Virtuelne privatne mreže – moguće rešenje pouzdanih komunikacija Текст научной статьи по специальности «Компьютерные и информационные науки»

Marinko Smiljanić,

student stariji vodnik,

Vojna akademija, Beograd

mr Boban Pavlović,

kapetan, dipl. inž.

Vojna akademija, Beograd

Rezime:

VIRTUELNE PRIVATNE MREŽE - MOGUĆE REŠENJE POUZDANIH KOMUNIKACIJA

UDC: 004.728

004.738.5.057.4

U radu su prikazane osnovne karakteristike virtuelnih privatnih mreža (VPN - Virtual Private Networks). Analizirane su VPN mreže na drugom i trećem sloju sistema otvorenog za povezivanje (OSI - Open System Interconnnection). Objašnjena je realizacija internet protokola (IP - Internet Protocol) VPN mreže i VPN mreže u okruženju višestruke komutacije la-bela (MPLS - Multi-Protocol Label Switching). Posebna pažnja posvećena je sigurnosti MPLS VPN mreža, naročito sa stanovišta upotrebe u funkcionalnim sistemima veza, kao što je sistem veza Vojske.

Ključne reči: VPN, VPN na drugom sloju, VPN na trećem sloju, IP, MPLS, zaštita.

VIRTUAL PRIVATE NETWORKS - POSSIBLE SOLUTION OF RELIABLE COMMUNICATIONS

Summary:

In this paper the basic characteristics of the VPN networks are presented. The VPN networks on the second and the third level of the OSI reference model are analyzed. The realization of the IP VPN and VPN networks within MPLS environment is presented as well. Security in MPLS networks is one of the most important characteristics, especially in military communication systems, which is shown in the second part of this paper.

Key words: IP, Virtual Private Networks, 2L VPN, 3L VPN, protection, MPLS.

Uvod

Da bi se jedna organizaciona celina vojske povezala sa komandom, u jedin-stvenu širokopojasnu mrežu (WAN -Wide Area Network), do pre deset godina bilo je potrebno popisati adrese svih lokacija i iznajmiti telefonske linije od svake lokacije ponaosob do komandne zgrade. Pri tome je mreža mogla da bude realizovana na dva načina. Prvi način podrazumeva da se svaka jedinica pove-že sa komandom posebnom linijom, što je efikasno ako je udaljenost između jedinica velika. Drugi, efikasniji i jeftiniji način podrazumeva hijerarhijsku struktu-

ru, u kojoj se jedinice grupišu u lokalna mrežna čvorišta, koja se povezuju na centralno čvorište. I jedno i drugo rešenje zahteva zakup linija - cena tog zakupa u lokalnoj mreži nije mnogo velika, ali je korišćenje međumesnih, a pogotovo me-đunarodnih linija veoma skupo.

Internet je danas prisutan u svakom mestu, a lokalna mreža povezana sa in-ternetom biće „vidljiva“ sa svih drugih lokacija na globalnoj mreži, pa i sa lokal-ne mreže u drugoj organizacionoj jedini-ci, koja je, takođe, povezana sa interne-tom. Na primer, ako se želi povezati ko-manda jedinice u Beogradu sa organiza-cionim celinama u Valjevu i Smederevu,

194

VOJNOTEHNIČKI GLASNIK 2/2008.

dovoljno je da se na sve tri lokacije zaku-pi linija do najbližeg internet provajdera. Na taj način formira se sopstvena mreža.

Na ovaj način samo prividno je us-postavljena izolovana mreža - virtuelna privatna mreža. Mnogi proizvođači su, u potrazi za kratkim i upečatljivim ime-nom, konceptu dodelili ime ,,ekstranet“, dakle pojam suprotan pojmu ,,intraneta“, mreže koja može da bude fizički potpuno nezavisna od interneta.

VPN - osnovni pojmovi

Virtuelna privatna mreža omogućava povezivanje dve ili više udaljenih lokacija u jedinstvenu lokalnu računarsku mrežu [1]. Za realizaciju ove veze koriste se po-sebni protokoli koji omogućavaju šifrova-nje (enkripciju) podataka, čime se obezbe-đuje bezbedna razmena podataka između korisnika unutar VPN sistema. Ovakve mreže su privatne, jer resurse ovih konek-cija mogu koristiti samo organizacije koje su njihov vlasnik. Privatne su i sa aspekta rutiranja i adresnog plana, odnosno algo-ritmi rutiranja i adresni plan su potpuno nezavisni od drugih mreža. Mreža je vir-tuelna, jer se konekcije formiraju korišće-njem samo jednog dela instaliranih resur-sa javne mreže za prenos podataka. Isto-rijski gledano, X.25 je prvi WAN proto-kol koji je omogućio izgradnju VPN mre-ža na javnim mrežama za prenos podata-ka. Prevashodna uloga ovako izgrađenih mreža je smanjenje telekomunikacionih troškova efikasnijim korišćenjem infra-strukture uz istovremeno očuvanje sigur-nosti i integriteta podataka.

Tendencija je da se sve privatne po-slovne WAN mreže u budućnosti zamene

VPN baziranim WAN poslovnim mreža-ma. Osnovni razlozi za to su:

- znatno manja cena izgradnje mre-že, u odnosu na tradicionalne privatne mreže;

- omogućavanje elektronskog po-slovanja i internet ekonomije. VPN je znatno fleksibilnija i skalabilnija arhitek-tura mreže u odnosu na klasične privatne WAN mreže. Skalabilnost predstavlja mogućnost jednostavnih izmena u mreži, kako bi se omogućio rad sa novijim teh-nologijama i platformama. Kada je mre-ža skalabilna znači da odgovara zahtevi-ma koji mogu biti promenljivi i koji se mogu menjati s obzirom na konkretnu namenu mreže. One omogućavaju vrlo brzo i jeftino povećanje broja udaljenih internacionalnih lokacija, mobilnih korisnika u romingu i slično. Bez dodatnih ulaganja koriste sve raspoložive ulaze davaoca internet usluga (ISP - Internet Service Provider);

- znatno manji troškovi i napori u održavanju vlastite mreže, jer se veći deo poslova održavanja odvija u okviru mre-že provajdera koji nudi ovu uslugu;

- jednostavnija mrežna topologija. Upotrebom IP jezgra (backbone) elimi-nišu se permanentna kola (PVC - Permanent Virtual Channel) koja su se ostvarivala putem mreža zasnovanih na prenosu okvira (Frame Relay) ili asin-hronom prenosnom modu (ATM -Asynchronous Transfer Mode) i time uzrokovali punu mrežnu strukturu privatne WAN mreže, što je, pored kom-pleksnosti, znatno povećavalo i cenu re-alizacije ovakve mreže;

- mreža može da bude potpuno ili de-limično izolovana od interneta. Postoje dva

VOJNOTEHNIČKI GLASNIK 2/2008.

195

tipa praktične realizacije mreže preko koje mogu da se ostvare VPN. To su nadređeni i ravnopravni model VPN mreže.

Nadređeni (Overlay) model VPN

mreže i danas je prisutan i predrazumeva

da se na svakoj lokaciji korisnika nalazi jedan ili više rutera, koji su sa ruterima na drugim udaljenim lokacijama poveza-ni vezama tačka-tačka, iznajmljenim lini-jama, ATM ili Frame Relay vezama (sl.

1). Ovaj model efikasno funkcioniše, ali postoji značajan problem skalabilnosti i zahteva koji se postavljaju korisnicima da sami upravljaju ruterima koji održava-ju vezu između udaljenih lokacija, kao i problemi promene konfiguracije pri sva-kom dodavanju novih elemenata.

Ravnopravni (Peer) model VPN mreže treba da omogući isporučiocima servisa opsluživanje veoma velikog broja korisnika i ujedno preuzimanje funkcije administriranja njihovih mreža, tako da oni mogu da se posvete samo svom pri-marnom poslovanju, ne upuštajući se u pravila IP rutiranja (sl. 2). Model se sa-stoji od četiri komponente:

1) ograničene distribucije informa-cije o rutama,

2) upotreba višestrukih tabela rutira-nja,

3) korišćenje novog tipa adresa (VPN - IP adrese), i

4) upotreba protokola zasnovanog na komutaciji korišćenjem labela - MPLS.

Ravnopravni model će najverovatnije u budućnosti potisnuti nadređeni model. Iako su VPN rešenja zasnovana na ovom drugom modelu prisutna, ovi tipovi rešenja imaju nekoliko velikih problema koji ogra-ničavaju dalji razvoj VPN servisa. Overlay model se zasniva na kreiranju veza, a ne mreža. Svako mesto (čvor) poseduje ruter

koji je povezan linkovima tačka-tačka do rutera na drugim mestima unutar VPN. To komplikuje, odnosno povećava broj po-trebnih izmena u konfiguraciji pri dodava-nju novog čvora u postojeću mrežu. Kod VPN, gde se zahteva potpuna povezanost čvorova u mreži, to uključuje promene u konfiguraciji na svim postojećim čvorovi-ma, zbog toga što je svakom od njih po-trebna dodatna veza tačka-tačka do tog novog mesta. Kod VPN izgrađenih na konek-tivnim mrežama - mrežama sa prenosom okvira ili ATM, bez potpuno izvedenih ko-nekcija između korisnika, skaliranje jedno-stavno ne daje dobre rezultate.

Zbog toga VPN koriste ravnopravni model i nekonektivnu arhitekturu na slo-ju 3. Ravnopravni model zahteva da kori-snički čvor ,,gleda“ na samo jedan ivični ruter (PE - Provider Edge), nasuprot svim drugim korisničkim ruterima (CPE - Customer Premises Equipment) ili krajnjim korisničkim ruterima u istoj VPN. Nekonektivna arhitektura dozvo-ljava kreiranje VPN na sloju 3, elimini-šući potrebu za tunelima, kao što je pri-kazano na slici 2.

196

VOJNOTEHNIČKI GLASNIK 2/2008.

U VPN vezi može da se pojavi sledeći niz događaja, kako je prikazano na slici 3:

1. Dva krajnja korisnika najpre se međusobno autorizuju.

2. VPN server može da odredi ko-jim uslugama radna stanica ima dozvolu da pristupi i može u saglasnosti sa tim da upravlja saobraćajem koji sledi. Ovaj ko-rak se zove autorizacija.

3. Jednom kada je tunel stvoren, njegove krajnje tačke dodaju posebna za-glavlja paketima koji su adresirani za su-protnu stranu tunela, šifruju originalni paket i zaglavlje i prepakuju sve te infor-macije u nove IP pakete. Interna zagla-vlja obezbeđuju informacije o autorizaci-ji na nivou paketa i obezbeđuju da se ot-krije svako falsifikovanje podataka.

Sl. 3 - Siguran tunel virtuelne privatne mreže

Tunelovanje je najvažnija komponen-ta tehnologije virtuelnih privatnih mreža i predstavlja prenos paketa podataka name-njenih privatnoj mreži preko javne mreže. Ruteri jedne javne mreže nisu svesni da

prenose pakete koji pripadaju privatnoj mreži i VPN pakete kao normalan sadržaj.

Tunelovanje i prepakivanje je metod pri kojem se koristi infrastruktura jednog protokola za prenos paketa drugog protokola. Umesto da se šalju originalni pake-ti, oni su prepakovani dodatnim zagla-vljem. Dodatno zaglavlje sadrži informacije potrebne za rutiranje, odnosno usme-ravanje paketa kroz mrežu, tako da novo-dobijeni paket može slobodno putovati transportnom mrežom.

Tunel predstavlja logičku putanju paketa kojom se on rutira preko mreže. Prepakovani podaci su rutirani transport-nom mrežom sa jednog kraja tunela na drugi. Pojam tunel se uvodi jer su podaci koji putuju tunelom razumljivi samo oni-ma koji se nalaze na njegovom izvorištu i odredištu. Ovi paketi se na mreži rutiraju kao svi ostali paketi.

Početak i kraj tunela nalaze se u VPN mrežama. Kada prepakovani paket stigne na odredište vrši se raspakivanje i prosleđivanje na konačno odredište. Ceo proces prepakivanja, transporta i raspaki-vanja paketa naziva se tunelovanje.

Opcije veze

Kada se koristi prenosni računar po-stoji nekoliko načina za korišćenje pred-nosti VPN tehnologije da bi se ostvarila veza sa mrežom u svojoj jedinici:

- modemska veza sa lokalnim po-srednikom internet usluga. Upotreba PC modemske kartice radi ostvarivanja veze postojećim zemaljskim linijama do lokal-nog posrednika internet usluga, usposta-vljavanje dogovora po sistemu od tačke do tačke (PPP - Point-to-Point Protocol) i us-postavljanje VPN veze preko interneta;

VOJNOTEHNIČKI GLASNIK 2/2008.

197

- celulama komutirana veza sa lo-kalnim posrednikom internet usluga. Ovaj pristup je gotovo isti kao kada se koristi veza preko zemaljskih linija, izu-zev što je ostvarena preko analogne veze ili veze na bazi komutacije kola;

- celularna komutirana veza direkt-no na internet. Povezivanje na internet preko direktne digitalne veze, a ne preko modemskog pristupa. Ovakve usluge tek predstoje.

Mreže VPN na drugom sloju

(Frame Relay, ATM)

Mreže VPN na drugom sloju (u da-ljem tekstu 2L VPN) obuhvataju mreže rea-lizovane korišćenjem resursa Frame Relay i ATM mreža, što se može videti na slici 4.

Sl. 4-VPN mreže na drugom sloju

Javne mreže, kao što su FR ili ATM, mogu prenositi multimedijalne po-ruke uključujući glas, video i podatke. Ovaj tip VPN koristi usluge javne komu-tirane mreže za prenos podataka, PVC ili obilaženje virtuelnih prekidača (SVC -Switched Virtual Circuit) za razdvajanje saobraćaja razlilčitih korisnika. Paketi podataka ne moraju biti IP, niti moraju biti šifrovani. Opciono se mogu koristiti autentifikacija i šifrovanje, pri čemu identitet korisnika i integritet podataka

ostaje zagarantovan. VPN bazirani na javnim komutiranim mrežama za prenos podataka pružaju potpunu kontrolu usluga. U većini slučajeva su raspložive i do-datne usluge, kao što je opcija kvalitet servisa (QoS - Quality of Service). Ovaj tip VPN naročito je popularan u Evropi, gde su javne komutirane mreže za prenos podataka široko dostupne, a poslovno korišćenje interneta je manje razvijeno.

Frame Relay je protokol od kraja-do-kraja koji može raditi preko različitih pristupnih tehnologija, kao što je digital-ni servis integrisanih mreža (ISDN - Integrated Services Digital Network), linija sa digitalnom pretplatničkom vezom (DSL - Digital Subscriber Line) ili obi-čan stari telefonski servis sa povećanim brojem linija (POTS - Plain Old Telephone Service) dial-up linije. Nove pri-stupne metode, kao što su SVC ili ISDN pristup, govore da je FR sada pouzdanije i isplativije rešenje za globalne VPN usluge.

Mreže VPN na trećem sloju

(IP VPN mreže)

Nagli globalni razvoj interneta otvo-rio je mogućnost izgradnje VPN mreža realizovanih direktno na bazi IP protokola sa trećeg sloja OSI modela (u daljem tekstu 3L VPN). Osnovna prednost ova-kvih VPN mreža nad 2L VPN mrežama je posledica globalnog karaktera interne-ta (internet je prisutan svuda za razliku od Frame Relay i ATM mreža), a donosi i dodatnu redukciju troškova. Mreže se grade šifrovanim tunelima koji imaju istu funkciju koju su imali i virtuelna kola u 2L VPN mrežama.

198

VOJNOTEHNIČKI GLASNIK 2/2008.

RAS

server

Pori лг!

Mreže 3L VPN dele se na: internet VPN i IP VPN mreže.

Sl. 5 - IP/Internet VPN mreže

Prve su realizovane korišćenjem in-frastrukture dva ili više davalaca usluge, a druge korišćenjem resursa ^^mo lje^nog (bilo da je reč o javnoj ili privatnoj IP mreži). I jedne i druge su komb?n&cija tu-nelovanja, šifrovanja, potvrđivanja i autorizacije. Na ovakvim 3L mrežama VPN se implementira kroz tri kategorije: unutrašnje, spoljašnjepii bezbedan pristup sa daljine (Secure remote access).

Intranet podrazumeva povezivanje distribuiranih lokacija (LAN) jedne orga-nizacije, dok je extranet rezultat potrebe za povezivanjem različitih međusobno zavisnih organizacija radi razmene speci-fične vrste informacija (sigurne monetar-ne transakcije između financijskih insti-tucija, veza organizacije sa svojom internet prezentacijom „website“ koji je zaku-pljen kod ISP i sl.). Udaljenippr$upjjg treća kategorija namenjena prvenstveno za mobilne korisnike. Ova kategorija će, dugoročno gledano, zameniti široko ras-prostranjene servise za dalj inski pristup (RAS - Remote Access Service), prvenstveno zbog znatnog smanjenja troškova telefonskih poziva s obzirom na to da su svi pozivi lokalni, odnosno pozivi do naj-bliže tačke pristupa davaoca usluge (PoP

- Point of Presence), održavanje servera je prepušteno davaocu usluge (sl. 5).

Prema konkretnoj realizaciji 3L VPN se dele na: hardverski bazira-ne, softverski bazirane i bazirane na prin-cipu otvoreno - zatvoreno (Firewall) i VPN aplikacione pakete.

Većina hardverski baziranih sistema realizovana je pomoću rutera koji kriptuju podatke. Oni su sigurni i laki za implemen-taciju i obezbeđuju najveći mrežni transfer podataka od svih VPN sistema. „Firewall“ bazirani sistemi koriste prednosti ovog me-hanizma, kao što su: restrikcije pristupa u intranet, translacije adresa i onemogućava-nje ,,opasnih“ ili nepotrebnih servisa, obez-beđujući tBkol dddatrfu sigurnost VPNispr-veru. Zaštita operativnog sistema jepuj-edpo i najveća prednost ovakvih VPN sistema.

Softverski bazirani sistemi su pogodni za

VPN u kojimB odzličitE pdEgaaiiacije kon- Upravljacki

trolišu različite lokagijetl^kada su u okviru deo

jedne organizacije korišćeniirazličiti „fire-

wall“ i ruteri. Većina ovakvih VPN pruža

mogućnost tunelffabja B0©braćaja na osno-

vu IP adrese jii vrste protokg^a, za razliku

od hardverski baziranih sistema koji tuneli-

raju sav saobraćaj nezavisno od protokola.

Nedostatak softverski baziranih VPN sistema jeste što je njihovo održavanje kom-pleksnije u odnosu na hardverski bazirane sisteme, zbog toga što zahtevaju poznava-nje operativnog sistema računara na koje®pslovni je instaliran, same aplikacije i mehanizama artner zaštite podataka.

Realizacija IP VPN mreža

Mreže IP VPN mogu se posmatrati kao skup tuneliranja, šifrovanja, potvrđi-vanja i autorizacije, kao što je prikazano na slici 6.

VOJNOTEHNIČKI GLASNIK 2/2008.

199

Integritet 3L VPN m reža-6tefeiilS^flji^cPJfiS^13§uSi&šYtSIFSiSl-izIaznog VPN

je se izgradnjom „sigumih ^к^Й]итаг|tfeelfti'filЧ№^!»Ше koJe daje

javne IP komunikacione kanale njem L2TP (2L Tunneling Protocol L2F (2L Forwarding), PPTP (Point to Point Tunneling Protocol) ili IPSec (Internet Protocol Security) protokola.

Za razliku od prva tri protokola koji uspostavljaju konekciju na drugom nivou i od kojih ni jedan ne uključuje šifrova-nje korisničkih podataka, IPSec je skup protokola i procedura za uspostavu, odr-žavanje i završavanje zaštićenih komuni-kacionih kanala kroz javnu IP mrežu uz potvrđivanje i servise za šifrovanje na IP mrežnom nivou, tako da kroz IP tunele prolaze kriptovani podaci [2]. Definisana su četiri različita načina transmisije podataka kroz IP/Internet mreže (slika 7):

- bez promene - rešenje koje je specifično za različite proizvođače, a kriptuju se samo podaci i nema promene veličine paketa,

- prenosni mod - kriptuju se samo podaci, ali se povećava veličina paketa,

- šifrovani tunel mod - IP zaglavlje se kriptuje zajedno sa podacima, a paketu se dodaje novo IP zaglavlje koje kao od-

aibolju zaštitu korisničkih podataka,

orenl umermod - ništa se ne kriptuje, ali se dodaje novo IP zaglavlje.

Ukoliko se ne vrši šifrovanje podataka u IP/Internet VPN mrežama ade-kvatnije je koristiti termin Virtual Network (VN), jer je ,,privatnost“ u ovakvim mrežama pod znakom pitanja.

Transmisioni

IP/Internet

Sl. 7 - Obrada originalnog IP paketa u 3L VPN mrežama

200

VOJNOTEHNIČKI GLASNIK 2/2008.

Transmisija nekriptovanog teksta kroz internet može biti veoma opasna. Podaci mogu biti pročitani pomoću neke od ,,sniffing“ tehnologija. Razvijeni su alati kao što su „protokol analyzer“ ili mrežni dijagnostički alati ugrađeni u da-našnje operativne sisteme koji lako mogu pročitati nekriptovane podatke. Proces ši-frovanja, dešifrovanja i učesnici u njemu (pošiljalac i primalac) čine kriptosistem. Postoje dva tipa kriptosistema: privatni sa simetričnim ključem (private (symmetric) key) i javni sa asimetričnim ključem (public (asymmetric) key).

Simetrični algoritmi su najčešći u kriptografiji. Koriste složene algoritme i isti ključ za šifrovanje i dešifrovanje. Operišu nad blokovima kodiranog otvo-renog teksta određene dužine. Svoju si-gurnost uglavnom baziraju na kvalitetu i dovoljnoj dužini ključa. Šifruju sve digi-talne podatke, uključujući i e-mail, telnet konekcije, zvuk i sliku.

Neki od tih algoritama poznati su javnosti u celini ili delimično, i time su izloženi sveobuhvatnom i dugotrajnom ispitivanju. Drugi se čuvaju u tajnosti i tako izbegavaju javnu ocenu svoje sigur-nosti. Danas postoji mnogo simetričnih algoritama različitih po brzini, veličini bloka, dužini ključa, patentnim i licen-cnim pravima. Neki od poznatijih su DES (Data Encryption Standard), podvr-sta Triple DES (3DES), RC4-40, CAST-40, DES-40 i drugi.

Kao i kod svih konvencionalnih si-stema i kod simetričnih algoritama ključ za šifrovanje i ključ za dešifrovanje su isti i njime blagovremeno, sigurnim ka-nalom iz jednog izvora, moraju biti snab-deveni i pošiljalac i primalac. Na putu

prenosa informacije, protivničkom krip-toanalitičaru - prisluškivaču - dostupna je samo zaštićena poruka, a njena sigur-nost kod ovakvih sistema gotovo isklju-čivo zavisi od ključa.

Na slici 8 prikazan je jednostavan primer putanje podatka u simetričnom al-goritmu kriptosistema. U ovom primeru, pošiljalac šifruje poruku „abc“ koristeći tajni ključ, i pretvara ovu poruku u „!&#“. Svako ko ima isti tajni ključ mo-že dešifrovati poruku „!&#“ nazad u ori-ginalnu poruku „abc“.

Sl. 8 - Primer simetričnog algoritma

Najveći problemi ovih kriptosistema su u distribuciji ključeva šifrovanja, koji su osnova konvencionalnih sistema, i u utvrđivanju verodostojnosti poruke. Krip-tosistemi javnih ključeva rešavaju upravo ove probleme.

Asimetrični algoritmi, tj. algoritmi sa javnim ključevima, za šifrovanje i de-šifrovanje koriste različite ključeve, ve-zane izvesnim transformacijama, ali tako da se jedan iz drugog ne mogu dobiti bez poznavanja specijalne informacije. Kod ovih sistema i pošiljalac i primalac, svaki za sebe, generišu po par odgovarajućih ključeva, ključ za šifrovanje (javni) i ključ za dešifrovanje (tajni, lični). Prima-

VOJNOTEHNIČKI GLASNIK 2/2008.

201

lac sada šalje svoj ključ za šifrovanje po-šiljaocu, slobodno, nezaštićenim kana-lom, a ovaj mu njime šifruje poruku. Ni-ko sem primaoca nema ključ za dešifro-vanje i jedino on može da je dešifruje. Javni ključ je dostupan svima, ali je ra-čunski neostvarivo da se iz njega dobije tajni ključ.

Ipak, postoji mogućnost da se neko lažno predstavi i pošalje poruku umesto nekog drugog. Takođe je moguće da neko presretne javni ključ i umesto njega pod-metne svoj, pa će na taj način moći da pročita poruku. I za takve slučajeve krip-tosistem javnih ključeva ima rešenje. Ako osoba koja komunicira ovim sistemom že-li i verifikaciju, tj. proveru autentičnosti poruke, ona može od drugog korisnika da zahteva da svoju poruku, koju je šifrovao javnim ključem primaoca, šifruje i svojim tajnim ključem. Pri prijemu, on proverava autentičnost dešifrući poruku javnim klju-čem drugog korisnika, a onda je otvara dešifrući svojim tajnim ključem.

Dva javna ključa kriptosistema koja se obično koriste sa virtuelnim privatnim mrežama danas su Diffie-Hellman (DH) i Rivest Shamir Adlemen (RSA). Na slici 9 prikazan je jedan ovakav sistem.

B

DH Privatni ključ

komande A

DH Privatni ključ

komande B

к J

Diffie-hellman

(DH)

podeljeni tajni ključ

к к

(DH)

proračun ključa

д

Diffie-hellman

(DH)

podeljeni tajni ključ

Sl. 9 - Primer javnog ključa (asimetričnog) algoritma

Takođe je važno da se obezbedi da su korisnici baš oni za koje se predstavljaju. Internet Protocol Security (IPSec) okosnica je otvorenog standarda, koji je razvio IETF (Internet Engineering Task Force) da osi-gura privatnost podataka, potvrđivanje po-dataka i korisnika na javnoj mreži.

Razvijena su dva vida potvrđivanja: potvrđivanje korisnika i podataka. Potvr-đivanje podataka je ređe prisutno u pri-menjenim sistemima i podrazumeva identifikaciju VPN uređaja koji šalje po-datke kao i potvrdu da oni nisu menjani pri prenosu. Potvrđivanje korisnika koji koristi VPN mrežu je češće korišćen me-tod. Najčešće se koriste sistemi koji po-državaju RADIUS, TACACS/TA-CACS+ ili LDAP autentifikacioni servis.

Nakon potvrđivanja identiteta osobe koja koristi VPN, njegov ranije definisan profil određuje servise i aplikacije koje može koristiti, tako da mu se omogućava korišćenje samo onih resursa VPN za koje je autorizovan. Autorizacija koja se radi u odnosu na servis podržava: internet servise (Web browser, mail, FTP (File Transfer Protocol), Telnet i sl.)), kom-pletnu TCP (Transmission Control Protocol) familiju, zatim RPC (Remote Procedure Call) ili UDP (User Datagram Protocol) bazirane aplikacije.

Ono što svaki korisnik očekuje od vlastite mreže je određeni nivo kvaliteta, sigurnost i raspoloživost. Ukoliko je kva-litet i raspoloživost internet konekcija i bio diskutabilan poslednjih godina, stanje se značajno menja iz dana u dan, stalnim proširivanjem internet jezgra i novim ser-visima, kao što su diferencijalni servis (DiffServ - Differentiated Service) koji kvalitativno menjaju celu sliku. Sa ova-

202

VOJNOTEHNIČKI GLASNIK 2/2008.

kvim alatima IP davaoci usluge sada su u mogućnosti da garantuju određeni nivo kvaliteta definisan kroz ugovoreni nivo usluga, SLA (Service Level Agreement), što je do skoro bila osnovna prednost 2L mreža. I uz sve alate koji treba da obez-bede sigurnost podataka u IP/Internet VPN mrežama, to i dalje ostaje osnovni problem ovako realizovanih mreža, što je posledica arhitekture samog interneta koji je osmišljen kao mreža u kojoj podaci treba da budu dostupni svima.

Mreže VPN u MPLS

Komutacija polja podataka (labela) višestrukim protokolom, MPLS, predsta-vlja arhitekturu u okviru IETF standarda koja omogućava upravljanje saobraćajem i QoS podršku koji postoje kod ATM mreža, čijom primenom se ubrzava pro-sleđivanje paketa. Prosleđivanje paketa vrši se na osnovu polja podataka (etiketa) kratke dužine koje se smeštaju između zaglavlja sloja linka podataka i sloja mreže. Rezultat je formiranje mreže pro-sleđivanja bazirane na internet protokolu, sa kraćim vremenom konekcije, s obzi-rom na to da se rutiranje vrši duž označe-nih („etiketiranih“) putanja. Na slici 10 prikazana je jedna tipična IP mreža sa sa-obraćajem bez specificiranih ruta.

MPLS predstavlja način za suočava-nje sa problemima upravljanja kapacite-tom i zahtevima servisa sledeće genera-cije mreža internet jezgra baziranih na IP, problem TE (Traffic engineering). Primena MPLS povezana je sa sposob-nošću nivelisanja podataka (scalability), odnosno mogućnošću jednostavnih iz-mena u mreži, kako bi se omogućio rad sa novijim tehnologijama i platformama, i rutiranjem (zasnovane na QoS i metrici kvaliteta servisa) i može egzistirati preko postojećih ATM i FR. Pored toga, MPLS smanjuje potrebno procesiranje po pake-tu koje je potrebno kod svakog rutera u mreži sa IP, povećavajući još više perfor-manse rutera. Još značajnije, MPLS omogućava nov kvalitet u četiri oblasti koje obezbeđuju njegovu popularnost: QoS podrška, upravljanje saobraćajem, mogućnost realizacije VPN i multiproto-kolska podrška. Univerzalna priroda MPLS najviše odgovara korisnicima koji poseduju kombinovane mrežne tehnolo-gije, traže način za optimiziranjem resur-sa i mogućnosti proširenja QoS podrške. To je moguće ako se poznaje činjenica da se MPLS može primeniti na mnogo-brojnim mrežnim tehnologijama, kao i da MPLS osposobljeni ruteri mogu da „ko-municiraju“ sa običnim IP ruterima, a isto važi i za komutatore koji se mogu prekonfigurisati radi podrške datog protokola.

MPLS obavlja sledeće funkcije:

- definiše mehanizme upravljanja saobraćajnim tokovima različite prirode, kao što su tokovi između različitog har-dvera ili između različitih aplikacija;

- ostaje nezavisan od protokola na slojevima 2 i 3;

VOJNOTEHNIČKI GLASNIK 2/2008.

203

- omogućava mapiranje IP adresa u jednostavne labele fiksne dužine koje se koriste od strane različitih tehnologija prosleđivanja i komutacije paketa;

- podržava IP, ATM, i protokole za prenos okvira na sloju 2.

MPLS obezbeđuje efikasan mehani-zam za podržavanje VPN. Sa VPN sao-braćaj određene grupe korisnika prolazi transparentno kroz mrežu na način koji ga uspešno razvrstava od ostalih paketa u mreži, pružajući garancije u pogledu per-formansi i sigurnosti.

Ove mreže moraju da budu skala-bilne, ekonomične i sposobne da izađu u susret širokom opsegu zahteva korisni-ka, gde spadaju pouzdanost i sigurnost, kvalitet servisa i mogućnost povezivanja svakog sa svakim. One moraju da ponu-de kompletno pružanje multimedijalnih servisa kako bi privukle nove korisnike. MPLS se javlja kao ključna tehnologija za mreže nove generacije, posebno u optičkim mrežama. VPN bazirane na MPLS obezbeđuju fleksibilnu poveza-nost i skalabilnost, što su odlike mreža sa IP, kao i tajnost i QoS kao odlike ATM i mreža sa štafetnim prenosom okvira (FR).

S obzirom na to da MPLS bazirane VPN umanjuju kompleksnost i cenu mre-že, one dozvoljavaju davaocima servisa da svoje usluge pružaju mnogo raznovr-snijoj bazi malih i srednjih organizacija i ustanova. Za realizaciju MPLS VPN mreža dovoljna je samo jedna konekcija od njihovog rutera do krajnjeg rutera provajdera. Krajnji ruter stavlja labele na pakete i prenosi ih kroz MPLS jezgro sve do krajnjeg rutera najbližeg odredištu. Sa ovom tehnologijom, davaoci servisa sada

mogu ponuditi korisnicima VPN sa QoS, omogućenim internetom, intranetom i ekstranetom, i paketskom telefonijom bez kompleksnosti koje su ove aplikacije prethodno zahtevale kako bi proširile ser-visne ponude i stvorile dodatne prihode.

Sl. 11 - VPN mreža bazirana na MPLS

Komponente koje sačinjavaju

MPLS VPN mrežu prikazane su na slici 11. Na krajevima mreže nalaze se ruteri ka opremi korisnika (CE - Customer Edge). Ovi ruteri su deo korisničke mre-že i nemaju saznanja o VPN. Ivični (PE - Provider Edge) ruteri dobijaju putanje od rutera korisnika i prenose ih do dru-gih PE rutera preko MPLS okosnice ser-visnog provajdera. U sredini mreže nalaze se ruteri provajdera (u daljem tek-stu P ruteri), ili ruteri za komutaciju la-bela (LSR - Label Switched Routers), koji implementiraju MPLS transportni servis na trećem sloju. Važno je napo-menuti da ruteri provajdera na okosnici „nemaju saznanja“ o VPN i zbog toga pružaju mnogo veću skalabilnost. Infor-macije u vezi sa VPN potrebne su samo za PE rutere, i mogu biti raspodeljene između PE rutera. PE ruteri moraju da znaju informacije vezane za VPN pro-sleđivanje samo za one VPN u kojima su direktne veze.

204

VOJNOTEHNIČKI GLASNIK 2/2008.

Između korisničkih tačaka u VPN ne mora nužno postojati veza jedan ka j ednom. Dato korisničko mesto može biti član višestrukih VPN. Međutim, to mesto može biti u vezi samo sa jednim zahte-vom za rutiranje/prosleđivanje (VRF -VPN routing/forwarding instances). Na nekom korisničkom mestu VRF sadrži sve putanje dostupne tom mestu u VPN čiji je član.

Sigurnost MPLS VPN mreža

Današnji poslovni korisnici zado-voljni su stepenom sigurnosti koje pruža-ju Frame Relay i ATM kao VPN tehno-logije sa drugog sloja. Međutim, u po-slednje vreme sve više se javlja intereso-vanje u vezi sa stepenom sigurnosti koje pružaju MPLS bazirane VPN [3], [4].

Poređenjem MPLS VPN baziranih rešenja sa tradicionalnim VPN rešenjima sa drugog sloja, kao što su Frame Relay i ATM postavlja se nekoliko ključnih si-gurnosnih zahteva:

- neophodno je posedovati odvoje-no adresiranje i usmeravanje,

- interna struktura jezgra mreže mora biti skrivena od spoljnog sveta kao što je u slučaju Frame Relay i ATM mre-žnogjezgra i

- mreža mora biti otporna na napade tipa otkaza (DoS - Denial of Service) i napade tipa upada.

1) Adresni prostor i odvojeno

usmeravanje

Odvojeno adresiranje implicira da dve nezavisne VPN mreže poseduju pot-puno odvojene adresne prostore. Sa

aspekta usmeravanja to znači da svaki krajnji sistem u VPN mreži ima jedin-stvenu adresu, tako da se u istom VPN ne mogu pojaviti dve strane koje dele isti adresni prostor. ATM i Frame Relay ne-maju problem sa implementacijom ovih svojstava s obzirom na to da nikad ne vr-še proveru informacija na trećem sloju već se odluka o prosleđivanju donosi na osnovu kriterijuma sa drugog sloja, kao što su identifikatori konekcije linka po-dataka (DLCI - Data Link Connection Identifiers) i identifikatori virtuelne puta-nje/identifikatori virtuelnog kanala (VPI/VCI - Virtual Path Identifiers/Vir-tual Channel Identifiers).

MPLS uzima u obzir 3L deo paketa, ali istovremeno omogućava da nekoliko VPN koristi isti adresni prostor. MPLS VPN omogućava korišćenje javnog ili privatnog adresiranja. To je moguće ostvariti dodavanjem 64-bitnog identifi-katora putanje, RD (Route Distinguisher) za svaku IPv4 putanju. Ova nova puta-nja, tzv. VPN IPv4 adresa, osigurava je-dinstvenost VPN adrese i u MPLS je-zgru. Jedini izuzetak predstavlja IP adresiranje PE ili CE linkova koji moraju biti jedinstveni ako se koriste protokoli za di-namičko usmeravanje.

MPLS obezbeđuje odvajanje puta-nja tako da svaki PE ruter održava poseb-nu tabelu usmeravanja za svaki povezani VPN. Ova tabela usmeravanja, tzv. VRF (Virtual Routing and Forwarding) instan-ca, sadrži putanje s jedne VPN koje su definisane statistički ili kroz dinamički protokol usmeravanja. Dodavanjem je-dinstvenih VPN identifikatora kao što je RD, multiprotokolni BGP (Bridge Gateway Protocol) obezbedio je mogućnost

VOJNOTEHNIČKI GLASNIK 2/2008.

205

jedinstvenog identificiranja VPN putanja kroz jezgro mreže. PE ruteri međusobno razmenjuju informaciju i zatim je smeš-taju u poseban VRF unutar VPN. Koriš-ćenjem ovih svojstava moguće je ostvari-ti odvojeno usmeravanje kroz MPLS mrežu za svaki VPN.

2) Sakrivanje jezgrenog dela mreže

davaoca usluga

Za davaoce usluga i korisnike nije poželjno da interna topologija mreže bu-de vidljiva iz spoljnog sveta. Bez pozna-vanja mrežne topologije napadač može jedino pretpostaviti IP adresu koju napa-da, što čini mrežu komplikovanijom za napad. U ovom trenutku pomenuto svoj-stvo poseduju 2L VPN mreže, kao što su Frame Relay i ATM. Između mreže da-vaoca usluga i korisničke mreže jedino se razmenjuje informacija o korisničkim virtuelnim kanalima, VC. To korisniku ograničava uvid u topologiju mreže davaoca usluga. Korisnik poznaje jezgreni deo mreže jedino na osnovu informacije koju prima na temelju VC.

Ista zamisao se prenosi i na kori-sničke mreže, kao i na MPLS jezgro. MPLS ne otkriva dodatne nepotrebne in-formacije čak ni korisničkim VPN. Kako je interfejs prema VPN BGP, nema po-trebe odavati bilo kakvu informaciju o j ezgrenom delu mreže. Jedina informaci-ja neophodna u slučaju ruting protokola između PE i CE je adresa PE rutera. Ako to nije poželjno, može se konfigurisati statičko usmeravanje između PE i CE. Na taj način se MPLS jezgro može u pot-punosti sakriti i adresirati korišćenjem javne ili čak privatne adrese.

3) Otpornost na napade

Bilo da je u pitanju 2L VPN ili MPLS VPN, mreža davaoca usluge treba da bude otporna na napade. Napadi unu-tar VPN trebalo bi da budu obuhvaćeni unutar istog VPN, bez uticaja na rad dru-gih VPN. Napadač ne bi trebalo da bude u mogućnosti da pristupi ostalim VPN ili mreži davaoca usluge. Otpornost na na-pade obuhvata napade tipa otkaza, pri če-mu resursi postaju neraspoloživi ovlašće-nim korisnicima, kao i napade tipa upada ili neovlašćenog pristupa. Kako je većina DoS napada bazirana na 3L svojstvima, Frame Relay i ATM nisu praktično ose-tljivi na ovaj tip napada. Ako bi se napad ipak počinio, to bi bila interna stvar VPN mreže, jer bi mreža jednostavno prosledi-la napadnute pakete bez provere DLCI ili VPI/VCI para.

Međutim, MPLS tehnologija dozvo-ljava tu vrstu napada, kao i napad na MPLS jezgro, pri čemu postoje dva osnovna načina napada MPLS jezgra mreže: direktni pokušaj napada PE rutera i pokušaj napada MPLS signalizacionim mehanizmima.

Direktni napad PE rutera

Da bi mogao da se izvrši direktni napad PE rutera neophodno je poznavati njegovu adresu. Moguće je sakriti adre-snu strukturu MPLS jezgra mreže od spoljnog sveta, osim kada se koristi dina-mički protokol usmeravanja.

Ako napadač ne poznaje IP adresu bilo kojeg rutera u jezgru, mora je pogo-diti kako bi poslao pakete. Zbog odvoje-nog adresiranja, svaki ulazni paket tretira se kao da pripada korisničkom adresnom

206

VOJNOTEHNIČKI GLASNIK 2/2008.

prostoru. Zbog toga je vrlo teško pristu-piti internom ruteru, čak i pri pogađanju IP adresa.

Ako napadač poznaje IP adresu ru-tera koji želi napasti, postoji veliki broj načina da se poremete servisi datog rute-ra. U praksi se pristup PE ruteru preko CE-PE interfejs može ograničiti na od-govarajući protokol rutiranja korišćenjem kontrolnih lista pristupa. To ograničava tačku napada na jedan protokol usmera-vanja, na primer RIP (Routing Information Protocol) ili BGP. Potencijalni na-pad bi mogao biti poslat na veliki broj putanja ili se prosleđivati PE ruteru pri svakom ažuriranju putanja. I u jednom i u drugom slučaju to dovodi do DoS napada, ali ne i do napada tipa neovlašće-nog pristupa. Da bi se ograničio ovaj pristup, neophodno je konfigurisati protokol usmeravanja na PE ruteru na što sigurniji način.

Generalno, nije moguće pristupiti iz jednog VPN drugom VPN. Teoretski je moguće iskoristiti ruting protokol za iz-vođenje DoS napada na PE ruterima koji mogu imati negativan uticaj na druge VPN. Međutim, ako PE ruteri vrše pra-vilno filtriranje, ne postoji mogućnost pretnji ove vrste. PE ruteri moraju biti posebno sigurni, naročito na interfejsima prema CE ruterima. Kontrolne pristupne liste bi trebalo da budu konfigurisane da ograniče pristup samo ka portovima ru-ting protokola i pristup sa CE rutera.

Ometanje MPLS labela

U jezgru MPLS mreže paketi se ne prosleđuju na bazi IP odredišne adrese, nego na temelju labela koje se dodeljuju na PE ruterima. Kao i kod IP spoofing

napada u kojima napadač zamenjuje iz-vorišnu ili odredišnu IP adresu paketa, teoretski je moguće zameniti i labelu MPLS paketa.

U Frame Relay i ATM mrežama to bi bilo ekvivalentno umetanju DLCI ili VPI/VCI para. Međutim, ako ovi DLCI ili VPI/VCI parovi nisu konfigurisani na specifičnom portu dolazi do odbacivanja saobraćaja.

U MPLS interfejs između CE rutera i njegovog partnerskog PE rutera je IP interfejs, odnosno interfejs bez labela. CE ruter nije svestan MPLS jezgra i po-naša se kao da šalje IP pakete ka obič-nom ruteru. „Inteligencija“ je prisutna u PE uređaju gde se na temelju konfigura-cije odabira i dodaje labela paketu. To je uobičajeno za sve PE rutere. Svi interfej-si ka MPLS okruženju zahtevaju samo IP pakete, bez labela. Iz sigurnosnih razloga PE ruter ne sme nikada da prihvati paket sa labelom od CE rutera. Implementacija „Cisco“ rutera je takva da se odbacuju la-belirani paketi koji pristižu na bilo koji interfejs koji onemogućava komutaciju labela [5]. Na taj način nije moguće umetnuti „lažne“ labele, jer ni jedna la-bela neće biti prihvaćena.

Ostaje mogućnost zamene IP adrese paketa koji se šalje prema MPLS jezgru. Međutim, pošto postoji strogo odvajanje adresiranja unutar PE rutera i svaki VPN ima vlastiti VRF, jedino se može oštetiti VPN iz kojeg dolazi paket. Drugim reči-ma, VPN korisnik može napasti sam se-be. MPLS ne dodaje bilo kakav sigurno-sni rizik, pošto mreža davaoca usluge ni-je ugrožena, tako da se neće uticati na uslugu prema ostalim VPN. Odgovornost ispravne zaštite CE rutera isključivo pri-pada korisniku.

VOJNOTEHNIČKI GLASNIK 2/2008.

207

Kako je nemoguće umetnuti „spoo-fed“ labelu u MPLS mrežu i tako pristupiti drugom VPN ili MPLS jezgru, MPLS ba-zirani VPN obezbeđuje isti nivo sigurnosti kao i Frame Relay ili ATM bazirani VPN.

Zaključak

Sa aspekta vojne primene treba na-glasiti da savremeni načini ratovanja zah-tevaju brz prenos informacija u realnom vremenu s obzirom na uslov da je poda-tak koristan samo ako je pravovremen i pouzdan. Razvojem informatičke podrš-ke prenos govora je postao trivijalan, dok se u prvi plan stavljaju podaci i multime-dija, što postojeći sistem veza Vojske ne može da zadovolji. Opremanje Vojske novim sredstvima postaje sve teže, a veliki broj tehnoloških koraka već je pre-skočen, što u velikoj meri otežava mogu-ću kupovinu novih sistema.

Mreže zasnovane na IP tehnologiji sa uvođenjem komutacije predstavljaju budućnost modernih telekomunikacija i mogu u velikoj meri zadovoljiti potrebe prenosa različitih vrsta informacija u Vojsci. Stvaranje komutacione platforme u komandnim i informacionim sistemima otvara velike mogućnosti stvaranja pou-

zdane virtuelne privatne mreže za vojne potrebe (slika, podaci, multimedija, video konferencija, itd.). Posebnu pažnju u ovakvim sistemima treba posvetiti odgo-varajućoj zaštiti, kako softverskoj, tako i hardverskoj, s obzirom na značaj podata-ka koji se ovim putem prenose. U mogu-ćoj realizaciji jednog ovakvog komuni-kacionog sistema, a s obzirom na posto-jeće stanje u Vojsci, odgovarajuća podrš-ka trebalo bi da se potraži među ostalim imaocima telekomunikacionih sredstava na našoj teritoriji. Činjenica je da su u ovom trenutku, u segmentima vezanim za ovu problematiku, mnogi od njih opremljeniji od Vojske, iako bi situacija trebalo da bude obrnuta. Na taj način si-gurno bi se uštedela i velika materijalna sredstva, a mogao bi se dobiti jedan do-bar i pouzdan komunikacioni sistem koji bi mogao da zadovolji sve veće potrebe savremene vojske.

Literatura:

[1] International Technical Support Organization, A Comprehen-

sive Guide to Virtual Private Networks, Volume III: CrossPlatform Key and Policy Management, November 1999.

[2] Stallings, W.: Cryptography and Network Security, Prentice Hall, 1998.

[3] Rosen, E., Rekhter, Y.: BGP/MPLS IP Virtual Private Networks (VPNs), RFC 4364, February 2006.

[4] http://www.netcraftsmen.net/

[5] http://www.cisco.com/

208

VOJNOTEHNIČKI GLASNIK 2/2008.