Udaljeni pristup mrei

Virtualne privatne mree

(VPN)
Duan Stamenkovi, M.Sc.
Beograd, 2013.
Preduslov za virtualne privatne mree
Network Address Translation (*NAT)
Internet Connection Sharing (*ICS)
Remote Access Service (*RAS)
VPN Protocols (*PPTP, L2TP, SSTP)
Network Policy Server (*NPS)
Remote Authentication Dial In User Service (*Radius)
Uspostavljanje VPN tee u III faze
Uspostavljanje VPN
I faza - Konekcija (uspostava veze)
Fiziko povezivanje udaljenih klijenata
Odabir ifrovanja i protokola
II faza - Autentifikacija (provera autentinosti)
Provera ko smo mi. Korisniko ime/Lozinka, validan sertifikat
III faza - Autorizacija (provera ovlaenja)
emu moemo pristupiti
IP filteri
NTFS privilegije
Uspostavljanje VPN
Trenutno su u upotrebi dve tehnologije:
Remote Access VPN
Site-to-site VPN
Uspostavljanje VPN
Ova tehnologija prua visoko bezbedan, prilagodljiv daljinski
pristup bilo kome, bilo kada, sa skoro bilo kog ureaja koji ima
pristup Internetu.
Infrastruktura se sastoji od VPN servera koji moe biti:
Ruter
Softverski firewall
Firewall ureaj
I klijenta sa druge strane koji putem Interneta sa bilo koje take
moe ostvariti daljinski pristup.
Network Address Translation
Protokol koji omoguava velikom broju raunara u lokalnoj mrei
da se poveu na NAT ureaj i na taj nain ostvare pristup
internetu putem jedne adrese. (veza izmeu LAN-a i WAN-a)
Osmiljen je sa idejom da se bolje upravlja IPv4 adresama, ali sa
IPv6 nije obavezno korienje.
NAT ureaji:
ADSL modemi
Kablovski modemi
Ruteri
Internet Connection Sharing
Deljenje pristupa internetu putem jednog raunara u mrei.
Stalna potreba da raunar koji je direktno povezan na internet
bude upaljen.
Dodatni problemi sa povezivanjem
beinih ureaja.
Remote Access Service
Korisnicima su u ponudi dva tipa usluge:
Dial Up pristup Klijent pristupa RAS serveru putem Dial Up veze
VPN pristup Tokom godina je u potpunosti zamenio Dial Up
VPN Protocols
PPTP (Point-to-Point Tunneling Protocol)
Razvijen od strane Microsoft-a
Podrava ga najvei broj Microsoft-ovih operativnih sistema
Podrava samo TCP/IP transportni protokol
TCP port 1723
VPN Protocols
L2TP (Layer 2 Tunneling Protocol)
Standardizovan i podran od strane velikog broja OS-a
Podrava vie protokola, ne samo TCP/IP
Moe koristiti IPsec za ifrovanje (zahteva sertifikat)
Nije podran od strane starijih operativnih sistema
TCP port 1701 i UDP port 500
IPv6 podrka
Podrka za autentifikaciju sertifikatima od lokalnih CA
VPN Protocols
SSTP (Secure SocketTunneling Protocol)
Koristi SSL za ifrovanje
TCP/UDP port 443
Bolja podrka od strane firewall ureaja (otvoren port)
Podrka za autentifikaciju sertifikatima od lokalnih CA
Uspostava veze samo za klijente (ne podrava site-to-site)
Uveden u upotrebu od Windows Server 2008
Nije podran od strane starijih operativnih sistema (XP Sp3)
Network Policy Server
Kreiranje pravila za pristupanje naoj mrei
Prethodno poznato pod imenom Remote Access Policy Profiles
Obezbeuje podeavanja za utvrivanje autentinosti
Obezbeuje podeavanja za utvrivanje ovlaenja
Remote Authentication Dial In User Service
AAA - Omoguava centralizovano:
Upravljanje nalozima (Accounting)
Proveravanje autentinosti (Authentication)
Proveravanje ovlaenja (Authorization)
Smart cards
Security tokens
VPN Server - Ruter
Zamenom fabrikog Firmware-a sa kastomiziranim dd-wrt
Firmware-om prua se mogunost da jeftini nekomercijalni ruter
postane VPN server.
VPN Server - Ruter
Dodavanjem role Windows Server 2008 R2 OS-u, on postaje
VPN Server koji moe koristiti PPTP, L2TP i SSTP protokole.
VPN Server - Ruter
Pregled logovanih korisnika i protokola/porta koji je u upotrebi.
Portovi PPTP-1723, L2TP(IPsec)-1701, SSTP-443, GRE 47
VPN tunel - MS TMG
Korisniki interfejs MS TMG2010 (MS ISA2004-2006) za kreiranje VPN
tunela.
Podeavanje VPN tunela preko L2TP protokola.
Odreivanje mrenog opsega mree destinacije
Odreivanje javne adrese, korisnikog imena (domena) i lozinke udaljenog TMG servera
Odreivanje protokola koji e se koristiti i unos Pre-shared key-a za upotrebu IPsec-a
VPN tunel - MS TMG
Virtualne privatne mree
VPN obezbeuju visok nivo bezbednosti i zatitu od neovlaenog
pristupa/napada kroz ifrovanje i autentifikacione tehnologije
koje tite podatke.
Korienje ve postojeih infrastrukturnih kapaciteta
Poboljanje produktivnosti proirenjem korporativne mree i
veom dostupnou aplikacija
Smanjenje trokova komunikacije uz poveanje fleksibilnosti