Professional Documents
Culture Documents
Kemal VPN
Kemal VPN
Banja Luka
(Specijalistički rad)
Mentor: Specijalizant :
1.Uvod str. 2
9. Izvori str. 42
1
1. Uvod
Meteorologija je, kao relativno mlada nauka (starosti oko 150 g.) već
na samim početcima prepoznala važnost komunikacija i razmjenjivanja
meteoroloških podataka između nacionalnih meteoroloških centara (NMC).
To stoga što je većina meteoroloških fenomena takvih razmjera da
istovremeno zahvataju područja više država, a nekada i veće dijelove
kontinenata (sibirski anticiklon, frontalni poremećaji i sl.). Podaci izmjereni u
jednoj državi nedovoljni su za identificiranje, analizu i prognoziranje ovakvih
fenomena pa se stoga pojavila potreba za efikasnom razmjenom
meteoroloških podataka u realnom vremenu. Podaci su se u početku
razmjenjivali poštom što ni u kom slučaju nije odgovaralo zahtjevima
operativne meteorologije. Sa tehničkim unaprjeđenjima u oblasti
telekomunikacija mijenjao se i način razmjene podataka. Naročito velik
napredak predstavljalo je uvođenje telegrafa krajem 19. stoljeća što je
predstavljalo veliki iskorak ka razmjeni meteo podataka u realnom vremenu.
To je i doba kada se formirala većina nacinalnih meteoroloških centara čiji je
prioritetni zadatak bio sakupljanje meteoroloških podataka sa teritorije
sopstvene države i slanje tih podataka u međunarodnu razmjenu. Razmjena
podataka je prvobitno bila organizirana na bilateralnoj osnovi između pojedinih
susjednih zemalja, ali se ubrzo shvatilo da je potrebno razmjenjivati potrebne
podatke na globalnom nivou. Prvi preduslov za ostvarivanje tog zadatka bio je
organizovanje svih postojećih nacionalnih meteoroloških centara u jednu
svjetsku organizaciju. Tako je 1850 održana Prva međunarodna meteorološka
konferencija, a njenim daljnim razvojem 1950. god. nastala je i Svjetska
meteorološka organizacija, kao specijalizovana agencija Ujedinjenih Nacija
(UN). Jedan od glavnih zadataka WMO-a bio je organizovanje tzv. WWW
(World Weather Watch – bdijenje nad vremenom) te koordiniranje globalne
razmjene meteoroloških podataka i produkata kao outputa ovog sistema.
Tako je nastao Globalni telekomunikacioni sistem (GTS) Svjetske
meteorološke organizacije (WMO) – zatvorena mreža koja je povezivala
nacionalne meteorološke centre i koja je omogućavala siguran i pouzdan
protok svih potrebnih informacija. Tehnički gledano, ova mreža je bila
zasnovana na velikom broju iznajmljenih telegrafskih linija (nacionalnih i
međunarodnih), i različitim tipovima telegrafa koji su koristili bušenu traku za
prenos i prijem podataka. Brzina kojom su se podaci prenosili ovim sistemom
bio je oko 74 bauda što otprilike odgovara količini od stotinu riječi u minuti.
Jedno od prvih značajnijih tehničkih unaprjeđenja ovog telekomunikacionog
sistema bio je uvođenje kompjutera kao sredstva za automatski prijem i
obradu podataka. Šezdesetih godina prošlog (20.) vijeka nacionalni
meteorološki centar u Washingtonu prvi je povezao sve teleprinterske linije
kojima su podaci stizali u centar na IBM-ov 360 mainframe kompjuter putem
komunikacijskog switching sistema, tako da su podaci automatski bivali
pohranjivani na disk kompjutera.
2
Na samom početku meteorologija je operisala samo sa podacima koji su se
mjerili na klasičnim meteorološkim stanicama, u određenim dnevnim
terminima (na početku samo tri puta dnevno a kasnije svaka tri sata).
Vremenom je broj stanica mnogostruko uvećan, kao i broj termina mjerenja,
pa se tako sadašnja frekvencija mjerenja popela na svaki sat, a na nekim
specijalizovanim (aeronautičkim) stanicama i svakih pola sata. Također su se
pojavili i novi izvori podataka poput mjerenja vertikalnih profila putem radio
sondi, mjerenja meteorološkim radarima, automatskim stanicama, senzorima
instaliranim na satelitima, i sl. što je u mnogome povećalo količinu podataka
koje je potrebno svakodnevno razmjenjivati. Ovaj proces povećanja količine
podataka i produkata i dalje se nastavlja tako da se gotovo svakodnevno
pojavljuju novi i novi izvori meteoroloških podataka (novi sateliti, novi
senzori...). Svima je veoma brzo postalo jasno da postojeći telekomunikacioni
sistem nije sposoban obezbijediti brzu i pouzdanu razmjenu tako velike
količine podataka. Problem se pokušao riješiti fragmentiranjem globalne
mreže pa su tako nastale Regionalne Telekomunikacione Meteorološke
Mreže (RTMN). Svjetska meteorološka organizacija je izvršila podjelu
cjelokupne svjetske teritorije na šest regiona, i to: Afrika, Azija, južna Amerika,
sjeverna i centralna Amerika sa Karibima, jugo-zapadni Pacifik i Evropa. Svaki
od ovih regiona ima svoju regionalnu mrežu kojom se razmjenjuju podaci od
interesa samo za određeni region. Međutim, ni to nije bilo dovoljno dobro
rješenje za narastajuću potrebu meteoroloških centara za sve većim brojem
podataka.
1998. godine WMO je, zajedno sa ECMWF-om (Evropskim centrom za
srednjeročnu prognozu) pokrenuo projekat izgradnje posebne regionalne
telekomunikacione mreže (RMDCN) za region Evrope, kako bi zamijenila
postojeće point-to-point linkove. Ova mreža je bila bazirana na frame relay
tehnologiji i X.25 servisu uz korištenje TCP/IP –a kao transportnog protokola.
Brzina prenosa podataka putem ove mreže kretala se od 32 – 512 kb/s što je
predstavljalo značajno poboljšanje. Ova mreža omogućavala je prenos
velikog broja podataka na efikasan i siguran način. Međutim, ovo rješenje je
zahtjevalo prilično velika novčana sredstva koja su se morala plaćati u vidu
godišnje članarine za ovu mrežu, što je bilo neprihvatljivo za male države i
njihove meteorološke centre.
2004. godine RMDCN uvodi novu tehnologiju tzv. MPLS (Multi
Protocol Label Switching) kojom se nastoji uvezati postojeći različiti načini
komunikacija (različiti protokoli) a postojeća cijena pristupa ovoj mreži se još
smanjuje.
3
rješavao je problem komunikacija na svoj način. Tako su Slovenija i Hrvatska
pristupile RMDCN mreži i spojile se na RTH Beč. Tadašnja Jugoslavija
(Srbija+Crna gora) zadržala je svoju konekciju sa Sofijom, ali je unaprijedila
konektujući se na RMDCN mrežu, dok se Makedonija nešto kasnije putem
RMDCN mreže povezuje sa centrom u Sofiji. BiH nije mogla priuštiti
pristupanje RMDCN mreži zbog, za našu ekonomsku situaciju, poprilično
visokih godišnjih troškova članarine koji su iznosili cca. 50.000 EUR. Sa
razvojem i sve većom penetracijom Interneta na ovim prostorima, pokušali
smo pronaći neko web bazirano rješenje koje bi, zbog svoje niske cijene, bilo
pristupačno. Kako smo prema tadašnjoj podjeli WMO-a trebali pripasti RTH-u
u Beču to smo sa njima pokušali riješiti ovaj problem, ali nismo naišli na
razumijevanje, uz obrazloženje da Internet tehnologija ne predstavlja siguran
način komuniciranja. Kao prelazno rješenje uspostavili smo vezu sa NMC
Slovenije putem secure FTP-a uz korištenje 128 -bitne enkripcije. Kolege iz
Slovenije su prihvatile ovakav način razmjene podataka te su na sebe preuzeli
obavezu da naše podatke proslijeđuju u GTS putem njihove RMDCN
konekcije, a istovremeno i da set nama potrebnih podataka sa GTS
proslijeđuju na naš FTP server. Ovo prelazno rješenje se pokazalo kao dobro
i efikasno jer u svojoj gotovo sedmogodišnjoj eksploataciji do sada nismo
imali nikakvih problema, ni na našoj, niti na strani kolega iz Slovenije.
Međutim, to je predstavljalo samo jedno prelazno rješenje, te se moralo
pristupiti trajnom i kvalitetnijem rješenju ovog problema.
Da bi rješili ovaj problem na ekonomski prihvatljiv način, uz
istovremeno pridržavanje svih standarda WMO-a po pitanju sigurnosti i
zaštićenosti podataka, zajedno sa kolegama iz regionalnog čvorišta u Sofiji
(Bugarska) pokrenuli smo projekat povezivanja naših centara uz korištenje
dostupnih web tehnologija. Tako smo planirali da uspostavimo VPN (Virtual
private network) mrežu između naša dva centra, a da za osiguranje tako
uspostavljenog tunela koristimo IPSec kao set protokola koji obezbjeđuju
sigurnu razmjenu paketa na IP nivou. Za ovakav projekat morali smo
obezbijediti podršku i dozvolu WMO-a, jer smo na jedan novi, do sada ne
praktikovani način, ostvarili vezu na zatvorenu mrežu WMO-a. Nakon
dobijanja takve jdozvole, kao i finansijske podrške, krenuli smo u ostvarivanje
ovog, za nas veoma značajnog projekta.
4
2. GTS – Globalni Telekomunikacioni Sistem
1
Preuzeto sa http://www.wmo.ch/pages/prog/www/TEM/gts.html
5
Peking, Breknel, Brazilija, Buenos Aires, Kairo, Dakar, Džeda, Najrobi, Nju
Delhi, Offenbah, Tuluz, Prag, Sofija, Beč i Tokio).
Svjetska meteorološka organizacija je izvršila podjelu cjelokupne svjetske
teritorije na šest regiona, i to: Afrika, Azija, južna Amerika, sjeverna i centralna
Amerika sa Karibima, jugo-zapadni Pacifik i Evropa. Svaki od ovih regiona
ima svoju regionalnu mrežu (RMTN) kojom se razmjenjuju podaci od interesa
samo za određeni region, kako bi se smanjila količina nepotrbnih podataka
na mreži.
Nacionalne telekomunikacione mreže obezbjeđuju NMC-ma prikupljanje
podatka sa teritorija za koji su odgovorne, kao i distribuciju određenih
podataka i produkata na nacionalnom nivou. GTS je predominantno bio
organiziran tako da podržava tzv. „message switching“ aplikacije – tj.
aplikacije za preusmjeravanje meteoroloških biltena u predefinisanom formatu
preko ograničenog OSI transportnog servisa baziranog na point-to-point
X.25 distribuciji. Ovakva ograničena implementacija je bila adekvatna za
stare aplikacije za preusmjeravanje poruka ali nije mogla zadovoljiti nove
zahtjeve komuniciranja. Upotreba ISO/ITU standarda X.25 je usvojena od
strane WMO-a u ranim '80-tim kako bi se obavljala razmjena podataka i
produkata u WMO-ovim binarnim kodovima tipa GRIB, BUFR i sl. ali i da bi
koristio kao osnova za aplikacije višeg nivoa OSI modela. X.25 se tada
smatrao osnovnom komponentom OSI arhitekture kao i strategijskim pravcem
za dalji razvoj na polju razmjene podataka. Međutim, pojavom Interneta i
TCP/IP mrežnih protokola javile su se neke druge mogućnosti koje su bile
daleko atraktivnije i prihvatljivije za implementaciju. Kako se Internet u cijelom
svijetu nametao kao dominantna snaga u informacionim tehnologijama, tako
je i WMO prihvatao njegove tehničke standarde. Prelazak na TCP/IP se
nametnuo kao logično rješenje jer se podrška proizvođača za X.25
tehnologiju ubrzano smanjivala, a samim tim postajala i sve skuplja budući da
se cijeli svijet okretao kao TCP/IP –u. TCP/IP je nudio mnoštvo gotovih „off
the shelfl“ aplikacija koje su meteorološkoj zajednici nudile prijeko potrebna
rješenja, poput FTP-a, elektronske pošte, web browsera, ali i multimedijalnih
komunikacija. Na kraju TCP/IP je obezbjeđivao veze između članica WMO-a
na mnogo fleksibilniji i raznovrsniji način od X.25 baziranog servisa. Sve ovo
se direktno odražavalo i na smanjenje troškova koje su članice WMO-a imale
za nabavku telekomunikacione opreme, nabavke i održavanja softvera i sl.
6
da opstanak GTS-a kao specijalizovane mreže za razmjenu vremenski
kritičnih meteoroloških podataka ne može biti doveden u pitanje, dok se
Internet definisao kao ekonomski prihvatljiva infrastruktura za sistem
prenosa vremenski ne-kritičnih podataka. Tako je u većini Nacionalnih
meteoroloških centara Internet danas prihvaćen kao medij za brzu
komunikaciju kako sa korisnicima svojih usluga, tako i sa drugim NMC-ima, ali
samo na nivou svakodnevne komunikacije ali ne i za prenos vremenski
kritičnih podataka. Među najprihvaćenijim servisima Interneta su e-mail,
WWW, FTP, ali i razni servisi za on-line komunikaciju tipa Skype, ICQ i sl.
Većina današnjih Centara sve svoje produkte čine dostupnim putem svojih
Web portala koji se obično dijele na stranice dostupne svim posjetiocima sajta
i stranice koje su zaštićene, tj. dostupne samo određenim korisnicima uz
dodijeljeni im user name i pasword. Prednost Interneta nad svim danas
korištenim specijalizovanim mrežama za prenos podataka u meteorologiji
jeste u veoma velikim brzinama prenosa (Bandwith) koji je daleko jeftiniji i
pristupačniji većini NMC-a. Tako nije rijetkost da pojedini NMC-i imaju izlaze
na Internet sa bandwithom od dva, osam ili čak i 30 Mbps što je za sve
dosadašnje zatvorene mreže GTS-a nezamisliva brzina. Kako su
meteorološke aplikacije ali i produkti sve zahtjevniji u pogledu brzine prenosa
ulaznih podataka, ali i outputa, to se Internet sve više nameće kao jedno od
dobrih rješenja. Naravno, osnovni problem Interneta jeste njegova (ne)
sigurnost, tako da su svi napori NMC-a sada usmjereni upravo na rješavanje
tog problema. Da li će Internet preuzeti primat zasebnim meteorološkim
mrežama i za prenos vremenski kritičnih podataka ostaje da se vidi. Jedan
mali doprinos u tom smjeru predstavlja i ovaj rad.
7
osmatranja, koji su uključivani u GTS, stalno se povećavao. Danas je svaki od
WMO regiona pokriven barem jednim sistemom satelitske distribucije, kao što
je to pokazano u slijedećoj tabeli:
2
Preuzeto sa www.esa.int/images/orbits,1.jpg
8
Do upotrebe satelita jedna od glavnih tehnika za multipoint distribuciju je bila
HF radio -emitiranje. U tu svrhu su se koristile određene frekvencije za
emitiranje dok su korisnici koristili tzv. faksimil prijemnike sa primitivnijim
ploterima koji su primali i istovremeno iscrtavali meteorološke karte. Ovaj
sistem distribucije meteoroloških produkata se još uvijek koristi u nekim
manje razvijenim dijelovima svijeta.
U uvodu je spomenut WWW World Weather Watch tj. Svjetski sistem bdijenja
nad vremenom. Ovaj sistem Svjetske meteorološke organizacije se sastoji od
tri glavne komponente: 1) GOS (Globalni osmatrački sistem), 2) GTS
(Globalni telekomunikacioni sistem i 3) GDPFS (Globalni sistem za
procesiranje podataka). Tok podataka i produkata u ovom sistemu dat ja na
slijedećem dijagramu:
3
Preuzeto sa http://www.wmo.ch/pages/prog/www/images/GOS
9
DATA DATA AND PRODUCT
COLLECTION PRODUCT GENERATION
TRANSPORT
Global Global Data
Observing Processing and
Global
System Forecasting
Telecommunication
System
System
GOS
DATA MANAGEMENT
10
Slika 5; Regionalna telekomunikaciona mreža regiona VI (Evropa) 4
4
Preuzeto sa http://www.wmo.ch/pages/prog/www/TEM/GTSstatus/R6rmtni.gif
11
godine pilot mreža koja je bila prototip predloženog rješenja. Ovom pilot
mrežom povezana su dva meteo centra; Meteo France iz Tuluza i
Meteorološki institut iz Lisabona. Tokom juna i jula te godine izvršen je čitav
niz testova koji su pokazali određene probleme u rutiranju, ali je taj problem
riješen novom konfiguracijom rutera. Nakon testne faze prišlo se povezivanju
i preostalih dvadesetdevet NMC-a na najbliže Equantove POP-ove. Svaka od
članica ove mreže morala je realizovati i back-up konekciju od svog centra do
Equantovog POP-a putem ISDN veze. Osim veze NMC-a sa RTH-om kao
glavnog rješenja, RMDCN je obezbjeđivao i vezu između pojedinih NMC-a, a
sve putem PVC-a (permanent virtual circuit – stalne virtualne linije). Zahtjevi
ECMWF-a kao glavnog ugovarača bili su da 90% svih PVC –a imaju
zagarantovanu dostupnost od 99.5% , a da preostalih 10% PVC-a imaju
dostupnost od 98.5% . Tokom ovog testnog perioda navedeni zahtjevi su u
potpunosti ispunjeni pa je RMDCN pušten u operativni rad 15. marta
2000.godine. Stare iznajmljene linije koje su predstavljale GTS linkove
konačno su se prestale koristiti. Većina zemalja članica RMDCN-a prešli su u
ovoj fazi sa svojih starih aplikacija baziranih na X25 protokolu, na nove
TCP/IP bazirane aplikacije, tako da je TCP/IP postao standard i za RMDCN.
12
Slika 6; Topologija OBS-ovog MPLS-a 5
Kao dodatna opcija po prvi put se u ovom projektu spominje upotreba VPN-a
preko javne mreže-Interneta, kao moguće rješenje za one članice WMO-a
koje nisu članice RMDCN-a. To je i bio osnov za naše rješenje povezivanja
NMC Sarajevo sa RTH Sofijom.
5
Preuzeto sa http://www.ecmwf.int/services/computing/rmdcn/ECMWF-Topology-Diagram-
v2.9.gif
6
Preuzeto iz prezentacije gosp. Reiner M: „WMO-FIS“, maj 2005.
13
3. Analiza postojećeg informacionog sistema METEOBIH-a
INTERNET
Satelitski sistem
Satelitski sistem
SWITCH
MODEM R UTER
V.35 port Ethernet
LAN
14
Meteobih je u sklopu ovog paketa imao jednu javnu IP adresu koja je bila
dodijeljena externom portu rutera (Telindusov Crocus 2M), a sav promet
prema računarima u LAN-u (sa privatnim adresama klase A) se
preusmjeravao putem NAT servisa na ruteru, a preko ethernet porta
konfigurisanog sa privatnom adresom. Ovakvo rješenje je bilo dosta dobro u
pogledu sigurnosti jer je prema Internetu postojala samo jedna javna IP
adresa, što je olakšavalo kontrolu pristupa “iz vana”. Većinu podataka
dobijenih iz međunarodne razmjene, koristio je sektor prognoze gdje su se
podaci, preusmjeravali FTP-om u lokalnoj mreži. Podaci za druge sektore,
koji su bili fizički odvojeni od ove “operativne mreže” prenosili su se putem
različitih medija – USB stick-ova, disketa i sl. Ovo je u mnogome usporavalo i
otežavalo svakodnevni rad uposlenika, ali se na insistiranje menadžmenta
Zavoda, ovakav pristup nije mijenjao. U postojeći informacioni sistem bila su
uključena i dva satelitska sistema: francuski sistem za satelitsku distribuciju
RETIM i satelitski sistem za prijem podataka sa EUMETSAT-ovih satelita
METEOSAT i MSG. Sve ovo je činilo jedan informacioni sistem koji je
svakodnevno primao nekoliko gigabajta različitih meteoroloških podataka, ali
se oni ni izbliza nisu koristili u svom punom kapacitetu, upravo zbog načina
organizovanja LAN-a u dvije fizički odvojene cjeline.
15
svom objašnjenju poslužili su se jednostavnim raščlanjivanjem pomenutog
akronima VPN:
N(etwork) – mreža je deifnisana kao „...grupa uređaja koji među sobom mogu
komunicirati na neki dogovoreni način, i tako slati i primati podatke između
sebe.“ Pod uređajima se ovdje podrazumijevaju računari, printeri, routeri i sl.
P(rivate) – privatno je definisano kao „...komunikacija između dva ili više
uređaja na neki tajni način, tako da uređaji koji ne učestvuju u toj (privatnoj)
komunikaciji nisu u stanju prodrijeti u komunicirani sadržaj, pa čak nisu ni
svjesni postojanja jedne takve privatne veze.“ Radi pojašnjenja termina
„privatna“ navodi se njene antipod – „javna“ što predstavlja nešto svima
dostupno.
Na kraju ovog, nešto šireg objašnjenja, data je definicija VPN mreže: „VPN je
takvo komunikacijsko okruženje u kojem je pristup kontroliran tako da
dozvoljava međusobnu komunikaciju samo unutar definirane interesne grupe,
a konstruirana je na nekoj vrsti particioniranja zajedničkog komunikacionog
medija, gdje ovaj zajednički medij omogućava mrežni servis na ne-isključiv
način.“
Link layer
16
Na link sloju TCP/IP modela nalazimo:
• IPSEC
Jedan od zahtjeva kolega iz Sofije je bio da budući VPN server mora imati
svoju javnu IP adresu. Na prvi pogled nam se javila samo dva moguća
rješenja: a) promjena komercijalnog paketa za pristup Internetu i dobivanje
bloka od najmanje 16 javnih IP adresa, pošto je aktuelni paket omogućavao
samo jednu javnu IP adresu, ili b) konfigurisanje VPN servera sa dvije
mrežne kartice kao rutera i dodjeljivanje jedine postojeće javne IP adrese
vanjskom ethernet portu, uz korištenje privatne adrese na portu prema LAN-u.
Izbor rješenja je zavisio i od raspoloživih finansijskih sredstava jer je
Bussiness pro paket, sa 16 javnih IP adresa, skuplji za 120% od postojećeg
Bussiness paketa sa samo jednom javnom IP adresom. Međutim, Bussines
pro paket je omogućavao i daleko veći propusni opseg (bandwith) od
(zagarantovanih) 1 Mbps. Oba rješenja su bila tehnički izvodljiva ali su
prevagnule prednosti Bussiness pro paketa, tako da se pristupilo rješenju sa
više javnih IP adresa. Međutim, u toku same primjene došli smo do zaključka
da je najoptimalnije rješenje u stvari kombinacija navedena dva rješenja. Tako
smo uzeli blok od 16 javnih IP adresa ali smo defaultno rješenje BH
17
Telekoma, koje je podrazumijevalo instaliranje i jednog rutera u bridge modu,
zamijenili setovanjem VPN servera kao rutera, čime smo, po našem mišljenju,
dobili na sigurnosti cijele mreže. Za dobijanje bloka od (najmanje) 16 javnih IP
adresa bilo je neophodno BH Telekomu dostaviti standardni RIPE obrazac u
kojem se moralo obrazložiti upotreba određenog broja javnih IP adresa. Tako
smo za upotebu javnih IP adresa predvidili i FTP server kao i mail server.
Drugi prijedlog kolega iz Sofije je bio da se VPN server locira u
demilitariziranu zonu (DMZ) kako bi se osigurala sigurnost LAN-a. Inače,
demilitarizovane zone se kreiraju upavo zato da bi se servisi koji moraju biti
otvoreni prema vanjskoj mreži (Internetu) odvoje od ostatka lokalne mreže
kako bi se eventualni upad na neki od javnih servisa (www, DNS, mail…)
ograničio samo na računar koji se nalazi u DMZ-u.
Generalno gledajući, postoje dva načina za kreiranje DMZ –a; a) sa jednim
firewallom sa tri mrežne karte (NIC). Na taj način se formira vanjska mreža od
ISP-a (Internet service providera) do firewall-a. Unutarnja mreža se formira
od druge mrežne kartice ka switchu LAN-a, a DMZ se formira od treće mrežne
kartice. Takva konfiguracija je prikazana na slijedećoj slici.
Jedna od osnovnih zamjerki ovakvom rješenju jeste to što sav mrežni promet
u tom slučaju ovisi o jednom uređaju (PC-ju), i u slučaju greške ili pada
sistema na tom računaru, pada cjelokupna mreža, što nije prihvatljivo rješenje
za kritične aplikacije poput naše.
7
Preuzeto sa http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)
18
Slika 10; Dual firewall bazirana konfiguracija DMZ-a 8
Broj VLAN-ova koje je moguće kreirati na ovakav način nije ograničen (svaki
port može pripadati posebnom VLAN-u). Svaka komunikacija između različitih
VLAN-ova je onemogućena, čak i ako su mrežne (NIC) kartice na uređajima
konfigurisane sa istim subnetom.
Port 24 smo definisali kao trunk port.
8
Preuzeto sa http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)
19
Šta je VLAN Trunking?
VPN server
DB server
FTP server
AMSS server (Automated Message Switching System)
Satelitski prijemnik za RETIM satelitski sistem
Satelitski prijemnik za EUMETSAT-ov MSG satelit
UDCS server (Universal Data Collection System)
20
Jedna od stvari oko koje je već na samom početku projekta postignuta
saglasnost obje strane u projektu je bilo korištenje Free BSD-a kao
operativnog sistema na oba VPN servera.
Jedan od zahtjeva kolega iz Sofije je bio da oba VPN servera rade pod Free
BSD operativnim sistemom. Razloga za takav zahtjev je bilo više: Jedan od
njih je taj da je RTH Sofija već imala dobro iskustvo sa funkcionisanjem VPN
servera na ovom operativnom sistemu. Ostale prednosti Free BSD OS su:
21
BSD-a na cjelokupnom hard disku. Kako i samo ime govori, Free BSD je
potpuno besplatna verzija operativnog sistema i moguće ga je downloadovati
sa http://www.freebsd.org/ . Instalaciju smo pohranili na CD i krenuli sa
instalacijom. Nakon boot-anja otvara se sysinstall meni:
Ovaj meni nudi tri moguće opcije instalacije : Standardnu, Expresnu i Custom.
Kakve su razlike između njih?
Standardna instalacija vas vodi kroz proces instaliranja korak po korak,
a nakon svakog koraka dobijate pop-up poruku koja vas obavještava
koji je slijedeći korak.
Ekspresna instalacija vas također vodi kroz instalaciju korak po korak
ali nema nikakvih obavještenja o tome šta je slijedeći korak, što
ubrzava cijeli proces instalacije.
Custom instalacija vas nakon svakog koraka vraća na početni meni
tako da sami možete izabrati slijedeći korak . Kao i kod ekspresne
instalacije ne dobijate nikakve poruke.
Slijedeći korak je izbor particije na kojoj želimo instalirati naš Free BSD.
22
Slika 11; Izbor drajva za instalaciju Free BSD-a
23
Slika 13; Izbor boot menadžera
Kreira particije
Kreira strukturu file sistema
Mountira file sistem i swap prostor
Instalira softver
Na taj način smo izvršili instalaciju Free BSD operativnog sistema na našem
VPN serveru.
24
IPSec se satoji od dva pod-protokola:
25
vrši ponovno kompletiranje cjelokupnog paketa. U ovom modu svo vrijeme se
koristi realno IP zaglavlje, što znači da IP adrese oba host računara moraju
biti rutabilne.
I u ovom modu su prva dva koraka ista kao i u transportnom modu, tj.
aplikacija “spušta” paket na transportni sloj gdje mu se dodaje TCP zaglavlje.
Međutim nakon toga, IPSec vrši enkripciju cjelokupnog datagrama. Nakon
toga primijenjuje se sigurnosni protokol, a onda se dodaje novo IP zaglavlje in
a kraju se cijeli paket ponovo sastavlja.
26
Na gornjem dijagramu je data šema povezivanje dvije zasebne mreže putem
VPN-a uz korištenje Free BSD-a kao operativnog sistema na oba VPN
servera koji služe i kao gateway, i uz različite privatne mrežne adrese u LAN-
ovima - : 192.168.1.2 i 192. 168.2.2 Oba gateway-a imaju po dvije mrežne
kartice od kojih su one vanjske konfigurisane sa različitim, javnim IP
adresama (A.B.C.D I W.X.Y.Z) . Dvije gateway mašine imaju na internoj
mrežnoj kartici, koja ih veže za LAN privatne IP adrese (192.168.1.1 i
192.168.2.1) tako da računari iz obje mreže imaju konfigurisane te adrese kao
adrese gateway-a. Namjera ovakve konfiguracije je da mašine iz jedne mreže
vide mašine iz druge mreže kao da su direktno priključene na isti ruter. To
znači da svaki računar iz jedne mreže (npr. sa IP adresom 192.168.1.20
može da šalje ping na bilo koji računar iz druge mreže (npr. 192.168.2.10) i
da dobije odgovor. Ako u ovakvoj konfiguraciji učestvuju Windows mašine,
one mogu vidjeti i komunicirati sa računarima iz druge mreže na potpuno isti
način kao da su na istoj mreži. Jedina razlika u odnosu na komunikaciju u
kolasičnom LAN-u jeste to da je ovakva komunikacija zaštićena, tj. kriptovana.
27
Kreiranje VPN –a između ovakve dvije mreže odvija se postepeno, u
nekoliko koraka.
Prvi korak jeste kreiranje virtuelnog linka između dvije mreže, preko
Interneta i njegovo testiranje (korištenjem ping-a).
Drugi korak podrazumijeva primjenu sigurnosne politike da bi se
osigurala ispravna enkripcija i dekripcija prometa. Za testiranje ovog
koraka koristi se alat tcpdump.
Treći korak podrazumijeva konfigurisanje dodatnog softvera na Free
BSD gateway-ima koji treba da omogući i da se Windows mašine vide
putem uspostavljenog VPN-a.
Naša gateway mašina mora znati kako da pronađe 192.168.2.1 tj. mora imati
definisanu rutu do te mašine. Pošto se privatne IP adrese (kao što su
192.168.1.1 i 192.168.2.1) ne mogu rutirati na Internet onda je potrebno da se
naš paket (naš ping) “upakuje” u drugi paket koji će onda biti rutiran na
Internet kao paket kojeg šalje mašina sa javnom IP adresom (A.B.C.D) drugoj
mašini sa javnom IP adresom (W.X.Y.Z). Ovaj proces pakovanja paketa u
drugi paket se naziva enkapsulacija. Kada paket stigne na odredišnu javnu
adresu (W.X.Y.Z) on se mora de-enkapsulirati i isporučiti pravoj odredišnoj
adresi (192.168.2.1). Ovakva veza se može zamisliti kao određena vrsta
tunela između dvije mreže. Ulazne tačke u te mreže predstavljaju gateway
mašine sa javnim IP adresama. Tunelu se “mora reći” koje to privatne IP
adrese treba da propušta, tako da u stvari, ovakav tunel koristimo za prenos
prometa između privatnih IP adresa preko Interneta. Ovakav tunel se kreira
koristeći generički interfejs ili gif uređaj na Free BSD-u. Svaki ovakav uređaj
mora biti konfigurisan sa četiri IP adrese: dvije javne i dvije privatne IP adrese.
Podrška za gif uređaj mora biti kompajlirana u kernelu Free BSD-a na obje
gateway mašine.
device gif
28
# ifconfig gif0 create
# ifconfig gif0 tunnel A.B.C.D W.X.Y.Z
# ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff
Na drugoj strani tj. na drugoj gateway mašini se koriste iste komande ali je
ovdje redoslijed IP adresa obrnut:
ifconfig gif0
# ifconfig gif0
# netstat –rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
...
192.168.2.1 192.168.1.1 UH 0 0 gif0
...
29
Vrijednost u polju “flags” označava da je označena tzv. host ruta između dva
udaljena VPN servera, ali pristup lokalnoj mreži iza servera nije definisan. Ako
želimo da se naše dvije mreže ponašaju kao jedna onda moramo omogučiti
svim mašinama u obje mreže da se “vide” i komuniciraju međusobno. Taj
problem se rješava dodavanjem statičke rute na obje gateway mašine,
naredbom:
Na ovakav način smo kreirali Virtualnu mrežu (VN) ali ona još uvijek nije
(P)rivatna. Kako možemo provjeriti da li je konekcija osigurana?
Jednostavnom naredbom;
ping 192.168.2.1
30
našem slučaju, ali u svakom slučaju određena saznanja dobivena nakon
testiranja ovakvog rješenja dobro su nam došla.
Osnovni razlozi tj. nedostaci jedne ovakve konekcije zbog kojih ECMWF ne
preporučuje ovakvo rješenje kao osnovno rješenje za Nacionalne
meteorološke centre jesu:
31
IPSec ovo postiže koristeći:
Ovaj metod koristi digitalni potpis na takav način da svaki uređaj digitalno
potpisuje određeni set podataka a zatim ih šalje drugoj strani. RSA potpis
koristi CA (Certificate Authority) da generiše jedinstveni digitalni certifikat koji
se dodjeljuje svakom hostu radi autentifikacije. RSA je po funkciji sličan pre-
shared ključu, ali on obezbjeđuje jaču sigurnost.
32
nemaju inverzne funkcije (iz sažetka nemoguće je doći do orginalne poruke)
te najmanja promjena informacije uzrokuje drastičnu promjenu sažetka. To
svojstvo se koristi pri izradi digitalnog potpisa, gdje služi za provjeru integritet i
izvornost poruke (uz kriptiranje asimetričnim tajnim ključem).
MD5 algoritam
Jednostavan je za implementaciju
MD5 algoritam uzima ulaznu poruka proizvoljne duljine i proizvodi 128 bitni
fingerprint (otisak prsta) ili message digest (sažetak poruke). Samo
nagađanjem se može dobiti dvije poruke koje imaju isti sažetak poruke ili
proizvesti poruku sa zadanim sažetkom poruke. MD5 je namijenjen za
digitalno potpisivanje programa, kod kojih veliki fajl mora biti komprimiran
sigurnim postupkom prije nego ih se kriptira sa (tajnim) privatnim ključem
koristeći kriptoalgoritam poput RSA.Ukratko, MD5 služi verificiranju integriteta
podataka i puno je sigurniji nego checksum ili neke druge metode. MD5
algoritam je dizajniran da bi bio relativno brz na 32bitnim procesorima.
Također MD5 ne zahtjeva velike tablice. MD5 je nastavak MD4 algoritma.
Malo je sporiji od njega, ali je više konzervativan u dizajnu. MD5 je nešto
sporiji od MD4 algoritma, ali donosi bolju sigurnost. U MD5 su implementirane
neki savjeti raznih korisnika (revizora) algoritma. Npr. za ulaznu poruku “abc”
dobiti će se slijedeći sažetak 900150983cd24fb0d6963f7d28e17f72.
SHA algoritam
33
• Naći originalnu poruku na osnovu datog sažetka poruke, i
• Naći dvije različite poruke koje daju isti sažetak.
Primjer:
I samo mala izmjena u datoj rečenici (npr. promjena riječi dog u cog ) daje
potpuno drugačiji sažetak poruke:
34
Neki od zaključaka navedene ECMWF-ove studije su bili da:
Što se tiče dizajna lokalne mreže kada se primjenjuje VPN IPSec, preporuka
je da se VPN gateway smjesti u tz. DMZ (demilitarizovanu zonu) – zonu
između firewall-a i Interneta. Sav promet između VPN servera i LAN-a treba
ići kroz firewall. Firewall mora biti konfigurisan tako da dozvoljava IPSec
saobraćaj, zato treba dozvoliti slijedeće protokole/portove.
Protocol/Port Objašnjenje
IP protocol 50 ESP protokol
IP Protocol 51 AH protokol
UDP 500 IKE pregovaranje
UDP/TCP 10000 NAT tuneliranje
35
7. Konfiguracija IPSec VPN-a
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
36
A.B.C.D ovdje predstavlja adresu prvog gateway-a, dok je tajni ključ isti kao i
na prvom serveru.
Tako smo uradili pola posla u uspostavljanju VPN konekcije osigurane IPSec-
om. Sada je potrebno kreirati razumnu sigurnosnu politiku. Pod razumnom
sigurnosnom politikom podrazumijevamo niz pravila koji će omogućavati
približno optimalan nivo sigurnosti, a koja neće bespotrebno usporavati
promet između dva VPN servera.
Da bi nam bilo jasnije šta sve moramo osigurati na ovkavoj vezi, prvo moramo
pojasniti kako se odvija promet na ovako uspostavljenoj vezi.
Svaki paket koji jedan od servera šalje drugom ima i header (zaglavlje) koje
sadrži podatke o samom paketu. Ovo zaglavlje sadrži informaciju o IP adresu
izvora paketa kao i o odredišnoj adresi. Pošto obje navedene adrese
(192.168.1.1 i 192.168.2.1) spadaju u rang privatnih adresa, one se ne mogu
rutirati na Internet. Zbog toga se svaki takav paket mora “upakovati”
(enkapsulirati) u drugi paket koji će sadržavati javne IP adrese izvora i
odredišta paketa. Tako ako je naš prvobitni paket izgledao ovako,
37
Ovu enkapsulaciju vrši gif uređaj, a sav sadržaj paketa biva upakovan u ovaj
novi paket prije nego se proslijedi na Internet.
Kako je naša želja da sav promet između dva VPN servera bude kriptovan, to
se može izraziti slijedećim algoritmom:
“Ako paket odlazi sa adrese A.B.C.D a namijenjen je adresi W.X.Y.Z onda
ga kriptuj koristeći potrebna sigurnosna pravila. Ako paket dolazi sa adrese
W.X.Y.Z onda ga dekriptuj koristeći potrebna sigurnosna pravila.”
Međutim, ako između dva gateway-a postoji i promet koji ne spada pod
definisanin promet VPN-a , onda ovakav algoritam neće biti ispravan jer će
kriptovati sav promet između dva gateway-a. U tom slučaju algoritam bi
trebao glasiti:
“Ako paket odlazi sa adrese A.B.C.D i sadrži u sebi enkapsuliran drugi paket,
a namijenjen je adresi W.X.Y.Z onda ga kriptuj koristeći potrebna sigurnosna
pravila. Ako paket dolazi sa adrese W.X.Y.Z i sadrži u sebi enkapsuliran drugi
paket onda ga dekriptuj koristeći potrebna sigurnosna pravila.”
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
# setkey -f /etc/ipsec.conf
38
dva gateway-a uz označene maske mreže (…/24 označava da se za
označavanje mreže koristi 24 bita, a za označavanje hosta 8 bita), što ukazuje
da sav promet između hostova ove dvije mreže treba da podliježe navedenoj
sigurnosnoj politici. Pošto želimo da svi paketi koji unutar sebe sadrže
upakovane (enkapsulirane) druge pakete između dva gateway-a budu
kriptovani upotrebljavamo naredbu ipencap. Opcija –P out definiše da se
navedena politika treba primijenjivati na sve izlazne pakete, a naredba ipsec
govori da ti paketi trebaju biti osigurani.
U drugoj liniji se specificira kako će paketi biti kriptovani; esp je protokol koji
će biti upotrebljen, a naredba /tunel označava da će svaki paket biti dodatno
enkapsuliran u IPSec paket. Na kraju se ponavljaju javne IP adrese gatewey-
a koje označavaju uspostavljeni sigurnosni kanal koji će se koristiti za prenos
paketa, a naredba /require govori da svi paketi koji zadovoljavaju zadano
pravilo moraju biti kriptovani.
Na ovakav način smo definisali sigurnosnu politiku samo za odlazne pakete.
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
39
Enkriptirani
paket koji je
osiguran od
Enkapsulira- neovlašte-
ni paket sa nog prislu-
Originalni
javnim IP škivanja
paket sa
privatnim adresama
IP
adresama
Kada ovakav paket stigne na drugi kraj VPN-a on se prvo dekriptuje koristeći
sigurnosnu vezu koju su uspostavila dva racoon deamona. Zatim ulazi u gif
uređaj koji će otpakovati drugi omotač, nakon čega ostaje onaj originalni paket
koji sada može biti proslijeđen na određeni host unutar udaljene lokalne
mreže.
ping 192.168.2.1
Dakle, output komande ping više nije čitljiv, tj. kriptovan je.
Na taj način smo enkriptovali sadržaj naše komunikacije između dva VPN
srevera.
40
8. Umjesto zaključka
Što se tiče scenarija implementacije VPN konekcije između dva NMC-a treba
se pridržavati slijedećeg redoslijeda radnji:
41
9. Izvori:
1. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/
2. http://www.wmo.int/pages/prog/www/TEM/EUDCS-IMTN/VPNIPsec.pdf
3. http://www.wmo.ch/pages/prog/www/TEM/gts.html
4. www.esa.int
5. http://en.wikipedia.org/wiki/
6. http://www.wmo.ch/pages/prog/www
7. http://www.ecmwf.int/services/computing/rmdcn/
8. http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)
9. http://rechten.kub.nl/koops/cryptolaw
42
10. Skraćenice korištene u radu:
43