reti private virtuali (vpn) alfio lombardo. vpn: servizi fornire servizi di comunicazione aziendale...
TRANSCRIPT
![Page 1: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/1.jpg)
Reti Private Virtuali (VPN)
Alfio Lombardo
![Page 2: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/2.jpg)
VPN: servizi• Fornire servizi di comunicazione aziendale
(utenza Business):– Autenticazione: i dati sono originati dalla
sorgente dichiarata– Controllo d’accesso: utenti non autorizzati non
sono ammessi nella VPN– Confidenzialità: non è possibile leggere i dati
che passano sulla VPN– Integrità dei dati: salvaguardia da corruzione
dei dati da parte di terzi
![Page 3: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/3.jpg)
VPN : Background
• Reti private fisiche (collegamenti tra siti aziendali: dedicati)– Scarso utilizzo mezzi trasmissivi– Elevati investimenti in tecnologia e gestione
• Reti private “overlay” (collegamenti tra siti aziendali: PVC/Tunnel)– Elevati investimenti in gestione
• Reti private peer_to_peer (collegamenti tra siti aziendali: rete pubblica)
![Page 4: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/4.jpg)
Classificazione VPN
• Modello di comunicazione – Intraaziendale (Intranet )– Interaziendale (Extranet)– Dial up
• Modalità di trasporto informazioni– VPN Overlay– VPN Peer to Peer
• Topologia– stella, doppia stella, magliata
![Page 5: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/5.jpg)
Modello di comunicazione: Intranet
X
Intranet BIntranet A
Nessuna possibilità di comunicazione tra le due Intranet
![Page 6: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/6.jpg)
Modello di comunicazione: Extraaziendale
X
Intranet BIntranet A
Possibilità di comunicazione tra siti di Aziende diverse
![Page 7: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/7.jpg)
Modello di comunicazione: Dial up
• AC: Access Concentrator (gestito da ISP)• NS: Net Server (gestito dal cliente)
NSSito RPV
Sessione PPP
Rete ISP AC
Rete di accesso
a comm. circuito
(PSTN, ISDN, GSM, ecc.)
PVC/Tunnel
![Page 8: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/8.jpg)
Dial UP: il protocollo L2TP(Layer 2 Tunnel Protocol)
• L2TP combina le funzionalità di due protocolli pregressi (PPTP, L2F)
Rete ISP LNSLAC
Rete di accesso
(PSTN, ISDN, GSM, ecc.)
Sito RPV
Sessione PPP
Tunnel L2TP
Clientlsmit Corporate
net
![Page 9: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/9.jpg)
Dial up: procedure
Rete ISP LNSLAC
Rete di accesso
(PSTN, ISDN, GSM, ecc.)
Sito RPV
Tunnel L2TP
1 – utente remoto inizia sessione PPP2 – LAC accetta chiamata e identifica utente3 – Se l’autenticazione OK, LAC inizia tunnel verso LNS4 – LNS autentica l’utente, accetta il tunnel, inizia scambio parametri sessione PPP
con utente5 – inizia scambio dati tra utente remoto e VPN
Sv Autenticazione
![Page 10: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/10.jpg)
L2PT: architettura di protocolli
Rete ISP LNSLACSito RPV
Tunnel L2TP
MAC header IP header UDP header L2TP header Data (PPP)
![Page 11: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/11.jpg)
Modalità di trasporto: VPN Overlay
PVC/Tunnel IP
Sito RPVSito RPV
Connessione Virtuale
Router delCliente
Routing di livello 3
Router delCliente
Sito RPVSito RPVRete pubblicaRete pubblica
Switch Frame Relay o ATM, Router IP
•Introducono un secondo livello di rete•Gestione della rete overlay da parte del Cliente (routing, piani num., sicurezza)•Aggiunta nuovo sito nella VPN: set up nuovi PVC/Tunnel•Elevato num. PVC in caso di VPN magliate
•Elevato livello di sicurezza•QoS attraverso il PVC
![Page 12: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/12.jpg)
Modalità di trasporto: VPN P2P
• Informazioni di routing solo con i nodi di accesso• Facilità di estensione della VPN
Router di accesso
Router delCliente
Protocollo di Routing
Router delCliente
Sito RPVSito RPV Rete del fornitore Rete del fornitore del serviziodel servizio
![Page 13: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/13.jpg)
VPN P2P: router condivisi/dedicati
Router di accesso
condiviso
Sito 1 RPV-A
Rete del fornitore Rete del fornitore del serviziodel servizio
Sito 2 RPV-A
Sito RPV-B
RA[1]
Router di accesso dedicati:
Sito 1 RPV-A
Rete del fornitore Rete del fornitore del serviziodel servizio
Sito 2 RPV-A
Sito RPV-B
RA[1]
POPPOP
RA[2]
RTsegregazione attraverso
separazione fisica
delle tabelle di routing
segregazione attraverso
tabelle di routing “virtuali” collegate
alle singole interfacce
![Page 14: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/14.jpg)
Topologie Intranet: Stella
Sito perif. N
Rete del Rete del fornitore del fornitore del
servizioservizio
Sito perif. 2
Sito perif. 1
Centro Stella
X
Collegamenti virtualiFlusso di traffico
Collegamenti di accesso
Non permesso lo scambio diretto del traffico tra i siti periferici
Sito perif. N
Rete del Rete del fornitore del fornitore del
servizioservizio
Sito perif. 2
Sito perif. 1
Centri Stella
X
![Page 15: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/15.jpg)
Topologie Intranet : Maglia
Topologie Intranet : Mista
Regione 1 Regione 2Backbone
![Page 16: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/16.jpg)
RPV
“overlay” “peer-to-peer”
Livello 2 Livello 3
X.25 F.R. ATM GRE IPSec
Router condivisi
RPV BGP/MPLS
Router dedicati
IP-in-IP
“dial-up”
L2TP
Riepilogo
![Page 17: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/17.jpg)
VPN BGP/MPLS
• Adotta una filosofia P2P
RPV-A (sito RPV-A (sito 2)2)
RPV-B (sito RPV-B (sito 1)1)
RPV-C (sito RPV-C (sito 2)2)
RPV-A (sito RPV-A (sito 3)3)
RPV-A (sito RPV-A (sito 1)1)
RPV-C (sito RPV-C (sito 1)1)
Sessioni iBGP
Tabelle di routing virtuali
![Page 18: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/18.jpg)
Ricorda:Architetture di routing BGP/MPLS
iBGPiBGP eBGPeBGP
LSP MPLS
RPV-B (sito RPV-B (sito 1)1)
RPV-B (sito RPV-B (sito 1)1)
![Page 19: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/19.jpg)
Security Threats in the Network Environment
To know you have security in the network environment,you want to be confident of three things:• that the person with whom you’re communicating reallyis that person• that no one can eavesdrop on your communication• that the communication you’ve received has not beenaltered in any way during transmission
These three security needs, in industry terms, are:• authentication• confidentiality• integrity
![Page 20: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/20.jpg)
Secure Virtual Private Networks:IPSec
any communication passing through an IP network, including the Internet, has to use the IP protocol.
So, if you secure the IP layer, you secure the network.
![Page 21: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/21.jpg)
Protocolli IPsec
• AH (Authentication Header)
autenticazione, integrità
• ESP (Encapsulating Security Payload)
riservatezza, autenticazione, integrità
• IKE (Internet Key Exchange)
scambio delle chiavi
![Page 22: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/22.jpg)
Protocollo IKE
• Per utilizzare AH e/o ESP i due interlocutoridevono aver prima negoziato una .securityassociation. (SA).
• La SA è un “contratto” che specifica glialgoritmi crittografici e le relative chiavi, equalsiasi altro parametro necessario allacomunicazione sicura.
• La negoziazione delle SA è compito delprotocollo IKE.
![Page 23: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/23.jpg)
ESP (Encapsulating Security Payload)
• fornisce servizi di riservatezza, integrità,
autenticazione e anti−replay.
• ESP agisce su ciò che incapsula, quindi non sull’header IP esterno.
![Page 24: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/24.jpg)
ESP headerSecurity Parameters Index (SPI)
Sequence number
Payload data (variable length)
Pad lengthNext
header
Authentication data: payload (TCP + variable length data)
Padding (0-255 bytes)
Enc
rypt
ed
Aut
hen
ticat
ed
![Page 25: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/25.jpg)
Il protocollo AH
• AH (Authentication Header) fornisce servizi
di autenticazione, integrità e anti−replay.• L’autenticazione copre praticamente l’intero
pacchetto IP.• sono esclusi solo i campi variabili dell’header IP
(TTL, checksum...)
![Page 26: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/26.jpg)
AH header
Pad length
Security Parameters Index (SPI)
Authentication data (TCP + variable length data)
Next header Reserved
Sequence number
IP AH hdr TCP data
authenticated
![Page 27: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/27.jpg)
Modalità Trasporto
![Page 28: Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati](https://reader035.vdocuments.pub/reader035/viewer/2022062418/5542eb4d497959361e8ba841/html5/thumbnails/28.jpg)
Sito RPV ASito RPV A
Tunnel Mode
Rete ISP
Tunnel IP