PANEVROPSKI UNIVERZITET APEIRON FAKULTET POSLOVNE INFORMATIKE

Redovne studije Smjer Poslovna informatika

Predmet: Zatita raunarskih i poslovnih sistema

VPN (Virtual Private Network)

(seminarski rad)

Predmetni nastavnik Prof. dr Milan Markovi

Student Kenan Keserovi Index br:024-08/FIT

Banja Luka, januar 2011.

Sadraj
Sadraj...................................................................................................................2 Uvod.......................................................................................................................3 1. VPN mree.......................................................................................................4 2. Layer 2 VPN mree (Frame Relay, VLAN)........................................................5 2.1 Osobine layer 2 VPN mree........................................................................6 3. Layer 3 VPN mree (IP VPN mree).................................................................8 4. Realizacija IP VPN mrea...............................................................................10 5. MPLS-bazirane VPN mree.............................................................................13 5.1 Osobine MPLS-bazirane VPN mree..........................................................14 5.2 Realizacija MPLS VPN mrea........................................................................15 7. Nain rada MPLS VPN mrea.........................................................................17 8. Implementacija VPN-ova...............................................................................19 9. Komparacija VPN-ova....................................................................................20 Zakljuak..............................................................................................................21 Literatura:.............................................................................................................22

Uvod

VPN (Virtual Private Network) je skup zatienih konekcija izmeu udaljenih korisnikih lokacija realizovanih unutar neke javne ili privatne mree. Ovakve mree zovemo privatnim, jer resurse ovih konekcija mogu koristiti samo organizacije koje su njihov vlasnik. One su privatne i sa aspekta routiranja i adresnog plana, odnosno routing algoritmi i adresni plan su potpuno neovisni o drugim mreama. Mrea je virtuelna, jer se konekcije formiraju koritenjem samo jednog dijela instaliranih resursa javne mree za prenos podataka. Historijski gledano, X.25 je prvi WAN protokol koji je omoguio izgradnju VPN mrea na javnim mreama za prenos podataka. Prevashodna uloga ovako izgraenih mrea je smanjenje telekomunikacijskih trokova efikasnijim koritenjem infrastrukture uz istovremeno ouvanje sigurnosti i integriteta podataka.

Slika 1: Primjer VPN

1.

VPN mree

Privatne WAN mree poslovnih korporacija vie nisu orijentirane samo na uvezivanje LAN mrea fiksnim vezama. Globalizacija i integracija ekonomskog prostora uslovljavaju da udaljeni pojedinani korisnici (uposlenici koji rade od kue, mobilni uposlenici kao i vanjski poslovni partneri) trebaju u svakom trenutku, nezavisno od mjesta na kome se nalaze pristup raunarskim resursima koji se nalaze unutar ovakvih privatnih mrea. Zbog toga, klasine privatne WAN mree realizirane iskljuivo fiksnim konekcijama trebaju biti proirene adekvatnim tehnikim rjeenjima koja e omoguiti pristup i ovakvom tipu korisnika. Gotovo sve privatne poslovne WAN mree e u budunosti biti zamijenjene VPN baziranim WAN poslovnim mreama. Osnovni razlozi za to su: - znaajno manja cijena izgradnje mree u odnosu na tradicionalne privatne mree - omoguavanje E-commerca i Internet ekonomije VPN je znatno fleksibilnija i skalabilnija arhitektura mree, u odnosu na klasine privatne WAN mree. One omoguavaju vrlo brzo i vrlo jeftino poveanje broja (npr. bez dodatnih ulaganja koriste sve raspoloive ulaze ISP-a) udaljenih ureda, internacionalnih lokacija, mobilnih korisnika u raomingu i sl. - znaajno manji trokovi i napori u odravanju vlastite mree Vei dio poslova odravanja se odvija u okviru mree provider-a koji nudi ovu uslugu - jednostavnija mrena topologija Upotrebom IP backbone mree eliminiraju se permanetni krugovi (PVC) koji su se ostvarivali putem Frame Relay ili ATM mrea i time uzrokovali punu mesh strukturu privatne WAN mree, to je pored kompleksnoti znaajno poveavalo i cijenu realizacije ovakve mree.

Slika 2: Primjer mree Apeirona.

2. Layer 2 VPN mree (Frame Relay, VLAN)

Layer 2 VPN mree spadaju mree realizovane koritenjem resursa Frame Relay i ATM mrea (Slika 3).

Slika 3: Layer 2 VPN mree Ovaj tip VPN mrea se realizuje formiranjem stalnih virtuelnih kanala koji obezbjeuju punu zatitu korisnikim podacima. Injektiranje paketa u ovakvu VPN mreu mogue je jedino kroz fiziki interface na koji je vezana korisnika oprema. Odlike ovakvih mrea su velika sigurnost i garantovani QoS (Quality of Service). Nedostaci su relativno veliki trokovi zakupa krugova i kompleksna uspostava. Naime, kod realizacije ovakvih mrea javlja se 'n(n1)/2' problem, odnosno ukoliko treba povezati n lokacija davaoc usluge treba definisati n(n1)/2 konekcija ukoliko se eli obezbijediti komunikacija 'svako sa svakim', odnosno potpuna mesh topologija. Problem postaje sve znaajniji sa porastom broja korisnika i poveanjem broja njihovih lokacija. Dodatni problem je obezbjeenje QoS sa kraja na kraj. Kako korisnik vlasnik VPN mree upravlja rubnim router-ima na kojima se vri mapiranje IP QoS u layer 2 QoS parametre, potrebno je posjedovati znanje ne samo o IP routiranju nego i o Layer 3 QoS parametrima, layer 2 QoS parametara i nainima njihovog povezivanja to ponekada predstavlja znaajan problem vlasniku ovakvih VPN mrea. VPN mree realizovane sa jednim od layer 2 protokola mogu da nose i IP i IPX i SNA/SDLC protokole to nije sluaj sa recimo IPSec protokolom koji moe da nosi samo IP saobraaj, a za ostale protokole moraju postojati Proxy serveri ija je uloga prevoenje ostalih protokola u IP protokol to opet dovodi do dodatnih trokova, proirenja zaglavlja paketa kao i vremena procesiranja unutar ureaja.

2.1 Osobine layer 2 VPN mree

Javne mree kao to su Frame Relay (FR) ili ATM mogu prenositi mjeovite tipove podataka ukljuujui glas, video i podatke. Ovaj tip VPN koristi usluge javne komutirane mree za prenos podataka, PVC-ove ili SVC-ove za razdvajanje prometa razlilitih korisnika. Paketi podataka ne trebaju biti IP, niti trebaju biti enkriptovani. Ali sa sve irom rasprostranjenou svijesti o sigurnosnim problemima, mnogi korisnici se sada odluaju na enkripciju svojih podataka. Opcionalno, mogu se koristiti autentifikacija i enkripcija pri emu identitet korisnika i integritet podataka ostaje zagarantovan. VPN-ovi bazirani na javnim komutiranim mreama za prenos podataka obino omoguavaju davaoci usluga i drugih nosioci, te pruaju potpunu kontrolu usluga. U veini sluajeva su rasploive i dodatne usluge, kao to je QoS opcija. Ovaj tip VPN-a je naroito popularan u Evropi, gdje su javne komutirane mree za prenos podataka iroko dostupne, a poslovno koritenje Interneta je manje razvijeno.

Glavne prednosti VPN-ova temeljenih na FR ili ATM vezama ukljuuju sljedee: - veze mogu biti koritene za bilo koji tip komunikacije, od PBX veza i video konferencija do privatnih podataka; - meunarodne veze su relativno lake za upotrebu, posebno za FR, mada mogu biti skupe; - omoguava naplaivanje ako su usluge dobro zasnovane; - dostupna zatita ako se koristi mrea davaoca usluga; - fleksibilnost. Glavni nedostaci ovog tipa VPN-ova su to su FR i ATM usluge skupe i ne tako iroko rasprostranjene kao ISP usluge. Ipak, prometne sposobnosti FR i ATM-a mogu se koristiti za obezbjeivanje razliitih nivoa kvaliteta usluge. Zbog toga su usluge bazirane na upotrebi, a to daje mogunost redukcije cijena i propusnog opsega koristei optimizaciju karakteristika. Takoe, zahtjeva se detaljno znanje o sigurnosti u javnim mreama da bi se imala ispravna implementacija. Dodatni nedostatak je i to to dostupnost i brzina veze mogu biti izvan kontrole korisnika konekcije, kao i nemogunost tuneliranja drugih protokola osim IP-ija. FR je postao osobito popularna, rasprostranjena i relativno jeftina tehnologija umreavanja koja je pogodna za VPN-ove. Postojei VPN-ovi preko FR mree doputaju da skupe iznajmljene linije budu zamjenjene i doprinosi iskoritenju potvrenih prednost FR-a. FR moe biti koriten za kreiranje VPN na dva naina: - Kreirajui mesh - potpuno isprepletene FR veze izmeu lokacija. Ove veze su osnovni pointto-point linkovi i slini su iznajmljenim linijama. Podaci se dre odvojeno od drugih FR korisnika tako to svaka veza koristi posebne virtualne veze. - Koristei IP tunele preko FR veza izmeu lokacija. Ove veze su osnovni point-to-point linkovi i slini su iznajmljenim linijama. Svaka veza koristi posebne virtualne veze ili krugove. Nekoliko odvojenih IP tunela moe se voditi preko svake veze i svaki tunel moe biti enkriptovan i autentihikovan da bi se obezbijedila dodana zatita.

FR je protokol od kraja-do-kraja koji moe biti raditi preko razliitih pristupnih tehnologija, kao to je ISDN, DSL i ak POTS dial-up linije. Nove pristupne metode, kao to su SVC-ovi ili ISDN pristup, znae da je FR sada pouzdanija i novano-isplativija solucija. FR moe takoer biti u interoperabilnosti sa ATM baziranom mreom, formirajui na taj nain jednu od najire rasprostranjenih javnih mrenih usluga za prenos podataka. Rezultat toga je da su davatelji usluga i nosioci kreirali globalne FR mree koje su novano isplative i nude vie raspoloivosti. Kada se spoje sa tuneliranjem, enkripcijom i autentifikacijom, ovi atributi ine FR idealnim kandidatom za globalne VPN usluge.

3. Layer 3 VPN mree (IP VPN mree)

Nagli globalni razvoj Interneta otvorio je mogunost izgradnje VPN mrea realizovanih direktno na bazi Layer 3 (IP) protokola. Osnovna prednost ovakvih VPN mrea nad Layer 2 VPN mreama je posljedica globalnog karaktera Interneta (Internet je prisutan svuda za razliku od Frame Relay i ATM mrea), a donosi i dodatnu redukciju trokova. Mree se grade kriptovanim tunelima koji imaju istu funkciju koju su imali i virtuelni krugovi u layer 2 mreama.

Slika 2: IP/Internet VPN mree Layer 3 VPN mree dijele se na: - Internet VPN - IP VPN mree Prve su realizovane koritenjem infrastrukture dva ili vie davaoca usluge, a druge koritenjem resursa samo jednog (bilo da je rije o javnoj ili privatnoj IP mrei). I jedne i druge su kombinacija tuneliranja, kripcije, autentikacije i autorizacije. Na ovakvim Layer 3 mreama VPN se implementira kroz tri kategorije: - Intranet (site-to-site) - Extranet (business-to-business) - Secure remote access Intranet podrazumijeva povezivanje distriburanih lokacija (LAN-ova) jedne organizacije, extranet je rezultat potrebe za povezivanjem razliitih meusobno zavisnih organizacija u

cilju razmjene specifine vrste informacija (sigurne monetarne transakcije izmeu financijskih institucija, veza organizacije sa svojim website-om koji je zakupljen kod ISP-a, i sl.). Udaljeni pristup je trea kategorija namjenjena prvenstveno za 'rad od kue' i za mobilne uposlenike. Ova kategorija e dugorono gledano zamijeniti iroko rasprostranjene RAS servere prvenstveno zbog znaajnog smanjenja trokova telefonskih poziva (svi pozivi su lokalni, odnosno pozivi do najblieg PoP-a davaoca usluge), a odravanje servera je preputeno davaocu usluge (Slika 2). Prema konkretnoj realizaciji layer 3 VPN-ovi se dijele na: - Hardware-ski bazirane - Firewall bazirane - Standalone VPN aplikacione pakete Veina hardware-ski baziranih sistema je realizovana pomou router-a koji rade kriptovanje podataka. Oni su sigurni i lahki za implementaciju i obezbjeuju najvei mreni transfer podataka od svih VPN sistema. Firewall bazirani sistemi koriste prednosti firewall mehanizama kao to su: restrikcije pristupa u Intranet, translacije adresa i onemoguavanje 'opasnih' ili nepotrebnih servisa obezbjeujui tako dodatnu sigurnost VPN serveru. Zatita operativnog sistema je ujedno i najvea prednost ovakvih VPN sistema. Neki proizvoai firewall-a nude posebne procesore za kripciju, u cilju poboljanja performansi cijelog sistema. Software-ski bazirani sistemi su pogodni za VPN-ove u kojima rezliite organizacije kontroliu razliite lokacije ili kada su u okviru jedne organizacije koriteni razliiti firewall-i i router-i. Veina ovakvih VPN-ova prua mogunost tuneliranja saobraaja na osnovu IP adrese ili vrste protokola, za razliku od hardware-ski baziranih sistema koji tuneliraju sav saobraaj neovisno o protokolu. Nedostatak software-ski baziran VPN sistema lei u injenici da je njihovo odravanje kompleksnije u odnosu na hardware-ski bazirane sisteme, zbog toga to zahtijevaju poznavanje operativnog sistema host-a na kome je instaliran, same aplikacije i mehanizama zatite podataka.

4. Realizacija IP VPN mrea

IP VPN mree su skup:

Tuneliranja - Integritet layer 3 VPN mrea se obezbjeuje izgradnjom 'sigurnih tunela' kroz javne IP komunikacione kanale koritenjem Layer 2 Tunneling Protocol (L2TP), Layer 2 Forwarding (L2F), Point to Point Tunneling Protocol (PPTP) ili IPSec protokola. Tuneli se uspostavljaju s kraja na kraj, odnosno izmeu krajnjih terminalnih ureaja (router-a ili radnih stanica kod remote access-a) kroz cijelu mreu. Za razliku od prva tri protokola koji uspostavljaju konekciju na drugom nivou i od kojih niti jedan ne ukljuuje kripciju korisnikih podataka IPSec je skup protokola i procedura za uspostavu, odravanje i terminiranje zatienih komunikacionih kanala kroz javnu IP mreu uz autentikaciju i servise za kripciju na IP mrenom nivou (layer 3) tako da kroz IP tunele teku kriptovani podaci. Definisana su etiri razliita naina transmisije podataka kroz IP/Internet mree (Slika 3).

Slika 3: Obrada originalnog IP paketa u Layer 3 VPN mreama - In Place Transmission Mode Rjeenje koje je specifino za razliite proizvoae, a kriptuju se samo podaci i nema promjene veliine paketa. - Transport Mode Kriptuju se samo podaci, ali se poveava veliina paketa.

- Encrypted Tunnel Mode IP zaglavlje se kriptuje zajedno sa podacima, a paketu se dodaje novo IP zaglavlje koje kao odredinu adresu nosi adresu izlaznog VPN ureaja. Ovo je ujedno rjeenje koje daje najbolju zatitu korisnikih podataka.

- Non-Encrypted Tunnel Mode Nita se ne kriptuje, ali se dodaje novo IP zaglavlje. Ukoliko se ne vri kripcija podataka u IP/Internet VPN mreama adekvatnije je koristiti termin Virtual Network (VN), jer je 'privatnost' u ovakvim mreama upitna. Kripcije - Transmisija nekriptovanog teksta kroz Internet moe biti veoma opasna. Podaci mogu biti proitani pomou neke od 'sniffing' tehnologija. Razvijeni su alati kao to su protokol analyzer-i ili mreni dijagnostiki alati ugraeni u dananje operativne sisteme koji lahko mogu proitati nekriptovane podatke. Proces kripcije, dekripcije i uesnici u njemu (poiljaoc i primaoc) ine cryptosystem. Postoje dva tipa cryptosystem-a: - private (symmetric) key - public (asymmetric) key Uz protokole kao to su L2TP ili PPTP koriste se razni metodi kripcije podataka: Data Encryption Standard (DES), Triple DES (3DES), RC4-40, CAST-40, DES-40. Autentikacije - Razvijena su dva vida autentikacije: korisnika i podataka. Autentikacija podataka je rjee prisutna u primijenjenim sistemima i podrazumijeva identifikaciju VPN ureaja koji alje podatke kao i potvrdu da oni nisu mijenjani prilikom prenosa. ee koriten metod je autentikacija korisnika koji koristi VPN mreu. Sistemi za autentikaciju su integrirani u VPN pristupne ureaje. Tek nakon uspjele autentikacije korisniku e biti omoguen pristup u VPN mreu. Najee se koriste sistemi koji podravaju RADIUS, TACACS/TACACS+ ili LDAP autentikacioni servis. Autorizacije - Nakon potvrivanja identiteta osobe koja koristi VPN, njegov ranije definisan profil odreuje servise i aplikacije koje moe koristiti, tako da mu se omoguava koritenje samo onih resursa VPN-a za koje je autorizovan. Autorizacija koja se radi u odnosu na servis podrava: Internet servise (Web browser, mail, FTP, Telnet i sl.), kompletnu TCP familiju, te RPC ili UDP bazirane aplikacije.

Slika 4: Autorizacija, tuneliranje i autentikacija u IP/Internet VPN mreama Ono to svaki korisnik oekuje od vlastite mree je odreeni nivo kvaliteta, sigurnost i raspoloivost. Ukoliko je kvalitet i raspoloivost Internet konekcija i bio upitan zadnjih
2

godina, stanje se znaajno mijenja iz dana u dan, stalnim proirivanjem Internet backbone-a i novim servisima kao to su DiffServ koji kvalitativno mijenjaju cijelu sliku. Sa ovakvim alatima IP davoaci usluge su sada u mogunosti garantovati odreeni nivo kvaliteta definisan kroz Service Level Agreement to je do skoro bila osnovna prednost layer 2 mrea. I uz sve alate koji treba da obezbijede sigurnost podataka u IP/Internet VPN mreama, ovo i dalje ostaje osnovni problem ovako realizovanih mrea. Ovo je posljedica arhitekture samog Interneta koji je osmiljen kao mrea u kojoj podaci trebaju biti dostupni svima.

5. MPLS-bazirane VPN mree

Zajednika karakteristika svih do sada opisanih tehnologija koritenih za realizaciju VPN mrea je injenica da se za njihovu uspostavu koristi takozvani 'overlay' model (kroz mreu davaoca usluge prave se 'point-to-point' konekcije-virtuelni krugovi ili IP tuneli- koji povezuju korisnike lokacije). Veliki nedostatak ovakvog modela je mala skalabilnost, odnosno ve ranije pomenuti problem uspostavljanja i upravljanja velikim brojem korisnikih VPN mrea. MPLS tehnologija je prva koja nudi novi pristup prilikom izgradnje VPN mrea u formi 'peer' modela. Osnovna karakteristika ovog modela je izuzetno velika skalabilnost koja je posljedica injenice da sa routing aspekta bilo koji od korisnikih ureaja vezanih na javnu mreu moe ostvariti konekciju sa bilo kojim ureajem u toj mrei, dok je u 'overlay' modelu, mogao ostvariti konekciju iskljuivo sa jednim ureajem na drugom kraju veze kroz layer 2 link ili IP tunel, obezbjeen od davaoca usluge. VPN mree izgraene na bazi MPLS tehnologije su kombinacija MPLS protokola i neke od routing tehnologija (BGP, OSPF, RIP). Kod MPLS baziranih VPN-ova mehanizam uspostave veza izmeu krajnjih lokacija se zove 'ograniena' (constrain) distribucija routing informacija.

5.1 Osobine MPLS-bazirane VPN mree

MPLS VPN omoguavaju davateljima usluga da izgrade skalabilne VPN mree i da pri tome ponude sljedee usluge : - Usluge bez uspostavljanja veze: kada se VPN formiraju bez predhodnog uspostavljanja veze nisu potrebni tuneli i enkripcija za mrenu privatnost, pa se na taj nain znaajno umanjuje sloenost mree. - Centralizovane usluge: izgradnja VPN na sloju 3 OSI modela dozvoljava isporuku usluga grupi korisnika koji su u VPN-u. Njima se mogu ponuditi nove IP usluge kao to su: - Multicast - Kvaliteta usluge, QoS - Telefonska podrka - Skalabilnost: Ako se VPN formira koritenjem spojno orijentisanih modela, overlay modela, Frame Relay ili ATM, glavni nedostatak e pri tome biti nedostatak skalabilnosti. Pored toga, spojno orijentisane VPN bez potpune povezanosti korisnikih lokacija nisu optimalne. Nasuprot tome, VPN zasnovane na MPLS-u koriste peer model i arhitekturu bez predhodnog uspostavljanja veze sloja 3 za visoko skalabilna VPN rjeenja. Takva arhitektura dozvoljava kreiranje VPN eliminiui pri tome potrebu za tunelima ili VC-ima. Skalabilnost se ogleda i u dijeljenju VPN putanja izmeu PE router-a i u buduem dijeljenju VPN i IGP putanja izmeu PE i P- router-a iz jezgre davatelja. PE router-i moraju da odravaju VPN putanje za korisnike odreene VPN, dok P router-i ne odravaju nikakve VPN putanje. To poveava skalabilnost jezgra davatelja usluga i osigurava da nijedan ureaj ne moe biti usko grlo za skalabilnost. - Sigurnost: MPLS VPN nude isti stepen sigurnosti kao i spojno orjentisane VPN. Paketi iz jedne VPN ne mogu nepanjom da stignu do druge VPN mree. - Na rubu mree davatelja usluge zagarantovano je smetanje primljenih paketa korisnika na pravu VPN. - Na okosnici, VPN promet se odrava odvojeno. Zlonamjerno ometanje (spoofing) je praktino nemogue jer su paketi dobijeni od korisnika IP paketi. Ti se paketi moraju primiti na odreenom interface-u da bi bili jedinstveno identifikovani VPN labelom. - Jednostavnost kreiranja: Za potpuno iskoritavanje VPN, korisnicima mora biti jednostavno da kreiraju nove VPN i nove korisnike lokacije. Poto MPLS VPN ne zahtjeva predhodno uspostavljanje veze, nisu potrebne nikakve predhodne mape ni topologije. Mogue je dodati lokacije intranetima i ekstranetima i oformiti zatvorene korisnike grupe. Kada se VPN ostvari na taj nain, omogueno je dodavanje bilo koje lokacije u VPN, i samim tim je maksimizirana fleksibilnost u formiranju intraneta i ekstraneta. - Fleksibilno adresiranje: Kako bi se VPN usluge nainile prihvatljivijim, korisnici davatelja usluga mogu da koriste sopstveni adresni plan, nezavisan od adresnog plana drugih korisnika. Mnogi korisnici imaju privatni adresni prostor i ne ele da investiraju i vrijeme i novac u konvertovanje u javne IP adrese kako bi omoguili povezivanje u intranet. MPLS VPN

dozvoljavaju korisnicima da nastave sa koritenjem sopstvenih adresnih prostora bez potrebe za NAT-om, obezbjeujui javni i privatni izgled adresa. NAT je neophodan samo ako dvije VPN sa preklapajuim adresnim prostorima ele da komuniciraju. Tako korisnici mogu da koriste sopstvene neregistrovane privatne adrese i komuniciraju slobodno sa javnom IP mreom. - Podrka integrisanim klasama usluga (CoS): Klasa usluga je karakteristika MPLS koja omoguava mrenim administratorima da obezbjede razliite tipove usluga preko MPLS mree. Usluge mogu biti specificirane na razliite naine, na primjer podeavanjem IP bita prioriteta u IP paketu. U snabdjevanju razliitim uslugama, MPLS CoS nudi: klasifikaciju paketa (paketi su klasifikovani na rubu mree prije nego to im se pridrue labele); izbjegavanje zaguenja (razdvajaju se klase paketa prema vjerovatnoi propadanja); i upravljanje zaguenjem (razlikuju se klase paketa u zavisnosti od propusnog opsega i graninog kanjenja). - MPLS VPN su jedinstvene jer se mogu izgraditi preko viestruke mrene arhitekture, ukljuujui tu IP, ATM, Frame Relay i hibridne mree.

5.2 Realizacija MPLS VPN mrea

Slika 5: VPN mree realizovane u MPLS tehnologiji Pretpostavka za realizaciju prenosa podataka kroz MPLS mreu je da router-i ve imaju popunjene routing tabele, odnosno da je dolo do prethodne razmjene routing informacija. Proces razmjene routing informacija se odvija u sljedeih pet koraka:

- Routing informacije se alju od korisnikog (CE-Customer Equipment) do router-a davaoca usluge (PE-Provider Equipment) na strani A. Mogue je koristiti statike rute, RIP, OSPF ili BGP. - U PE router-u se te informacije unose u BGP routing tabelu davaoca usluge na strani A. - Routing informacije izmeu mrea davalaca usluge, tj. izmedju PE router-a se prenose pomou BGP protokola. - Prihvatanje routing informacija iz BGP-ja u PE router-u davaoca usluge na strani B. - Slanje routing informacija od router-a davaoca usluge do korisnikog router-a na strani B koritenjem jedne od vie moguih opcija (statike rute, RIP, OSPF ili BGP). Ograniena distribucija routing informacija radi na principu filtriranja baziranog na BGPjevom 'community' (zajednikom) atributu, koji djeluje kao identifikator pridruen nekoj ruti. Tako u koraku broj 2, PE router, pridruuje odgovarajui, ranije definisani, 'zajedniki atribut' odreenoj ruti, na osnovu kojeg e opet u koraku broj 4, ta ruta biti izdvojena iz BGP-ja davaoca usluge i prosljeena korisnikom router-u. Upravo je ovaj mehanizam zasluan za 'peer' model, jer postoji samo razmjena routing informacija izmeu korisnikog CE i direktno vezanog PE router-a (Slika 5), odnosno broj 'peer router-a' je potpuno neovisan o veliini VPN mree. Tako, prilikom dodavanja nove ili demontae ve postojee lokacije, iz korisnike VPN mree, treba konfigurisati samo direktno vezani PE router, a ne i sve ostale rubne router-e sa kojima e biti ili su bile uspostavljene konekcije. Vano je naglasiti i to da PE router-i procesiraju samo rute VPN mrea ije su lokacije direktno vezane za taj router, a ne i rute VPN mrea koje nemaju na njega direktno vezane lokacije. Ograniena distribucija routing informacija je neophodna, ali ne i dovoljna za pravilno upravljanje konekcijama. Ovo je posljedica injenice da PE router moe podravati vie VPN mrea i ukoliko ima definisanu samo jednu tabelu prosljeivanja onda ona treba sadravati sve rute za sve VPN-ove podrane na ovom router-u. To znai da bi potencijalno bilo mogue da paketi budu prosljeivani iz jednog VPN-a u drugi. Rjeenje ovog problema je formiranje vie tabela prosljeivanja. Ukoliko je vie lokacija jednog VPN-a vezano na isti PE router, onda oni dijele jednu tabelu prosljeivanja, u suprotnom, svakoj lokaciji (pristupnom portu) pripada samo jedna tabela. Ove se tabele pune iz dva izvora. Prvi izvor je direktno vezani CE router, a drugi su ostali PE router-i iz mree. Rute dobijene iz drugog izvora podlijeu filtriranju na osnovu BGP 'community' atributa, te se u odgovarajue tabele smjetaju samo rute iz pripadnih VPN mrea. Poseban problem kod izgradnje MPLS baziranih VPN-ova je injenica da ukoliko se koristi BGP protokol on podrazumijeva da su sve IP adrese u mrei jedinstvene. To naravno u praksi nikada nije sluaj, jer je rije o privatnim mreama unutar kojih se najee koristi isti blok IP adresa (privatne adrese definisane u RFC 1918). Dakle, nuno je adrese koje to nisu, napraviti jedinstvenim. To se postie dodavanjem polja fiksne duine na obinu IP adresu. Ovo polje se zove Route Distinguisher (RD) i sastoji se iz tri polja: - Type (2 okteta) - Autonomous System Number (2 okteta) - Assigned Number (4 okteta)

Autonomous System Number (AS Number) sadri autonomni broj VPN davaoca usluge. Assigned Number definie sam davaoc usluge i obino je jedinstven za jedan VPN. Sa stanovita BGP-a, upravljanje ovakvim, proirenim IP adresama (VPN-IP adrese), je potpuno jednako kao upravljanje obinim IP adresama. Ove adrese se formiraju na PE routeru. Po primitku rute od CE rutera i nakon identifikacije kojem VPN-u ona pripada, PE router ovakve adrese proiruje sa unaprijed, za taj VPN definisanim RD-om, u VPN-IP adrese i potom ih unosi u BGP i obratno. Bitno je jo dodati da se VPN-IP adrese koriste samo u routing protokolima (za formiranje routing tabela), a ne i u zaglavlju IP paketa, odnosno one se ne koriste za prenos paketa. Prosljeivanje paketa se radi pomou MPLS-a.

7. Nain rada MPLS VPN mrea

Lahko je uoiti da je sa aspekta MPLS-a PE router u stvari Label Edge Router (LER), koji paketima sa ulaza u mreu pridruuje odgovarajue labele i obrnuto, skida ih na adekvatnom PE router-u na izlazu iz mree davaoca usluge. Kada CE poalje paket direktno vezanom PE router-u, on na osnovu porta kroz koji je paket stigao identifikuje kojoj VPN mrei paket pripada, odnosno odredi koju tabelu prosljeivanja (Forwarding Information Base, FIB) treba razmatrati. Potom se radi uobiajeno pretraivanje ove tabele koristei odredinu adresu iz zaglavlja paketa. Na osnovu ovoga dodaje odgovarajuu labelu na paket i prosljedjuje ga u mreu (Slika 6).

*Slika 6: Proces odabira odgovarajue labele za VPN U cilju poveanja skalabilnosti koristi se hijerarhisko rout-iranje, odnosno koriste se ne jedan, nego dva nivoa labela. Koritenje ove tehnike dovodi do toga da P router-i ne procesiraju VPN routing informacije, nego procesiraju samo labele prvog nivoa; one koje se koriste za prosljeivanje paketa od ulaznog do izlaznog PE router-a. Labele drugog hijerarhiskog nivoa se procesiraju samo na PE router-ima, odnosno koriste se za prosljeivanje na izlaznom PE router-u. Labele prvog nivoa se kroz mreu distribuiraju sa LDP, RSVP ili CR-LDP. Labele drugog nivoa se distribuiraju pomou recimo BGP protokola zajedno sa VPN-IP rutama (Slika 7).

*Slika 7: - Hijerarhisko rutiranje u MPLS mrei Osim izuzetno velike skalabilnosti koju obezbjeuje hijerarhijsko rutiranje, osnovna prednost MPLS baziranih VPN-ova je sigurnost koja je jednaka sigurnosti koju pruaju layer 2 VPN mree. Ovo je posljedica injenice da se transfer paketa radi komutacijom labela, a ne tradicionalnim IP usmjeravanjem odnosno, LSP se terminira samo na rubnim-PE router-ima. LSP nikada ne zapoinje niti zavrava na router-ima u sredini mree. LSP se u PE router-u pridruuje odreenoj tabeli prosljeivanja, ona interface-u na router-u, a on odreenoj VPN mrei. Ubacivanje paketa u ovakvu VPN mreu je mogue samo kroz iinterface na PE routeru pridruenom toj VPN mrei. Sa aspekta QoS-a, MPLS bazirani VPN-ovi, pruaju iste mogunosti kao ATM mree. Ovo je posljedica klasificiranja saobraaja i labeliranja na ivicama mree, te ga je mogue podijeliti u razliite klase prema kanjenju ili nivou prioriteta.

8. Implementacija VPN-ova
Savremeno drutvo nosi veliki tehniko-tehnoloki napredak. Digitalizacija i globalizacija su osnovne znaajke ovog novog doba. Kada je biznis u pitanju postoje samo dva pravila: 'biti bri i bolji od drugih' i 'biti prisutan gdje god postoje konzumenti'. Zadovoljiti ova dva pravila znai imati fleksibilnu, iroko rasprostranjenu mreu poslovnica i razvijen sistem razmjene informacija izmeu njih samih, te sa poslovnim partnerima, dobavljaima i samim korisnicima. Brza, pouzdana, selektivna i zatiena razmjena informacija namee potrebu za posjedovanjem privatnih mrea. Naini realizacije ovakvih mrea sa tehnikog aspekta su ve obraeni. Postoji irok spektar mogunosti poevi od privatnih mrea (leased line) preko layer 2 VPN mrea (frame relay i ATM), layer 3 VPN mrea (IP/Internet) do MPLS baziranih VPN-ova. Svako od ovih rjeenja ima svoje prednosti/mane (layer 2 mree: garantovan QoS, visok stepen sigurnosti/mala skalabilnost, prostorna ogranienost, layer 3 mree: globalni karakter, best effort, remote access/smanjena sigurnost i problematian QoS, MPLS bazirane VPN mree: visok stepen sigurnosti, garantovan QoS, izuzetno velika skalabilnost). Odabir tehnologije kojom e mrea biti realizovana zavisi od mnogo faktora specifinih za svaku

organizaciju ponaosob, ali generalni zahtjevi koji se postavljaju pred ove mree su: sigurnost, pouzdanost, dostupnost, garantovani QoS i naravno cijena uspostave i odravanja. Svaki od ovih parametara ima svoj teinski faktor i u zavisnosti od njih se i odabire odreena tehnologija za izgradnju VPN mree.

9. Komparacija VPN-ova
Virtualne privatne mree mogu biti izgraene na Frame Relay, ATM, IP ili MPLS tehnologiji. Svaka od njih ima svoje prednosti i nedostatke, bilo to po pitanju osobina ili njihovih mogunosti u dostupnosti i pruanju usluga. Implementacija VPN na odreenoj tehnologija zavisi od zahtjeva i elje korisnika. Naravno, treba spomenuti da brzi razvoj koji je prisutan u tehnologijama VPN ima znaajnu ulogu u poboljanju postojeih i razvoju novih tehnologija koje se razvijaju munjevitom brzinom. Tabela 1 prikazuje komparaciju VPN sa pomenutim tehnologijama. Tabela 1. Komparacija VPN tehnologija

Zakljuak
Sigurnost raunara i raunarskih mrea je pria koja nema svoj kraj. No da ta pria za vas ne bi imala tuan kraj za poetak najmanje to moete da uradite je da instalirate na svoj raunar neki antivirusni program. Ukoliko ve posjedujete neki instaliran antivirusni program morate konstantno brinuti o redovnom update-u njegove interne baze podataka o definiciji novih virusa. Takvi programi obino posjeduju ugraene funkcije za automatsku provjeru i download definicija novih

virusa i to sa servera samih proizvoaa no ipak ste vi ti koji morate s vremena na vrijeme pokrenuti takvu akciju putem samog antivirus programa. OBAVEZNO INSTALIRAJTE BILO KOJI ANTIVIRUSNI PROGRAM!!! Sigurnost je neizostavna stavka kada govorimo o dananjem modernom poslovanju koje se temelji na informacijskim tehnologijama. Vie je razina sigurnosti potrebno kako bismo uspostavili neometano poslovanje. Firewall esto predstavlja jednu od prvih linija zatite mree. Mogu biti u obliku samostalnog hardware-a ili kao dio software-a na usmjerivaima, a uloga im je ograniiti pristup odreenim ili svim dijelovima mree, ovisno o sigurnosnoj politici tvrtke. Pored osnovnog mrenog firewall-a danas moramo u velikoj mjeri paziti i na sadraj koji nam dolazi ili odlazi iz tvrtke putem e-mail poruka, kao to moramo obratiti panju i na neeljeni sadraj na web stranicama koji moe naruiti pouzdanost i sigurnost poslovanja. Osim prijetnji sa interneta bitno je imati mogunost zatite poslovanja i poslovnih informacija od namjerne ili nenamjerne zloupotrebe samih zaposlenika unutar tvrtke.

Literatura:

1. Markus Feilner, OpenVPN, Building and Integrating Virtual Private Networks, 2006 . 2. ICT Forum, Milenijski ciljevi i informaciono drutvo, Konferenciski materijal, 2003. Linkovi: http://en.wikipedia.org/wiki/Virtual_private_network http://www.mtel.ba/menu/2399/ip/mpls_vpn/ http://www.bhtelecom.ba/bihnet_poslovni_vpn.html