Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuIlmari Mäki Muutettu yli 9 vuotta sitten
1
Virtual Private Network(VPN) + Virtual Tunnel(VTUN)
Toni Luukkonen
2
Mitä on VPN? Menetelmä muodostaa, tai laajentaa organisaation sisäverkko julkisen ja turvattoman verkon yli. Sisältää nykyään myös etätyöasemien yhdistämisen verkkoon Voidaan toteuttaa fyysisen laitteiston avulla, tai ohjelmistototeutuksena
3
VPN - Historiaa Termi lähtöisin 1980-luvun puheVPN-tekniikasta
Lyhyet organisaation sisäiset puhelinnumerot Dataverkoissa ensimmäiset VPN:t ns. kiinteitä vuokralinjoja (eng. leased lines)
4
Yleisimpiä VPN-tunnelointiprotokollia
PPTP(Point-to-Point Tunneling Protocol Microsoftin kehittämä protokolla Kehitettiin erityisesti yksittäisten etätyöasemien yhdistämistä ajatellen Datapaketit kapseloidaan GRE(Generic Routing Encapsulation) -prokollalla IP-paketeiksi Tunnelin valvontapaketit siirretään erillisellä TCP-yhteydellä
5
L2TP(Layer 2 Tunneling Protocol)
Kehitetty PPTP ja L2F(Layer 2 Forwarding) protokollista Sekä data-, että valvontapaketit siirretään UDP-paketeiksi kapseloituina 2 komponenttia: L2TP Access Concentrator ja L2TP Network Server
6
IPSec Koostuu useista protokollista Koostuu kahdesta osasta:
IP Authentication Header(AH) Lisätään lähetettävän IP-paketin otsikkotietoihin Sisältää hash-arvon koko paketille Varmistetaan tiedon eheys ja alkuperä IP Encapsulation Security Payload(ESP) Voidaan toteuttaa kahdessa eri tilassa; tunneli- ja kuljetustila Kuljetustilassa IP-paketin sisemmän protokollan(esim. UDP tai TCP) otsikkotiedot kapseloidaan ESP:n sisään Tunnelitilassa IP-paketti kapseloidaan kokonaisuudessaan ESP-headerin sisään ja tämän jälkeen vielä uuden julkisen IP-paketin sisään
7
VTUN Avoimen lähdekoodin VPN-sovellus
Tuetut käyttöjärjestelmät: Linux, Solaris, BSD Ei tukea tunnetuille tunnelointiprotokollille Voidaan muodostaa IP, Ethernet, SLIP ja PPP tunneleita Soveltuu etälaitteiden lisäksi yhdistämään kaksi erillistä verkkoa
8
VTUN jatkoa… Tunneloitavat paketit voidaan lähettää joko UDP-, tai TCP-paketteina Siirtonopeutta tunnelissa voidaan tarvittaessa rajoittaa Salaus voidaan poistaa käytöstä (esim. käytettäessä SSH:n yli) Lähetettävä data voidaan pakata käyttäen tehokkaampaa zlib-pakkausta, tai nopeampaa lzo pakkausta
9
VTUN ja tietoturva ”VTun doesn’t try to be the MOST secure tunneling software in the world” Blowfish algoritmi ECB salauksella Data jaetaan lohkoihin, jotka salataan kukin erikseen Käyttäjien autentikointi haaste/vastaus menettelyllä Palvelin muodostaa haasteen generoimalla 16 tavuisen satunnaisluvun, joka salataan salasanalla Paketeille ei suoriteta autentikointia Data ei ole luettavissa, mutta sitä voidaan muokata huomaamattomasti
10
Muita avoimen lähdekoodin VPN-sovelluksia
FreeS/WAN ja OpenS/WAN IPSec-protokollaan perustuvia FreeS/WAN jo lakkautettu, OpenS/WAN jatkoa IPSec alun perin suunniteltu kahden verkon yhdistämiseen Etätyöaseman yhdistämiseen mahdollisesti yksinkertaisempiakin ratkaisuja
11
OpenVPN Kapselointi joko UDP-, tai TCP-paketeiksi kuten VTUN:ssa
Ei omaa salausmenetelmää kuten VTUN:lla Käyttää OpenSSL:n standardoituja kirjastoja Huomattavasti laajempi tuki käyttöjärjestelmille kuin esim. VTUN:lla Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X ja Solaris
12
VTUN – asennus Tarvittavat paketit(samat sekä clientille ja serverille: tun-source (TUN/TAP-ajurit joilla voidaan muodostaa tarvittavat verkkolaitteet virtuaalisesti) vtun (Varsinainen sovellus) Asennus aptitude työkalulla aptitude install tun-source aptitude install vtun
13
VTUN - konfigurointi Konfigurointitiedosto /etc/vtund.conf
Kolme eri osiota: options default sekä 0-n kpl muodostettavia tunneleita Osioiden formaatti seuraava: osion_nimi{ muuttuja arvo; … }
14
Options-lohko Tärkeimpiä muutujia:
port (default 5000) persist yes|no (default no) timeout (vain clientille) Lisäksi options lohkossa voidaan kertoa VTUN:lle polkuja muille ohjelmille esim. ifconfig /sbin/ifconfig;
15
Default ja yksilölliset tunnelit
Default-lohkossa määritellyt optiot käytössä kaikille tunneleille Voidaan kuitenkin korvata yksilöllisesti tunneleille Tärkeimpiä muuttujia: password type tun|ether|tty|pipe (vain serverille) proto tcp|udp (vain serverille) compress lzo|zlib[:1-9] (vain serverille) encrypt yes|no (vain serverille) speed kbps (8,16,32,64,128,...) Lisäksi tunneleille up ja down lohkot Määritellään toimenpiteet kun tunneli avataan tai suljetaan
16
Server options { port 5000; ifconfig /sbin/ifconfig; } default {
compress no; encrypt yes; speed 0; keepalive yes; lahiverkot_tunneli { pass lahvertunneli; type tun; proto tcp; up { ifconfig "%% pointopoint mtu 1450"; }; down { ifconfig "%% down";
17
Client options { port 5000; ifconfig /sbin/ifconfig; } default {
compress no; encrypt yes; lahiverkot_tunneli { pass lahvertunneli; type tun; proto tcp; up { ifconfig "%% pointopoint mtu 1450"; }; down { ifconfig "%% down";
18
Palvelimen käyttöönotto
Palvelimen käynnistys joko asennuksessa mukana tulleella scriptillä, tai komennolla vtund –s Scriptiä käytettäessä, tulee lisätä tiedostoon /etc/vtund-start.conf rivi --server--
19
Tunnelin muodostaminen
Myös tunneli voidaan avata manuaalisesti tai käyttämällä scriptiä. Manuaalisesti tunneli voidaan avata komennolla: vtund lahiverkot_tunneli Käytettäessä scriptiä, lisätään tiedostoon /etc/vtund-start.conf rivi lahiverkot_tunneli Tunnelin avautumisen voi todeta tarkistamalla ifconfigista uuden tun0 interfacen ja esim. pingaamalla palvelinta tunnelinläpi osoitteeseen
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.