(VPN) Duan Stamenkovi, M.Sc. Beograd, 2013. Preduslov za virtualne privatne mree Network Address Translation (*NAT) Internet Connection Sharing (*ICS) Remote Access Service (*RAS) VPN Protocols (*PPTP, L2TP, SSTP) Network Policy Server (*NPS) Remote Authentication Dial In User Service (*Radius) Uspostavljanje VPN tee u III faze Uspostavljanje VPN I faza - Konekcija (uspostava veze) Fiziko povezivanje udaljenih klijenata Odabir ifrovanja i protokola II faza - Autentifikacija (provera autentinosti) Provera ko smo mi. Korisniko ime/Lozinka, validan sertifikat III faza - Autorizacija (provera ovlaenja) emu moemo pristupiti IP filteri NTFS privilegije Uspostavljanje VPN Trenutno su u upotrebi dve tehnologije: Remote Access VPN Site-to-site VPN Uspostavljanje VPN Ova tehnologija prua visoko bezbedan, prilagodljiv daljinski pristup bilo kome, bilo kada, sa skoro bilo kog ureaja koji ima pristup Internetu. Infrastruktura se sastoji od VPN servera koji moe biti: Ruter Softverski firewall Firewall ureaj I klijenta sa druge strane koji putem Interneta sa bilo koje take moe ostvariti daljinski pristup. Network Address Translation Protokol koji omoguava velikom broju raunara u lokalnoj mrei da se poveu na NAT ureaj i na taj nain ostvare pristup internetu putem jedne adrese. (veza izmeu LAN-a i WAN-a) Osmiljen je sa idejom da se bolje upravlja IPv4 adresama, ali sa IPv6 nije obavezno korienje. NAT ureaji: ADSL modemi Kablovski modemi Ruteri Internet Connection Sharing Deljenje pristupa internetu putem jednog raunara u mrei. Stalna potreba da raunar koji je direktno povezan na internet bude upaljen. Dodatni problemi sa povezivanjem beinih ureaja. Remote Access Service Korisnicima su u ponudi dva tipa usluge: Dial Up pristup Klijent pristupa RAS serveru putem Dial Up veze VPN pristup Tokom godina je u potpunosti zamenio Dial Up VPN Protocols PPTP (Point-to-Point Tunneling Protocol) Razvijen od strane Microsoft-a Podrava ga najvei broj Microsoft-ovih operativnih sistema Podrava samo TCP/IP transportni protokol TCP port 1723 VPN Protocols L2TP (Layer 2 Tunneling Protocol) Standardizovan i podran od strane velikog broja OS-a Podrava vie protokola, ne samo TCP/IP Moe koristiti IPsec za ifrovanje (zahteva sertifikat) Nije podran od strane starijih operativnih sistema TCP port 1701 i UDP port 500 IPv6 podrka Podrka za autentifikaciju sertifikatima od lokalnih CA VPN Protocols SSTP (Secure SocketTunneling Protocol) Koristi SSL za ifrovanje TCP/UDP port 443 Bolja podrka od strane firewall ureaja (otvoren port) Podrka za autentifikaciju sertifikatima od lokalnih CA Uspostava veze samo za klijente (ne podrava site-to-site) Uveden u upotrebu od Windows Server 2008 Nije podran od strane starijih operativnih sistema (XP Sp3) Network Policy Server Kreiranje pravila za pristupanje naoj mrei Prethodno poznato pod imenom Remote Access Policy Profiles Obezbeuje podeavanja za utvrivanje autentinosti Obezbeuje podeavanja za utvrivanje ovlaenja Remote Authentication Dial In User Service AAA - Omoguava centralizovano: Upravljanje nalozima (Accounting) Proveravanje autentinosti (Authentication) Proveravanje ovlaenja (Authorization) Smart cards Security tokens VPN Server - Ruter Zamenom fabrikog Firmware-a sa kastomiziranim dd-wrt Firmware-om prua se mogunost da jeftini nekomercijalni ruter postane VPN server. VPN Server - Ruter Dodavanjem role Windows Server 2008 R2 OS-u, on postaje VPN Server koji moe koristiti PPTP, L2TP i SSTP protokole. VPN Server - Ruter Pregled logovanih korisnika i protokola/porta koji je u upotrebi. Portovi PPTP-1723, L2TP(IPsec)-1701, SSTP-443, GRE 47 VPN tunel - MS TMG Korisniki interfejs MS TMG2010 (MS ISA2004-2006) za kreiranje VPN tunela. Podeavanje VPN tunela preko L2TP protokola. Odreivanje mrenog opsega mree destinacije Odreivanje javne adrese, korisnikog imena (domena) i lozinke udaljenog TMG servera Odreivanje protokola koji e se koristiti i unos Pre-shared key-a za upotrebu IPsec-a VPN tunel - MS TMG Virtualne privatne mree VPN obezbeuju visok nivo bezbednosti i zatitu od neovlaenog pristupa/napada kroz ifrovanje i autentifikacione tehnologije koje tite podatke. Korienje ve postojeih infrastrukturnih kapaciteta Poboljanje produktivnosti proirenjem korporativne mree i veom dostupnou aplikacija Smanjenje trokova komunikacije uz poveanje fleksibilnosti