Προχωρημένα Θέματα Δικτύων

Προχωρημένα Θέματα Δικτύων
Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής ΑΠΘ Μάθημα 3 – Virtual Private Networks

Ασφάλεια Δικτύων Virtual Private Networks
VPN: Μέθοδοι δημιουργίας υποδικτύων μεταξύ κόμβων δικτύων που δεν ανήκουν στα ίδια υποδίκτυα. Χρήσεις: Εγκατάσταση ασφαλούς επικοινωνίας πάνω από ανασφαλές κανάλι (πχ. Internet) Διαμοιρασμός πόρων (disk space, printers) Πρόσβαση σε προστατευμένα υποδίκτυα Απόκρυψη δικτυακής κίνησης Διάφορες τεχνολογίες αναλόγως σκοπού: Διασύνδεση σε layer 2 → IEEE 802.1Q (VLANs), OpenVPN Διασύνδεση σε layer 3 → OpenVPN, MPLS Διασύνδεση σε layer 2 θα πει ότι οι δυο network hosts που συμμετέχουν στο VPN είναι layer 2 γείτονες και μπορούν να μιλήσουν απευθείας μεταξύ τους με layer 2 πρωτόκολλο (πχ. Ethernet) Διασύνδεση σε layer 3 θα πει ότι οι δυο network hosts που συμμετέχουν στο VPN είναι layer 3 γείτονες και μπορούν να μιλήσουν απευθείας (με μεσολάβηση router) μεταξύ τους με layer 3 πρωτόκολλο (πχ. IP)

Τι είναι το VPN; VPN Στο ίδιο LAN! Hub LAN /24 Hub Router LAN /24 Encrypted...

Πως συμπεριφέρεται ένας υπολογιστής όταν έχει δυο δικτυακές συνδέσεις; Hub Router Α ForthNet /24 Hub Router Β OTE /24

Παράδειγμα: Ο εργαζόμενος στον Λευκό Οίκο, συνδέεται στο κλειστό δίκτυο του Λ.Ο. μέσω VPN από το σπίτι του και μπορεί πλέον να προσπελάσει με ασφάλεια τους πόρους αυτού του δικτύου LAN /24 Ανασφαλές!!! Hub Router Internet Router Virtual Private Network Switch VPN Server Ίδιο LAN!

Παράδειγμα: Πρόσβαση σε προστατευμένο δίκτυο του ΑΠΘ από ανασφαλή ADSL σύνδεση σπιτιού Router Firewall LAN /24 Ανασφαλές!!! Internet Switch Hub Router VPN Server ( ) Virtual Private Network File Server ( ) A.Π.Θ. Print Server ( ) Ακολουθεί το config για το παραπάνω test case

Στον υπολογιστή του σπιτιού (πριν το VPN): # ifconfig eth Link encap:Ethernet HWaddr 00:22:19:e3:26:1e [ wired Ethernet – ασύνδετο ] UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:17 wlan Link encap:Ethernet HWaddr 00:22:5f:6e:cc: [ WiFi Ethernet – connected ] inet addr: Bcast: Mask: inet6 addr: fe80::222:5fff:fe6e:cc63/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:63008 TX packets: errors:28 dropped:0 overruns:0 carrier:0 RX bytes: (1.6 GiB) TX bytes: (231.1 MiB) O υπολογιστής μας έχει δυο Ethernet interfaces (κάρτες δικτύου) και αυτή τη στιγμή είναι συνδεδεμένος με το Internet με την Wireless κάρτα (wlan0).

Στον υπολογιστή του σπιτιού (πριν το VPN): Εύρεση δικτυακής διαδρομής μέχρι έναν host του ΑΠΘ # traceroute traceroute to ( ), 30 hops max, 60 byte packets ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 4 thes-crsa-thes7609a-1.backbone.otenet.net ( ) ms ms ms 5 athe-crsa-thes-crsa-2.backbone.otenet.net ( ) ms ms ms 6 athe7609k1-athe-crsa-2.backbone.otenet.net ( ) ms ms ms 7 grnet.gr-ix.gr ( ) ms ms ms 8 koletti1-to-eie2.backbone.grnet.gr ( ) ms ms ms 9 clientRouter.auth.koletti-1.access-link.grnet.gr ( ) ms ms ms 10 atlantas-bb.ccf.auth.gr ( ) ms ms ms 11 postmortem.csd.auth.gr ( ) ms ms ms Home Net OTENet GRNet ΑΠΘ Mε την traceroute, βρίσκουμε όλη τη διαδρομή των routers που πρέπει να ακολουθήσει ένα πακέτο μέχρι να φτάσει στον προορισμό του. Εδώ βλέπουμε το πακέτο πως περνάει από το δίκτυο της OTENet και μετά μπαίνει στο δίκτυο του GRNet και τέλος στο δίκτυο του ΑΠΘ.

Στον υπολογιστή του σπιτιού (με το VPN): # ifconfig wlan Link encap:Ethernet HWaddr 00:22:5f:6e:cc: [ WiFi Ethernet - όπως και πριν ] inet addr: Bcast: Mask: inet6 addr: fe80::222:5fff:fe6e:cc63/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:63065 TX packets: errors:28 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (1.6 GiB) TX bytes: (231.1 MiB) Interrupt:17 tap Link encap:Ethernet HWaddr 16:ff:d5:9e:8d: [ VPN virtual Ethernet interface ] inet addr: Bcast: Mask: inet6 addr: 2001:648:2800:212:14ff:d5ff:fe9e:8d91/64 Scope:Global inet6 addr: fe80::14ff:d5ff:fe9e:8d91/64 Scope:Link RX packets:95 errors:0 dropped:0 overruns:0 frame:0 TX packets:53 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:11308 (11.0 KiB) TX bytes:6675 (6.5 KiB) Mε την ενεργοποίηση του VPN, ένα νέο interface (“κάρτα δικτύου”) προστέθηκε στον υπολογιστή και με αυτό το interface ο υπολογιστής πλέον είναι ισότιμο μέλος του /24 υποδικτύου

Στον υπολογιστή του σπιτιού (μετά το VPN): Εύρεση δικτυακής διαδρομής μέχρι έναν ΑΠΘ host # traceroute traceroute to ( ), 30 hops max, 60 byte packets 1 atlantas-vlan212.ccf.auth.gr ( ) ms ms ms 2 postmortem.csd.auth.gr ( ) ms ms ms Προστατευμένο δίκτυο /24 Δίκτυο Σχολής /24 ΑΠΘ Router Local user Πάνω από το VPN! Mε την ενεργοποίηση του VPN, o υπολογιστής ως ισότιμο μέλος του /24 υποδικτύου που είναι πλέον, μπορεί να μιλήσει με τον με 1 hop (τον AΠΘ router). Τι γίνεται όμως στο background;

Στον υπολογιστή του σπιτιού (μετά το VPN): Ping από τον VPN χρήστη, στον – Τι γίνεται στα layers; # ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_req=1 ttl=63 time=0.411 ms Το OS κοιτάει αν το target ΙP ( ) είναι στο ίδιο υποδίκτυο (με subnet mask) με κάποια από τις local ΙPs ( /24, /24) – Δεν είναι → Άρα θα σταλεί στον default gateway. O gateway που έχει πάρει το OS πάνω από το VPN είναι ο Για να του στείλει το ping, πρέπει να ξέρει την MAC address του. Το OS δημιουργεί ένα broadcast ΑRP request για το , το οποίο το παραλαμβάνει το virtual interface του VPN, το tap0. To πακέτο (ARP request (layer 2)) παραλαμβάνεται από το software του OpenVPN, κρυπτογραφείται, γίνεται encapsulate σε ένα πακέτο με source την IP του wlan0 ( ) και destination τον VPN server και αποστέλλεται. Το παραλαμβάνει ο VPN server, το κάνει decapsulate, το αποκρυπτογραφεί και βλέπει ότι πρόκειται για ένα broadcast πακέτο οπότε το στέλνει στο switch του υποδικτύου. Το switch το κάνει broadcast παντού οπότε το λαμβάνει ο gateway ( ) και απαντάει με ένα ARP response με την MAC του, το οποίο έχει destination ΜΑC την MAC του tap0. To switch ξέρει την MAC του tap0 από το port που συνδέεται ο VPN server, οπότε το στέλνει εκεί και το παραλαμβάνει το φυσικό interface του VPN server ( ). Το φυσικό interface κοινοποιεί το πακέτο στο αντίστοιχο tap interface του VPN server (τα δυο interfaces είναι bridged). To ΟpenVPN του VPN server κρυπτογραφεί το πακέτο, του βάζει src IP και dst IP την public IP του home net και το στέλνει στο φυσικό interface του VPN server και από εκεί το πακέτο φτάνει στο wlan0 του OS μας. Το wlan0 το παραδίδει στο OpenVPN software (tap0) το οποίο το αποκρυπτογραφεί και βγαίνει το ARP response ( is at 00:0f:3d... (η ΜΑC του gateway). Έτσι, μάθαμε την MAC προς την οποία πρέπει να φύγει το ICMP πακέτο...

Στον υπολογιστή του σπιτιού (μετά το VPN): Ping από τον VPN χρήστη, στον – Τι γίνεται στα layers; # ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_req=1 ttl=63 time=0.411 ms Το OS δημιουργεί το ICMP πακέτο και το βάζει σε ένα layer 3 πακέτο (με src IP την και dst IP την , το οποίο το ενθυλακώνει σε ένα Ethernet πακέτο (layer 2) με destination MAC την MAC του gateway ( ) που μόλις έμαθε. Το OS παραδίδει το παραπάνω πακέτο στο tap0 interface, που το παραδίδει στο OpenVPN software που το κρυπτογραφεί και το στέλνει στο wlan0 interface το οποίο το ενθυλακώνει σε ένα layer 3 πακέτο με src IP την και dst IP την (VPN server). O VPN server (tap0) το παραλαμβάνει και αποκρυπτογραφεί το payload. Προκύπτει το πακέτο με src IP και dst IP , το οποίο παραδίδεται στο φυσικό interface, το οποίο το στέλνει στο switch. To switch βλέπει ότι έχει destination MAC την MAC του gateway ( ) και του το παραδίδει. Ο gateway βλέπει ότι το πακέτο έχει destination το οπότε ψάχνει σε ποιο υποδίκτυό του ανήκει η IP αυτή. Βρίσκει ότι ανήκει στο /24 Ο gateway κάνει broadcast ARP request στο /24 υποδίκτυο για να μάθει σε ποια MAC address να στείλει το πακέτο. Ο απαντάει με ARP reply: is at 00:cd:1f... O gateway ενθυλακώνει το IP πακέτο σε ένα Ethernet πακέτο με dst MAC αυτή του που μόλις έμαθε, το στέλνει από το interface του στο οποίο συνδέεται το /24 subnet, εκεί το παραλαμβάνει το switch, το οποίο ξέρει από πριν πίσω από ποιο interface του βρίσκεται ο ο οποίος και το παραλαμβάνει (επιτέλους).

Εργασία Στο βήμα 14 στην προηγούμενη διαφάνεια, ο παρέλαβε το ICMP ping και τώρα θα απαντήσει. Εργασία: Καταγράψτε για κάθε φυσικό link από το οποιο θα περάσει η ICMP απάντηση, src και dst του κάθε layer, καθώς και τι υπάρχει ως payload στο υψηλότερο layer, μέχρι να φτάσει στον υπολογιστή μας και να εμφανιστεί η απάντηση: 64 bytes from : icmp_req=1 ttl=63 time=0.411 ms switch ADSL Router Router A.Π.Θ. Internet VPN Server ( ) Για το κομμάτι “Internet” μείνετε σε layer >= 3

Προχωρημένα Θέματα Δικτύων

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "Προχωρημένα Θέματα Δικτύων"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια

Είσοδος

Σύνδεση μέσω των κοινωνικών δικτύων:

Προχωρημένα Θέματα Δικτύων

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "Προχωρημένα Θέματα Δικτύων"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια