e to o>e#>ed!e
nedovol!no ra#vi!eni i predmet rada poe>ne grpe o"vir tela "o!e e >avi +nternet
tandardima i "o!e e #ove +T= )Iteret E,ieeri, Task 7or(e"# matra e da ;e +Pv6 $Iteret
Proto(ol ver#i!a 6& doneti napreda" ovom pogled. Ta"o?e, poledn!e vreme e "orite T,
=rame
-
8/12/2019 77875119 Virtuelne Privatne Mreze
7/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
*
-
8/12/2019 77875119 Virtuelne Privatne Mreze
8/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
(!;! Ko1.onente "P,2a
Ia >i VPN potala vana plat7orma ona tre>a da >de po#dana i pravl!iva "ro# %el mre
i igrna od napada. VPN re:en!a ta"o?e tre>a da poed!Plat&orm '(ala0ilit%-mog;not da e
mrea adaptira od male ";ne "on7igra%i!e do veli"e >i#ni implementa%i!e. Na!vani!a odl"a prenego :to e "rene a implementa%i!om !e da VPN #adovol!i ve #a/teve "orini"a i da >de
"ompati>ilna a ve; poto!e;om mreom "orini"a.
+. Proto#oiNa!vani!a tvar "od VPN-a !e da ona mora >iti #a:ti;ena od u.ada raznih
neautorizovanih kori7nika. C t vr/ poto!i vi:e ra#vi!eni/ te/nologi!a i proto"ola "o!e VPN"oriti ve;o! ili man!o! meriE
@eneri0 Route En0a.7ulation 9@RE:!e VPN te/nologi!a ra#vi!ena od trane + i"ani!e de7iniana a dva +T= i e po"renli
dodatni proto"oli. Hog ovi/ nedotata"a ne "oriti e #a "ompletna VPN re:en!a ve; e ve;o! ili man!o! meri "oriti a drgim re:en!ima.
Point to Point Proto0ol 9PPP: !e proto"ol drgog nivoa, "o!i e "oriti pri +nternet"omni"a%i!i, i n!egova onovna 7n"%i!a !e otvarivan!e ve#e dial-p tipa i#me? dal!enog"orini"a i N-a. C t vr/ PPP poed!e me/ani#me "o!ima e "orini" atenti"!e, a ao>ra;a!
e op%iono moe i "riptovati radi #a:tite. Podrava preno mreni/ proto"ola +P, +P i NetBC+.
.
8
-
8/12/2019 77875119 Virtuelne Privatne Mreze
9/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Point to Point >unneling Proto0ol 9PP>P: !e proto"ol originalno ra#vi!en od trane"on#or%i!ma "o!i @inili 3om, %end i C oti%. Kani!e ga !e i%roo7t pri/vatio i
"l!@io Dindo plat7orm, pa !e predtavl!ao !edno od na!"ori:;eni!i/ re:en!a #a VPN mree.
Iana ga ve vi:e poti"!e (2TP. ada e moe "orititi i "od roter-to-roter VPN mrea,
glavna primena m !e "od remote-a%%e VPN. Tnelovan!e po PPTP proto"ol moe >iti io>ave#no i do>rovol!no, ali glavnom e "oriti ovo drgo.
La5er ( >unneling Proto0ol 9L(>P: proto"ol !e "ompromino re:en!e "o!e !e natalo"om>ina%i!om PPTP i rani!e "ori:;enog (2= proto"ola $ra#vi!enog od trane i%o-a& a %il!em da
e o>!edine n!i/ove na!>ol!e oo>ine. Fa ra#li" od PPTP-a, omog;ava lan!e tnelovani/ PPP
pa"eta ne amo pre"o +P, ve; i pre"o .2', =rame om +P proto"ola, mree "o!e e
>a#ira! na alternativnim proto"olima "ao :to +P, NetBC+ i pp+eTal" pola"o g>e na
#na@a!. =n"%ioni:e na +nternet nivo TP5+P proto"ol te"a, toga apli"a%i!e i vi proto"oli na
vi:im nivoima mog da "orite n!egove mog;noti. To pra"i #na@i da ;e av ao>ra;a! na mrei
generian od apli"a%i!a i#nad +Pe%-a >iti #a:ti;en, >e# o>#ira o "o!o! e apli"a%i!i radi i >e# o>#ira
na to da li apli"a%i!a e>i ve; ima gra?ene me/ani#me #a:tite. Jedna od na!vani!i/ oo>ina
+Pe% proto"ola !e otvorena ar/ite"tra, odnono poto!i mog;not n!egovog pro:irivan!a a
novim tandardima i proto"olima #a atenti"a%i! i en"apla%i!.
Prett5 @ood Priva05 9P@P:na!@e:;e e "oriti >eplatnom e-mail o7tver da omog;i
igrnot i ni!e proto"ol "o!i e @eto "oriti i#gradn!i VPN-a.Se0ure So0ket La5er 9SSL: radi na grani%i i#me? tranportnog i eionog lo!a iomog;!e >e#>ednot vi:im lo!evima. Na!vani!a loga (-a !e da o>e#>edi igrnot
trana"%i!a >a#irani/ na TTP-, i dotpni/ pomo; poplarni/ >roer-a. Avo ni!e proto"ol "o!i
e do ada mnogo "oritio "od VPN mrea ali #adn!e vreme n!egova potre>a !e ve ve;a i ve;a.
Ta loga !e >a#irana na tome !er ( "oriti De> >roer ta"o da "orini" ni!e potre>an dodatni
"li!ent"i o7tver na vom ra@nar.
Se0ure Shell 9SS:!e proto"ol "o!i e primarno "oriti da omog;i >e#>edno i#vr:avan!e"omandi na dal!enim ma:inama "orite;i +P mre. Ni!e primarni proto"ol #a 7ormiran!e VPN
mrea.
So0k7e nala#i na tranportnom nivo. +#la#i o%" ervera e pona:a! "ao pove#!;i @vori#me? "li!enta i el!ene detina%i!e /ot-a. Avi "li!enti mora! modi7i"ovati +P te" da >i
podravali o%". Ni!e prilagodl!iv "orini" i primarno e ne "oriti "ao proto"ol VPN
mreama.
Multi2Proto0ol La3el Sit0hing 9MPLS: enala#i i#me? proto"ola drgog i tre;eg nivoa$#ato e P( @eto na#iva i proto"olom 2.' nivoa&. P( #aglavl!e e na#iva la>ela.
-
8/12/2019 77875119 Virtuelne Privatne Mreze
10/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
"ra!n!i/ ta@a"a ve#e "reira virtelno "olo, "o!e e l@a! P(-a #ove (P )La0el '!it/ed
Pat/"# (P e ato!e od ni#a la>ela, pri @em !e o>lat vaen!a va"e la>ele i#me? edni/
@vorova d ptan!e. Fa ditri>%i! la>ela (P-a #adeni proto"oli "ao :to a da naprave mre "o!a ;e imati 7ireall na va"o! "one"%i!i i#me? n!i/ove
mree i interneta. Iva na!@e:;e "ori:;ena 7ireall-a E.
18# 7iltrira+e paketa 3aiso o IP adresama odredi2ta t+# i3ori2ta
=iltriran!e #avino o +P adreama omog;ava #a>ran "one"%i!a od ili prema odre?enimra@narima i5ili mreama, #avinoti od ni/ovi/ +P adrea. C"oli"o adminitrator eli #a:titi
mre od neovla:?eni/ #lonamerni/ napada@a, on moe #a>raniti promet mreni/ pa"eta "o!e "ao
odredi:te ima! odre?ene +P adree. To !e poprili@no >e"orino !er napada@i mog promeniti +P
adree. F>og toga !e pno >ol!e do#voliti pritp mrei amo odre?enim pa"etima "o!i "ao
odredi:te ima! odre?ene igrne +P adree. Normalno "oli"o e napada@ domogne i tog popia on
moe pa"etima pridriti "ao odredi:n +P adre ne" i# tog popia. ana !e :to ne proverava
adra! pa"eta ili #a:to !e on polat i reri "o!i onemog;eni vidl!ivi vim "orini%ima.
19# 7iltrira+e paketa u 3aisosti od odredi2i/ t+# i3ori2i/ portoaPrili"om pa!an!a !ednog ra@nara na drgi i !edan i drgi "orite odre?ene pritpne
portove. ve "pni >ro! pritpni/ portova !e 6''36. Prva 1024 porta re#ervirana #a odre?eneapli"a%i!e i ne mog e "orititi #a ne"e drge.
dminitrator #avino o apli"a%i!ama moe ograni@iti pritp mrenim pa"etima. Ne"i
apli"a%i!"i proto"oli i#ra#ito oetl!ivi na mrene napade pa !e potre>no onemog;iti pritp
itima $Telnet, NetB+A eion, PAP, N=, Dindo, ...&. Ti portovi oo>iti oetl!ivi na
napad #>og veli"og nivoa "ontrole "o! pra! napada@. Ne"i drgi portovi mog >iti i"ori:teni
da >i e ni:tile odre?ene >itne in7orma%i!e. Prednoti ovog tipa 7ireall-a "ontrola nivoa
pritpa "orini"a i "ontrola nivoa rera "o!i e dele. amo reri "o!i atori#ovani
pritpa@ni. drge trane "orini%i mora! da "orite dodatne paorde da >i pritpili internet.
4. 5e/6ednoste#>ednoti podata"a "oriti e vi:e metoda i i algoritama i poe>no tre>a
o>ratiti pan! na "riptovan!e i atenti"a%i! o @em ;e "ani!e >iti re@i.
(!(! >i.ovi "P, 1re+a
Poto!i vi:e podela VPN mrea #avinoti od ra#ni/ lova "o!e "li!ent potavl!a pred
"ontr"tora !edne VPN mree. Na!@e:;e podele na onov "one"%i!e "o!e e mog otavariti
VPN mrei, na onov na@ina i#na!ml!ivan!a lini!e od trane prova!dera, #avinoti gde terminiraVPN "one"%i!a itd.
10
-
8/12/2019 77875119 Virtuelne Privatne Mreze
11/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Konek0i#e ko#e 7e 1ogu o7tvariti u "P, 1re+imog >iti na rela%i!i dal!eni "orini" -mrea imrea - mrea. Adnono, ra#li"!emoE
Re1ote2a00e77 VPN - VPN mree "od "o!i/ e "one"%i!e otvar! na rela%i!i dal!eni"orini"-mrea. matra e da "orini" ni!e ve#an #a ne" poe>n lo"a%i!, odnono da !e
"one"%i!a dial-p tipa. Ave mree e !o: na#iva! VPIN )Virtual Priate Dial Net!orks"1 a"od na VPN a "omtiranim pritpom. Pra"ti@no e intalira! radi t#v. dal!eni/
"orini"a )remote users"1 odnono #a ve #apolene, aradni"e i "li!ente "o!i ima! potre>#a @etom i igrnom "omni"a%i!om a edi:tem organi#a%i!e a vi:e ra#li@iti/ lo"a%i!a
$radno meto, ";a, na pt itd.&. C @lan%ima po#nati/ tele"omni"a%ioni/ 7irmi $i%o.
+B. (%ent...& pro%ene :tedama "od ova"vi/ mrea "re; e o"o 60M do 80M.
Prednoti remote a%%eVPN-ovaE
C:tede dal!enim i me?narodnim dial-uppo#ivima.
og;not >r#og dodavan!a novi/ dal!eni/ "orini"a.
man!en!e potre>ne opreme #a remote-a((ess# Router2to2router VPN - VPN "od "o!i/ e "one"%i!e otvar! na rela%i!i mrea-mrea.
Ve#a moe >iti i pre"o "omtirani/ i pre"o i#na!ml!eni/ lini!a. Na#iva! e !o: i ite-to-ite
VPN. Poto!e dva tipa roter-to-roter VPN mree i toE
Itraet VPN- le #a pove#ivan!e organi#a%ioni/ delova ite "orpora%i!e !edn+ntranet mre pre"o !avne in7ratr"tre.
E:traetVPN - pove#!e "li!ente, partnere, vi:e "orpora%i!a5organi#a%i!a, i op:te ve
#aintereovane trane privatn mre pre"o !avne in7ratr"re. C:tede l@a!
ova"vog "on%epta VPN-a "re; e o"o 20M do 40M.
Anovne prednoti roter to roter VPN-ova
man!! e tro:"ovi DN opega, e7i"ana potre>a DN opega =le"i>ilna topologi!a
+#>egnto nagomilavan!e ao>ra;a!a "ori:;en!em pravl!an!a opegom i meravan!a
ao>ra;a!a.
Slika (! Tipovi VPN mrea
11
-
8/12/2019 77875119 Virtuelne Privatne Mreze
12/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Kone"%i!e "o!e e mog otvariti VPN mrei na onov na@ina i#na!ml!ivan!a lini!e od
trane prova!dera dele e 4 grpeE
Poverl#ive "P,E "orini" i#na!ml!!e poverl!ive lini!e od prova!dera i "oriti i/ #a"omni"a%i! >e# pre"ida. ada !e poverl!iva ona ni!e igrna.
Sigurna "P,E "a"o !e igrnot !edna od na!vani!i/ tvari #a "orini"a "riptovan!e ide"riptovan!e e "oriti na o>e trane pri preno podata"a. Avo omog;ava igrnot
"orpora%i!ama, "p%ima i prova!derima.
i3ridna "P,E me:avina igrne i poverl!ive VPN. Korini" "ontroli:e igrnone pteveVPN-a, do" !e prova!der odgovaran a ape"ta poverl!ivoti.
Prova#der7ki o1ogu$ene "P,E @itava VPN !e adminitrirana od trane prova!dera.
C literatri e re;e !o: !edna terminologi!a ve#ana #a ova"v podel VPN mrea $
#avinoti gde terminira VPN "one"%i!a&E
IN ;
-
8/12/2019 77875119 Virtuelne Privatne Mreze
13/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
C ! I P " I R > U E L , E P R I " A > , E M R E < E
+P virtelna privatna mrea !e "p "orini"a $po!edina@ni/ "li!enata i5ili mrea& pove#ani/
na +nternet pre"o vo!i/ prova!dera +nternet lga $+P- Iteret 'eri(e Proider"# +nternet e,"ao i va"a mrea, ato!i od @vorova "ro# "o!i e vr:i meravan!e podata"a "o!e "orini%i
me?o>no ra#men!!. Poda%i "o!e e ra#men!! o>li" pa"eta. Gvorove mree moemo
podeliti na "ra!n!e @vorove "o!i pove#ani a "orini%ima VPN mree, i ntra:n!e - ve otale.
Pri"a# !edne +P virtalne mree dat !e na li%iE
SlikaC! +P virtelna privatna mrea
a P ).ustomer Premisses E=uipmet" o>eleeni odgovara!;i "orini@"i re?a!i
$"omp!teri, rteri, 7ireall-ovi, ili ne"i drgi pe%i!alni VPN re?a!i& "o!ima "orini%i VPNmree pove#ani na +nternet. a N !e o>eleen t#v.Net!ork A((ess 'erer1 re?a! pomo; "o!eg
prova!der lga o>e#>e?!e "orini" +nternet pritp. H );ome >ale!a%"predtavl!a "ra! ve#e
"o!im e %entralni deo VPN mree, t!. (N mrea me:tena edi:t "orpora%i!e5organi#a%i!e,
pove#!e na +nternet pre"o N-a. Ve#a i#me? P-a i N-a moe >iti dial-p tipa $pre"o
"omtirani/ lini!a& ili pre"o i#na!ml!eni/ lini!a )leased lies"1 do" e pretpotavl!a da !e ve#a
i#me? H i N pre"o i#na!ml!eni/ lini!a.
C!;!>unelovan#e
Anovni na@in "o!im e emlirapoint-to-point lin" VPN- !ete tunelovan#e )tueli,"#Tnelovan!e !e li@no o>i@no! en"apla%i!i, me?tim, poto!i >itna ra#li"a. Naime, en"apla%i!a
!e pro%e "ome proto"ol nieg nivoa pre#ima pa"et proto"ola vi:eg nivoa, nad n!im vr:i
#a/tevan o>rad, doda!e vo!e #aglavl!e i "reira novi pa"et. Na primer, +P en"aplira TP pa"ete
pri o>i@no! +nternet "omni"a%i!i. Pod tnelovan!eme podra#meva en"apla%i!a pa"eta !ednogproto"ola pa"ete drgog proto"ola, ali pri tome !e drgi proto"ol na itomili vi:em nivonegoprvi. To !e i "l!@na ra#li"a i#me? o>i@ne en"apla%i!% i tnelovan!a. Proto"ol @i!i e pa"eti $pri
tnelovan!& en"aplira! #va;emo originalni proto"ol, a proto"ol @i!e e pa"ete en"aplira#va;emo proto"ol #a preno. Pra"ti@no, prili"om tnelovan!a, proto"ol #a preno #a originalni
proto"ol predtavl!a proto"ol nieg nivoa, ia"o tvarnoti on ne 7n"%ioni:e na niem nivo.(ogi@"a ta#a "ro# "o! e pa"eti :al! i#me? "orini"a VPN mree e #ove tnel.
13
-
8/12/2019 77875119 Virtuelne Privatne Mreze
14/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
C pra"i e prili"om tnelovan!a poda%i ve" "ript! radi o@van!a n!i/ove ta!noti. To !e i
logi@no, !er e "od +P VPN mrea poda%i :al! pre"o !avno dotpne mree i ne"o neovla:;en moe
da i/ #lopotre>i. Na pri!em e vr:i inver#an pro%e - "lan!a e #aglavl!e, a #atim e vr:i
de"riptovan!e podata"a $a"o !e "riptovan!e i#vr:eno&.
C l@a! +P >aed VPN-a. tnelovan!e podra#meva da e originalni +P pa"eti %eloti$#aglavl!e "ome e nala#e interne VPN adree "orini"a i ervera "o!i "omni%ira! #a!edno a
poda%ima& pre lan!a pre"o +nterneta en"aplira! nove +P pa"ete a odgovara!;im, novim
#aglavl!em. Na ta! na@in e ra#dva!a! interne VPN adree od oni/ "o!i e "orite na !avno! mrei i
o>e#>e?!e dodatna #a:tita, t!. a"rivan!e identiteta trana "omni"a%i!i. Aim toga, ta"o e
ola":ava i pravl!an!e adreama, !er e dodatnim #aglavl!em $#aglavl!em proto"ola #a preno& vr:i
ra#dva!an!e rtiran!a "ro# +nternet od rtiran!a o"vir VPN mree. Pri la" tnel pa"eti
do>i!a! nov adre i# "pa adrea "o!i e "oriti na !avno! mrei, a na"on i#la"a i# tnela
"lan!an!em #aglavl!a pa"etima e vra;a adrea "o!a e "oriti o"vir VPN mree. Na ova! na@in
e omog;!e da ra#li@ite VPN mree mog interno "orititi iti "p +P adrea.
Slika ! Tnelovan!e
Tnelovan!e e vr:i pomo; odgovara!;i/ proto"ola "o!i mog >iti na drgom ili tre;em
nivo A+ modela. Proto"oli drgog nivoa $nivoa voda podata"a& "o!i e "orite PPTP )Poit toPoit Tuelli, Proto(ol" i (2TP )La%er 9 Tuelli, Proto(ol"# Ad proto"ola tre;eg $mreog&
nivoa pra"ti@no !edini proto"ol "o!im e vr:i tnelovan!e !e +Pe% )IP 'e(urit"#Ne"i od atoraprave ra#li" imen i#me? onovni/ !edini%a "o!ima proto"oli #a tnelovan!e :al! podat"e.
Kod tnelovan!a na drgom nivo na#iva! i/ 7re!movima )&rames"1 a "od tnelovan!a na tre;emnivo pa"etima )pa(kets"# Avde ;e e i !edni i drgi na#ivati pa"etima.
Be# o>#ira na "om e nivo vr:i, ra#li"!emo dve vrte tnelovan!aE do>rovol!no tnelovan!e )olutar% tuelli,"1
o>ave#no tnelovan!e )(ompulsor% tuelli,"#Io>rovol!no tnelovan!e #na@i da e tnel potavl!a na #a/tev "orini"a, @i!a !e oprema
#adena #a "reiran!e i odravan!e tnela. Kra!n!e ta@"e tnela P i H, odnono tnel
po"riva %elo"pn "one"%i! i#me? trana "omni"a%i!i. C l@a! do>rovol!nog tnelovan!a
+nternet prova!der nema in7orma%i!a o poto!an! tnela. A>ave#no tnelovan!e podra#meva da e
potavl!an!e tnela vr:i >e# @e:;a "orini"a, i "orini" !e prin?en da ga "oriti. Na "orini" !e
amo da potavi ve# a ogovara!;im N-om, "o!i !e #aden #a "reiran!e i odravan!e tnela.
Kra!n!e ta@"e tnela ada N i H, a deo "one"%i!e "o!i e otvar!e i#me? P-a i N-a
ni!e #a:ti;en tnelom. Pra"ti@no, ra#li"a i#me? do>rovol!nog i o>ave#nog tnelovan!a !e ito :to ira#li"a i#me? P >aed i Netor" >aed VPN mrea.
14
-
8/12/2019 77875119 Virtuelne Privatne Mreze
15/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
C!(! Protokoli za tunelovan#e drugog nivoa
Proto"oli #a tnelovan!e drgog nivoa e "orite i "od remote-a%%e i "od roter-to-roterVPN mrea. =ormiran!e tnela e vri od ei!e do ei!e, odnono amo "ada poto!i potre>a #a
"omni"a%i!om i#me? "orini"a i H $t#v. o-demad 7ormiran!e tnela&. N!i/ova #a!edni@"aoo>ina !e da o>a tnel! pa"ete PPP )Poit to Poit Proto(ol"proto"ola.
4.,.+ PPP proto#o
PPP !e proto"ol drgog nivoa, "o!i e "oriti pri +nternet "omni"a%i!i, i n!egova onovna
7n"%i!a !e otvarivan!e ve#e dial-p tipa i#me? dal!enog "orini"a i N-a. C t vr/ PP
poed!e me/ani#me "o!ima e "orini" atenti"!e, a ao>ra;a! e op%iono moe i "riptovati radi
#a:tite. Podrava preno mreni/ proto"ola +P, +P i NetBC+. Api PPP proto"ola !e dat
do"ment or proto"ola
"o!im ;e e vr:iti atenti"a%i!a "orini"a, i na "ra! e odre?!e da li ;e e to" ei!e vr:iti
"riptovan!e i "omprei!a pa"eta "o!i e ra#men!!.
DRU>A 7A?A - 7A?A AUTENTI4A.I@E 4
-
8/12/2019 77875119 Virtuelne Privatne Mreze
16/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
l@a!no i#a>ranim intervalima :al!e nove i#a#ove "orini", odnono vr:i n!egov reatenti"a%i!.
Ka"o !e p;eni i#a#ov va"i pt drga@i!i ne poto!i opanot od napada ponavl!an!em i od lanog
predtavl!an!a, !er e /odno tome pri va"o! reatenti"a%i!i o@e"!e novi /e:.
P )Mi(roso&t P& !e napre?en!e P proto"ola #a Dindo operativne
iteme. Cnapre?en!a gr>im %rtama lede;aE i#a#ov i /e: adre i identi7i"a%i! ei!e )'essio ID"#
erver na vo!o! trani pamti lo#in" "riptovanom, a ne i#vornom o>li", :to !e
dodatna mera #a:tite od #lopotre>e,
to"om ei!e generi:e e ini%i!alni "l!@ #a PP "riptovan!e.
P ver#i!a 2 ima odre?ena po>ol!:an!a odno na prv ver#i! $Ta>ela 4.1&.
TREA 7A?A - 7A?A P
-
8/12/2019 77875119 Virtuelne Privatne Mreze
17/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Tnelovan!em PPP proto"ola, PPTP i (2TP prodava! PPP "one"%i!, "o!a l@a!
VPN-a o>/vata %el ptan! od "orini"a do H-a. Adnono, en"aplira!;i pa"ete PPP-a
proto"oli #a tnelovan!e drgog nivoa "orite n!egove mog;noti #a atenti"a%i! i "riptovan!e i
na ta! na@in "reira! #a:ti;en ve# i#me? "ra!n!i/ ta@a"a VPN "one"%i!e.
4.,., PPTP proto#o
PPTP !e proto"ol originalno ra#vi!en od trane "on#or%i!ma "o!i @inili 3om, %end i C
oti%. Kani!e ga !e i%roo7t pri/vatio i "l!@io Dindo plat7orm, pa !e predtavl!ao
!edno od na!"ori:;eni!i/ re:en!a #a VPN mree. Iana ga ve vi:e poti"!e (2TP. ada e moe
"orititi i "od roter-to-roter VPN mrea, glavna primena m !e "od remote-a%%e VPN.
Tnelovan!e po PPTP proto"ol moe >iti i o>ave#no i do>rovol!no, ali glavnom e "oriti ovo
drgo. Ietal!no o>!a:n!en!e PPTP proto"ola moe e na;i rad. Prva
!e o>i@a!ena #a pa"et" "omni"a%i!, "o!o! poda%i >iva! en"aplirani proto"olima po@ev:i
od apli"a%ionog nivoa pa ve do nivoa voda podata"a. Fna@i, "ada e radi o +P mrei, prvo ledi
TP, #atim +P, i na "ra! PPP o>rada - to"om "o!e e vr:i atenti"a%i!a i "riptovan!e. Na"on toga
ledi tnelovan!e ta"o do>i!eni/ pa"eta. C t vr/ PPTP proto"ol "oriti proto"ol "o!i e #ove
Heeri( Routi, E(apsulatio"# n"apla%i!om pomo; H
-
8/12/2019 77875119 Virtuelne Privatne Mreze
18/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
pa"eti $pa"eti drgog nivoa& >d na"on toga en"aplirani +P pa"ete $pa"ete tre;eg nivoa&, "o!i
e ada mog lati pre"o +nterneta. li"a 6 pri"a#!e tr"tr PPTP pa"eta. +a"o !e na li%i
#a:ti;eni deo PPTP pa"eta a poda%ima pri"a#an tr"tirano, tvarnoti !e on na"on "riptovan!a
!edan nera#l@ivi >lo".
PAKE> SA PODA?IMA
poda%iTP #aglavl!e+P #agl!avl!e
PPP #aglavl!eHog toga !e #a potre>e PPTP-a i#vr:ena e"ten#i!a PPP
proto"ola a P )E:tesi0le Aut/eti(atio Proto(ol"proto"olom, odnono n!egovom vari!antom
P-T( )Traport Leel 'e(urit%"# P omog;ava pro:irivan!e PPP-a novim me/ani#mimaatenti"a%i!e. C l@a! P-T( proto"ola, to !e atenti"a%i!a pomo; !avni/ "l!@eva $o "o!o! ;e
vi:e re@i >iti odel!" pove;enom +Pe%-&. +to "ao i P-2, P-T( omog;ava
#a!amn atenti"a%i!, a na onov "l!@eva ra#men!eni/ pro%e atenti"a%i!e "reira e "l!@
#a "riptovan!e "o!i ;e "orititi PP. Fa "riptovan!e e "oriti
-
8/12/2019 77875119 Virtuelne Privatne Mreze
19/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika !;! PPTP en"apla%i!a
C l@a! do>rovol!nog tnelovan!a "od PPTP-a, odgovara!;i o7tver ili /ardver "o!i !e
#aden #a potav tnela e nala#i "od "orini"a $P&. Kod o>ave#nog tnelovan!a, re?a!
"o!i vr:i potav tnela e l@a! PPTP proto"ola na#iva =P )7rot Ed Pro(essor" i n!egova
loga !e dodel!ena N-. Pra"ti@no, =P predtavl!a modem >an" na "o! e "orini" $lo"alno&
pove#!e i "o!a ga #atim pa!a na H. Tnel ada po"riva deoni% od =P-a do H-a. Na "ra!,
tre>a "renti pan! na to da ra#li" i#me? do>rovol!nog i o>ave#nog tnelovan!a ne tre>a >r"ati
a tim da li !e ve#a i#me? P-a i N-a dial-p ili (N tipa.
4.,.4 L,TP
(2TP proto"ol !e "ompromino re:en!e "o!e !e natalo "om>ina%i!om PPTP i rani!e
"ori:;enog (2= proto"ola $ra#vi!enog od trane i%o-a& a %il!em da e o>!edine n!i/ove na!>ol!e
oo>ine. Fa ra#li" od PPTP-a, omog;ava lan!e tnelovani/ PPP pa"eta ne amo pre"o +P, ve; i
pre"o .2', =rame !a:n!en!e (2TP proto"ola moe e na;i
-
8/12/2019 77875119 Virtuelne Privatne Mreze
20/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
tr"tra ovi/ pa"eta !e pri"a#ana na li%i $li"a *&. Kontrolni i pa"eti a poda%ima "od
(2TP-a itog 7ormata, a ra#li"om da "ontrolni pa"eti meto tnelovanog PPP-a noe
ignali#a%ion in7orma%i!. Kontrolni pa"eti le #a potav, odravan!e i termina%i! (2TP
tnela. Kao proto"ol tranportnog nivoa (2TP "oriti CIP )User Data,ram Proto(ol" proto"ol
$"od PPTP !e to TP&. Ta"o?e, #a ra#li" od PPTP-a. i "ontrolne por"e i por"e a poda%ima e:al! pre"o ite CIP5+P "one"%i!e. Po:to CIP ne podrava me/ani#me #a "ontrol to"a, (2TP
"ontrolni pa"eti nmeriani. Na onov nmera%i!e (2TP am vr:i "ontrol to"a i na ta! na@in
oigrava po#danot ipor"e. Prili"om potave tnela pomo; "ontrolni/ por"a e vr:i i
atenti"a%i!a tnela, :to !e novot odno na PPTP. Pod atenti"a%i!om tnela e podra#meva
veri7i"a%i!a da "ra!n!e ta@"e tnela re?a!i i#me? "o!i/ !e potava tnela do#vol!ena. C#
atenti"a%i! "orini"a, "o! (2TP atomat"i podrava !er "oriti PPP proto"ol, ovo predtavl!a
dodatn mer igrnoti i @ini !edn od prednoti (2TP-a nad PPTP-om.
poda%i
PPP #aglavl!e(2TP #agl!avl!eCIP #aglavl!e
+P #aglavl!e#aglavl!e proto"ola drgog nivoaPAKE> SA PODA?IMA
Slika F! tr"tra (2TP pa"eta
Pa"eti "o!i noe podat"e mog $ali ne mora!& >iti nmeriani - ta"o?e i# ra#loga oigran!a ipor"e.Kao i "od PPTP-a., #a "riptovan!e PPP pa"eta !e #aden PP. Poto!an!e amo !edne "one"%i!e
pre"o "o!e e :al! o>e vrte pa"eta !e !o: !edna prednot (2TP-a odno na PPTP.
(2TP proto"ol podrava potav vi:e tnela i#me? dva "orini"a $#a ra#li" od PPTP-a&. C
l@a! poto!an!a vi:e tnela identi7i"a%i!a e vr:i na onov odgovara!;eg pol!a o"vir (2TP #aglavl!a.
Par re?a!a i#me? "o!i/ e potavl!a tnel "od (2TP proto"ola e #ov ( )L9TP A((ess.o(etrator" i (N )L9TP Net!ork 'erer"# ( e nala#i na "orini@"o! trani, a (N !e tvari H. C
#avinoti da li !e tnelovan!e do>rovol!no ili o>ave#no, log (-a pre#ima P, odnono N.
li"a 8 pri"a#!e do>rovol!no tnelovan!e.
Slika G! Io>rovol!no tnelovan!e
20
KO,>ROL,I PAKE>
"ontrolni poda%i(2TP #aglavl!eCIP #aglavl!e+P #aglavl!e#aglavl!e
proto"ola drgognivoa
(2TPpa"et
Fa:ti;eni
deo(2TP
pa"et
-
8/12/2019 77875119 Virtuelne Privatne Mreze
21/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
To" potave ve#e "od do>rovol!nog tnelovan!a !e lede;iE
1. Korini" potavi ve# a N-om lo"alnog +P-a.
2. (2TP "li!ent $(& ini%ira potav (2TP tnela "a (N-.
3. "o (N pri/vati tnel, ( #apo@in!e o>rad pa"eta a poda%ima, en"aplira i/ PPP, a
#atim (2TP i :al!e (N-.4. (N pri/vata pa"ete, "lan!a (2TP #aglavl!e, #atim vr:i atenti"a%i! "orini"a pomo;
PPP, i de"riptovan!e. Na "ra! (N dodel!!e datom "orini" adre "o! ;e imati
lo"alno! mrei na "o! e pre"o n!ega pove#ao.
Kod do>rovol!nog tnelovan!a "orini" pra"ti@no "oriti vi:e +P adrea. Prv, glo>aln, do>i!a
"ada potavi PPP "one"%i! a N-om, a otale, lo"alne, do>i!a od (N-a #a va"i "reirani
tnel. Kori:;en!e glo>alne adree !e nepovol!no !er !e tada "orini" vidl!iv na +P mrei i ta"o
poten%i!alna meta napada. e?tim, "od do>rovol!nog tnelovan!a, "orini" ima lo>od da "oriti
(2TP po el!i, odnono ima lo>odan pritp i otalim +nternet erviima oim (2TP-a.
li"a 9 pri"a#!e o>ave#no tnelovan!e "od (2TP-a.
Slika H! A>ave#no tnelovan!e
Kora%i potavl!an! ve#e "od potavl!an!a o>ave#nog tnelovan!a E
1. Korini" prvo ini%ira PPP "one"%i! "a N-.
2. N pri/vata PPP "one"%i! "o!a !e na ta! na@in potavl!ena. Na onov atenti"a%i!e
"orini"a $t!. lo#in"e&, N vo!o! >a#i podata"a odre?!e (N na "o!i ;e prolediti
"orini"a.
3. N pre#ima log (2TP "li!enta i ini%ira (2TP tnel "a (N-.
4. "o (N pri/vati tnel, tada N en"aplira PPP pa"ete (2TP i prole?!e i/ "a (N-.
'. Na"on pri!ema podata"a, (N "lan!a (2TP #aglavl!e, a na onov PPP-a vr:i atenti"a%i!"orini"a. Fatim dodel!!e "orini" adre "o! ;e imati lo"alno! mrei na "o! e pre"o
n!ega pove#ao.
Kod o>ave#nog tnelovan!a, ( !e re?a! "ome e 7i#i@"i #avr:ava "orini"ov po#iv, i
prin%ip moe >iti pove#an na vi:e o>i@ni/ tele7on"i/ ili +IN lini!a $opl!e vi:e "orini"a
itovremeno&. Prednot o>ave#nog tnelovan!a !e to :to "orini" ne "oriti glo>aln +P adre i ni!e
glo>alno vidl!iv. Pove#ivan!em na N a datim parametrima PPP ei!e, "orini" nema lo>od
pritpa +nternet, ve; atomat"i >iva tnelovan na H. a drge trane, "orini" ovom l@a!
ne mora da "oriti pe%i!alan o7tver5/ardver "o!i podrava (2TP proto"ol, ve; amo PPP "o!i !e
gra?en operativni item.
21
-
8/12/2019 77875119 Virtuelne Privatne Mreze
22/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Io>rovol!no (2TP tnelovan!e e vrlo @eto "oriti "od remote-a%%e VPN mrea, !er tada
"orini%i pritpa! +nternet pre"o ra#li@iti/ N-ova i +nternet prova!dera, i o>ave#no tnelovan!e tom
l@a! pota!e "ompli"ovano re:en!e. a drge trane, o>ave#no (2TP tnelovan!e e "oriti "od roter-
to-roter VPN, !er tada "one"%i!e predvidive i tati@"e prirode. Pri"a# !edne VPN mree a
"om>ina%i!om o>ave#ni/ i do>rovol!ni/ (2TP tnela !e dat na li%i $li"a 10&.
Slika ;*! (2TP VPN og na>ro!an/ nedotata"a, pra"i e (2TP o>i@no "oriti
#a!edno a +Pe%-om. Ta"va "om>ina%i!a e na#iva (2TP5+Pe% proto"ol. Hlavni ra#log #a
vo?en!e (2TP5+Pe%-a po#dani!a atenti"a%i!a i "riptovan!e "o!e omog;ava +Pe%. Ne:to
vi:e detal!a o (2TP5+Pe%- !e dato odel!" "o!i e odnoi na +Pe%. Na "ra!, re%imo to da e
(2TP, ito "ao i PPTP, "oriti glavnom "od remote-a%%e VPN-a.
22
-
8/12/2019 77875119 Virtuelne Privatne Mreze
23/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
C!C IP Se0urit5 2 IPSe0
+Pe% !e proto"ol #a tnelovan!e "o!i e nala#i na tre;em nivo A+ re7erentnog modela i
namena m !e da pri ervie #a:tite. Nova ver#i!a +nternet proto"ola, +pv6, e>i ;e imati
gra?en +Pe%. Fa ra#li" od pret/odno opiani/ PPTP i (2TP proto"ola, pomo; +Pe%-a e moe
tnelovati amo +P proto"ol. e?tim, a ve :irom potre>om +P proto"ola, mree "o!e e
>a#ira! na alternativnim proto"olima "ao :to +P, NetBC+ i pp+eTal" pola"o g>e na
#na@a!. =n"%ioni:e na +nternet nivo TP5+P proto"ol te"a, toga apli"a%i!e i vi proto"oli na
vi:im nivoima mog da "orite n!egove mog;noti. To pra"i #na@i da ;e av ao>ra;a! na mrei
generian od apli"a%i!a i#nad +Pe%-a >iti #a:ti;en, >e# o>#ira o "o!o! e apli"a%i!i radi i >e# o>#ira
na to da li apli"a%i!a e>i ve; ima gra?ene me/ani#me #a:tite. Jedna od na!vani!i/ oo>ina
+Pe% proto"ola !e otvorena ar/ite"tra, odnono poto!i mog;not n!egovog pro:irivan!a a
novim tandardima i proto"olima #a atenti"a%i! i en"apla%i!.
Ia >i e #adrala "ompati>ilnot +Pe% proto"ola +P proto"olom nno !e da tr"tri
+Pe% pa"eta podata"a otane o@vano +P #aglavl!e. +Pe% proto"ol toga o>avl!a "riptogra7"e
a"%i!e nad #aglavl!ima i poda%ima vi:i/ lo!eva. tr"tra +Pe% pa"eta podata"a #a "omni"a%i!
t/ernet mrenim #aglavl!em pri"a#ana !e li"om 11. Pol!e +Pe% #aglavl!em i poda%ima
"l!@!e TP #aglavl!e, te va otala #aglavl!a i podat"e vi:i/ lo!eva "riptovanom o>li".
Ethernet zaglavl#e IP zaglavl#e IPSe0 zaglavl#a i.oda0i
Ethernet za/tita
Slika ;;! tr"tra +Pe% pa"eta podata"a #a preno pre"o t/ernet-a
pe%i7i"a%i!a +Pe% proto"ola !e data ni# itna atenti@not i verodoto!not podata"a, a ne i n!i/ova ta!not.
+Pe% pa"et o>li" "orini/ "riptovani/ podata"a $engl.E(apsulati, 'e(urit% Pa%load
-E'P& "oriti e l@a!evima "ada !e >itno o@vati ta!not preneeni/ podata"a. C# ta!not, Ppol!e +Pe% pa"eta @va atenti@not i verodoto!not podata"a. Fa tvaran!e P pol!a podata"a
"orite e metode !a"e "riptogra7i!e pre#i metodama digitalnog potpiivan!a podata"a.
23
-
8/12/2019 77875119 Virtuelne Privatne Mreze
24/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Ia li ;e e o"vir +Pe%-a "orititi amo , ili amo P, ili o>a #a!edno, !e otavl!eno
na lo>odan i#>or "orini". "o i#a>rani, atenti"a%i!a, odnono "riptovan!e, e vr:e #a va"i
pa"et "ome me:teni poda%i ponaoo> )per pa(ket aut/eti(atio ad e(r%ptio" i to #a va"i
pa"et ne#avino. tenti"a%i!a va"og pa"eta predtavl!a prednot +Pe%-a odno na proto"ole
drgog nivoa, "od "o!i/ poto!i amo atenti"a%i!a "orini"a i tnela. tenti"a%i!a i "riptovan!e evr:e pomo; imetri@ni/ "l!@eva.
Faglavl!e #a ra#men "l!@eva "oriti e "od podproto"ola #a ra#men "l!@eva $engl.
Iteret 4e% E:(/a,e - I4E& "ao !ednog od tri +Pe% podproto"ola. +K !e prilagodl!iv proto"ol
#a dogovaran!e atenti"a%i!"i/ metoda, "riptogra7"i/ algoritama i dina "l!@eva, te #a ra#men
ami/ "l!@eva me? @lanovima "omni"a%i!i.
Slika ;;2;! +P e% "one"%i!a
4.4.+ Aut=entication >eader 3 A>
pe%i7i"a%i!a ovog proto"ola moe e na;i ina, da e :titi i pol!a:n!e +P #aglavl!e @ini glavn prednot atenti"a%i!% -om odno na
atenti"a%i! P-om. tenti"a%i!a -om e ato!i od dva ape"taE
atenti"a%i!e pore"la podata"a )data ori,i aut/eti(atio"1 t!. provere da li poda%itvarno polati od "orini"a a "o!im e $pretpotavl!eno& "omni%ira
veri7i"a%i!e integriteta podata"a $data ite,rit%"1 t!. provere da li !e do:lo do promene
adra!a pa"eta to" prenoa
24
-
8/12/2019 77875119 Virtuelne Privatne Mreze
25/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Anovna gradivna !edini%a +Pe% pa"eta l@a! "ori:;en!a "ao amotalnog
podproto"ola !ete #aglavl!e #a atenti"a%i!. Na li%i 11-2. pri"a#an !e +Pe% pa"et podata"a #a
preno t/ernet mreom "ad e "ao podproto"ol "oriti amotalni .
Ethernetzaglavl#e
IP zaglavl#e A>?P
zaglavl#ePoda0i
Ethernetza/tita
Slika ;;2(! tr"tra +Pe% pa"eta podata"a # "ori:ten!e podproto"ola t/ernet mrei
Faglavl!e #a atenti"a%i! podproto"ola +Pe% pa"et nala#i e i#a +P #aglavl!a, a
ipred TP #aglavl!a, ili P pol!a a"o e "oriti prega i P. Na li%i 12. digitalno
potpi!e va pol!a +Pe% pa"eta oim t/ernet #aglavl!a i #a:titne me.
vr:i atenti"a%i! pore"la podata"a "l!@ivan!em "orini@"og "l!@a o"vir /e:eva
"o!i e ra#men!!. Fa veri7i"a%i! integriteta podata"a e "orite ta"o#vani );as/ed
Messa,e Aut/eti(atio .odes" algoritmi. :tin"i, vi oni vr:e it 7n"%i! - na onov adra!apo@etnog pa"eta i "l!@a i#ra@nava! vrednot #a prover integriteta $/e:&. Novi pa"et e ato!i od
prvo>itnog pa"eta i /e:a. Na pri!em e i# priml!enog pa"eta i#dvo!i deo "ome poda%i i
"ori:;en!em itog "l!@a i algoritma i#ra@na /e:, "o!i e #atim poredi a priml!enim /e:om.
C"oli"o o>a /e:a identi@na, tada !e potvr?en i integritet podata"a i identitet po:il!ao%a. Primeri
na!@e:;e "ori:;eni/ algoritama #a veri7i"a%i! integriteta I' )Messa,e Di,est '& i
)'e(ure ;as/ Al,orit/m"#
Faglavl!e #a atenti"a%i! ato!i e od dine #aglavl!a, o#na"e proto"ola "o!i ledi na"on
podproto"ola $lede;e #aglavl!e&, re#ervianog pol!a, inde"a igrnoni/ parametara, rednog
>ro!a pa"eta i vrednoti #a prover integriteta.
li"a 12 pri"a#!e tr"tr !ednog +P pa"eta na "o!i !e primen!en proto"ol.
IP zaglavl#e A zaglavl#e PODA?I
7lede$e zaglavl#e du+ina zaglavl#a rezervi7ano .ol#e
SPI
redni 3ro#
vredno7t za .roveru integriteta 9he/ .ro1enl#ive du+ine:
Slika ;(! #aglavl!e
Slede$e zaglavl#e !e 8->itno pol!e "ome e nala#i >ro! "o!i pe%i7i%ira "om proto"olpripada! poda%i "o!i e nala#e na"on #aglavl!a. Ava! >ro! e >ira i# "pa vrednoti
de7iniani/ od trane tela #adenog #a tandardi#a%i! +nternet vrednoti - +N $+nternet
igned Nm>er t/orit)&.
2'
-
8/12/2019 77875119 Virtuelne Privatne Mreze
26/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Du+ina zaglavl#a!e ta"ode 8->itno pol!e "o!e de7ini:e din #aglavl!a 32->itnim [email protected] .ol#e #e 16->itno pol!e re#erviano #a >d; potre>.SPI!e 32->itno pol!e "o!em e nala#i t#v. 'e(urit% Parametar Ide:# P+ !e >ro! "o
pove#an a igrnonim ao%i!a%i!ama. igrnona ao%i!a%i!a !e onovna ide!a +Pe%-a i o n!o! ;e
>iti dato vi:e podata"a !ednom od naredni/ odel!a"a.Redni 3ro#!e 32->itno pol!e "ome e nala#i redni >ro! pa"eta )se=ue(e um0er"1 "o!e
li #a preven%i! od napada ponavl!an!em )repla% atta%"!. Kao :to !e re@eno, napad ponavl!an!em
e de:ava "ada ne"o "o eli da omete "omni"a%i! i#me? "orini"a "opira ne"i od pa"eta i
ponovo ga po:al!e nameri da i#a#ove #a>n. Na onov rednog >ro!a pri!emni" #na da!e penovo
priml!en iti pa"et i od>a%!e ga.
"redno7t za .roveru integriteta!e pol!e promenl!ive dine, pri @em !e dina %elo>ro!nimnoa" od 32 >ita. Ava vrednot !e do>i!ena primenom ne"og od algoritama #a veri7i"a%i!
integriteta, do>i!a e /e:ovan!emE
podata"a $"o!i pret/ode #aglavl!&,
amog #aglavl!a pri @em vi >iti i# ovog pol!a potavl!eni na nl,
nepromenl!ivi/ pol!a +P #aglavl!a, pri @em >it i# promenl!ivi/ pol!a potavl!ani na
nl. Na!vani!a nepromenl!iva pol!a i# +P #aglavl!a "o!a e :tite -om dina
#aglavl!a, dina pa"eta, i#vori:na i odredi:na adrea.
"l!@a generianog to" +K ei!e "o!a !e pret/odila.
Kod apli"a%i!a "o!e ne #a/teva! "riptovan!e podata"a, ve; !e amo neop/odna atenti"a%i!a
i #a:tita integriteta, predtavl!a avim dovol!an i#>or. Naime, pri i#>or proto"ola o"vir
+Pe%-a tre>a e voditi time "oli"e mere #a:tite apli"a%i!a #a/teva. va"o dodatno opetere;ivan!e
"omni"a%i!e nepotre>nim igrnonim me/ani#mima neminovno tro:i "omp!ter"e rere i
porava "omni"a%i!.
4.4.,. Epsuatin$ Securit Paoad 3 ESP
pe%i7i"a%i!a ovog proto"ola moe e na;i ?Pzaglavl#a i .odatke:
Ethernet za/tita
Slika ;(2;! tr"tra +Pe% pa"eta podata"a # "ori:;en!e P podproto"ola t/ernet mrei
26
-
8/12/2019 77875119 Virtuelne Privatne Mreze
27/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Hradn!a +Pe% pa"eta podata"a odvi!a e potepeno, prola"om podata"a "ro# lo!eve
mrenog modela, od apli"a%i!"og prema 7i#i@"om lo!, lede;im "ora%imaE
1. Na #aglavl!a i podat"e vi:i/ apli"a%i!"i/ lo!eva doda!e e TP #aglavl!e tvara!;i ta"o
TP pa"et.
2. Hradi e P pol!e. elo"pni TP pa"et $"l!@!;i i #aglavl!e& e "ript!e i @ini "orinepodat"e P pol!. Korinim poda%ima doda! e potre>na P #aglavl!a prema li%i 13.
3. +pred P pol!a doda!e e +P #aglavl!e. Time !e tvoren +P pa"et podata"a.
4. +pred +P pa"eta doda!e e t/ernet #aglavl!e, a na "ra! #a:titna t/ernet ma.
Slika ;C! P #aglavl!e
P #aglavl!e @ine dva 32->itna pol!a, SPI i redni 3ro# ima! it log "ao i "od proto"ola. Fatim lede poda%i, @i!a !e dina %eo >ro! o"teta $8 >ita&. P rep e ato!i od tri pol!aE
Do.una $padding&, @i!a !e dina od 0 do 2'' o"teta. vr/a ovog pol!a !e da prodi pol!e apoda%ima do ne"e #a/tevane dine. Pri tome !e ova dina pe%i7i%irana algoritmom #a
"riptovan!e, ili e, re%imo, pomo; ovog pol!a a"riva prava dina dela a poda%ima.Du+ina do.une!e 8->itno pol!e "ome !e, "ao :to m ime "ae, #apiana dina pol!a dopne.Slede$e zaglavl#e!e pol!e ite vr/e i dine "ao i odgovara!;e pol!e #aglavl!, a
ra#li"om da poda%i proto"ola "o!i !e ovde pe%i7i%iran tvarnoti pret/ode, a ne lede ovom pol!.
P atenti"a%i!a adri e>i vrednot #a prover integriteta. Avo pol!e !e op%iono i a"o
atenti"a%i!a P-om ni!e i#a>rana ne poto!i.
P, ia"o m mog;noti #a atenti"a%i! limitirane pore?en! a , pra avim
dovol!an nivo #a:tite "oli"o !e potre>no atenti"ovati proto"ole i#nad +nternet nivoa. Nepotre>no
"ori:;en!e atenti"a%i!e amo ;e poriti i opteretiti "omni"a%i!.
2*
-
8/12/2019 77875119 Virtuelne Privatne Mreze
28/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
4.4.4 Modovi rada IPSec3a
Poto!e dva moda rada +Pe%-aE
tranportni mod,
tnel"i mod.
Kod tranportnog moda vr:i e amo en"apla%i!a podata"a i# +P pa"eta, do" e originalno
+P #aglavl!e ne en"aplira, ve; e nala#i pole i P #aglavl!a. To #na@i da e +Pe% #a:tita
primen!!e amo na proto"ole na nivoima i#nad +P-a $mrenog nivoa&. C ovom l@a! !e na del
o>i@a!ena en"apla%i!a proto"ola vi:i/ proto"ole nii/ nivoa.
Kod tnel"og moda rada, en"apla%i!a o>/vata %eo po@etni +P pa"et $#aglavl!e Q poda%i&,
t!. +Pe% #a:tita o>/vata i +P. ada e radi o tnelovan!. !er +Pe% $proto"ol mrenog nivoa&
en"aplira +P $ta"o?e proto"ol mrenog nivoa&. Na li%i 14-1 i 14-2 pri"a#ani P i modeli
tnel i tranportnom mod.
Slika ;2;6 ;2(! Tnel"i i tranportni mod
Prednot tranportnog moda rada !e tome :to #a/teva man!e o>rade po pa"et. Po pravil
e "oriti i#me? "ra!ni/ ta@a"a "one"%i!e. Tnel"i mod e ve" primen!!e i#me? re?a!a od
"o!i/ >ar !edan ni!e "ra!n!a ta@"a "one"%i!e. Ka"o !e "od VPN-a to ve" l@a! $ve" poto!i H&,
#a potre>e VPN-a "oriti e tnel"i mod. Pored toga,. tnel"i mod !e neop/odan #>og ra#dva!an!a
interni/ VPN +P adrea od +P adrea na !avno! mrei.
Ka"o e +Pe%, "ao :to !e ve; re@eno, "oriti tnel"om mod rada "od VPN-a, :titio>a +P #aglavl!a "o!a atavni delovi preno:enog pa"eta. Prvo, ntra:n!e +P #aglavl!e "o!e
odgovara interno! VPN adrei :titi potpnoti, !er !e atav dela pa"eta "o!i !e pre
#aglavl!a. C l@a! drgog, pol!a:n!eg +P #aglavl!a "o!e odgovara adrei na !avno! mrei,.
:titi amo ona pol!a "o!e e ne men!a! to" prenoa.
28
-
8/12/2019 77875119 Virtuelne Privatne Mreze
29/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
4.4.?. Si$urnosna Asocijacija 3 SA
Anovni "on%ept +Pe% proto"ola !e igrnona ao%i!a%i!a. Po de7ini%i!i, igrnona
ao%i!a%i!a !e rela%i!a "o!a e potavl!a i#me? @eni"a "omni"a%i!i i "o!om e de7ini:igrnoni parametri "omni"a%i!e. Pod ovim parametrima e podra#meva! proto"oli "o!ima e
"omni%ira, algoritmi "o!im e proto"oli le, "l!@evi "o!ima e "orite algoritmi, itd.
Po !edna igrnona ao%i!a%i!a e potavl!a po!edina@no #a i #a P proto"ol. Aim toga,
igrnona ao%i!a%i!a !e !ednomerna, t!. l@a! dvomerne "omni"a%i!e potre>ne dve ao%i!a%i!e.
Irgim re@ima, l@a! +Pe% "one"%i!e "o!a !e #a:ti;ena i -om i P-om, mora! >ili po dve
va"om mer. +Pe% am ne potavl!a , ve; !e #a to namen!en Iteret 4e% E:(/a,e proto"ol
$+K&. +K preliminarno! 7a#i "omni"a%i!e "reira "o!im ;e e "ani!e liti +Pe%.
va"a e de7ini:e pomo; tri vrednotiE
P+ $e%rit) Parametar +nde& - l@a!no generiani >ro! "o!im e identi7i"!e i lida ra#li"!e "o!e i#me? iti/ detina%i!a i "o!e e odnoe na iti proto"ol,
+P adreom odredi:ta - #a ada to amo ni%at adree, mada !e dal!em ra#vo!
predvi?eno da e mog "orititi i mlti%at i >road%at adree.
identi7i"atorom igrnonog proto"ola #a "o!i e "oriti $ ili P&.
C #avinoti od moda rada +Pe%-a. i moe >iti tnel"om ili tranportnom mod. va"i
re?a! "o!i "oriti +Pe% odrava dve >a#e podata"a "o!ima me:ta podat"e o potavl!enim . To E
PI - e%rit) Poli%) Iata>ae.
I - e%rit) o%iation Iata>ae.
PI !e >a#a podata"a "o!a e "onlt!e pri o>radi %elo"pnog +P ao>ra;a!a "o!i prola#i"ro# re?a!. C e>i adri lit potpa"a o>rade )poli(% etr%"1 "o!i e 7ormira! na onov 7a"tora
"ao :to i#vori:na i odredi:na adrea, da li !e pa"et tigao pol!a )out0oud - l@a! VPN-a
pre"o !avne mree& ili i# lo"alnog o"ren!a )i0oud"1 i "o!ima !e de7iniano "a"av ;e e na@in
o>rade pa"eta primen!ivati. C op:tem l@a! pa"et moe >iti od>a@en )dis(arded"1 moe O#ao>i;iO
+Pe% o>rad, ili >iti ipro%eiran +Pe% modl. Avo !e vrlo li@no onome :to radi 7ireall.
C I me:teni poda%i o va"o! "o! !e re?a! potavio a ne"im od drgi/
"orini"a VPN. Ti poda%i E
proto"ol #a "o!i !e de7iniana ,
algoritmi "o!i e "orite #a atenti"a%i! i5ili "riptovan!e, mod rada $tranportni ili tnel"i&,
redni >ro! pa"eta,
vreme ivota $vreme "ome ;e e poto!e;a terminirati i op%iono #ameniti drgom&.
C l@a! out0oud ao>ra;a!a, prvo e "onlt!e PI a %il!em da e tvrdi da li pa"etpodlee +Pe% o>radi. "o da, tada e trai igrnona ao%i!a%i!a I @i!i e P+ po"lapa a P+
#apianim #aglavl! pa"eta. "o ne poto!i igrnona ao%i!a%i!a "o!a odgovara pro7il pa"eta,
tart!e e +K proto"ol @i!a ;e primena re#ltirati "reiran!em potre>ne ao%i!a%i!e. Na"on :to !e
"reirana, na pa"et e primen!! +Pe% o>rada "lad a ao%i!a%i!om. $li"a 1'&.
29
-
8/12/2019 77875119 Virtuelne Privatne Mreze
30/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika ;'! A>rada ot>ond ao>ra;a!a
Kada e radi o i0oud ao>ra;a!, ta"o?e e prvo "onlt!e PI da e tvrdi da li !epotre>na +Pe% o>rada. Kada !e to l@a!, I e pronala#i traena igrnona ao%i!a%i!a. "o
ona ne poto!i, tada poto!e dve mog;notiE
pa"et e od>a%!e $ova"av potpa" !e implentiran ve;ini +Pe% reali#a%i!a - li"a 16&.
"reira e potre>na $"oli"o !e do#vol!eno&.
Slika ;! A>rada in>ond ao>ra;a!a
ina%i!a i P igrnoni/ ao%i!a%i!a $pogotovo a"o e
o>#ir #m dva moda rada "o!i e mog ne#avino primen!ivati na va"i proto"ol&, od pra"ti@nog
#na@a!a amo dve. C va"o! od n!i/ e prvo vr:i en"apla%i!a P-om, a #atim -om. To !e i
logi@no, !er nema mnogo mila de"riptovati pa"et @i!i i#vor ni!e a igrno:; odre?en
$atenti"ovan&. Prva od te dve "om>ina%i!e e na#iva Otranportna pove#anotO )trasport
ad+a(e(%"1 "ada o>a proto"ola rade tranportnom mod, i "ada e i P #aglavl!a pa"etnala#e !edno do drgog. li"a 1* pri"a#!e ova! l@a!.
30
-
8/12/2019 77875119 Virtuelne Privatne Mreze
31/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika ;F! Tranportna pove#anot
Irga "om>ina%i!a e na#iva Ognedeno tnelovan!eO )ested tuelli, ili iteratedtueli,"1 "ada ntra:n!i proto"ol $P& radi tranportnom mod, a pol!a:n!i $&
tnel"om mod $li"a 18&. VPN mree "orite gnedeno tnelovan!e.Kod gnedenog tnelovan!a, po pravil e P $"o!i !e tranportnom mod& "oriti i#me?
"ra!n!i/ ta@a"a "one"%i!i, a $"o!i !e tnel"om mod& i#me? H-a i ne"og od re?a!a a
"orini@"e trane. C l@a! remote-a%%e VPN na "orini@"o! trani e i i P terminira! na
"orini@"om ra@nar. Kod roter-to-roter VPN-a P terminira na "orini"ovom ra@nar, a na
rter $li"a 18 pri"a#!e ova! l@a!&. Kori:;en!em gnedenog tnelovan!a e moe i#vr:iti
ra#dva!an!e glo>alni/ i lo"alni/ +P adrea. +P pa"et a lo"alnom adreom !e na"on primene P
proto"ola gneden novi +P pa"et a glo>alnom adreom, "o!i !e #a:ti;en proto"olom.
Teori!"i !e mog;e da e i#vr:i gnedavan!e +P pa"eta nove +P pa"ete ne>ro!eno mnogo
pta, odnono mog;e !e proi#vol!an >ro! pta #aredom primeniti i P $pri @em va"o! od
primena odgovora po !edna igrnona ao%i!a%i!a&. li"a 18 pri"a#!e pa"et "reiran pomo; dvatepena o>rade $prvo P-om pa -om&, t!. poto!i amo !edan gneden i pa"et. To odgovara
ita%i!i pra"i, !er e ta"o o>e#>e?!e potre>an tepen #a:tite, a a drge trane vreme o>rade na
pri!emno! i preda!no! trani ni!e preveli"o. C VPN mreama, gde !e vreme o>rade pa"eta "riti@an
parametar, poto!i tenden%i!a da e "oriti amo P proto"ol i #a atenti"a%i! i #a "riptovan!e. C
pra"i e po"a#alo da !e i ta"o oiroma:ena #a:tita dovol!na #a ve;in primena.
31
-
8/12/2019 77875119 Virtuelne Privatne Mreze
32/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika ;G! Cgnedeno tnelovan!e
4.4.@ Internet Ke Ec=an$e 3 IKE
+K !e /i>ridni proto"ol natao "om>inovan!em +KP- )Iteret 'e(urit% Asso(iatios
ad 4e% Maa,emet Proto(ol"1 Aa"le) i K )'e(urit% 4e% E:(/a,e Me(/aism"proto"ola.
Anovna namena +K proto"ola !e "reiran!e igrnone ao%i!a%i!e i ra#mena "l!@eva #a
atenti"a%i!, odnono "riptovan!e. Cpotavl!an!e igrnone ao%i!a%i!e i igrna ra#mena
"l!@eva !e na!"riti@ni!i 7a"tor "reiran! >e#>ednog "omni"a%ionog o"ren!a, !er e ova
ini%i!alna 7a#a odvi!a lovima "ada ne poto!i ta!not "omni"a%i!e. F>og toga me/ani#mi
"ori:;eni +K na!"omple"ni!i i #a/teva! na!vi:e ra@nar"i/ rera.
pe%i7i"a%i!a ovog proto"ola moe e na;i
-
8/12/2019 77875119 Virtuelne Privatne Mreze
33/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Fa potav +KP igrnone ao%i!a%i!e "oriti e !edan od ova dva moda. va"a
reali#a%i!a +K proto"ola mora da podrava onovni mod, do" !e podr:"a #a agreivni mod
op%iona. Kra!n!i e7e"at !e iti - "reiran!e igrnog "omni"a%ionog "anala pre"o "oga ;e e
ra#men!ivati por"e i# drge 7a#e.
ni/ #a "ani! "omni"a%i! ili P podproto"olima. il! prve 7a#e +K
podproto"ola !e dogovoran!e "riptogra7"i/ algoritama, algoritama #a atenti"a%i! i "l!@eve "o!i
;e >iti dovol!no igrni #a potavl!an!e igrnone ao%i!a%i!e to"om drge 7a#e. elo"pni
potpa" "omni"a%i!e +Pe% proto"olom moe e podeliti tri onovna "ora"aE
1. Koriti e onovni na@in ra#mene #a potavl!an!e igrnog "anala "o!i li potavl!an!
igrnone ao%i!a%i!e.
2. Koriti e >r#i na@in ra#mene #a dogovaran!e parametara igrnone ao%i!a%i!e.3. Fa >d; "omni"a%i!, od tog trent"a do trent"a ite"a vremena val!anoti igrnone
ao%i!a%i!e, "oriti e igrnona ao%i!a%i!a dogovorenim parametrima.
Anovni na@in ra#mene odvi!a e lan!em :et por"a, po tri por"e va"om mer, "ao :to
pri"a#!e li"a 19-1.
Slika ;H2;! Anovni na@in ra#mene "od +K podproto"ola
C prve dve por"e dva @eni"a e dogovara! o"o algoritama "o!e ;e "orititi #a"riptovan!e i digitalno potpiivan!e por"a to"om +K podproto"ola. Irge dve por"e le #a
ra#men !avni/ "l!@eva @eni"a i l@a!no generiani/ podata"a "o!e drgi @eni" tre>a
digitalno da potpi:e i vrati "a"o >i do"a#ao vo! identitet. C tre;o! por%i va"i @eni" :al!e
vlatite identi7i"a%i!"e podat"e i l@a!no generiane podat"e "o!e !e pret/odno primio, vlatiti
erti7i"at "o!im e garant!e n!egov identitet, te ve to digitalno potpi!e. Tre; por" va"i
@eni" pre lan!a "ript!e "riptogra7"im algoritmom dogovorenim prvo! por%i.
A$resivni naBin ra/%enegreivni na@in ra#mene, li@no "ao i onovni, "oriti e prvo! 7a#i +K podproto"ola i li #a
potavl!an!e igrnog "omni"a%i!"og "anala #a dogovor igrnoni/ parametara i ra#men "l!@eva#a i P podproto"ole. greivni na@in ra#mene ne:to !e !ednotavni!i i >ri od onovnog na@ina,
33
-
8/12/2019 77875119 Virtuelne Privatne Mreze
34/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
ali e do"a#ivan!e identiteta @eni"a ne o>avl!a "ro# igrni "anal. greivni na@in "oriti amo tri
por"e #a potavl!an!e igrnog "anala. Ive por"e :al!e @eni" "o!i !e #apo@eo potpa", a !edna !e
odgovor drgog @eni"a . greivni na@in ra#mene pri"a#an !e li"om 19-2.
C@eni" "o!i #apo@in!e potpa" ra#mene agreivnim na@inom nato!i da prvo! por%i
po:al!e :to !e mog;e vi:e podata"a, "a"o >i e man!io >ro! por"a potre>ni/ #a potavl!an!eigrnog "anala. Prva por"a adri identi7i"a%i!"e podat"e po:il!ao%a, l@a!no generiane
podat"e, n!egov !avni "l!@ i predloen igrnon ao%i!a%i!. Primala% odgovara lan!em
itovrni/ podata"a i doda!e vo! erti7i"at i digitalni potpi. Potpa" potavl!an!a igrnog
"omni"a%i!"og "anala e #avr:ava lan!em erti7i"ata i digitalnog potpia @eni"a "o!i !e
#apo@eo potpa".
Slika ;H2(! greivni na@in ra#mene "od +K podproto"ola
greivni na@in ra#mene potie it 7n"%ionalnot "ao i onovni na@in. avl!a! itovremeno, te e
pril:"ivan!em "omni"a%i!e moe do;i do identiteta @eni"a "o!i potavl!a! igrni "anal.
Aim po#navan!a amog identiteta @eni"a, "od agreivnog na@ina ra#mene nema drgi/
igrnoni/ pro>lema. Prednot agreivnog na@ina, odno na onovni, !ete man!i >ro! potre>ni/
por"a i ve;a >r#ina.
Pri potavi +K ve#e, "omni"a%ioni partneri ra#men!! predloge #a +KP igrnone
ao%i!a%i!e i odl@! e #a !edan od n!i/. igrnona ao%i!a%i!a pe%i7i%ira lede;e parametreE
na@in atenti"a%i!e "orini"a,
vreme tra!an!a ao%i!a%i!e.
parametre ra#mene "l!@eva po Ii7i-elman algoritm, /e: algoritam.
algoritam #a "riptovan!e.
Kada e "omni"a%ioni partneri dogovore o parametrima ao%i!a%i!e, ledi ra#mena podata"a
"o!ima ;e e generiati "l!@evi po Ii7i-elman algoritm. Ti "l!@evi le da e n!ima
atenti"! i "ript! otale +KP por"e. Pole ovoga e vr:i atenti"a%i!a "orini"a.
tenti"a%i!a "orini"a e moe i#veti na dva na@ina. Prvi od n!i/ !e atenti"a%i!a na onov
pret/odno ra#men!eni/ "l!@eva pre potave +K "omni"a%i!e $pre-s/ared ke%s" i na#iva emanelna ra#mena "l!@eva )mauel ke%i, mama,emet"# Pomo; pret/odno ra#men!eni/
"l!@eva va"i od @eni"a /e:!e pro>n e"ven% podata"a i po:al!e !e #a!edno a do>i!enim
/e:om. Na pri!em drgi "orini" "ori:;en!em itog "l!@a /e:!e it e"ven%. Fatim pore?!e/e: "o!i !e am i#ra@nao a onim "o!i !e priml!en i ta"o vr:i atenti"a%i!. anelna ra#mena
34
-
8/12/2019 77875119 Virtuelne Privatne Mreze
35/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
"l!@eva !e pra"ti@no re:en!e l@a! mali/, tati@"i/ VPN-a, "ada !e !ednotavno i#vr:iti
ditri>%i! "l!@eva pre +K "omni"a%i!e. e?tim, veli"im o"ren!ima e !avl!a pro>lem
"ala>ilnoti.
Irgi na@in !e atenti"a%i!a pomo; t#v. "riptogra7i!e a !avnim "l!@em )pu0li( ke%
(r%pto,rap/%" # "ori:;en!e digitalnog potpia )di,ital si,ature"# C ovom l@a! va"i od"orini"a VPN-a poed!e par !edintveni/ "l!@eva- !avni i ta!ni. Ta!ni "l!@ !e po#nat amo
"orini", do" !e !avni "l!@ !avno dotpan. Ta!ni i !avni "l!@ matemati@"i pove#ani, i a"o !e
"riptovan!e i#vr:eno !ednim od n!i/ tada !e de"riptovan!e mog;e amo drgim "l!@em i# para. Ia
>i e i#vr:ila atenti"a%i!a, "orini" "ript!e et podata"a pomo; vog ta!nog "l!@a i :al!e i/
#a!edno e "riptovanom ver#i!om. Na pri!em e poda%i de"ript! pomo; !avnog "l!@a "orini"a
"o!i i/ !e polao, i na onov ne"riptovane i de"riptovane ver#i!e o>avl!a e atenti"a%i!a. C o"vir
por"a "o!ima e atenti"! ta"o?e e :al!e digitalni erti7i"at )di,ital (erti&i(ate"# Namena
digitalnog erti7i"ata !e da !edno#na@no povee par "l!@eva a odre?enim "orini"om i ta"o
elimini:e mog;not lanog predtavl!an!a $ne"o a vo!im parom "l!@eva e ne moe predtaviti
"ao ne"o drgi, odnono "l!@evi !edno#na@no odre?! n!egov identitet&. Iigitalni erti7i"at i#da!
odgovara!;a erti7i"a%iona tela $erti7i%ale t/oritie& i n!i/ov po#danot e ne mn!a.
-RU)A 8A9AC ovom l@a! ta"o?e poto!e dva moda radaE
>r#i mod )=ui(k mode"1
mod nove grpe )e! ,roup mode"#Fa +Pe% !e od interea amo >r#i mod, !er !e on dire"tno namen!en #a potre>e +Pe%
proto"ola. od nove grpe le da e "reira! nove +KP igrnone ao%i!a%i!e "ori:;en!em
ve; poto!e;e.
5r/i naBin ra/%eneNa"on potavl!an!a igrnog "anala primenom onovnog ili agreivnog na@ina ra#mene,
#apo@in!e drga 7a#a +K podproto"ola. Irga 7a#a "oriti e >r#im na@inom ra#mene. Br#i na@in
ra#mene li #a dogovaran!e igrnoni/ parametara "omni"a%i!e ili P podproto"olom +
#a ra#men ta!ni/ imetri@ni/ "l!@eva. Bd;i da !e igrni "omni"a%i!"i "anal potavl!en
prvo! 7a#i, >r#i na@in ra#mene !e man!e loenoti i ve;e prilagodl!ivoti nego onovni i agreivni
na@in. provodi e lan!em tri por"e "ao :to !e pri"a#ano li"om 19-3. ve por"e "riptovane
"l!@evima "o!i dogovoreni prvo! 7a#i, a va"a por"a adri deo i#ra@nat /a/ 7n"%i!om.
Ta! deo li atenti"a%i!"e vr/e i #a ot"rivan!e #lonamerni/ i#mena por"a to"om prenoa
mreom.
Slika ;H2C! Br#ina@in ra#mene "od +K podproto"ola
3'
-
8/12/2019 77875119 Virtuelne Privatne Mreze
36/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Pre lan!a prve i drge por"e @eni%i i#ra@nava! va"i vo! par aimetri@ni/ "l!@eva. C
prve dve por"e potavl!a e nova igrnona ao%i!a%i!a "o!a ;e >iti "ori:;ena a i P
podproto"olima, te e ra#men!! !avni "l!@evi, l@a!ni poda%i i identi7i"a%i!"i poda%i. Na
temel! ra#men!eni/ podata"a o>e trane i#ra@nava! imetri@ni ta!ni "l!@ #a "omni"a%i! i
P podproto"olom. Tre;om por"om govoreni parametri e potvr?! lan!em dela l@a!nogeneriani/ podata"a "o!e generiale o>e trane.
Bitno !e napomenti da prvo! 7a#i +K podproto"ola :eni%i "orite "on%ept poverl!ivog
poredni"a "omni"a%i!i. Poverl!ivi poredni" !e i#dava@ %erti7i"ata $engl. .erti&i(ate Aut/orit%&.
Br#im na@inom ra#mene e #avr:ava drga 7a#a +K podproto"ola, a time i am +K podproto"ol.
igrni "omni"a%i!"i "anal !e potavl!en i moe #apo@eti "omni"a%i!a , odnono P
podproto"olom.
og;e !e imati vi:e ra#mena drge 7a#e "o!e e :tite igrnonom ao%i!a%i!om prve.
Adnono, mog;e !e "reirati vi:e +Pe% igrnoni/ ao%i!a%i!a pod o"ril!em !edne +KP
igrnone ao%i!a%i!e. C pra"i e ovo @eto "oriti !er !e prva 7a#a na!#a/tevni!a a tanovi:ta
pro%eor"e mo;i i nepra"ti@no !e @eto ponavl!ati.
Bd;i da !e +Pe% "p proto"ola gra?eni/ program" podr:" mrenog, odnono +P
lo!a, vi:i apli"a%i!"i proto"oli olo>o?eni vo?en!a >rige o igrnonim pro>lemima. drge
trane, +Pe% proto"ol, #>og "ompati>ilnoti o>i@nim +P proto"olom, omog;ava preno +Pe%
pa"eta podata"a "ro# mre "ra!n!i/ ra@nara i meriva@a "o!i ne mora! prati podr:" #a
+Pe% proto"ol. Navedena vo!tva @ine +Pe% proto"ol pogodnim #a veo>/vatn primen
vr/e oigravan!a "omni"a%i!e +P mreama.
4.?. Ka#o IPSec radiC
+Pe% "l!@!e mnoge te/nolo:"e "omponente i metode "riptovan!a. li ipa" +Pe%
opera%i!e mog e podeliti pet onovni/ "ora"a i toE
4orak8E Faniml!iv ao>ra;a! ini%ira +Pe% pro%eE ao>ra;a! e matra #animl!ivim "ada +P
polia >e#>ednoti "on7igriana na +Pe% @vor #apo@in!e +K pro%e
4orak9E +K 7a#a 1- C prvo! 7a#i e 7ormira +KP igrnona ao%i!a%i!a. matra e da pre
po@et"a "omni"a%i!e ne poto!i igran "anal #a ra#men +KP por"a, i #adata"
igrnone ao%i!a%i!e prve 7a#e !e da ta"av "anal o>e#>edi.
4orak9E +K 7a#a 2 - C drgo! 7a#i e ra#men!! por"e pomo; "o!i/ e "reira +Pe% igrnona
ao%i!a%i!a. Tim por"ama e de7ini: parametri >d;e +Pe% $odnono ili Pa:tite.
4orakBE Preno podata"a Poda%i e prenoe i#me? +Pe% @vorova #anovani na +Pe%
parametrima i "l!@evima #apianim >a#i
4orakCE Pre"id +Pe% tnelovan!a +P e pre"ida >rian!em ili ite"om odre?enog
vremena.
Na lede;o! li%i !e pri"a#an rad +Pe%-aE
36
-
8/12/2019 77875119 Virtuelne Privatne Mreze
37/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika ;H2! Ka"o +P radi
+Pe% e moe "orititi "od o>a tipa VPN mrea, ali !e preva/odno namen!en #a roter-to-
roter VPN. C l@a! o>ave#nog tnelovan!a, N e tada na#iva +P e%rit) gatea).
Poto!e proto"oli "o!ima e vr:i atenti"a%i!a i "riptovan!e na tranportnom nivo, "ao :to !e
( $e%re o%"et (a)er&. ( e primarno "oriti #a #a:tit ele"tron"e trgovine na +nternet,
ali ito "ao i +Pe%, pra #a:tit vim apli"a%i!ama "o!e na nivoima i#nad. e?tim, #a ra#li"
od +Pe%-a, "od (-a e "riptovan!e i atenti"a%i!a vr:e #a @itav ni# podata"a $odnono %el
por"& od!ednom, a #atim e ta"o #a:ti;eni poda%i dele pa"ete. Tada ne poto!i me/ani#am
"o!im e moe i#vr:iti provera na pri!em da li !e po!edini pa"et "riptogra7"i ipravan ve do" e
ne po":a a re"ontr"%i!om por"e. "o ne"o #lonameran >a%i pa"et "o!i ima ipravan redni
>ro! ali !e neipravnog adra!a, na pri!em ;e ta"av pa"et >iti pri/va;en "ao validan. Kada
pritigne, pravi pa"et ;e >iti od>a@en "ao dpli"at. F>og lanog pa"eta pri!emni" ne;e >iti
mog;noti da i#vr:i re"ontr"%i! por"e, a pra"ti@no ;e na ta! na@in >iti anlirati preno i vi/
otali/ pa"eta.
C!' L(>P)IPSE?
+ntegra%i!a ova dva proto"ola data !e ra oo>ina ove "om>ina%i!e !e to
:to !e ada mog;a en"apla%i!a ne amo +P pa"eta, ve; pa"eta vi/ proto"ola "o!e !e mog;e
en"aplirati pomo; (2TP-a. Naravno, l@a! da pa"eti "o!i e tnel! +P pa"eti, nema
mila "orititi (2TP5lPe% !er ta"o e amo noi nepotre>na dodatna o>rada. F>og op:teg trenda
prela"a na +P mree, vi:eproto"olna podr:"a "o! da!e (2TP5+Pe% >d;noti ne;e igrati van
log. a drge trane, #a ra#li" od "ori:;en!a amo (2TP-a, ada !e pored atenti"a%i!e tnela i
"orini"a mog;a atenti"a%i!a podata"a.
3*
-
8/12/2019 77875119 Virtuelne Privatne Mreze
38/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Slika (*! (2TP5+P pa"et
Na "ra! ovog odel!"a, dato !e ta>elarno pore?en!e proto"ola #atnelovan!e drgog i tre;eg
nivoa $Ta>ela 2&,"ao i >e#>ednono pore?en!e i P $ta>ela 3&
Protokol PP>P L(>P L(>P)IPSe0 IPSe0
"r7ta 1re+e +P+P, T, =rame
rela)+P +P
Autentika0i#a
kori7nikaIa Ia Ia Ia
Autentika0i#atunela
Ne Ia Ia Ia
Autentika0i#a.aketa
Ne Ne Ia Ia
"i/e.rotokolna.odr/ka
Ia Ia Ia Ne
Protokol zakri.tovan#e
PP PP P P
Pri1enapreteno "od remote-
a%%e VPN-a
preteno "od remote-
a%%e VPN-a
preteno "od remote-
a%%e VPN-a
preteno "odroter-to-roter
VPN-a"r7tatunelovan#a
preteno do>rovol!nodo>rovol!no io>ave#no
do>rovol!no io>ave#no
do>rovol!no io>ave#no
>a3ela (! Pore?en!e proto"ola #a tnelovan!e
38
-
8/12/2019 77875119 Virtuelne Privatne Mreze
39/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Bez3edno7ni a7.ekt A ESP
(a)er-3 +P proto%ol nm>er '1 '0
Amog;ava integritet podata"a Ia IaAmog;ava atenti"a%i! podata"a Ia Ia
Amog;ava en"rip%i! podata"a Ne Ia
Fa:tita od ponovni/ napada na podat"e Ia Ia
a3ela C! i P pore?en!e
39
-
8/12/2019 77875119 Virtuelne Privatne Mreze
40/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
! , E K E O D R E A L I 8 A ? I A " P , 2 A I M O @ U J I P R O B L E M I
C reali#a%i!i VPN-a potre>no !e o>ratiti pan! na ne"oli"o "l!@ni/ ta@a"aE
VPN i 7ireall
VPN i NT5NPT
Pa-t/rog/ VPN
!; "P, i fireall
Slika (;! VPN i 7ireall
C odno na 7ireall, VPN e moe potaviti na ra#ne na@ine. Pri tome va"o od re:en!a ima
vo!e nedotat"e, a "o!e ;e e i#a>rati #avii od toga :ta e eli poti;i. li"a 21 pri"a#!e mog;e
poloa!e VPN re?a!a odno na 7ireallE
- VPN paralelno a 7ireall-omE C ovom l@a! imamo dve ta@"e la#a +ntranet. ora
e o>ratiti veli"a pan!a na ipravn "on7igra%i! VPN-a.
B - VPN i#a 7ireall-aE C ovom l@a! ne poto!i "ontorola nad VPN ao>ra;a!em
7ireall-. Potavl!a e pitan!e "o!o! meri e ver!e "orini%ima VPN-a.
- VPN ipred 7ireall-aE C ova"vo! "on7igra%i!i av ao>ra;a! prola#i "ro# VPN. VPN
mora da o>radi veli" "oli@in dola#nog ao>ra;a!a. To ti@e na per7ormane VPN-a i pri
tome e dovodi pitan!e i ran!ivot VPN-a !er e nala#i na !avno! mrei. C ovom l@a!
7ireall li #a nadgledan!e dola#nog VPN ao>ra;a!a. Ava primena !e na!@e:;a "od
tranet VPN-a.
I - VPN re:en!e integriano a 7ireall-om. Potre>no !e po#navati te/ni"e 7ireall-a te !e i
"on7igrian!e re?a!a #a/tevni!e. Cre?a! !e #a/tevni!i po pitan! per7ormani i
"ompati>ilnoti pravila 7ilterovan!a a VPN erviima.
- =ireall a o>e trane. Avo re:en!e !e "pl!e i "oriti e l@a! veli"og tepena
#a:tite.Na!@e:;e "ori:;ena re:en!a i B.
40
-
8/12/2019 77875119 Virtuelne Privatne Mreze
41/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
!(! "P, i ,A>),A>P
Jedna od te:"o;a "o!a e po!avila pri prvim implementa%i!ama +Pe%-a +P mreama !e
nemog;not primene NT proto"ola $Netor" ddre Tranlation& # +Pe%. NT !e proto"ol
"o!i e "oriti #a pretvaran!e lo"alni/, "orini@"i/ adrea glo>alne, "o!e e mog rtirati na !avno!
mrei. Pri o>radi pa"eta NT men!a pol!a n!em "o!a e odnoe na adre i#vori:ta. NPT
$Net!ork Address Port Traslatio"!e e"ten#i!a NT-a, mil da e pored promene adree vr:i
i promena porta $a"o !e potre>no&. avi +T= i "ona@ni tandard !o: ni!e vo!en.
Cpotre>a NT-a onemog;ava atenti"a%i!, !er e /e: pa"et "ome !e i#men!ena
i#vori:na adrea ne;e lagati a /e:om po@etnog pa"eta i toga ;e priml!eni pa"et >iti od>a@en. Kao
:to !e rani!e napomento, atavni deo e"ven%e na onov "o!e i#ra@nava /e: pada! i
Onepromenl!ivaO pol!a i# +P #aglavl!a, od "o!i/ !e !edno i i#vori:na +P adrea. F>og toga !e
nemog;a itovremena primena proto"ola i NT-a.
C"oli"o e "oriti P tranportnom mod, tada portovi $"o!i e nala#e #aglavl!
proto"ola tranportnog nivoa& "riptovani i tada NPT ne moe da vr:i vo! 7n"%i!. lema !e en"apliran! +P $#a:ti;enog P-om& CIP pre nego :to pa"eti >d polati na
odredi:te "ro# NT. C"oli"o e, oim NT-a, "oriti i 7ireall, tada e #a >ro! CIP porta tati@"i
dodel!!e vrednot "o!a e "oriti #a +K, odnono port '00. =ireall vr:i 7iltriran!e na onov porta, pa
e "ori:;en!em +K porta omog;ava da P #a:ti;eni ao>ra;a! pro?e "ro# n!ega. tr"tra pa"eta
#a:ti;enog P-om tranportnom mod rada i en"apliranog CIP !e data na li%i $li"a 22&. Pol!e
pod na#ivom?ER< PAD e ato!i od vi/ nla i li "ao o#na"a pri!emni" da e radi o P, a ne
+K pa"et $!er !e ada >ro! porta iti #a o>a proto"ola&. C"oli"o e ne "oriti 7ireall, tada !e mog;eprimeniti i dinami@"o mapiran!e porta $prava primena NPT-a&. nalogni predlo#i poto!e i #a
en"apla%i! CIP da >i e omog;io n!i/ov me?o>ni rad, me?tim dale"o e re?e "orite
pra"i. +na@e, pored primene CIP-a, poto!e predlo#i da e vr:i i li@na en"apla%i!a TTP
);%perTe:t Tras&er Proto(ol # "ori:;en!e 'e(urit% 'o(ket La%erproto"ola&.
Slika ((! CIP en"aplirani P pa"et
lede;i pro>lem odnoi e na +K ei! "ro# NT. NT ;e onemog;iti +K ei! "oli"o
ra#mena "l!@eva ili erti7i"ata i#me? "ra!n!i/ ta@a"a tnela dovodi ve# n!i/ov identitet a +P
adreom, :to !e l@a! "od atenti"a%i!e pomo; pret/odno ra#men!eni/ adrea. Jedno od re:en!a !e da
e #a potre>e +K-a dodeli opeg adrea. Aim toga, mog;e !e "orititi i metod atenti"a%i!e pomo;
digitalni/ erti7i"ata. e?tim, ovde e !avl!a pro>lem drge vrte $"o!i ni!e pove#an a potre>om
NT-a&. Naime, "od atenti"a%i!e "ori:;en!em digitalni/ erti7i"ata n!i/ova verodoto!not e
proverava pomo; ta"o#vane ol!e re:en!e "orititi TP "ao tranportni proto"ol #a preno +K ei!e.
41
-
8/12/2019 77875119 Virtuelne Privatne Mreze
42/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Prin%ip"o re:en!e vi/ ovi/ pro>lema !e primeniti NT pre +Pe%-a. Avo !e mog;e i#veti
na dva na@inaE
i#vr:iti NT na re?a! "o!i !e na ptan!i pre +Pe% re?a!a,
"orititi re?a! "o!i !e tan! da vr:i i +Pe% i NT o>rad.
Po!edini proi#vo?a@i "omni"a%ione opreme, "ao :to !e i%o nde rtere "o!i Opoo>niO
da "om>in! NT i +Pe%-o>rad. Ta"o?e, poto!e re:en!a "ao :to !e re%imo Ne(and-ovo, a to !e
NT re?a! veli"e propne mo;i "o!i vr:i mltiple"iran!e vi:e P "one"%i!a na !edn +P
"one"%i! $pomo; ve; o>!a:n!ene CIP en"apla%i!e&.
!C! Pa772through "P,
Avo !e !edna od mog;i/ reali#a%i!a gnedenog tnelovan!a. :tina e ato!i tome da
VPN tre>a da dal!enom "li!ent po!enom na prvi +ntranet do#voli pritp drgom +ntranet "ro#
prvi +ntranet i !avn mre $+nternet&. Avo !e pri"a#ano na li%i $li"a 23&.
Slika (C! Pa-t/rog/ VPN
!!Kori/$ene konfigura0i#e "P, 1re+a
?.?.+.Reai/acije pristupa VPN
Kao :to !e ve; re@eno, onovna vr/a VPN mree !e da o>e#>edi "orini" igrn
"omni"a%i! a edi:tem organi#a%i!e5"ompani!e. Ta"o?e, od interea !e da e ito vreme
"orini" na ne"i na@in o>e#>edi pritp +nternet.Poto!e @etiri "on7igra%i!e $di#a!na& VPN mree "o!e e "orite pra"i $pri"a#ani na li%i 24&E
o7tver"i pritp - dal!eni "orini" "oriti ra@nar a intaliranim VPN i 7ireall
o7tverom.
Pritp pre"o VPN 7ireall-a - dal!eni "orini" poed!e 7ireall "o!i podrava VPN
"one"%i!. Korini" e na N pove#!e pre"o re?a!a #a :iro"opo!ani pritp $BI -
road0ad A((ess Dei(e"1 :to mog >iti "a>lov"i ili I( modem.
Pritp pre"o VPN re?a!a - dal!eni "orini" poed!e /ardver"o VPN re:en!e, na N e
pove#!e pomo; BI-a.
Pritp pre"o rtera - dal!eni "orini" "oriti rter, "o!i li i "ao 7ireall i VPN re?a!.
Pritp edi:t VPN mree moe >iti ili dire"tan $rter&, ili pre"o BI-a.
42
-
8/12/2019 77875119 Virtuelne Privatne Mreze
43/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
SO4>"ERSKI PRIS>UP=ireall i VPN o7tver intalirani na "orini"ovom ra@nar omog;ava! VPN
pove#ivan!e. Cdal!eni "orini" e prvo atenti"!e, a #atim od VPN ervera do>i!a parametre "ao
:to virtelna +P adrea i adree ame ervera $IN i D+N&. Pored pritpa VPN-, "orini"
ta"o?e ima i pritp +nternet, i to na dva na@ina. Prvi podra#meva da "orini" paralelnoomog;ena o>a pritpa, t!. da +nternet i VPN ao>ra;a! odvo!eni i to !e t#v.split tuelli,# Kod
drgog na@ina av +nternet ao>ra;a! e tretira "ao i VPN ao>ra;a!, odnono vi poda%i prola#e
"ro# VPN tnel i#me? ervera i "orini"a. Irgi na@in !e igrni!i, ali dale"o vi:e optere;!e VPN
re?a!e. C l@a!split tuelli,-a1 "orini" >i tre>alo da "oriti 7ireall i antivirni o7tver !er
predtavl!a la> ta@" VPN mrei i toga tre>a da >de opreml!en odgovara!;om #a:titom.
Ta"o?e, 7ireall i antivirni o7tver vr:e #a:tit "orini"a "ada "oriti amo +nternet "one"%i!
$ni!e na VPN mrei& da >i e predpredili mog;i napadi "ada e "orini" "ani!e povee na VPN
mre.
Slika (! UP PREKO "P, 4IREALL2A
Ava "on7igra%i!a !e namen!ena ili #a po!edina@nog dal!enog "orini"a, ili #a vrlo maleorgani#a%ione !edini%e mati@ne organi#a%i!e. =ireall !e #aden #a VPN "one"%i!e i omog;!e
poe>an +nternet pritp )split tuelli,"#Ne #a/teva e da ra@nari "orini"a poed! >ilo "a"ve
VPN mog;noti. C ovom l@a! e ne vr:i poe>na atenti"a%i!a "orini"a, !er e matra da e
VPN 7ireall nala#i "ontrolianom o"ren!. Pritp N- e vr:i pre"o BI-a. C"oli"o e
radi o organi#a%iono! !edini%i tom l@a! e i#a 7ireall-a nala#i ne"i mreni re?a! $npr. />&.
PRIS>UP PREKO "P, URE%AAAo>ine ove "on7igra%i!e vrlo li@ne pret/odno!, a tom ra#li"om da VPN re?a! ne
poed!e 7ireall. F>og toga !e potre>no da "orini%i na vo!im ra@narima ima! odgovara!;i
7ireall o7tver. Prednot ovom l@a! !e to da !e "on7igra%i!a i pravl!an!e VPN re?a!amog;e vr:iti i# redi:ta organi#a%i!e5"ompani!e, >e# potre>e da tome @etv! "orini%i. To e
43
-
8/12/2019 77875119 Virtuelne Privatne Mreze
44/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
vr:i pomo; odgovara!;eg proto"ola, "ao :to !e npr. (.
PRIS>UP PREKO RU>ERAAva "on7igra%i!a !e identi@na "on7igra%i!i a pritpom pre"o 7ireall-a.
?.?.,. Kon1i$uracija u sredi'tu VPN %ree
redi:te !edne veli"e VPN mree >i prin%ip tre>alo da podri ve vrte VPN "one"%i!a,
odnono roter-to-roter $ "o!e pada! +nternet i tranet VPN "one"%i!e&, i remote-a%%e
"one"%i!e. A@igledno i na!!ednotavni!e re:en!e !e da e ra#li@ite VPN "one"%i!e terminira! na
ra#li@itim re?a!ima, t!. da poto!e poe>ni re?a!i #a remote-a%%e, #a +ntranet VPN i #a tranet
VPN. Prednot ova"ve "on7igra%i!e !e po!ednotavl!eno pro:irivan!e mree $"ala>ilnot&, "ao i
la":e pravl!an!e i odravan!e mree. Prin%ip"i i#gled redi:ta VPN mree !e dat na li%i $li"a 2'&.
Slika ('! redi:te VPN mree
Vidimo da poto!e dva VPN modla. Prvi !e namen!en #a interne VPN "orini"e $i# ite
organi#a%i!e&, "o!i #a pritp mog "orititi remote-a%%e ili +ntranet VPN "one"%i!e. Irgi modl
!e namen!en #a e"terne VPN "orini"e. Podela na modle !e i#vr:ena #>og drga@i!eg tretmana
interni/ i e"terni/ "orini"a.
odl namen!en #a interne "orini"e !e detal!ni!e pri"a#an na li%i $li"a 26&. Iola#ni
ao>ra;a! e prvo 7iltrira na 7ireall-, a #atim e, #avinoti od vrte "one"%i!e prole?!% na
VPN "on%etrator ili na VPN rter57ireall. vi re?a!i rade tandem, :to omog;ava
7n"%ionian!e mree i l@a! ipada !ednog od n!i/.
tranet VPN modl !e dat na li%i $li"a 2*&. VPN 7ireall li #a termina%i! tranetVPN "one"%i!a. =ireall !e namen!en pre vega #a 7iltriran!e dola#nog i odla#nog ao>ra;a!a,
odnono #a ograni@avan!e +P ao>ra;a!a amo na apli"a%i!e "o!im !e ntar +ntraneta do#vol!en
pritp. C l@a! da !e potre>na "omni"a%i!a #a amo ne"oli"o apli"a%i!a tranet, do>ra
#amena #a VPN tom l@a! >i >ilo "ori:;en!e ( proto"ola.
va VPN re:en!a mog e podeliti dve "ategori!eE o7tver"a i /ardver"a. o7tver"a
re:en!a e implementira! poto!e;e gatea)-e i ne:to !e7tini!a. ana ovog pritpa !e veli"o
optere;en!e gatea)-a "o!e !e poledi%a neop/odne o>rade led "riptovan!a, atenti"a%i!e, itd.
Avo !e mog;e done"le >laiti intaliran!em odgovara!;i/ "arti%a re?a!e "o!e ;e na e>e
pre#eti deo tereta pro%eiran!a $"riptovan!e&. ardver"a re:en!a t#v. tand-alone re?a!i "o!i
ima! poe>an pro%eor #aden #a atenti"a%i!, "riptovan!e i en"apla%i!. A>rada !e ovoml@a! >ra. ardver"a re:en!a mog imati ra#li@ite vidove 7n"%ionalnoti # onovn - mog
44
-
8/12/2019 77875119 Virtuelne Privatne Mreze
45/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
liti i "ao roteri, erveri, 7ireall-ovi, ...
4'
-
8/12/2019 77875119 Virtuelne Privatne Mreze
46/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Ne"oli"o "l!@ni/ ra#li"a i#me? /ardver"i/ i o7tver"i/ re:en!a, "o!e 7igri: pri
"on"retnom i#>or VPN opreme lede;e. Pre vega, VPN /ardver !e #>og vo!e pe%i!ali#ovane
namene #natno po#dani!i. ilni!i operativni item na "ome e i#vr:ava! amo
VPN apli"a%i!e. Fa tetiran!e 7n"%ionian!a VPN /ardvera !e po pravil #aden proi#vo?a@.
+ntala%i!a i p:tan!e rad !e prin%ip >re nego "od o7tver"og re:en!a. lede;a prednot !eola":ani up,rade1 odnono prela#a" na nov ver#i! o7tvera "o!a ;e e i#vr:avati na VPN
/ardver. VPN /ardver ta"o?e omog;ava >ri rad i moe da opli vi:e "orini"a nego
o7tver"o re:en!e.
Slika (! odl #a interne VPN "orini"e
Anovna prednot o7tver"og re:en!a !e nia %ena. VPN o7tver e i#vr:ava na /ardver
op:te namene, a tandardnim operativnim itemom. +nteropera>ilnot ta"vog /ardvera i VPN
o7tvera !e nepo#nata i o>i@no ota!e na "orini" da !e tetira. Jo: !edna prednot o7tver"og
re:en!a !e prenoivot na vi:e ra#li@iti/ plat7ormi.
Slika (F! tranet VPN modl
46
-
8/12/2019 77875119 Virtuelne Privatne Mreze
47/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Po@etne %ene o7tver"i/ re:en!a, "o!e podrava! do 2' "orini"a imltano na VPN mrei,
reda veli@ine od ne"oli"o /il!ada dolara. ardver"a re:en!a a itim >ro!em imltani/
"orini"a o"o 10M "pl!a. Naravno, %ene varira! od mog;noti "o!e ima! - "pl!a
podrava! va tri proto"ola opiana ovom te"t $+Pe%, PPTP, (2TP&, do" !e7tini!a amo ne"eod n!i/ - ali po pravil va re:en!a podrava! +Pe%. Na %en ta"o?e ti@e i proto" "o!i re?a!
podrava, a na!"pl!i oni "od "o!i/ proto" ni!e limitiran ve; e moe modlarno pove;avati $a
time i >ro! imltani/ "orini"a&. ene ta"vi/ re?a!a doti po ne"oli"o deetina /il!ada dolara.
e? proi#vo?a@ima VPN re:en!a po#nati! ,etS0reen >e0hologie76 ?i70o6 Lu0ent>e0hologie7! ?he0k Point6 IBM ... Pri"a# VPN proi#vo?a@a i %enovni" opreme !e dat dodat" *.
4*
-
8/12/2019 77875119 Virtuelne Privatne Mreze
48/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
' ! 4 R A M E RE L A 6 M P L S I " P ,
Clge i ervii "o!e pra! =rame ra;a!a na drgom nivo "o!i e vr:i "od ovi/ proto"ola mog;e
!e "reirati virtuelnuprivatn mre. Kao i "od et!ork 0ased VPN mrea, "orini" e olan!a naprova!dera ervia da o>e#>edi ta!n i #a:ti;en "omni"a%i!.
'!;! 4ra1e Rela5 "P,
Ve#e i#me? =rame
-
8/12/2019 77875119 Virtuelne Privatne Mreze
49/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
Nedota%i =rame aln
pove#anot moe da pondi amo +nternet.
pomenimo na "ra! i to da e poda%i pre"o =rame li".
C"oli"o e radi o poda%ima vrlo oetl!ive prirode tada e "orini%i o>i@no odl@! da i/ pre lan!a
"ript!. Ne"i prova!deri vo!o! pondi nde i "riptovan!e ao>ra;a!a.
'!( MPLS "P,
P( !e relativno nova te/nologi!a, "o!a !e !o: ve" tadi!m ra#vo!a. Hlavna ide!a
P(-a !e o>!edin!avan!e na!>ol!i/ oo>ina mrea a potavl!an!em ve#e )(oe(tio-orieted" i
mrea >e# potavl!an!a ve#e )(oe(tioless"# Pra"ti@no, P( !e ra#vi!en a %il!em da e +Pmreama o>e#>edi "valitet lge "o!i poto!i T i =rame ela, @ime e preno ni7i%ira i pota!e ne#avian od proto"ola drgog
nivoa $T, =rame ele adrane pa"et atomat"i odre?!e nova la>ela i
i#la#ni port. P( rter e na#iva !o: i (< La0el '!it(/ed Router# Kori:;en!e (P-a #natno
>r#ava preno odno na (oe(tiolesspreno "od +P mrea, do" na@in ra#mene in7orma%i!e odotpnoti o>e#>e?!e potpn pove#anot )a%-to-a% (oe(tiit%"#
P( VPN mree moemo podeliti dve grpe #avinoti od toga "o!eg !e nivoa
ao>ra;a! "o!i e po n!ima prenoi. To E
(2 P( VPN, odnono mree drgog nivoa.
(3 P( VPN, mree tre;eg nivoa.
@.,.+ L, MPLS VPN
(2 P( VPN mree le #a preno T, =rame
-
8/12/2019 77875119 Virtuelne Privatne Mreze
50/64
Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili
tnelovati i "a"o vr:iti ditri>%i! la>ela prili"om prenoa proto"ola drgog nivoa P( mrei
na#iva! e #a!edni@"im imenomMartii dra&ts $po inen!er ("i artini!&. Avim do"mentima
!e do ada po"riveno tnelovan!e =rame ra;a!a pre"o
P( mree.
@.,.,. L4 MPLS VPN
(3 P( VPN mree namen!ene #a preno +P ao>ra;a!a. r/ite"tra !edne (3 P(
VPN mree !e pri"a#ana na li%i $li"a 28&. Korini%i pre"o vo!i/ terminalni/ re?a!a $ -
.ustomer Ed,e" pri"l!@eni na m la#ne (< rtere, "o!i o>eleeni a P )Proider Ed,e"#(eleeni lovom P. Poda%i i#me? i P e ra#men!! +P pa"etima.
P !e #aden #a "onver#i! +P P( pa"ete i o>rnto.
Slika (G! P( VPN mrea
(3 P