Virtuelne privatne mreže

Berislav Todorović

Kako povezati filijale sa upravnom zgradom, u jedinstvenu WAN mrežu? Do pre deset godina, zahtev bi projektanta bacio na muke: trebalo je popisati adrese svih lokacija i iznajmiti telefonske linije od svake lokacije ponaosob do upravne zgrade firme. Pri tome je mreža mogla da bude realizovana na dva načina. Prvi način podrazumeva da se svaka filijala poveže sa centralom posebnom linijom, što je efikasno ako je udaljenost između filijala velika. Drugi, efikasniji i jeftiniji način podrazumeva hijerarhijsku strukturu, u kojoj se filjiale grupišu u lokalna mrežna čvorišta, koja se povezuju na centralno čvorište. I jedno i drugo rešenje zahteva zakup linija - cene tog zakupa su skromne, ali je korišćenje međumesnih, a pogotovo međunarodnih linija veoma skupo.
Internet je danas prisutan u svakom zapadnoevropskom i američkom mestu, a lokalna mreža povezana na Internet biće "vidljiva" sa svih drugih lokacija na globalnoj mreži, pa i sa lokalne mreže u drugoj filijali, koja je takođe povezana na Internet. Drugim rečima, ako želite da povežete centralu firme u Beogradu sa filijalama u Budimpešti i Beču, dovoljno je da na sve tri lokacije zakupite liniju do najbližeg Internet provajdera i formirali ste korporacijsku mrežu svoje firme, a da niste ni osetili.
Sve to izgleda poput slike 1: sve filijale se međusobno vide, što krajnjem korisniku daje privid da je uspostavljena prava WAN mreža... a nije! Uspostavljena je samo prividno izolovana mreža - virtuelna privatna mreža (VPN). Mnogi proizvođači su, u potrazi za kratkim i upečatljivim imenom, konceptu dodelili ime "ekstranet", dakle pojam suprotan pojmu intraneta, mreže koja može da bude fizički potpuno nezavisna od Interneta.

Klasifikacija VPN

Pojam virtuelnih privatnih mreža daleko je širi od onoga što prikazuje slika 1 - u opštem slučaju on obuhvata skup uređaja, povezanih korišćenjem Interneta kao transportnog medijuma, koji krajnjem korisniku daje privid potpuno ili delimično izolovane privatne mreže. Takav privid korisniku se može stvoriti korišćenjem protokola različitih slojeva OSI modela, pa se virtuelne privatne mreže grubo dele na mreže sa prividom ostvarenim na nivou aplikacije (application-layer VPNs), na nivou protokola mrežnog sloja (network-layer VPNs) ili na nivou protokola sloja veze (data-link VPNs).
Privid jedinstvene privatne mreže najlakše je stvoriti na nivou aplikacije; klasičan primer je DNS. Registracijom svih računara u filijalama firme unutar domena firme (npr. firma.co.yu), korisnik stiče utisak da se svi računari nalaze u istoj mreži: navede ime računara (npr. vienna.firma.co.yu) i nađe se na računaru iz bečke filijale. Uz primenu kriptografske zaštite komunikacije, ovakvo rešenje može da bude zadovoljavajuće. Ipak, ono sa stanovišta održavanja i upravljanja mrežom nije fleksibilno, pošto će filijalama lokalni provajderi dodeliti posebne adresne prostore. Svako proširenje mreže u filijalama zahtevaće dodatne IP blokove, kao i stalne renumeracije mreže pri promeni provajdera na pojedinim lokacijama, a samim tim i ogromne izmene u parametrima softvera za nadzor i upravljanje mrežom. Na kraju, ovakva mreža oslanja se na javne DNS servere, a poznato je da poruke koje DNS šalje kao odgovore na upite mogu lako da se lažiraju. Samim tim postavlja se pitanje bezbednosti i pouzdanosti, koje jedna poslovna mreža mora da pruži korisnicima.
Privid jedinstvene privatne mreže može da se stvori i na nivou protokola sloja veze. Ove mreže se funkcionalno ne razlikuju od klasičnih WAN mreža: mreže realizovane različitim topologijama PVC-ova, uspostavljenim korišćenjem javnih FrameRelay ili ATM switch-eva i virtuelne lokalne mreže (VLAN) formirane na jednom Ethernet switching hub uređaju su primeri ovako uspostavljenih mreža. Koncept je postojao još pre deset godina, iako tada nije nosio isto ime. U vreme kada je Internet bio akademska mreža, postojale su nacionalne mreže za prenos podataka, zasnovane na (zastareloj) X.25 tehnologiji, čiji je protok ograničen na 64 kbit/s po kanalu.

Internet transport

Ove resurse su u evropskim zemljama držale nacionalne PTT organizacije, koje su tarifirale kako vreme prenosa, tako i količinu prenetih podataka u "segmentima" (64 okteta)... i to uz basnoslovne tarife. Možda "poštansko" shvatanje pojma prenosa podataka nije bilo presudan faktor širenja Interneta, ali je uticalo da ljudi nađu način da izbegnu plaćanje skupe, a nekvalitetne usluge. Apetiti korisnika rasli su iz dana u dan, pa su analogne iznajmljene linije bile zamenjene digitalnim sistemima prenosa - n * 64 kbit/s, pa n * 2 Mbit/s, pa 34 Mbit/s...
Iz dana u dan nastajale su korporacijske mreže: kamen po kamen, palača, a mreža po mreža - komercijalni Internet! I dok su nacionalne PTT organizacije zazirale od primene bilo kakve tehnologije koju nisu već propisali i standardizovali "ljudi u crnom" (ne, oni se kod "poštara" ne zovu MIB, već ITU, "Međunarodna unija za telekomunikacije"), korisnici Interneta nisu imali takve predrasude. Po Internetu su najpre prenosili podatke, a onda i digitalizovani govor, izazvavši time telefonske kompanije na direktan duel!
ITU je nedavno morala da prizna da Internet više nije "još jedna" telekomunikaciona usluga, već deo infrastrukture, poput telefona, električne energije i puteva. Kada infrastruktura postoji svuda, zašto je ne iskoristiti... i tu dolazimo do koncepta "pravih" virtuelnih privatnih mreža, zasnovanih na protokolima mrežnog sloja (network-layer VPNs, Layer 3 VPNs) - tačnije korišćenja samog Interneta kao transportnog medijuma. Ovakvo rešenje je, sa stanovišta cene realizacije, pristupačno čak i za manje firme, pa koncept može da bude zanimjliv za naše firme sa filijalama u svetu.

Kontrolisano rutiranje

Kada govorimo o virtuelnim privatnim mrežama koje koriste Internet kao osnovu, razlikujemo dve kategorije implementacija. Prva, jednostavnija, podrazumeva restrikciju skupa informacija o dostupnim IP mrežama na ruterima u pojedinim filjalama. Konkretno, korisnik A sa slici 1 (crveno obojene mreže) bi na svom ruteru u bečkoj filijali postavio statičke putanje do IP mreža koje se koriste u Budimpešti (npr. 192.168.2/24) i Beogradu (191.168.1/24). Slično bi se uradilo i na ruterima u druge dve filijale - u Budimpešti i Beogradu. Uz to, na ruterima u posmatranim filjialama ne sme se postaviti default putanja (0.0.0.0). Tako bi računari na mreži korisnika A u bečkoj filijali "znali" da na mreži postoje samo još dve filijale - i ništa više. Poruke upućene sa bilo koje tačke na Internetu računarima u bečkoj filijali, van posmatrane privatne mreže završiće na ruteru, kojim je filijala povezana sa provajderom. Ruter, s obzirom da u svojoj tabeli ima samo IP mreže druge dve filijale, a nema default putanju, neće umeti da uputi odgovor. Dodatna mera zaštite može da obuhvati i postavljanje access lista na ruteru, kojima će se sprečiti ulazak svih IP datagrama u mrežu filjiale, čije izvorišne adrese ne pripadaju drugim filijalama. Relevantan deo konfiguracije rutera u bečkoj filijali prikazan je na slici 6.
Konfiguracija deluje jednostavno, ali ima brojne nedostatke. Ako je upravljanje ruterom u nadležnosti filijala, postoji mogućnost da korisnici u filijali postave statičku default putanju ka provajderu; dovoljan je neozbiljan administrator, koji ima elementarno znanje o ruteru, a koji će "samo privremeno" dodati uključiti default putanju i skinuti access liste da bi mogao da se šeta Internetom u trenucima dokolice. Eto problema: hakerima su vrata mreže filijale širom otvorena, a kada se domognu pristupa, vršljaće po kompletnoj privatnoj mreži.
Problem je delimično rešiv dodatnim filtriranjem saobraćaja na strani provajdera, ali još ozbiljniji nedostatak jeste rasipanje adresnog prostora. Zatvoreni karakter ovakvih mreža nalaže korišćenje privatnih IP adresa, definisanih preporukom RFC 1918 (npr. mreža 10/8). S druge strane, većina provajdera će glatko odbiti da rutira privatne IP mreže pojedinih korisnika, jer je pomenutom preporukom zabranjeno rutirati ove IP mreže na Internetu. Jedino rešenje je korišćenje javnih IP adresa u zatvorenoj mreži, što se, prema tekućim preporukama, smatra lošim rešenjem.
Moguće rešenje je korišćenje privatnih IP adresa, uz upotrebu adresnog translatora (NAT) na ruteru svake filijale ponaosob. Uz dodatak kvalitetnih firewall servera i odgovarajućih access lista na ruterima, u ovakvoj konfiguraciji može da se ostvari solidna zaštita mreže. Tipična konfiguracija lokalne mreže jedne filijale prikazana je na slici 2: mreža se sastoji iz (opcionog) javnog dela, na kome se koristi 16 javnih IP adresa (192.168.3/29 na slici 2), dodeljenih od strane lokalnog provjadera, kao i privatnog dela, na kome se koriste privatne IP adrese (10.1.3/24). Savremeni firewall serveri (poput Cisco PIX), omogućavaju fleksibilno definisanje prava pristupa korisnika unutar privatnog dela mreže pojedinim odredištima na Internetu, kao i pristup pojedinim računarima na privatnoj mreži sa Interneta.
Rešenjem se omogućava definisanje permanentnog adresnog prostora za kompletnu korporacijsku mrežu. Tako se u našem primeru, na nivou kompletne virtuelne mreže može usvojiti da filijala u Beogradu koristi privatne adrese 10.1.1/24, u Budimpešti 10.1.2/24 u Beču 10.1.3/24... javne adrese će zavisiti od provajdera. Pri promeni provajdera, privatne adrese će ostati iste, dok će se izmeniti samo adrese u javnom delu mreže, kao i adresa spoljašnjeg interfejsa Firewall servera.

Kroz tunel do cilja

Odlična i često korišćena alternativa je formiranje logičkih tunela (tunneling) za razmenu poruka između dve privatne mreže. Formiranje logičkih tunela predstavlja način da se paketi podataka, koji pripadaju proizvoljnom mrežnom protokolu (IPX, DECnet, AppleTalk.., pa čak i IP!), upakuju u IP datagrame (u polje predviđeno za podatke) i kako takvi prenose putem Internet i intranet mreža, kao i svi ostali paketi. Pakovanje (enkapsulacija) poruka u IP datagrame, kao i njihovo raspakivanje (dekapsulacija) se vrši na polaznom i odredišnom računaru, odnosno ruteru u mreži - dve fiksno određene tačke u mreži, koje određuju krajeve logičkog tunela (tunnel endpoints).
Logički tuneli mogu da da se definišu između dve fiksne tačke u mreži (point-to-point) ili između jedne i više fiksnih tačaka u mreži (point-to-multipoint). Primer ponit-to-point tunela prikazan je na slici 3, gde se između rutera koji povezuju lokalne Ethernet mreže A (10.1.1/24) i B (10.1.3/24) na Internet uspostavlja logički tunel. IP datagram, upućen sa 10.1.3.5 ka 10.1.1.5, najpre dolazi na ruter, koji mrežu A povezuje sa ostatkom sveta. Ruter pakuje datagram u novi paket, čija će izvorišna IP adresa odgovarati njegovom serijskom interfejsu (195.1.1.1), a odredišna adresa serijskom interfejsu rutera mreže B ka Internetu (195.2.3.1). Ovakav paket preneće se, kao i svaki drugi IP datagram; rutera B će ga primiti i raspakovati, čime će se originalni IP datagram rekonstruisati i nastaviti put ka odredišnom računaru (10.1.1.5).
Ključnu ulogu u pakovanju i raspakivanju datagrama imaju ruteri u mrežama A i B sa slike 3, koji predstavljaju kranje tačke tunela. U primeru sa slike, ruter A mora da zna kako da upakuje datagrame koji mu pristižu sa Ethernet interfejsa, kao i adresu na Internetu (drugi kraj tunela) gde tako upakovane datagrame treba da pošalje. Ruter B mora da zna kako da raspakuje datagram koji mu pristiže sa rutera A, kao i da ga prosledi odredišnom računaru. Da bi ove zadatke uspešno obavljali, neophodno je da im se obezbedi mehanizam kojim će da razlikuju "obične" datagrame od datagrama koji sadrže pakete drugih protokola.
Prepoznavanje datagrama koji sadrže pakete drugih protokola rešeno je u okviru samog IP-a: posebno polje u zaglavlju IP datagrama (protocol_id) nosi informaciju o protokolu kome paket sadržan unutar IP datagrama pripada. Način enkapsulacije paketa drugih protokola unutar IP datagrama rešava se zavisno od protokola i proizvođača opreme. Cisco ruteri, naprimer, koriste univerzalan način pakovanja IP i non-IP paketa unutar IP datagrama, poznat pod nazivom GRE (Generig Route Encapsulation), a podržavaju nekoliko drugih standardnih načina enkapsulacije paketa; u slučaju korišćenja GRE enkapsulacije, protocol_id ima vrednost 47. Kada primi ovakav datagram, Cisco ruter zna da on u sebi sadrži drugi paket i pristupa raspakivanju.

Dve alternative

Sa stanovišta korisnika (ako se koriste Cisco ruteri) na ruterima A i B treba definisati tunelske interfejse. U okviru definicije tunelskih interfejsa posebno treba navesti protokole čiji se paketi prenose iz jedne mreže u drugu. Za slučaj mreže sa slici 3, unutar IP datagrama prenose se drugi IP datagrami, pa konfiguracija tunelskih interfejsa ima oblik sa slike 7. Da bi virtuelna privatna mreža sa slike 1 funkcionisala kao jedinstvena, treba definisati bar dva tunela, npr. Beograd-Beč i Beograd-Budimpešta.
Sa stanovišta Internet provajdera, svakoj filijali je za rad potrebna samo jedna IP adresa, adresa serijskog interfejsa ka lokalnom provajderu, pa ovakav način rada štedi adresni prostor. Povećanjem broja filijala raste potreba za uspostavljanjem novih logičkih tunela, ali treba imati u vidu da preveliki broj tunela, uspostavljenih na jednom fizičkom interfejsu rutera može da optereti kako fizički link, tako i sam ruter. Zato treba pribeći alternativama, tj. izabrati decentralizovanu organizaciju logičkih tunela ili primenu NHRP protokola i multipoint tunela.
Tunel ne rešava jedan od osnovnih problema u virtuelnim mrežama, a to je zaštita podataka koji se prenose. Koristicima Cisco rutera, na raspolaganju su dva nivoa zaštite. Jednostavniji nivo podrazumeva korišćenje zajedničkog ključa (tunnel key), identifikatora sadržanog unutar IP datagrama koji se prenosi između krajeva tunela, a koji je poznat na oba kraja tunela. Zajednički ključ konfiguriše se naredbom tipa tunnel key 42, gde je 42 broj poznat obema stranama tunela, koji se prenosi unutar datagrama. Drugi, složeniji nivo, podrazumeva korišćenje mehanizama kriptozaštite (crypto maps), što je detaljnije opisano na www.cisco.com/warp/public/700/13.html. Na kraju, primenom kriptozaštite na nivou aplikacije (npr. SSH - www.cs.hut.fi/ssh/) moguće je dobro zaštititi podatke.

Rešenje sa dial-in pristupom

Do sada smo opisali rešenja pogodna za firme sa većim ispostavama, od kojih svaka ima potrebu za intenzivnim pristupom mreži. Česte su firme u čijim filijalama radi mali broj ljudi; ekstreman slučaj, koji sam lično imao prilike da vidim na Kipru, jesu off-shore kompanije u kojima sedi samo sekretarica, koja prima i šalje faksove, e-mail poruke i odgovara na telefonske pozive i to isključivo od 9-17 časova! Iznajmiti fiksnu liniju do provajdera u takvom slučaju predstavlja čisto bacanje novca.
Daleko je bolje obezbediti jedan dial-in nalog kod provajdera, kojim će sekretarica pristupati korporacijskoj mreži po potrebi. Time dolazimo do posebne kategorije virtuelnih privatnih mreža, koje se u literaturi zovu VPDN (Virtual Private Dial Networks). Da bi VPDN mreža funkcionisala kao jedinstvena, treba rešiti dva problema. Prvi se odnosi na sprečavanje zloupotreba, koje su prisutne gde god je prisutan dial-in pristup. Zaštitne mehanizme u u dial-in terminologiji često zovemo AAA - autentifikacija, autorizacija i i accounting.
Drugi problem vezan je za adresni prostor koji koristi korporacijska mreža. Korporacijski intranet najčešće je rešen korišćenjem privatnih IP adresa, pa treba uspostaviti logički tunel između računara dial-in korisnika i neke tačke unutar korporacijske mreže. Oba problema uspešno su rešili Microsoft - PPTP (Point-to-Point Tunneling Protocol) protokolom i Cisco - L2F (Layer 2 Forwarding) protokolom. Potom su dva giganta, kombinacijom oba protokola, definisali novi L2TP (Layer 2 Tunneling Protocol), koji je naišao na odobravanje od strane više velikih proizvođača opreme.
Koncepcija VPDN mreže u kojoj se koristi PPTP protokol prikazana je na slici 4: korisnik uspostavlja klasičnu dial-in vezu sa lokalnim provajderom, korišćenjem PPP protokola (1, 2). Pošto se veza uspostavi, korisnikov računar uspostavlja tzv. kontrolnu sesiju sa udaljenim PPTP serverom (3), korišćenjem TCP protokola, zahtevajući formiranje tunela. Sledi autentifikacija i provera autorizacije korisnika; ako je naveo ispravne podatke, između njegovog računara i PPTP servera uspostaviće se tunel kojim će moći da se prenose paketi IP i drugih protokola.

Jednostavno korišćenje

Korišćenje PPTP protokola za formiranje virtuelne mreže je jednostavno - treba obezbediti PPTP server i softver na strani korisnika koji podržava PPTP (Windows 95 DialUp Networking, počev od OSR-2, podržava PPTP!). Na access serverima lokalnih provajdera, kojima udaljene filijale pristupaju mreži, nisu potrebne nikakve izmene. Drugim rečima, provajderi neće uočiti nikakvu razliku između normalnog IP saobraćaja i saobraćaja koji se prenosi PPTP tunelima, pa je ovakvo rešenje veoma pogodno, recimo, za pristup mreži od strane trgovačkih putnika.
Alternativa PPTP protokolu je L2TP, čiji je princip rada prikazan na slici 5. I u ovom slučaju korisnik uspostavlja klasičnu PPP vezu sa provajderom, ali dalje aktivnosti preuzima access server provajdera koji uspostavlja logički tunel preko Interneta sa tzv. L2TP serverom, lociranim na korporacijskoj mreži. Logički tunel može da bude uspostavljen permanentno ili na zahtev korisnika.
Access server provajdera prosleđuje korisničko ime i lozinku koju je korisnik uneo L2TP serveru, koji obavi autentifikaciju. Ako je identitet korisnika ispravan, PPP pakete koje korisnik šalje sa svog računara access server lokalnog provajdera će primati, skidati im PPP zaglavlje i CRC, pakovati ih u L2TP pakete i slati ih kroz logički tunel ka L2TP serveru, koji će ih dalje raspakovati. Ovakav način rada je na prvi pogled složeniji, jer zahteva delimičnu rekonfiguraciju access servera lokalnih provajdera. Zahvaljujući tome, lokalni provajderi su u poziciji da tu uslugu posebno naplaćuju firmi koja zahteva formiranje tunela. Pomenuti slučaj filijala sa jednom sekretaricom, raspoređenih u različitim gradovima, svakako nije povoljan za korišćenje L2TP koncepta. Prednost L2TP protokola, međutim, dolazi do izražaja u firmama koje svojim radnicima žele da obezbede rad u korporacijskoj mreži od kuće (telecommuting). S obzirom da veliki broj radnika stanuje u naseljima blizu kompanija gde su zaposleni, izbor lokalnog provajdera sa kojim bi se sklopio povoljan ugovor može da donese drastične uštede kompaniji u odnosu na slučaj gde svaki radnik bira različitog provajdera, a kompanija mu refundira troškove pristupa.

Zaključak

Virtuelne privatne mreže predivno izgledaju na papiru, ali kako je u praksi? Is it safe, pitao je Lorens Olivije u jednom starom filmu, a isto se pitaju i administratori. Bez obzira na sve, pojava VPN označava potvrdu sveprisustva globalne mreže, koje postajemo svesni sve više, kako vreme prolazi.

interface Serial0
description Interface to ISP Vienna
ip address 192.168.254.9 255.255.255.252
ip access-group 101 in
! Known routes to: Belgrade (192.168.1/24) and Budapest (192.168.2/24)
ip route 192.168.1.0 255.255.255.0 Serial0
ip route 192.168.2.0 255.255.255.0 Serial0
! --- Access list - allow only Belgrade and Budapest to send us datagrams
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

interface Ethernet0
description Office A LAN
ip address 10.1.3.1 255.255.255.0
interface Serial0
description Interface to ISP of A
ip address 195.1.1.1 255.255.255.252
interface Tunnel0
tunnel source Serial0
tunnel destination 195.2.3.1
ip address 10.254.1.1 255.255.255.252

interface Ethernet0
description Office B LAN
ip address 10.1.1.1 255.255.255.0
interface Serial0
description Interface to ISP of A
ip address 195.2.3.1 255.255.255.252
interface Tunnel0
tunnel source Serial0
tunnel destination 195.1.1.1
ip address 10.254.1.2 255.255.255.252