77875119 Virtuelne Privatne Mreze

8/12/2019 77875119 Virtuelne Privatne Mreze

1/64

Elektrotehniki fakultetU n i v e r z i t e t u B e o g r a d u

D I P L O M S K I R A D

V I R T U E L N E P R I V A T N E M R E E

Mentor StudentProf! dr "el#ko Milutinovi$ %or&e Ili$ '()(***

Beograd, april 2006.


2/64


3/64

Diplomski rad - VI R T U E L N EP R I V A T N EM R E E ore Ili

; ! U " O D

Privatna mrea predtavl!a mre "o! @ini i#olovani "p "orini"a "o!i me?o>no mog

da "omni%ira! t!. ra#men!! podat"e na ta!an na@in. Ta!an mil da ni"o drgi em "orini"a

i# datog "pa ne moe da @etv!e "omni"a%i!i, niti !e te "omni"a%i!e vetan. Tradi%ionalneprivatne mree e #aniva! na privatno! in7ratr"tri, t!. na i#na!ml!enim lini!ama dotpnim

amo "orini%ima privatne mree. A>i@no tada vi "orini%i i# ite organi#a%i!e. Ava"av pritp,

ia"o a in/erentno >ol!im mog;notima #a odravan!e privatne prirode "omni"a%i!e poledn!e

vreme g>i primat odno na virtelne privatne mree $eng. VPN - Virtual Priate Net!ork"#Krat"o re@eno, VPN mrea vo!o! onovi predtavl!a privatn mre "o!a e potavl!a pre"o

!avne in7ratr"tre, ali #adrava igrnot i prote"%i! privatne mree. Termin virtelna e odnoi

na @in!eni% da !e potavl!ena privatna mrea tvari logi@"e prirode, t!. nata!e logi@"om

podelom !avne mree "o! ito vreme "oriti veli"i >ro! "orini"a i organi#a%i!a. Naravno, led

toga dola#i do #a/teva #a poe>nim merama "o!ima e odrava privatnot "omni"a%i!e, @em ;e

dal!em te"t >iti pove;ena dna pan!a. lede;i pro>lem "o!i e potavl!a !ete "valitet ervia

$o - $ualit% o& 'eri(e&.Tradi%ionalne privatne mree podra#meva! da n!i/ove per7ormane

"orini%ima napred odre?ene i po#nate, a po:to e o n!i/ovom odravan! tara! ami "orini%i,

to atomat"i #na@i i !edno predvidl!ivo pona:an!e. a drge trane, "ori:;en!e !avne in7ratr"tre

@ini "valitet ervia otvorenim pitan!em #a "orii"e VPN mree.

Slika ;! VPN mrea

Nagli porat #aintereovanoti #a virtelne privatne mree pove#an !e a ra#lo#ima

e"onom"e prirode. Naime, dana:n!e vreme veli"e "orpora%i!e i organi#a%i!e $glavni vlani%i

privatni/ mrea& e ato!e od mno:tva geogra7"i dal!eni/ delova. Cpotavl!an!e tradi%ionalne

DN mree )*ide Area Net!ork" ovom l@a! >i e"onom"i >ilo vrlo nepovol!no re:en!e.

Pla;an!e i#na!ml!eni/ lini!a >i i#i"ivalo #natna materi!alna redtva, pogotovo l@a!organi#a%ioni/ !edini%a me:teni/ ra#li@itim dravama. Tro:"ovi pove#ani a potre>om #a

3


4/64


odgovara!;om opremom i neop/odnim angaovan!em odgovara!;eg oo>l!a, "o!e >i e taralo o

n!enom odravan! !o: !edna mana. lede;i nedotata" tradi%ionalni/ privatni/ mrea !ete

n!i/ova ne7le"i>ilnot. Pove#ivan!e veli"og >ro!a #apoleni/, "li!enata i partnera na "orpora%i!"

privatn mre $:to !e naravno i %il!& >i #a/tevalo poto!an!e veli"og >ro!a pritpni/ ta@a"a "o!e >i

e !o: i dinami@"i men!ale, :to !edn ta"v mre @ini pra"ti@no nemog;om #a reali#a%i!. Cledvega toga !e re:en!e potraeno VPN mreama, "o!e "orite;i !avn in7ratr"tr, dana:n!e

vreme omog;ava! pra"ti@no glo>aln pove#anot. Tari7iran!e ovom l@a! e vodi na %en

lo"alnog pove#ivan!a a prova!derom "o!i omog;ava pritp !avno! in7ratr"tri. Aim toga,

7ormiran!e i odravan!e VPN mree e moe preptiti prova!der lga, :to moe 7inani!"om

i te/ni@"om pogled rela"irati "orini"e.

Ne"e od prednoti i iplativoti VPN-a moemo mirati na lede;i na@inE

Pove;an!e geogra7"e po"rivenoti.

C:tede i#na!ml!enim lini!ama.

C:tede dal!enim i me?narodnim dial-uppo#ivima. og;not >r#og dodavan!a novi/ dal!eni/ "orini"a.

man!en!e potre>ne opreme #a remote-a((ess#

C:tede l!dtv.

a drge trane, moemo mirati i ne"e nedotat"e VPN-a, "o!i e o>i@no ne pomin! literatriE

VPN mree #a/teva! do>ra #nan!a ose(urit%-+u $#a:titi podata"a&, prventveno pogled

/a"er"i/ napada i "on7igra%i!e VPN re?a!a #a rad pre#i a 7ireall-ovima.

og;not "ori:;en!a VPN-a $dotpnot i o& #avie od 7a"tora van ";e $od "valiteta

lge "o! da!e +nternet ervi%e Provider +P& i naro@ito !e i#raeno na:im lovima. Na

Fapad oigran!e rada "one"%i!e a +P-om e potie potpiivan!em govora a +P-omo odre?enom minimalnom nivo dali/ lga, odnono ( )'eri(e Leel A,reemet"#

C"oli"o VPN "one"%i!a imlira rad ra@nara (N-, #avinoti od "valiteta VPN

ervera i ve#e a +P-om, proto" podata"a i#me? ra@nara mreeni/ VPN- !e oetno

pori!i odno na (N.

Pitan!e interopera>ilnoti ra#ni/ proi#vo?a@a. Avo !e i#raeno #a ve te/nologi!e ra#vo!,

a ima veli" log pri i#gradn!i tranet VPN-a gde va"i VPN egment $va"i partner,

organi#a%i!a i l& ima re?a!e "pl!ene od ra#li@itog proi#vo?a@a. Avim pro>lemom >ave e

i mnoge organi#a%i!e, nprE Iteratioal .omputer 'e(urit Asso(iatio $+&

.i%ala> .net i Virtual Priate Net!ork .osortium $VPN& .vpn% .org .

Geto e pre;tno podra#meva da !e !avna mrea "o!a li "ao onova VPN mree +nternet

!er e ve;ina VPN mrea 7ormira pre"o n!ega. e?tim, poto!e i t#v. non-+P VPN mree, "o!e

ni >a#irane na +nternet. T pada! T )As(/roous Tras&er Mode"# =rame rela). i

poledn!e vreme P( )MultiProlo(ol La0el '!it(/i," VPN mree.

4
http://www.icsalabs.net/http://www.vpnc.org/http://www.vpnc.org/http://www.icsalabs.net/http://www.vpnc.org/


5/64


( ! " P , M R E < E - O P = > I K O , ? E P >

Ve;ina implementa%i!a VPN mrea !e na nivo P re?a!a ).PE 0ased VPN"1 "ada !e

+nternet amo in7ratr"tra "o!a omog;!e pove#anot "orini"a i pre"o "o!e e "omni%ira, a o

7ormiran! i odravan! VPN mree e tara! P i H $ome Hatea)& re?a!i, i ona ee7e"tivno terminira i#me? n!i/. C poledn!e vreme !e pove;ana #aintereovanot #a t#v. Net!ork0ased VPN mree, "od "o!i/ e o 7ormiran! i odravan! VPN mree tara +P. C ovom l@a!

"orini%i ne mora! na>avl!ati poe>n oprem niti e >rinti o n!enom odravan!, a itovremeno

e +P- pra mog;not #a "ori:;en!e novog i#vora pri/oda. VPN mrea e ada e7e"tivno

terminira na trani +nternet prova!dera, na N re?a!ima.

Be# o>#ira na tip implementa%i!e, prin%ip"i #a/tevi "o!i e potavl!a! pred !edn VPN

mre lede;iE

;. Koncept tajnosti tj. privatnosti (securit!" u o#viru #o$a i%a%o&

Autentika0i#aNe"ad !e potre>no pre nego :to e napravi VPN "one"%i!a identi7i"ovati "orini"a ili re?a!.

Poto!e dve vrte atenti"a%i!eE

re?a!a

"orini"a.

Autentika0i#a ure&a#a omog;ava ograni@en!e pritpa VPN- na onov atenti"ovani/in7orma%i!a "o!e dal!eni VPN re?a! prole?!e. A>i@no e "orite dve vrte ove atenti"a%i!eE

Nedel!ivi Kl!@evi

Iigitalni potpi

Nedel!ivi "l!@evi e o>i@no "orite man!im VPN o"ren!ima. Jedan ili vi:e "l!@eva !e

"on7igrian i "oriti e #a prepo#navan!e re?a!a. Kon7igrian!e ovi/ "l!@eva !e vrlo

!ednotavno, #a ra#li" od digitalnog potpia, ali #a/teva r@no "on7igrian!e na va"om re?a!

"o!i @etv!e VPN mrenom o"ren!.

Iigitalni potpi e "oriti #a prepo#navan!e re?a!a veli"im VPN o"ren!ima. Ti

erti7i"ati i#dati od trane odre?eni/ tanova po#nati/ "ao %erti7i%ate at/orit) $&. va"i pt

"ada e ne"i re?a! doda VPN mre novi erti7i"at ;e >iti generian i adra;e in7orma%i! #a

prepo#navan!e re?a!a. Irgi VPN re?a!i mog pritpiti da potvrde identitet drgog re?a!a.

Autentika0i#a "orini"a )user aut/eti(atio" - pod ovim e podra#meva pro%e

tvr?ivan!a da li "orini" "o!i pritpa VPN mrei ima pravo pritpa i da li !e on tvarno ta! #a"oga e i#da!e. Poto!e tri generalno "ori:;ena metoda atenti"a%i!eE

- e2to 2to 3a2 - ovo !e na!tari!i metod atenti"a%i!e #anovan na predtavl!an! "orini"a

pomo; imena i lo#in"e )userame ipass!ord"

- e2to 2to ima2 )posedu+e2" - ovom metod "orini" pored predtavl!an!a imenom i

lo#in"om mora da poed!e ne" identi7i"a%i! 7i#i@"om o>li" )'mart.ard1

.redit.ard###" ili ele"tron"i e"vivalent $digitalni erti7i"at...&

- e2to 2to +esi - ova! metod "l!@!e indenti7i"a%i! >iometri" t!. oo>ine l!d"i/

organa $oti%i prti!, oti%i dlana, prepo#navan!e ron!a@e o"a i l&.

'


6/64


Integritet .odataka - predtavl!a do"a# da prili"om prenoa adra! ni!e i#men!en. Avo epotie pomo; poe>ni/ metoda "o!i "l!@eni algoritme #a "riptovan!e.

Poverl#ivo7t .odataka - pod ovim e podra#meva da poda%i, prili"om prenoa, ni mogli

>iti pro@itani i i"ori:;eni od tre;e trane. Poverl!ivot e potie pomo; algoritama #a"riptovan!e "o!i emlira! privatnot lin"a. Pri tome, dve onovne vrte algoritama #a

"riptovan!e E

- imetri@ni algoritmi -!edintven "l!@ #a "riptovan!e i de"riptovan!e,

- aimetri@ni algoritmi - par "l!@eva od "o!i/ e !edan "oriti #a "riptovan!e a drgi #a

de"riptovan!e. Kl!@evi i# para matemati@"i pove#ani. Ne:to vi:e o "l!@evima i

me/ani#mima "riptovan!a ;e >iti dato dal!em te"t.

Enka.7ula0i#aPod en"apla%i!om e podra#meva "a"o ;e "orini@"a in7orma%i!a, "ao podata", >iti

en"aplirana i prene:ena pre"o mree. Irgim re@ima, "o!i !e a"telni 7ormat podat"a. To e

moe poti;i potavl!an!em lede;i/ pitan!aE

4o+a pol+a se ala3e u 5elu i 3a5el+u VPN i&orma(i+e6

U kom poredku e se pol+a po+al+iati6

4o+a +e eli5ia pol+a6

n"apla%i!a ta"o?e de7ini:e "o!i proto"oli ;e >iti me:teni VPN pa"et. Ka"o !e

in7orma%i!a en"aplirana !e vrlo vano !er to ti@e da li ;e do;i do pro>lema a 7ireall-om ili a

re?a!ima #a prevo?en!e adrea.

2. Vi'eproto#ona podr'#a (%utiprotoco support!- VPN mrea >i tre>alo da podri

ra#men podata"a pod ra#li@itim proto"olima $+P. +P ...&, odnono da omog;i lo>od

"orini%ima i#>or ne"og od proto"ola mrenog nivoa "o!i ;e "orititi me?o>no!

"omni"a%i!i.

3. Upravjanje adresa%a (address %ena$e%ent! - privatne adree "o!e "orini%i

ima! o"vir VPN mree ne me! da >d dotpne na !avno! mrei. Avim e :tite +P adree

"orini"a, a ito vreme e omog;!e da vi:e "orini"a ra#li@itim VPN mreama ima ite +P

adree.

4. )arantovani #vaitet usu$e (*oS!- pod ovim e o>i@no podra#meva! propni

opeg dotpan "orini%ima, ma"imalna "a:n!en!a pa"eta i garan%i!a ipor"e pa"eta.

e?tim, mnoga pra"ti@na re:en!a ne ipn!ava! ve ove navedene love. Na!ve;i pro>lempredtavl!a "valitet lge, pogotovo l@a! P >aed VPN mrea. Tada +nternet prova!der

pra amo onovn lg pritpa mrei, :to pra"i #na@i da ne poto!i ni"a"av napred

o>e#>e?en "valitet lge. Lto e ti@e netor" >aed VPN-a, i#me? prova!dera i "orini"a e

potpi!e t#v. ervi%e (evel greement $(&. To !e tvari govor "o!ima e prova!der lge

o>ave#!e na odre?eni, napred dogovoreni "valitet lge. e/ani#mi "o!ima e to o>e#>ed!e

nedovol!no ra#vi!eni i predmet rada poe>ne grpe o"vir tela "o!e e >avi +nternet

tandardima i "o!e e #ove +T= )Iteret E,ieeri, Task 7or(e"# matra e da ;e +Pv6 $Iteret

Proto(ol ver#i!a 6& doneti napreda" ovom pogled. Ta"o?e, poledn!e vreme e "orite T,

=rame


7/64


*


8/64


(!;! Ko1.onente "P,2a

Ia >i VPN potala vana plat7orma ona tre>a da >de po#dana i pravl!iva "ro# %el mre

i igrna od napada. VPN re:en!a ta"o?e tre>a da poed!Plat&orm '(ala0ilit%-mog;not da e

mrea adaptira od male ";ne "on7igra%i!e do veli"e >i#ni implementa%i!e. Na!vani!a odl"a prenego :to e "rene a implementa%i!om !e da VPN #adovol!i ve #a/teve "orini"a i da >de

"ompati>ilna a ve; poto!e;om mreom "orini"a.

+. Proto#oiNa!vani!a tvar "od VPN-a !e da ona mora >iti #a:ti;ena od u.ada raznih

neautorizovanih kori7nika. C t vr/ poto!i vi:e ra#vi!eni/ te/nologi!a i proto"ola "o!e VPN"oriti ve;o! ili man!o! meriE

@eneri0 Route En0a.7ulation 9@RE:!e VPN te/nologi!a ra#vi!ena od trane + i"ani!e de7iniana a dva +T= i e po"renli

dodatni proto"oli. Hog ovi/ nedotata"a ne "oriti e #a "ompletna VPN re:en!a ve; e ve;o! ili man!o! meri "oriti a drgim re:en!ima.

Point to Point Proto0ol 9PPP: !e proto"ol drgog nivoa, "o!i e "oriti pri +nternet"omni"a%i!i, i n!egova onovna 7n"%i!a !e otvarivan!e ve#e dial-p tipa i#me? dal!enog"orini"a i N-a. C t vr/ PPP poed!e me/ani#me "o!ima e "orini" atenti"!e, a ao>ra;a!

e op%iono moe i "riptovati radi #a:tite. Podrava preno mreni/ proto"ola +P, +P i NetBC+.

.

8


9/64


Point to Point >unneling Proto0ol 9PP>P: !e proto"ol originalno ra#vi!en od trane"on#or%i!ma "o!i @inili 3om, %end i C oti%. Kani!e ga !e i%roo7t pri/vatio i

"l!@io Dindo plat7orm, pa !e predtavl!ao !edno od na!"ori:;eni!i/ re:en!a #a VPN mree.

Iana ga ve vi:e poti"!e (2TP. ada e moe "orititi i "od roter-to-roter VPN mrea,

glavna primena m !e "od remote-a%%e VPN. Tnelovan!e po PPTP proto"ol moe >iti io>ave#no i do>rovol!no, ali glavnom e "oriti ovo drgo.

La5er ( >unneling Proto0ol 9L(>P: proto"ol !e "ompromino re:en!e "o!e !e natalo"om>ina%i!om PPTP i rani!e "ori:;enog (2= proto"ola $ra#vi!enog od trane i%o-a& a %il!em da

e o>!edine n!i/ove na!>ol!e oo>ine. Fa ra#li" od PPTP-a, omog;ava lan!e tnelovani/ PPP

pa"eta ne amo pre"o +P, ve; i pre"o .2', =rame om +P proto"ola, mree "o!e e

>a#ira! na alternativnim proto"olima "ao :to +P, NetBC+ i pp+eTal" pola"o g>e na

#na@a!. =n"%ioni:e na +nternet nivo TP5+P proto"ol te"a, toga apli"a%i!e i vi proto"oli na

vi:im nivoima mog da "orite n!egove mog;noti. To pra"i #na@i da ;e av ao>ra;a! na mrei

generian od apli"a%i!a i#nad +Pe%-a >iti #a:ti;en, >e# o>#ira o "o!o! e apli"a%i!i radi i >e# o>#ira

na to da li apli"a%i!a e>i ve; ima gra?ene me/ani#me #a:tite. Jedna od na!vani!i/ oo>ina

+Pe% proto"ola !e otvorena ar/ite"tra, odnono poto!i mog;not n!egovog pro:irivan!a a

novim tandardima i proto"olima #a atenti"a%i! i en"apla%i!.

Prett5 @ood Priva05 9P@P:na!@e:;e e "oriti >eplatnom e-mail o7tver da omog;i

igrnot i ni!e proto"ol "o!i e @eto "oriti i#gradn!i VPN-a.Se0ure So0ket La5er 9SSL: radi na grani%i i#me? tranportnog i eionog lo!a iomog;!e >e#>ednot vi:im lo!evima. Na!vani!a loga (-a !e da o>e#>edi igrnot

trana"%i!a >a#irani/ na TTP-, i dotpni/ pomo; poplarni/ >roer-a. Avo ni!e proto"ol "o!i

e do ada mnogo "oritio "od VPN mrea ali #adn!e vreme n!egova potre>a !e ve ve;a i ve;a.

Ta loga !e >a#irana na tome !er ( "oriti De> >roer ta"o da "orini" ni!e potre>an dodatni

"li!ent"i o7tver na vom ra@nar.

Se0ure Shell 9SS:!e proto"ol "o!i e primarno "oriti da omog;i >e#>edno i#vr:avan!e"omandi na dal!enim ma:inama "orite;i +P mre. Ni!e primarni proto"ol #a 7ormiran!e VPN

mrea.

So0k7e nala#i na tranportnom nivo. +#la#i o%" ervera e pona:a! "ao pove#!;i @vori#me? "li!enta i el!ene detina%i!e /ot-a. Avi "li!enti mora! modi7i"ovati +P te" da >i

podravali o%". Ni!e prilagodl!iv "orini" i primarno e ne "oriti "ao proto"ol VPN

mreama.

Multi2Proto0ol La3el Sit0hing 9MPLS: enala#i i#me? proto"ola drgog i tre;eg nivoa$#ato e P( @eto na#iva i proto"olom 2.' nivoa&. P( #aglavl!e e na#iva la>ela.


10/64


"ra!n!i/ ta@a"a ve#e "reira virtelno "olo, "o!e e l@a! P(-a #ove (P )La0el '!it/ed

Pat/"# (P e ato!e od ni#a la>ela, pri @em !e o>lat vaen!a va"e la>ele i#me? edni/

@vorova d ptan!e. Fa ditri>%i! la>ela (P-a #adeni proto"oli "ao :to a da naprave mre "o!a ;e imati 7ireall na va"o! "one"%i!i i#me? n!i/ove

mree i interneta. Iva na!@e:;e "ori:;ena 7ireall-a E.

18# 7iltrira+e paketa 3aiso o IP adresama odredi2ta t+# i3ori2ta

=iltriran!e #avino o +P adreama omog;ava #a>ran "one"%i!a od ili prema odre?enimra@narima i5ili mreama, #avinoti od ni/ovi/ +P adrea. C"oli"o adminitrator eli #a:titi

mre od neovla:?eni/ #lonamerni/ napada@a, on moe #a>raniti promet mreni/ pa"eta "o!e "ao

odredi:te ima! odre?ene +P adree. To !e poprili@no >e"orino !er napada@i mog promeniti +P

adree. F>og toga !e pno >ol!e do#voliti pritp mrei amo odre?enim pa"etima "o!i "ao

odredi:te ima! odre?ene igrne +P adree. Normalno "oli"o e napada@ domogne i tog popia on

moe pa"etima pridriti "ao odredi:n +P adre ne" i# tog popia. ana !e :to ne proverava

adra! pa"eta ili #a:to !e on polat i reri "o!i onemog;eni vidl!ivi vim "orini%ima.

19# 7iltrira+e paketa u 3aisosti od odredi2i/ t+# i3ori2i/ portoaPrili"om pa!an!a !ednog ra@nara na drgi i !edan i drgi "orite odre?ene pritpne

portove. ve "pni >ro! pritpni/ portova !e 6''36. Prva 1024 porta re#ervirana #a odre?eneapli"a%i!e i ne mog e "orititi #a ne"e drge.

dminitrator #avino o apli"a%i!ama moe ograni@iti pritp mrenim pa"etima. Ne"i

apli"a%i!"i proto"oli i#ra#ito oetl!ivi na mrene napade pa !e potre>no onemog;iti pritp

itima $Telnet, NetB+A eion, PAP, N=, Dindo, ...&. Ti portovi oo>iti oetl!ivi na

napad #>og veli"og nivoa "ontrole "o! pra! napada@. Ne"i drgi portovi mog >iti i"ori:teni

da >i e ni:tile odre?ene >itne in7orma%i!e. Prednoti ovog tipa 7ireall-a "ontrola nivoa

pritpa "orini"a i "ontrola nivoa rera "o!i e dele. amo reri "o!i atori#ovani

pritpa@ni. drge trane "orini%i mora! da "orite dodatne paorde da >i pritpili internet.

4. 5e/6ednoste#>ednoti podata"a "oriti e vi:e metoda i i algoritama i poe>no tre>a

o>ratiti pan! na "riptovan!e i atenti"a%i! o @em ;e "ani!e >iti re@i.

(!(! >i.ovi "P, 1re+a

Poto!i vi:e podela VPN mrea #avinoti od ra#ni/ lova "o!e "li!ent potavl!a pred

"ontr"tora !edne VPN mree. Na!@e:;e podele na onov "one"%i!e "o!e e mog otavariti

VPN mrei, na onov na@ina i#na!ml!ivan!a lini!e od trane prova!dera, #avinoti gde terminiraVPN "one"%i!a itd.

10


11/64


Konek0i#e ko#e 7e 1ogu o7tvariti u "P, 1re+imog >iti na rela%i!i dal!eni "orini" -mrea imrea - mrea. Adnono, ra#li"!emoE

Re1ote2a00e77 VPN - VPN mree "od "o!i/ e "one"%i!e otvar! na rela%i!i dal!eni"orini"-mrea. matra e da "orini" ni!e ve#an #a ne" poe>n lo"a%i!, odnono da !e

"one"%i!a dial-p tipa. Ave mree e !o: na#iva! VPIN )Virtual Priate Dial Net!orks"1 a"od na VPN a "omtiranim pritpom. Pra"ti@no e intalira! radi t#v. dal!eni/

"orini"a )remote users"1 odnono #a ve #apolene, aradni"e i "li!ente "o!i ima! potre>#a @etom i igrnom "omni"a%i!om a edi:tem organi#a%i!e a vi:e ra#li@iti/ lo"a%i!a

$radno meto, ";a, na pt itd.&. C @lan%ima po#nati/ tele"omni"a%ioni/ 7irmi $i%o.

+B. (%ent...& pro%ene :tedama "od ova"vi/ mrea "re; e o"o 60M do 80M.

Prednoti remote a%%eVPN-ovaE

C:tede dal!enim i me?narodnim dial-uppo#ivima.

og;not >r#og dodavan!a novi/ dal!eni/ "orini"a.

man!en!e potre>ne opreme #a remote-a((ess# Router2to2router VPN - VPN "od "o!i/ e "one"%i!e otvar! na rela%i!i mrea-mrea.

Ve#a moe >iti i pre"o "omtirani/ i pre"o i#na!ml!eni/ lini!a. Na#iva! e !o: i ite-to-ite

VPN. Poto!e dva tipa roter-to-roter VPN mree i toE

Itraet VPN- le #a pove#ivan!e organi#a%ioni/ delova ite "orpora%i!e !edn+ntranet mre pre"o !avne in7ratr"tre.

E:traetVPN - pove#!e "li!ente, partnere, vi:e "orpora%i!a5organi#a%i!a, i op:te ve

#aintereovane trane privatn mre pre"o !avne in7ratr"re. C:tede l@a!

ova"vog "on%epta VPN-a "re; e o"o 20M do 40M.

Anovne prednoti roter to roter VPN-ova

man!! e tro:"ovi DN opega, e7i"ana potre>a DN opega =le"i>ilna topologi!a

+#>egnto nagomilavan!e ao>ra;a!a "ori:;en!em pravl!an!a opegom i meravan!a

ao>ra;a!a.

Slika (! Tipovi VPN mrea

11


12/64


Kone"%i!e "o!e e mog otvariti VPN mrei na onov na@ina i#na!ml!ivan!a lini!e od

trane prova!dera dele e 4 grpeE

Poverl#ive "P,E "orini" i#na!ml!!e poverl!ive lini!e od prova!dera i "oriti i/ #a"omni"a%i! >e# pre"ida. ada !e poverl!iva ona ni!e igrna.

Sigurna "P,E "a"o !e igrnot !edna od na!vani!i/ tvari #a "orini"a "riptovan!e ide"riptovan!e e "oriti na o>e trane pri preno podata"a. Avo omog;ava igrnot

"orpora%i!ama, "p%ima i prova!derima.

i3ridna "P,E me:avina igrne i poverl!ive VPN. Korini" "ontroli:e igrnone pteveVPN-a, do" !e prova!der odgovaran a ape"ta poverl!ivoti.

Prova#der7ki o1ogu$ene "P,E @itava VPN !e adminitrirana od trane prova!dera.

C literatri e re;e !o: !edna terminologi!a ve#ana #a ova"v podel VPN mrea $

#avinoti gde terminira VPN "one"%i!a&E

IN ;


13/64


C ! I P " I R > U E L , E P R I " A > , E M R E < E

+P virtelna privatna mrea !e "p "orini"a $po!edina@ni/ "li!enata i5ili mrea& pove#ani/

na +nternet pre"o vo!i/ prova!dera +nternet lga $+P- Iteret 'eri(e Proider"# +nternet e,"ao i va"a mrea, ato!i od @vorova "ro# "o!i e vr:i meravan!e podata"a "o!e "orini%i

me?o>no ra#men!!. Poda%i "o!e e ra#men!! o>li" pa"eta. Gvorove mree moemo

podeliti na "ra!n!e @vorove "o!i pove#ani a "orini%ima VPN mree, i ntra:n!e - ve otale.

Pri"a# !edne +P virtalne mree dat !e na li%iE

SlikaC! +P virtelna privatna mrea

a P ).ustomer Premisses E=uipmet" o>eleeni odgovara!;i "orini@"i re?a!i

$"omp!teri, rteri, 7ireall-ovi, ili ne"i drgi pe%i!alni VPN re?a!i& "o!ima "orini%i VPNmree pove#ani na +nternet. a N !e o>eleen t#v.Net!ork A((ess 'erer1 re?a! pomo; "o!eg

prova!der lga o>e#>e?!e "orini" +nternet pritp. H );ome >ale!a%"predtavl!a "ra! ve#e

"o!im e %entralni deo VPN mree, t!. (N mrea me:tena edi:t "orpora%i!e5organi#a%i!e,

pove#!e na +nternet pre"o N-a. Ve#a i#me? P-a i N-a moe >iti dial-p tipa $pre"o

"omtirani/ lini!a& ili pre"o i#na!ml!eni/ lini!a )leased lies"1 do" e pretpotavl!a da !e ve#a

i#me? H i N pre"o i#na!ml!eni/ lini!a.

C!;!>unelovan#e

Anovni na@in "o!im e emlirapoint-to-point lin" VPN- !ete tunelovan#e )tueli,"#Tnelovan!e !e li@no o>i@no! en"apla%i!i, me?tim, poto!i >itna ra#li"a. Naime, en"apla%i!a

!e pro%e "ome proto"ol nieg nivoa pre#ima pa"et proto"ola vi:eg nivoa, nad n!im vr:i

#a/tevan o>rad, doda!e vo!e #aglavl!e i "reira novi pa"et. Na primer, +P en"aplira TP pa"ete

pri o>i@no! +nternet "omni"a%i!i. Pod tnelovan!eme podra#meva en"apla%i!a pa"eta !ednogproto"ola pa"ete drgog proto"ola, ali pri tome !e drgi proto"ol na itomili vi:em nivonegoprvi. To !e i "l!@na ra#li"a i#me? o>i@ne en"apla%i!% i tnelovan!a. Proto"ol @i!i e pa"eti $pri

tnelovan!& en"aplira! #va;emo originalni proto"ol, a proto"ol @i!e e pa"ete en"aplira#va;emo proto"ol #a preno. Pra"ti@no, prili"om tnelovan!a, proto"ol #a preno #a originalni

proto"ol predtavl!a proto"ol nieg nivoa, ia"o tvarnoti on ne 7n"%ioni:e na niem nivo.(ogi@"a ta#a "ro# "o! e pa"eti :al! i#me? "orini"a VPN mree e #ove tnel.

13


14/64


C pra"i e prili"om tnelovan!a poda%i ve" "ript! radi o@van!a n!i/ove ta!noti. To !e i

logi@no, !er e "od +P VPN mrea poda%i :al! pre"o !avno dotpne mree i ne"o neovla:;en moe

da i/ #lopotre>i. Na pri!em e vr:i inver#an pro%e - "lan!a e #aglavl!e, a #atim e vr:i

de"riptovan!e podata"a $a"o !e "riptovan!e i#vr:eno&.

C l@a! +P >aed VPN-a. tnelovan!e podra#meva da e originalni +P pa"eti %eloti$#aglavl!e "ome e nala#e interne VPN adree "orini"a i ervera "o!i "omni%ira! #a!edno a

poda%ima& pre lan!a pre"o +nterneta en"aplira! nove +P pa"ete a odgovara!;im, novim

#aglavl!em. Na ta! na@in e ra#dva!a! interne VPN adree od oni/ "o!i e "orite na !avno! mrei i

o>e#>e?!e dodatna #a:tita, t!. a"rivan!e identiteta trana "omni"a%i!i. Aim toga, ta"o e

ola":ava i pravl!an!e adreama, !er e dodatnim #aglavl!em $#aglavl!em proto"ola #a preno& vr:i

ra#dva!an!e rtiran!a "ro# +nternet od rtiran!a o"vir VPN mree. Pri la" tnel pa"eti

do>i!a! nov adre i# "pa adrea "o!i e "oriti na !avno! mrei, a na"on i#la"a i# tnela

"lan!an!em #aglavl!a pa"etima e vra;a adrea "o!a e "oriti o"vir VPN mree. Na ova! na@in

e omog;!e da ra#li@ite VPN mree mog interno "orititi iti "p +P adrea.

Slika ! Tnelovan!e

Tnelovan!e e vr:i pomo; odgovara!;i/ proto"ola "o!i mog >iti na drgom ili tre;em

nivo A+ modela. Proto"oli drgog nivoa $nivoa voda podata"a& "o!i e "orite PPTP )Poit toPoit Tuelli, Proto(ol" i (2TP )La%er 9 Tuelli, Proto(ol"# Ad proto"ola tre;eg $mreog&

nivoa pra"ti@no !edini proto"ol "o!im e vr:i tnelovan!e !e +Pe% )IP 'e(urit"#Ne"i od atoraprave ra#li" imen i#me? onovni/ !edini%a "o!ima proto"oli #a tnelovan!e :al! podat"e.

Kod tnelovan!a na drgom nivo na#iva! i/ 7re!movima )&rames"1 a "od tnelovan!a na tre;emnivo pa"etima )pa(kets"# Avde ;e e i !edni i drgi na#ivati pa"etima.

Be# o>#ira na "om e nivo vr:i, ra#li"!emo dve vrte tnelovan!aE do>rovol!no tnelovan!e )olutar% tuelli,"1

o>ave#no tnelovan!e )(ompulsor% tuelli,"#Io>rovol!no tnelovan!e #na@i da e tnel potavl!a na #a/tev "orini"a, @i!a !e oprema

#adena #a "reiran!e i odravan!e tnela. Kra!n!e ta@"e tnela P i H, odnono tnel

po"riva %elo"pn "one"%i! i#me? trana "omni"a%i!i. C l@a! do>rovol!nog tnelovan!a

+nternet prova!der nema in7orma%i!a o poto!an! tnela. A>ave#no tnelovan!e podra#meva da e

potavl!an!e tnela vr:i >e# @e:;a "orini"a, i "orini" !e prin?en da ga "oriti. Na "orini" !e

amo da potavi ve# a ogovara!;im N-om, "o!i !e #aden #a "reiran!e i odravan!e tnela.

Kra!n!e ta@"e tnela ada N i H, a deo "one"%i!e "o!i e otvar!e i#me? P-a i N-a

ni!e #a:ti;en tnelom. Pra"ti@no, ra#li"a i#me? do>rovol!nog i o>ave#nog tnelovan!a !e ito :to ira#li"a i#me? P >aed i Netor" >aed VPN mrea.

14


15/64


C!(! Protokoli za tunelovan#e drugog nivoa

Proto"oli #a tnelovan!e drgog nivoa e "orite i "od remote-a%%e i "od roter-to-roterVPN mrea. =ormiran!e tnela e vri od ei!e do ei!e, odnono amo "ada poto!i potre>a #a

"omni"a%i!om i#me? "orini"a i H $t#v. o-demad 7ormiran!e tnela&. N!i/ova #a!edni@"aoo>ina !e da o>a tnel! pa"ete PPP )Poit to Poit Proto(ol"proto"ola.

4.,.+ PPP proto#o

PPP !e proto"ol drgog nivoa, "o!i e "oriti pri +nternet "omni"a%i!i, i n!egova onovna

7n"%i!a !e otvarivan!e ve#e dial-p tipa i#me? dal!enog "orini"a i N-a. C t vr/ PP

poed!e me/ani#me "o!ima e "orini" atenti"!e, a ao>ra;a! e op%iono moe i "riptovati radi

#a:tite. Podrava preno mreni/ proto"ola +P, +P i NetBC+. Api PPP proto"ola !e dat

do"ment or proto"ola

"o!im ;e e vr:iti atenti"a%i!a "orini"a, i na "ra! e odre?!e da li ;e e to" ei!e vr:iti

"riptovan!e i "omprei!a pa"eta "o!i e ra#men!!.

DRU>A 7A?A - 7A?A AUTENTI4A.I@E 4


16/64


l@a!no i#a>ranim intervalima :al!e nove i#a#ove "orini", odnono vr:i n!egov reatenti"a%i!.

Ka"o !e p;eni i#a#ov va"i pt drga@i!i ne poto!i opanot od napada ponavl!an!em i od lanog

predtavl!an!a, !er e /odno tome pri va"o! reatenti"a%i!i o@e"!e novi /e:.

P )Mi(roso&t P& !e napre?en!e P proto"ola #a Dindo operativne

iteme. Cnapre?en!a gr>im %rtama lede;aE i#a#ov i /e: adre i identi7i"a%i! ei!e )'essio ID"#

erver na vo!o! trani pamti lo#in" "riptovanom, a ne i#vornom o>li", :to !e

dodatna mera #a:tite od #lopotre>e,

to"om ei!e generi:e e ini%i!alni "l!@ #a PP "riptovan!e.

P ver#i!a 2 ima odre?ena po>ol!:an!a odno na prv ver#i! $Ta>ela 4.1&.

TREA 7A?A - 7A?A P


17/64


Tnelovan!em PPP proto"ola, PPTP i (2TP prodava! PPP "one"%i!, "o!a l@a!

VPN-a o>/vata %el ptan! od "orini"a do H-a. Adnono, en"aplira!;i pa"ete PPP-a

proto"oli #a tnelovan!e drgog nivoa "orite n!egove mog;noti #a atenti"a%i! i "riptovan!e i

na ta! na@in "reira! #a:ti;en ve# i#me? "ra!n!i/ ta@a"a VPN "one"%i!e.

4.,., PPTP proto#o

PPTP !e proto"ol originalno ra#vi!en od trane "on#or%i!ma "o!i @inili 3om, %end i C

oti%. Kani!e ga !e i%roo7t pri/vatio i "l!@io Dindo plat7orm, pa !e predtavl!ao

!edno od na!"ori:;eni!i/ re:en!a #a VPN mree. Iana ga ve vi:e poti"!e (2TP. ada e moe

"orititi i "od roter-to-roter VPN mrea, glavna primena m !e "od remote-a%%e VPN.

Tnelovan!e po PPTP proto"ol moe >iti i o>ave#no i do>rovol!no, ali glavnom e "oriti ovo

drgo. Ietal!no o>!a:n!en!e PPTP proto"ola moe e na;i rad. Prva

!e o>i@a!ena #a pa"et" "omni"a%i!, "o!o! poda%i >iva! en"aplirani proto"olima po@ev:i

od apli"a%ionog nivoa pa ve do nivoa voda podata"a. Fna@i, "ada e radi o +P mrei, prvo ledi

TP, #atim +P, i na "ra! PPP o>rada - to"om "o!e e vr:i atenti"a%i!a i "riptovan!e. Na"on toga

ledi tnelovan!e ta"o do>i!eni/ pa"eta. C t vr/ PPTP proto"ol "oriti proto"ol "o!i e #ove

Heeri( Routi, E(apsulatio"# n"apla%i!om pomo; H


18/64


pa"eti $pa"eti drgog nivoa& >d na"on toga en"aplirani +P pa"ete $pa"ete tre;eg nivoa&, "o!i

e ada mog lati pre"o +nterneta. li"a 6 pri"a#!e tr"tr PPTP pa"eta. +a"o !e na li%i

#a:ti;eni deo PPTP pa"eta a poda%ima pri"a#an tr"tirano, tvarnoti !e on na"on "riptovan!a

!edan nera#l@ivi >lo".

PAKE> SA PODA?IMA

poda%iTP #aglavl!e+P #agl!avl!e

PPP #aglavl!eHog toga !e #a potre>e PPTP-a i#vr:ena e"ten#i!a PPP

proto"ola a P )E:tesi0le Aut/eti(atio Proto(ol"proto"olom, odnono n!egovom vari!antom

P-T( )Traport Leel 'e(urit%"# P omog;ava pro:irivan!e PPP-a novim me/ani#mimaatenti"a%i!e. C l@a! P-T( proto"ola, to !e atenti"a%i!a pomo; !avni/ "l!@eva $o "o!o! ;e

vi:e re@i >iti odel!" pove;enom +Pe%-&. +to "ao i P-2, P-T( omog;ava

#a!amn atenti"a%i!, a na onov "l!@eva ra#men!eni/ pro%e atenti"a%i!e "reira e "l!@

#a "riptovan!e "o!i ;e "orititi PP. Fa "riptovan!e e "oriti


19/64


Slika !;! PPTP en"apla%i!a

C l@a! do>rovol!nog tnelovan!a "od PPTP-a, odgovara!;i o7tver ili /ardver "o!i !e

#aden #a potav tnela e nala#i "od "orini"a $P&. Kod o>ave#nog tnelovan!a, re?a!

"o!i vr:i potav tnela e l@a! PPTP proto"ola na#iva =P )7rot Ed Pro(essor" i n!egova

loga !e dodel!ena N-. Pra"ti@no, =P predtavl!a modem >an" na "o! e "orini" $lo"alno&

pove#!e i "o!a ga #atim pa!a na H. Tnel ada po"riva deoni% od =P-a do H-a. Na "ra!,

tre>a "renti pan! na to da ra#li" i#me? do>rovol!nog i o>ave#nog tnelovan!a ne tre>a >r"ati

a tim da li !e ve#a i#me? P-a i N-a dial-p ili (N tipa.

4.,.4 L,TP

(2TP proto"ol !e "ompromino re:en!e "o!e !e natalo "om>ina%i!om PPTP i rani!e

"ori:;enog (2= proto"ola $ra#vi!enog od trane i%o-a& a %il!em da e o>!edine n!i/ove na!>ol!e

oo>ine. Fa ra#li" od PPTP-a, omog;ava lan!e tnelovani/ PPP pa"eta ne amo pre"o +P, ve; i

pre"o .2', =rame !a:n!en!e (2TP proto"ola moe e na;i


20/64


tr"tra ovi/ pa"eta !e pri"a#ana na li%i $li"a *&. Kontrolni i pa"eti a poda%ima "od

(2TP-a itog 7ormata, a ra#li"om da "ontrolni pa"eti meto tnelovanog PPP-a noe

ignali#a%ion in7orma%i!. Kontrolni pa"eti le #a potav, odravan!e i termina%i! (2TP

tnela. Kao proto"ol tranportnog nivoa (2TP "oriti CIP )User Data,ram Proto(ol" proto"ol

$"od PPTP !e to TP&. Ta"o?e, #a ra#li" od PPTP-a. i "ontrolne por"e i por"e a poda%ima e:al! pre"o ite CIP5+P "one"%i!e. Po:to CIP ne podrava me/ani#me #a "ontrol to"a, (2TP

"ontrolni pa"eti nmeriani. Na onov nmera%i!e (2TP am vr:i "ontrol to"a i na ta! na@in

oigrava po#danot ipor"e. Prili"om potave tnela pomo; "ontrolni/ por"a e vr:i i

atenti"a%i!a tnela, :to !e novot odno na PPTP. Pod atenti"a%i!om tnela e podra#meva

veri7i"a%i!a da "ra!n!e ta@"e tnela re?a!i i#me? "o!i/ !e potava tnela do#vol!ena. C#

atenti"a%i! "orini"a, "o! (2TP atomat"i podrava !er "oriti PPP proto"ol, ovo predtavl!a

dodatn mer igrnoti i @ini !edn od prednoti (2TP-a nad PPTP-om.

poda%i

PPP #aglavl!e(2TP #agl!avl!eCIP #aglavl!e

+P #aglavl!e#aglavl!e proto"ola drgog nivoaPAKE> SA PODA?IMA

Slika F! tr"tra (2TP pa"eta

Pa"eti "o!i noe podat"e mog $ali ne mora!& >iti nmeriani - ta"o?e i# ra#loga oigran!a ipor"e.Kao i "od PPTP-a., #a "riptovan!e PPP pa"eta !e #aden PP. Poto!an!e amo !edne "one"%i!e

pre"o "o!e e :al! o>e vrte pa"eta !e !o: !edna prednot (2TP-a odno na PPTP.

(2TP proto"ol podrava potav vi:e tnela i#me? dva "orini"a $#a ra#li" od PPTP-a&. C

l@a! poto!an!a vi:e tnela identi7i"a%i!a e vr:i na onov odgovara!;eg pol!a o"vir (2TP #aglavl!a.

Par re?a!a i#me? "o!i/ e potavl!a tnel "od (2TP proto"ola e #ov ( )L9TP A((ess.o(etrator" i (N )L9TP Net!ork 'erer"# ( e nala#i na "orini@"o! trani, a (N !e tvari H. C

#avinoti da li !e tnelovan!e do>rovol!no ili o>ave#no, log (-a pre#ima P, odnono N.

li"a 8 pri"a#!e do>rovol!no tnelovan!e.

Slika G! Io>rovol!no tnelovan!e

20

KO,>ROL,I PAKE>

"ontrolni poda%i(2TP #aglavl!eCIP #aglavl!e+P #aglavl!e#aglavl!e

proto"ola drgognivoa

(2TPpa"et

Fa:ti;eni

deo(2TP

pa"et


21/64


To" potave ve#e "od do>rovol!nog tnelovan!a !e lede;iE

1. Korini" potavi ve# a N-om lo"alnog +P-a.

2. (2TP "li!ent $(& ini%ira potav (2TP tnela "a (N-.

3. "o (N pri/vati tnel, ( #apo@in!e o>rad pa"eta a poda%ima, en"aplira i/ PPP, a

#atim (2TP i :al!e (N-.4. (N pri/vata pa"ete, "lan!a (2TP #aglavl!e, #atim vr:i atenti"a%i! "orini"a pomo;

PPP, i de"riptovan!e. Na "ra! (N dodel!!e datom "orini" adre "o! ;e imati

lo"alno! mrei na "o! e pre"o n!ega pove#ao.

Kod do>rovol!nog tnelovan!a "orini" pra"ti@no "oriti vi:e +P adrea. Prv, glo>aln, do>i!a

"ada potavi PPP "one"%i! a N-om, a otale, lo"alne, do>i!a od (N-a #a va"i "reirani

tnel. Kori:;en!e glo>alne adree !e nepovol!no !er !e tada "orini" vidl!iv na +P mrei i ta"o

poten%i!alna meta napada. e?tim, "od do>rovol!nog tnelovan!a, "orini" ima lo>od da "oriti

(2TP po el!i, odnono ima lo>odan pritp i otalim +nternet erviima oim (2TP-a.

li"a 9 pri"a#!e o>ave#no tnelovan!e "od (2TP-a.

Slika H! A>ave#no tnelovan!e

Kora%i potavl!an! ve#e "od potavl!an!a o>ave#nog tnelovan!a E

1. Korini" prvo ini%ira PPP "one"%i! "a N-.

2. N pri/vata PPP "one"%i! "o!a !e na ta! na@in potavl!ena. Na onov atenti"a%i!e

"orini"a $t!. lo#in"e&, N vo!o! >a#i podata"a odre?!e (N na "o!i ;e prolediti

"orini"a.

3. N pre#ima log (2TP "li!enta i ini%ira (2TP tnel "a (N-.

4. "o (N pri/vati tnel, tada N en"aplira PPP pa"ete (2TP i prole?!e i/ "a (N-.

'. Na"on pri!ema podata"a, (N "lan!a (2TP #aglavl!e, a na onov PPP-a vr:i atenti"a%i!"orini"a. Fatim dodel!!e "orini" adre "o! ;e imati lo"alno! mrei na "o! e pre"o

n!ega pove#ao.

Kod o>ave#nog tnelovan!a, ( !e re?a! "ome e 7i#i@"i #avr:ava "orini"ov po#iv, i

prin%ip moe >iti pove#an na vi:e o>i@ni/ tele7on"i/ ili +IN lini!a $opl!e vi:e "orini"a

itovremeno&. Prednot o>ave#nog tnelovan!a !e to :to "orini" ne "oriti glo>aln +P adre i ni!e

glo>alno vidl!iv. Pove#ivan!em na N a datim parametrima PPP ei!e, "orini" nema lo>od

pritpa +nternet, ve; atomat"i >iva tnelovan na H. a drge trane, "orini" ovom l@a!

ne mora da "oriti pe%i!alan o7tver5/ardver "o!i podrava (2TP proto"ol, ve; amo PPP "o!i !e

gra?en operativni item.

21


22/64


Io>rovol!no (2TP tnelovan!e e vrlo @eto "oriti "od remote-a%%e VPN mrea, !er tada

"orini%i pritpa! +nternet pre"o ra#li@iti/ N-ova i +nternet prova!dera, i o>ave#no tnelovan!e tom

l@a! pota!e "ompli"ovano re:en!e. a drge trane, o>ave#no (2TP tnelovan!e e "oriti "od roter-

to-roter VPN, !er tada "one"%i!e predvidive i tati@"e prirode. Pri"a# !edne VPN mree a

"om>ina%i!om o>ave#ni/ i do>rovol!ni/ (2TP tnela !e dat na li%i $li"a 10&.

Slika ;*! (2TP VPN og na>ro!an/ nedotata"a, pra"i e (2TP o>i@no "oriti

#a!edno a +Pe%-om. Ta"va "om>ina%i!a e na#iva (2TP5+Pe% proto"ol. Hlavni ra#log #a

vo?en!e (2TP5+Pe%-a po#dani!a atenti"a%i!a i "riptovan!e "o!e omog;ava +Pe%. Ne:to

vi:e detal!a o (2TP5+Pe%- !e dato odel!" "o!i e odnoi na +Pe%. Na "ra!, re%imo to da e

(2TP, ito "ao i PPTP, "oriti glavnom "od remote-a%%e VPN-a.

22


23/64


C!C IP Se0urit5 2 IPSe0

+Pe% !e proto"ol #a tnelovan!e "o!i e nala#i na tre;em nivo A+ re7erentnog modela i

namena m !e da pri ervie #a:tite. Nova ver#i!a +nternet proto"ola, +pv6, e>i ;e imati

gra?en +Pe%. Fa ra#li" od pret/odno opiani/ PPTP i (2TP proto"ola, pomo; +Pe%-a e moe

tnelovati amo +P proto"ol. e?tim, a ve :irom potre>om +P proto"ola, mree "o!e e

>a#ira! na alternativnim proto"olima "ao :to +P, NetBC+ i pp+eTal" pola"o g>e na

#na@a!. =n"%ioni:e na +nternet nivo TP5+P proto"ol te"a, toga apli"a%i!e i vi proto"oli na

vi:im nivoima mog da "orite n!egove mog;noti. To pra"i #na@i da ;e av ao>ra;a! na mrei

generian od apli"a%i!a i#nad +Pe%-a >iti #a:ti;en, >e# o>#ira o "o!o! e apli"a%i!i radi i >e# o>#ira

na to da li apli"a%i!a e>i ve; ima gra?ene me/ani#me #a:tite. Jedna od na!vani!i/ oo>ina

+Pe% proto"ola !e otvorena ar/ite"tra, odnono poto!i mog;not n!egovog pro:irivan!a a

novim tandardima i proto"olima #a atenti"a%i! i en"apla%i!.

Ia >i e #adrala "ompati>ilnot +Pe% proto"ola +P proto"olom nno !e da tr"tri

+Pe% pa"eta podata"a otane o@vano +P #aglavl!e. +Pe% proto"ol toga o>avl!a "riptogra7"e

a"%i!e nad #aglavl!ima i poda%ima vi:i/ lo!eva. tr"tra +Pe% pa"eta podata"a #a "omni"a%i!

t/ernet mrenim #aglavl!em pri"a#ana !e li"om 11. Pol!e +Pe% #aglavl!em i poda%ima

"l!@!e TP #aglavl!e, te va otala #aglavl!a i podat"e vi:i/ lo!eva "riptovanom o>li".

Ethernet zaglavl#e IP zaglavl#e IPSe0 zaglavl#a i.oda0i

Ethernet za/tita

Slika ;;! tr"tra +Pe% pa"eta podata"a #a preno pre"o t/ernet-a

pe%i7i"a%i!a +Pe% proto"ola !e data ni# itna atenti@not i verodoto!not podata"a, a ne i n!i/ova ta!not.

+Pe% pa"et o>li" "orini/ "riptovani/ podata"a $engl.E(apsulati, 'e(urit% Pa%load

-E'P& "oriti e l@a!evima "ada !e >itno o@vati ta!not preneeni/ podata"a. C# ta!not, Ppol!e +Pe% pa"eta @va atenti@not i verodoto!not podata"a. Fa tvaran!e P pol!a podata"a

"orite e metode !a"e "riptogra7i!e pre#i metodama digitalnog potpiivan!a podata"a.

23


24/64


Ia li ;e e o"vir +Pe%-a "orititi amo , ili amo P, ili o>a #a!edno, !e otavl!eno

na lo>odan i#>or "orini". "o i#a>rani, atenti"a%i!a, odnono "riptovan!e, e vr:e #a va"i

pa"et "ome me:teni poda%i ponaoo> )per pa(ket aut/eti(atio ad e(r%ptio" i to #a va"i

pa"et ne#avino. tenti"a%i!a va"og pa"eta predtavl!a prednot +Pe%-a odno na proto"ole

drgog nivoa, "od "o!i/ poto!i amo atenti"a%i!a "orini"a i tnela. tenti"a%i!a i "riptovan!e evr:e pomo; imetri@ni/ "l!@eva.

Faglavl!e #a ra#men "l!@eva "oriti e "od podproto"ola #a ra#men "l!@eva $engl.

Iteret 4e% E:(/a,e - I4E& "ao !ednog od tri +Pe% podproto"ola. +K !e prilagodl!iv proto"ol

#a dogovaran!e atenti"a%i!"i/ metoda, "riptogra7"i/ algoritama i dina "l!@eva, te #a ra#men

ami/ "l!@eva me? @lanovima "omni"a%i!i.

Slika ;;2;! +P e% "one"%i!a

4.4.+ Aut=entication >eader 3 A>

pe%i7i"a%i!a ovog proto"ola moe e na;i ina, da e :titi i pol!a:n!e +P #aglavl!e @ini glavn prednot atenti"a%i!% -om odno na

atenti"a%i! P-om. tenti"a%i!a -om e ato!i od dva ape"taE

atenti"a%i!e pore"la podata"a )data ori,i aut/eti(atio"1 t!. provere da li poda%itvarno polati od "orini"a a "o!im e $pretpotavl!eno& "omni%ira

veri7i"a%i!e integriteta podata"a $data ite,rit%"1 t!. provere da li !e do:lo do promene

adra!a pa"eta to" prenoa

24


25/64


Anovna gradivna !edini%a +Pe% pa"eta l@a! "ori:;en!a "ao amotalnog

podproto"ola !ete #aglavl!e #a atenti"a%i!. Na li%i 11-2. pri"a#an !e +Pe% pa"et podata"a #a

preno t/ernet mreom "ad e "ao podproto"ol "oriti amotalni .

Ethernetzaglavl#e

IP zaglavl#e A>?P

zaglavl#ePoda0i

Ethernetza/tita

Slika ;;2(! tr"tra +Pe% pa"eta podata"a # "ori:ten!e podproto"ola t/ernet mrei

Faglavl!e #a atenti"a%i! podproto"ola +Pe% pa"et nala#i e i#a +P #aglavl!a, a

ipred TP #aglavl!a, ili P pol!a a"o e "oriti prega i P. Na li%i 12. digitalno

potpi!e va pol!a +Pe% pa"eta oim t/ernet #aglavl!a i #a:titne me.

vr:i atenti"a%i! pore"la podata"a "l!@ivan!em "orini@"og "l!@a o"vir /e:eva

"o!i e ra#men!!. Fa veri7i"a%i! integriteta podata"a e "orite ta"o#vani );as/ed

Messa,e Aut/eti(atio .odes" algoritmi. :tin"i, vi oni vr:e it 7n"%i! - na onov adra!apo@etnog pa"eta i "l!@a i#ra@nava! vrednot #a prover integriteta $/e:&. Novi pa"et e ato!i od

prvo>itnog pa"eta i /e:a. Na pri!em e i# priml!enog pa"eta i#dvo!i deo "ome poda%i i

"ori:;en!em itog "l!@a i algoritma i#ra@na /e:, "o!i e #atim poredi a priml!enim /e:om.

C"oli"o o>a /e:a identi@na, tada !e potvr?en i integritet podata"a i identitet po:il!ao%a. Primeri

na!@e:;e "ori:;eni/ algoritama #a veri7i"a%i! integriteta I' )Messa,e Di,est '& i

)'e(ure ;as/ Al,orit/m"#

Faglavl!e #a atenti"a%i! ato!i e od dine #aglavl!a, o#na"e proto"ola "o!i ledi na"on

podproto"ola $lede;e #aglavl!e&, re#ervianog pol!a, inde"a igrnoni/ parametara, rednog

>ro!a pa"eta i vrednoti #a prover integriteta.

li"a 12 pri"a#!e tr"tr !ednog +P pa"eta na "o!i !e primen!en proto"ol.

IP zaglavl#e A zaglavl#e PODA?I

7lede$e zaglavl#e du+ina zaglavl#a rezervi7ano .ol#e

SPI

redni 3ro#

vredno7t za .roveru integriteta 9he/ .ro1enl#ive du+ine:

Slika ;(! #aglavl!e

Slede$e zaglavl#e !e 8->itno pol!e "ome e nala#i >ro! "o!i pe%i7i%ira "om proto"olpripada! poda%i "o!i e nala#e na"on #aglavl!a. Ava! >ro! e >ira i# "pa vrednoti

de7iniani/ od trane tela #adenog #a tandardi#a%i! +nternet vrednoti - +N $+nternet

igned Nm>er t/orit)&.

2'


26/64


Du+ina zaglavl#a!e ta"ode 8->itno pol!e "o!e de7ini:e din #aglavl!a 32->itnim [email protected] .ol#e #e 16->itno pol!e re#erviano #a >d; potre>.SPI!e 32->itno pol!e "o!em e nala#i t#v. 'e(urit% Parametar Ide:# P+ !e >ro! "o

pove#an a igrnonim ao%i!a%i!ama. igrnona ao%i!a%i!a !e onovna ide!a +Pe%-a i o n!o! ;e

>iti dato vi:e podata"a !ednom od naredni/ odel!a"a.Redni 3ro#!e 32->itno pol!e "ome e nala#i redni >ro! pa"eta )se=ue(e um0er"1 "o!e

li #a preven%i! od napada ponavl!an!em )repla% atta%"!. Kao :to !e re@eno, napad ponavl!an!em

e de:ava "ada ne"o "o eli da omete "omni"a%i! i#me? "orini"a "opira ne"i od pa"eta i

ponovo ga po:al!e nameri da i#a#ove #a>n. Na onov rednog >ro!a pri!emni" #na da!e penovo

priml!en iti pa"et i od>a%!e ga.

"redno7t za .roveru integriteta!e pol!e promenl!ive dine, pri @em !e dina %elo>ro!nimnoa" od 32 >ita. Ava vrednot !e do>i!ena primenom ne"og od algoritama #a veri7i"a%i!

integriteta, do>i!a e /e:ovan!emE

podata"a $"o!i pret/ode #aglavl!&,

amog #aglavl!a pri @em vi >iti i# ovog pol!a potavl!eni na nl,

nepromenl!ivi/ pol!a +P #aglavl!a, pri @em >it i# promenl!ivi/ pol!a potavl!ani na

nl. Na!vani!a nepromenl!iva pol!a i# +P #aglavl!a "o!a e :tite -om dina

#aglavl!a, dina pa"eta, i#vori:na i odredi:na adrea.

"l!@a generianog to" +K ei!e "o!a !e pret/odila.

Kod apli"a%i!a "o!e ne #a/teva! "riptovan!e podata"a, ve; !e amo neop/odna atenti"a%i!a

i #a:tita integriteta, predtavl!a avim dovol!an i#>or. Naime, pri i#>or proto"ola o"vir

+Pe%-a tre>a e voditi time "oli"e mere #a:tite apli"a%i!a #a/teva. va"o dodatno opetere;ivan!e

"omni"a%i!e nepotre>nim igrnonim me/ani#mima neminovno tro:i "omp!ter"e rere i

porava "omni"a%i!.

4.4.,. Epsuatin$ Securit Paoad 3 ESP

pe%i7i"a%i!a ovog proto"ola moe e na;i ?Pzaglavl#a i .odatke:

Ethernet za/tita

Slika ;(2;! tr"tra +Pe% pa"eta podata"a # "ori:;en!e P podproto"ola t/ernet mrei

26


27/64


Hradn!a +Pe% pa"eta podata"a odvi!a e potepeno, prola"om podata"a "ro# lo!eve

mrenog modela, od apli"a%i!"og prema 7i#i@"om lo!, lede;im "ora%imaE

1. Na #aglavl!a i podat"e vi:i/ apli"a%i!"i/ lo!eva doda!e e TP #aglavl!e tvara!;i ta"o

TP pa"et.

2. Hradi e P pol!e. elo"pni TP pa"et $"l!@!;i i #aglavl!e& e "ript!e i @ini "orinepodat"e P pol!. Korinim poda%ima doda! e potre>na P #aglavl!a prema li%i 13.

3. +pred P pol!a doda!e e +P #aglavl!e. Time !e tvoren +P pa"et podata"a.

4. +pred +P pa"eta doda!e e t/ernet #aglavl!e, a na "ra! #a:titna t/ernet ma.

Slika ;C! P #aglavl!e

P #aglavl!e @ine dva 32->itna pol!a, SPI i redni 3ro# ima! it log "ao i "od proto"ola. Fatim lede poda%i, @i!a !e dina %eo >ro! o"teta $8 >ita&. P rep e ato!i od tri pol!aE

Do.una $padding&, @i!a !e dina od 0 do 2'' o"teta. vr/a ovog pol!a !e da prodi pol!e apoda%ima do ne"e #a/tevane dine. Pri tome !e ova dina pe%i7i%irana algoritmom #a

"riptovan!e, ili e, re%imo, pomo; ovog pol!a a"riva prava dina dela a poda%ima.Du+ina do.une!e 8->itno pol!e "ome !e, "ao :to m ime "ae, #apiana dina pol!a dopne.Slede$e zaglavl#e!e pol!e ite vr/e i dine "ao i odgovara!;e pol!e #aglavl!, a

ra#li"om da poda%i proto"ola "o!i !e ovde pe%i7i%iran tvarnoti pret/ode, a ne lede ovom pol!.

P atenti"a%i!a adri e>i vrednot #a prover integriteta. Avo pol!e !e op%iono i a"o

atenti"a%i!a P-om ni!e i#a>rana ne poto!i.

P, ia"o m mog;noti #a atenti"a%i! limitirane pore?en! a , pra avim

dovol!an nivo #a:tite "oli"o !e potre>no atenti"ovati proto"ole i#nad +nternet nivoa. Nepotre>no

"ori:;en!e atenti"a%i!e amo ;e poriti i opteretiti "omni"a%i!.

2*


28/64


4.4.4 Modovi rada IPSec3a

Poto!e dva moda rada +Pe%-aE

tranportni mod,

tnel"i mod.

Kod tranportnog moda vr:i e amo en"apla%i!a podata"a i# +P pa"eta, do" e originalno

+P #aglavl!e ne en"aplira, ve; e nala#i pole i P #aglavl!a. To #na@i da e +Pe% #a:tita

primen!!e amo na proto"ole na nivoima i#nad +P-a $mrenog nivoa&. C ovom l@a! !e na del

o>i@a!ena en"apla%i!a proto"ola vi:i/ proto"ole nii/ nivoa.

Kod tnel"og moda rada, en"apla%i!a o>/vata %eo po@etni +P pa"et $#aglavl!e Q poda%i&,

t!. +Pe% #a:tita o>/vata i +P. ada e radi o tnelovan!. !er +Pe% $proto"ol mrenog nivoa&

en"aplira +P $ta"o?e proto"ol mrenog nivoa&. Na li%i 14-1 i 14-2 pri"a#ani P i modeli

tnel i tranportnom mod.

Slika ;2;6 ;2(! Tnel"i i tranportni mod

Prednot tranportnog moda rada !e tome :to #a/teva man!e o>rade po pa"et. Po pravil

e "oriti i#me? "ra!ni/ ta@a"a "one"%i!e. Tnel"i mod e ve" primen!!e i#me? re?a!a od

"o!i/ >ar !edan ni!e "ra!n!a ta@"a "one"%i!e. Ka"o !e "od VPN-a to ve" l@a! $ve" poto!i H&,

#a potre>e VPN-a "oriti e tnel"i mod. Pored toga,. tnel"i mod !e neop/odan #>og ra#dva!an!a

interni/ VPN +P adrea od +P adrea na !avno! mrei.

Ka"o e +Pe%, "ao :to !e ve; re@eno, "oriti tnel"om mod rada "od VPN-a, :titio>a +P #aglavl!a "o!a atavni delovi preno:enog pa"eta. Prvo, ntra:n!e +P #aglavl!e "o!e

odgovara interno! VPN adrei :titi potpnoti, !er !e atav dela pa"eta "o!i !e pre

#aglavl!a. C l@a! drgog, pol!a:n!eg +P #aglavl!a "o!e odgovara adrei na !avno! mrei,.

:titi amo ona pol!a "o!e e ne men!a! to" prenoa.

28


29/64


4.4.?. Si$urnosna Asocijacija 3 SA

Anovni "on%ept +Pe% proto"ola !e igrnona ao%i!a%i!a. Po de7ini%i!i, igrnona

ao%i!a%i!a !e rela%i!a "o!a e potavl!a i#me? @eni"a "omni"a%i!i i "o!om e de7ini:igrnoni parametri "omni"a%i!e. Pod ovim parametrima e podra#meva! proto"oli "o!ima e

"omni%ira, algoritmi "o!im e proto"oli le, "l!@evi "o!ima e "orite algoritmi, itd.

Po !edna igrnona ao%i!a%i!a e potavl!a po!edina@no #a i #a P proto"ol. Aim toga,

igrnona ao%i!a%i!a !e !ednomerna, t!. l@a! dvomerne "omni"a%i!e potre>ne dve ao%i!a%i!e.

Irgim re@ima, l@a! +Pe% "one"%i!e "o!a !e #a:ti;ena i -om i P-om, mora! >ili po dve

va"om mer. +Pe% am ne potavl!a , ve; !e #a to namen!en Iteret 4e% E:(/a,e proto"ol

$+K&. +K preliminarno! 7a#i "omni"a%i!e "reira "o!im ;e e "ani!e liti +Pe%.

va"a e de7ini:e pomo; tri vrednotiE

P+ $e%rit) Parametar +nde& - l@a!no generiani >ro! "o!im e identi7i"!e i lida ra#li"!e "o!e i#me? iti/ detina%i!a i "o!e e odnoe na iti proto"ol,

+P adreom odredi:ta - #a ada to amo ni%at adree, mada !e dal!em ra#vo!

predvi?eno da e mog "orititi i mlti%at i >road%at adree.

identi7i"atorom igrnonog proto"ola #a "o!i e "oriti $ ili P&.

C #avinoti od moda rada +Pe%-a. i moe >iti tnel"om ili tranportnom mod. va"i

re?a! "o!i "oriti +Pe% odrava dve >a#e podata"a "o!ima me:ta podat"e o potavl!enim . To E

PI - e%rit) Poli%) Iata>ae.

I - e%rit) o%iation Iata>ae.

PI !e >a#a podata"a "o!a e "onlt!e pri o>radi %elo"pnog +P ao>ra;a!a "o!i prola#i"ro# re?a!. C e>i adri lit potpa"a o>rade )poli(% etr%"1 "o!i e 7ormira! na onov 7a"tora

"ao :to i#vori:na i odredi:na adrea, da li !e pa"et tigao pol!a )out0oud - l@a! VPN-a

pre"o !avne mree& ili i# lo"alnog o"ren!a )i0oud"1 i "o!ima !e de7iniano "a"av ;e e na@in

o>rade pa"eta primen!ivati. C op:tem l@a! pa"et moe >iti od>a@en )dis(arded"1 moe O#ao>i;iO

+Pe% o>rad, ili >iti ipro%eiran +Pe% modl. Avo !e vrlo li@no onome :to radi 7ireall.

C I me:teni poda%i o va"o! "o! !e re?a! potavio a ne"im od drgi/

"orini"a VPN. Ti poda%i E

proto"ol #a "o!i !e de7iniana ,

algoritmi "o!i e "orite #a atenti"a%i! i5ili "riptovan!e, mod rada $tranportni ili tnel"i&,

redni >ro! pa"eta,

vreme ivota $vreme "ome ;e e poto!e;a terminirati i op%iono #ameniti drgom&.

C l@a! out0oud ao>ra;a!a, prvo e "onlt!e PI a %il!em da e tvrdi da li pa"etpodlee +Pe% o>radi. "o da, tada e trai igrnona ao%i!a%i!a I @i!i e P+ po"lapa a P+

#apianim #aglavl! pa"eta. "o ne poto!i igrnona ao%i!a%i!a "o!a odgovara pro7il pa"eta,

tart!e e +K proto"ol @i!a ;e primena re#ltirati "reiran!em potre>ne ao%i!a%i!e. Na"on :to !e

"reirana, na pa"et e primen!! +Pe% o>rada "lad a ao%i!a%i!om. $li"a 1'&.

29


30/64


Slika ;'! A>rada ot>ond ao>ra;a!a

Kada e radi o i0oud ao>ra;a!, ta"o?e e prvo "onlt!e PI da e tvrdi da li !epotre>na +Pe% o>rada. Kada !e to l@a!, I e pronala#i traena igrnona ao%i!a%i!a. "o

ona ne poto!i, tada poto!e dve mog;notiE

pa"et e od>a%!e $ova"av potpa" !e implentiran ve;ini +Pe% reali#a%i!a - li"a 16&.

"reira e potre>na $"oli"o !e do#vol!eno&.

Slika ;! A>rada in>ond ao>ra;a!a

ina%i!a i P igrnoni/ ao%i!a%i!a $pogotovo a"o e

o>#ir #m dva moda rada "o!i e mog ne#avino primen!ivati na va"i proto"ol&, od pra"ti@nog

#na@a!a amo dve. C va"o! od n!i/ e prvo vr:i en"apla%i!a P-om, a #atim -om. To !e i

logi@no, !er nema mnogo mila de"riptovati pa"et @i!i i#vor ni!e a igrno:; odre?en

$atenti"ovan&. Prva od te dve "om>ina%i!e e na#iva Otranportna pove#anotO )trasport

ad+a(e(%"1 "ada o>a proto"ola rade tranportnom mod, i "ada e i P #aglavl!a pa"etnala#e !edno do drgog. li"a 1* pri"a#!e ova! l@a!.

30


31/64


Slika ;F! Tranportna pove#anot

Irga "om>ina%i!a e na#iva Ognedeno tnelovan!eO )ested tuelli, ili iteratedtueli,"1 "ada ntra:n!i proto"ol $P& radi tranportnom mod, a pol!a:n!i $&

tnel"om mod $li"a 18&. VPN mree "orite gnedeno tnelovan!e.Kod gnedenog tnelovan!a, po pravil e P $"o!i !e tranportnom mod& "oriti i#me?

"ra!n!i/ ta@a"a "one"%i!i, a $"o!i !e tnel"om mod& i#me? H-a i ne"og od re?a!a a

"orini@"e trane. C l@a! remote-a%%e VPN na "orini@"o! trani e i i P terminira! na

"orini@"om ra@nar. Kod roter-to-roter VPN-a P terminira na "orini"ovom ra@nar, a na

rter $li"a 18 pri"a#!e ova! l@a!&. Kori:;en!em gnedenog tnelovan!a e moe i#vr:iti

ra#dva!an!e glo>alni/ i lo"alni/ +P adrea. +P pa"et a lo"alnom adreom !e na"on primene P

proto"ola gneden novi +P pa"et a glo>alnom adreom, "o!i !e #a:ti;en proto"olom.

Teori!"i !e mog;e da e i#vr:i gnedavan!e +P pa"eta nove +P pa"ete ne>ro!eno mnogo

pta, odnono mog;e !e proi#vol!an >ro! pta #aredom primeniti i P $pri @em va"o! od

primena odgovora po !edna igrnona ao%i!a%i!a&. li"a 18 pri"a#!e pa"et "reiran pomo; dvatepena o>rade $prvo P-om pa -om&, t!. poto!i amo !edan gneden i pa"et. To odgovara

ita%i!i pra"i, !er e ta"o o>e#>e?!e potre>an tepen #a:tite, a a drge trane vreme o>rade na

pri!emno! i preda!no! trani ni!e preveli"o. C VPN mreama, gde !e vreme o>rade pa"eta "riti@an

parametar, poto!i tenden%i!a da e "oriti amo P proto"ol i #a atenti"a%i! i #a "riptovan!e. C

pra"i e po"a#alo da !e i ta"o oiroma:ena #a:tita dovol!na #a ve;in primena.

31


32/64


Slika ;G! Cgnedeno tnelovan!e

4.4.@ Internet Ke Ec=an$e 3 IKE

+K !e /i>ridni proto"ol natao "om>inovan!em +KP- )Iteret 'e(urit% Asso(iatios

ad 4e% Maa,emet Proto(ol"1 Aa"le) i K )'e(urit% 4e% E:(/a,e Me(/aism"proto"ola.

Anovna namena +K proto"ola !e "reiran!e igrnone ao%i!a%i!e i ra#mena "l!@eva #a

atenti"a%i!, odnono "riptovan!e. Cpotavl!an!e igrnone ao%i!a%i!e i igrna ra#mena

"l!@eva !e na!"riti@ni!i 7a"tor "reiran! >e#>ednog "omni"a%ionog o"ren!a, !er e ova

ini%i!alna 7a#a odvi!a lovima "ada ne poto!i ta!not "omni"a%i!e. F>og toga me/ani#mi

"ori:;eni +K na!"omple"ni!i i #a/teva! na!vi:e ra@nar"i/ rera.

pe%i7i"a%i!a ovog proto"ola moe e na;i


33/64


Fa potav +KP igrnone ao%i!a%i!e "oriti e !edan od ova dva moda. va"a

reali#a%i!a +K proto"ola mora da podrava onovni mod, do" !e podr:"a #a agreivni mod

op%iona. Kra!n!i e7e"at !e iti - "reiran!e igrnog "omni"a%ionog "anala pre"o "oga ;e e

ra#men!ivati por"e i# drge 7a#e.

ni/ #a "ani! "omni"a%i! ili P podproto"olima. il! prve 7a#e +K

podproto"ola !e dogovoran!e "riptogra7"i/ algoritama, algoritama #a atenti"a%i! i "l!@eve "o!i

;e >iti dovol!no igrni #a potavl!an!e igrnone ao%i!a%i!e to"om drge 7a#e. elo"pni

potpa" "omni"a%i!e +Pe% proto"olom moe e podeliti tri onovna "ora"aE

1. Koriti e onovni na@in ra#mene #a potavl!an!e igrnog "anala "o!i li potavl!an!

igrnone ao%i!a%i!e.

2. Koriti e >r#i na@in ra#mene #a dogovaran!e parametara igrnone ao%i!a%i!e.3. Fa >d; "omni"a%i!, od tog trent"a do trent"a ite"a vremena val!anoti igrnone

ao%i!a%i!e, "oriti e igrnona ao%i!a%i!a dogovorenim parametrima.

Anovni na@in ra#mene odvi!a e lan!em :et por"a, po tri por"e va"om mer, "ao :to

pri"a#!e li"a 19-1.

Slika ;H2;! Anovni na@in ra#mene "od +K podproto"ola

C prve dve por"e dva @eni"a e dogovara! o"o algoritama "o!e ;e "orititi #a"riptovan!e i digitalno potpiivan!e por"a to"om +K podproto"ola. Irge dve por"e le #a

ra#men !avni/ "l!@eva @eni"a i l@a!no generiani/ podata"a "o!e drgi @eni" tre>a

digitalno da potpi:e i vrati "a"o >i do"a#ao vo! identitet. C tre;o! por%i va"i @eni" :al!e

vlatite identi7i"a%i!"e podat"e i l@a!no generiane podat"e "o!e !e pret/odno primio, vlatiti

erti7i"at "o!im e garant!e n!egov identitet, te ve to digitalno potpi!e. Tre; por" va"i

@eni" pre lan!a "ript!e "riptogra7"im algoritmom dogovorenim prvo! por%i.

A$resivni naBin ra/%enegreivni na@in ra#mene, li@no "ao i onovni, "oriti e prvo! 7a#i +K podproto"ola i li #a

potavl!an!e igrnog "omni"a%i!"og "anala #a dogovor igrnoni/ parametara i ra#men "l!@eva#a i P podproto"ole. greivni na@in ra#mene ne:to !e !ednotavni!i i >ri od onovnog na@ina,

33


34/64


ali e do"a#ivan!e identiteta @eni"a ne o>avl!a "ro# igrni "anal. greivni na@in "oriti amo tri

por"e #a potavl!an!e igrnog "anala. Ive por"e :al!e @eni" "o!i !e #apo@eo potpa", a !edna !e

odgovor drgog @eni"a . greivni na@in ra#mene pri"a#an !e li"om 19-2.

C@eni" "o!i #apo@in!e potpa" ra#mene agreivnim na@inom nato!i da prvo! por%i

po:al!e :to !e mog;e vi:e podata"a, "a"o >i e man!io >ro! por"a potre>ni/ #a potavl!an!eigrnog "anala. Prva por"a adri identi7i"a%i!"e podat"e po:il!ao%a, l@a!no generiane

podat"e, n!egov !avni "l!@ i predloen igrnon ao%i!a%i!. Primala% odgovara lan!em

itovrni/ podata"a i doda!e vo! erti7i"at i digitalni potpi. Potpa" potavl!an!a igrnog

"omni"a%i!"og "anala e #avr:ava lan!em erti7i"ata i digitalnog potpia @eni"a "o!i !e

#apo@eo potpa".

Slika ;H2(! greivni na@in ra#mene "od +K podproto"ola

greivni na@in ra#mene potie it 7n"%ionalnot "ao i onovni na@in. avl!a! itovremeno, te e

pril:"ivan!em "omni"a%i!e moe do;i do identiteta @eni"a "o!i potavl!a! igrni "anal.

Aim po#navan!a amog identiteta @eni"a, "od agreivnog na@ina ra#mene nema drgi/

igrnoni/ pro>lema. Prednot agreivnog na@ina, odno na onovni, !ete man!i >ro! potre>ni/

por"a i ve;a >r#ina.

Pri potavi +K ve#e, "omni"a%ioni partneri ra#men!! predloge #a +KP igrnone

ao%i!a%i!e i odl@! e #a !edan od n!i/. igrnona ao%i!a%i!a pe%i7i%ira lede;e parametreE

na@in atenti"a%i!e "orini"a,

vreme tra!an!a ao%i!a%i!e.

parametre ra#mene "l!@eva po Ii7i-elman algoritm, /e: algoritam.

algoritam #a "riptovan!e.

Kada e "omni"a%ioni partneri dogovore o parametrima ao%i!a%i!e, ledi ra#mena podata"a

"o!ima ;e e generiati "l!@evi po Ii7i-elman algoritm. Ti "l!@evi le da e n!ima

atenti"! i "ript! otale +KP por"e. Pole ovoga e vr:i atenti"a%i!a "orini"a.

tenti"a%i!a "orini"a e moe i#veti na dva na@ina. Prvi od n!i/ !e atenti"a%i!a na onov

pret/odno ra#men!eni/ "l!@eva pre potave +K "omni"a%i!e $pre-s/ared ke%s" i na#iva emanelna ra#mena "l!@eva )mauel ke%i, mama,emet"# Pomo; pret/odno ra#men!eni/

"l!@eva va"i od @eni"a /e:!e pro>n e"ven% podata"a i po:al!e !e #a!edno a do>i!enim

/e:om. Na pri!em drgi "orini" "ori:;en!em itog "l!@a /e:!e it e"ven%. Fatim pore?!e/e: "o!i !e am i#ra@nao a onim "o!i !e priml!en i ta"o vr:i atenti"a%i!. anelna ra#mena

34


35/64


"l!@eva !e pra"ti@no re:en!e l@a! mali/, tati@"i/ VPN-a, "ada !e !ednotavno i#vr:iti

ditri>%i! "l!@eva pre +K "omni"a%i!e. e?tim, veli"im o"ren!ima e !avl!a pro>lem

"ala>ilnoti.

Irgi na@in !e atenti"a%i!a pomo; t#v. "riptogra7i!e a !avnim "l!@em )pu0li( ke%

(r%pto,rap/%" # "ori:;en!e digitalnog potpia )di,ital si,ature"# C ovom l@a! va"i od"orini"a VPN-a poed!e par !edintveni/ "l!@eva- !avni i ta!ni. Ta!ni "l!@ !e po#nat amo

"orini", do" !e !avni "l!@ !avno dotpan. Ta!ni i !avni "l!@ matemati@"i pove#ani, i a"o !e

"riptovan!e i#vr:eno !ednim od n!i/ tada !e de"riptovan!e mog;e amo drgim "l!@em i# para. Ia

>i e i#vr:ila atenti"a%i!a, "orini" "ript!e et podata"a pomo; vog ta!nog "l!@a i :al!e i/

#a!edno e "riptovanom ver#i!om. Na pri!em e poda%i de"ript! pomo; !avnog "l!@a "orini"a

"o!i i/ !e polao, i na onov ne"riptovane i de"riptovane ver#i!e o>avl!a e atenti"a%i!a. C o"vir

por"a "o!ima e atenti"! ta"o?e e :al!e digitalni erti7i"at )di,ital (erti&i(ate"# Namena

digitalnog erti7i"ata !e da !edno#na@no povee par "l!@eva a odre?enim "orini"om i ta"o

elimini:e mog;not lanog predtavl!an!a $ne"o a vo!im parom "l!@eva e ne moe predtaviti

"ao ne"o drgi, odnono "l!@evi !edno#na@no odre?! n!egov identitet&. Iigitalni erti7i"at i#da!

odgovara!;a erti7i"a%iona tela $erti7i%ale t/oritie& i n!i/ov po#danot e ne mn!a.

-RU)A 8A9AC ovom l@a! ta"o?e poto!e dva moda radaE

>r#i mod )=ui(k mode"1

mod nove grpe )e! ,roup mode"#Fa +Pe% !e od interea amo >r#i mod, !er !e on dire"tno namen!en #a potre>e +Pe%

proto"ola. od nove grpe le da e "reira! nove +KP igrnone ao%i!a%i!e "ori:;en!em

ve; poto!e;e.

5r/i naBin ra/%eneNa"on potavl!an!a igrnog "anala primenom onovnog ili agreivnog na@ina ra#mene,

#apo@in!e drga 7a#a +K podproto"ola. Irga 7a#a "oriti e >r#im na@inom ra#mene. Br#i na@in

ra#mene li #a dogovaran!e igrnoni/ parametara "omni"a%i!e ili P podproto"olom +

#a ra#men ta!ni/ imetri@ni/ "l!@eva. Bd;i da !e igrni "omni"a%i!"i "anal potavl!en

prvo! 7a#i, >r#i na@in ra#mene !e man!e loenoti i ve;e prilagodl!ivoti nego onovni i agreivni

na@in. provodi e lan!em tri por"e "ao :to !e pri"a#ano li"om 19-3. ve por"e "riptovane

"l!@evima "o!i dogovoreni prvo! 7a#i, a va"a por"a adri deo i#ra@nat /a/ 7n"%i!om.

Ta! deo li atenti"a%i!"e vr/e i #a ot"rivan!e #lonamerni/ i#mena por"a to"om prenoa

mreom.

Slika ;H2C! Br#ina@in ra#mene "od +K podproto"ola

3'


36/64


Pre lan!a prve i drge por"e @eni%i i#ra@nava! va"i vo! par aimetri@ni/ "l!@eva. C

prve dve por"e potavl!a e nova igrnona ao%i!a%i!a "o!a ;e >iti "ori:;ena a i P

podproto"olima, te e ra#men!! !avni "l!@evi, l@a!ni poda%i i identi7i"a%i!"i poda%i. Na

temel! ra#men!eni/ podata"a o>e trane i#ra@nava! imetri@ni ta!ni "l!@ #a "omni"a%i! i

P podproto"olom. Tre;om por"om govoreni parametri e potvr?! lan!em dela l@a!nogeneriani/ podata"a "o!e generiale o>e trane.

Bitno !e napomenti da prvo! 7a#i +K podproto"ola :eni%i "orite "on%ept poverl!ivog

poredni"a "omni"a%i!i. Poverl!ivi poredni" !e i#dava@ %erti7i"ata $engl. .erti&i(ate Aut/orit%&.

Br#im na@inom ra#mene e #avr:ava drga 7a#a +K podproto"ola, a time i am +K podproto"ol.

igrni "omni"a%i!"i "anal !e potavl!en i moe #apo@eti "omni"a%i!a , odnono P

podproto"olom.

og;e !e imati vi:e ra#mena drge 7a#e "o!e e :tite igrnonom ao%i!a%i!om prve.

Adnono, mog;e !e "reirati vi:e +Pe% igrnoni/ ao%i!a%i!a pod o"ril!em !edne +KP

igrnone ao%i!a%i!e. C pra"i e ovo @eto "oriti !er !e prva 7a#a na!#a/tevni!a a tanovi:ta

pro%eor"e mo;i i nepra"ti@no !e @eto ponavl!ati.

Bd;i da !e +Pe% "p proto"ola gra?eni/ program" podr:" mrenog, odnono +P

lo!a, vi:i apli"a%i!"i proto"oli olo>o?eni vo?en!a >rige o igrnonim pro>lemima. drge

trane, +Pe% proto"ol, #>og "ompati>ilnoti o>i@nim +P proto"olom, omog;ava preno +Pe%

pa"eta podata"a "ro# mre "ra!n!i/ ra@nara i meriva@a "o!i ne mora! prati podr:" #a

+Pe% proto"ol. Navedena vo!tva @ine +Pe% proto"ol pogodnim #a veo>/vatn primen

vr/e oigravan!a "omni"a%i!e +P mreama.

4.?. Ka#o IPSec radiC

+Pe% "l!@!e mnoge te/nolo:"e "omponente i metode "riptovan!a. li ipa" +Pe%

opera%i!e mog e podeliti pet onovni/ "ora"a i toE

4orak8E Faniml!iv ao>ra;a! ini%ira +Pe% pro%eE ao>ra;a! e matra #animl!ivim "ada +P

polia >e#>ednoti "on7igriana na +Pe% @vor #apo@in!e +K pro%e

4orak9E +K 7a#a 1- C prvo! 7a#i e 7ormira +KP igrnona ao%i!a%i!a. matra e da pre

po@et"a "omni"a%i!e ne poto!i igran "anal #a ra#men +KP por"a, i #adata"

igrnone ao%i!a%i!e prve 7a#e !e da ta"av "anal o>e#>edi.

4orak9E +K 7a#a 2 - C drgo! 7a#i e ra#men!! por"e pomo; "o!i/ e "reira +Pe% igrnona

ao%i!a%i!a. Tim por"ama e de7ini: parametri >d;e +Pe% $odnono ili Pa:tite.

4orakBE Preno podata"a Poda%i e prenoe i#me? +Pe% @vorova #anovani na +Pe%

parametrima i "l!@evima #apianim >a#i

4orakCE Pre"id +Pe% tnelovan!a +P e pre"ida >rian!em ili ite"om odre?enog

vremena.

Na lede;o! li%i !e pri"a#an rad +Pe%-aE

36


37/64


Slika ;H2! Ka"o +P radi

+Pe% e moe "orititi "od o>a tipa VPN mrea, ali !e preva/odno namen!en #a roter-to-

roter VPN. C l@a! o>ave#nog tnelovan!a, N e tada na#iva +P e%rit) gatea).

Poto!e proto"oli "o!ima e vr:i atenti"a%i!a i "riptovan!e na tranportnom nivo, "ao :to !e

( $e%re o%"et (a)er&. ( e primarno "oriti #a #a:tit ele"tron"e trgovine na +nternet,

ali ito "ao i +Pe%, pra #a:tit vim apli"a%i!ama "o!e na nivoima i#nad. e?tim, #a ra#li"

od +Pe%-a, "od (-a e "riptovan!e i atenti"a%i!a vr:e #a @itav ni# podata"a $odnono %el

por"& od!ednom, a #atim e ta"o #a:ti;eni poda%i dele pa"ete. Tada ne poto!i me/ani#am

"o!im e moe i#vr:iti provera na pri!em da li !e po!edini pa"et "riptogra7"i ipravan ve do" e

ne po":a a re"ontr"%i!om por"e. "o ne"o #lonameran >a%i pa"et "o!i ima ipravan redni

>ro! ali !e neipravnog adra!a, na pri!em ;e ta"av pa"et >iti pri/va;en "ao validan. Kada

pritigne, pravi pa"et ;e >iti od>a@en "ao dpli"at. F>og lanog pa"eta pri!emni" ne;e >iti

mog;noti da i#vr:i re"ontr"%i! por"e, a pra"ti@no ;e na ta! na@in >iti anlirati preno i vi/

otali/ pa"eta.

C!' L(>P)IPSE?

+ntegra%i!a ova dva proto"ola data !e ra oo>ina ove "om>ina%i!e !e to

:to !e ada mog;a en"apla%i!a ne amo +P pa"eta, ve; pa"eta vi/ proto"ola "o!e !e mog;e

en"aplirati pomo; (2TP-a. Naravno, l@a! da pa"eti "o!i e tnel! +P pa"eti, nema

mila "orititi (2TP5lPe% !er ta"o e amo noi nepotre>na dodatna o>rada. F>og op:teg trenda

prela"a na +P mree, vi:eproto"olna podr:"a "o! da!e (2TP5+Pe% >d;noti ne;e igrati van

log. a drge trane, #a ra#li" od "ori:;en!a amo (2TP-a, ada !e pored atenti"a%i!e tnela i

"orini"a mog;a atenti"a%i!a podata"a.

3*


38/64


Slika (*! (2TP5+P pa"et

Na "ra! ovog odel!"a, dato !e ta>elarno pore?en!e proto"ola #atnelovan!e drgog i tre;eg

nivoa $Ta>ela 2&,"ao i >e#>ednono pore?en!e i P $ta>ela 3&

Protokol PP>P L(>P L(>P)IPSe0 IPSe0

"r7ta 1re+e +P+P, T, =rame

rela)+P +P

Autentika0i#a

kori7nikaIa Ia Ia Ia

Autentika0i#atunela

Ne Ia Ia Ia

Autentika0i#a.aketa

Ne Ne Ia Ia

"i/e.rotokolna.odr/ka

Ia Ia Ia Ne

Protokol zakri.tovan#e

PP PP P P

Pri1enapreteno "od remote-

a%%e VPN-a

preteno "od remote-

a%%e VPN-a

preteno "od remote-

a%%e VPN-a

preteno "odroter-to-roter

VPN-a"r7tatunelovan#a

preteno do>rovol!nodo>rovol!no io>ave#no

do>rovol!no io>ave#no

do>rovol!no io>ave#no

>a3ela (! Pore?en!e proto"ola #a tnelovan!e

38


39/64


Bez3edno7ni a7.ekt A ESP

(a)er-3 +P proto%ol nm>er '1 '0

Amog;ava integritet podata"a Ia IaAmog;ava atenti"a%i! podata"a Ia Ia

Amog;ava en"rip%i! podata"a Ne Ia

Fa:tita od ponovni/ napada na podat"e Ia Ia

a3ela C! i P pore?en!e

39


40/64


! , E K E O D R E A L I 8 A ? I A " P , 2 A I M O @ U J I P R O B L E M I

C reali#a%i!i VPN-a potre>no !e o>ratiti pan! na ne"oli"o "l!@ni/ ta@a"aE

VPN i 7ireall

VPN i NT5NPT

Pa-t/rog/ VPN

!; "P, i fireall

Slika (;! VPN i 7ireall

C odno na 7ireall, VPN e moe potaviti na ra#ne na@ine. Pri tome va"o od re:en!a ima

vo!e nedotat"e, a "o!e ;e e i#a>rati #avii od toga :ta e eli poti;i. li"a 21 pri"a#!e mog;e

poloa!e VPN re?a!a odno na 7ireallE

- VPN paralelno a 7ireall-omE C ovom l@a! imamo dve ta@"e la#a +ntranet. ora

e o>ratiti veli"a pan!a na ipravn "on7igra%i! VPN-a.

B - VPN i#a 7ireall-aE C ovom l@a! ne poto!i "ontorola nad VPN ao>ra;a!em

7ireall-. Potavl!a e pitan!e "o!o! meri e ver!e "orini%ima VPN-a.

- VPN ipred 7ireall-aE C ova"vo! "on7igra%i!i av ao>ra;a! prola#i "ro# VPN. VPN

mora da o>radi veli" "oli@in dola#nog ao>ra;a!a. To ti@e na per7ormane VPN-a i pri

tome e dovodi pitan!e i ran!ivot VPN-a !er e nala#i na !avno! mrei. C ovom l@a!

7ireall li #a nadgledan!e dola#nog VPN ao>ra;a!a. Ava primena !e na!@e:;a "od

tranet VPN-a.

I - VPN re:en!e integriano a 7ireall-om. Potre>no !e po#navati te/ni"e 7ireall-a te !e i

"on7igrian!e re?a!a #a/tevni!e. Cre?a! !e #a/tevni!i po pitan! per7ormani i

"ompati>ilnoti pravila 7ilterovan!a a VPN erviima.

- =ireall a o>e trane. Avo re:en!e !e "pl!e i "oriti e l@a! veli"og tepena

#a:tite.Na!@e:;e "ori:;ena re:en!a i B.

40


41/64


!(! "P, i ,A>),A>P

Jedna od te:"o;a "o!a e po!avila pri prvim implementa%i!ama +Pe%-a +P mreama !e

nemog;not primene NT proto"ola $Netor" ddre Tranlation& # +Pe%. NT !e proto"ol

"o!i e "oriti #a pretvaran!e lo"alni/, "orini@"i/ adrea glo>alne, "o!e e mog rtirati na !avno!

mrei. Pri o>radi pa"eta NT men!a pol!a n!em "o!a e odnoe na adre i#vori:ta. NPT

$Net!ork Address Port Traslatio"!e e"ten#i!a NT-a, mil da e pored promene adree vr:i

i promena porta $a"o !e potre>no&. avi +T= i "ona@ni tandard !o: ni!e vo!en.

Cpotre>a NT-a onemog;ava atenti"a%i!, !er e /e: pa"et "ome !e i#men!ena

i#vori:na adrea ne;e lagati a /e:om po@etnog pa"eta i toga ;e priml!eni pa"et >iti od>a@en. Kao

:to !e rani!e napomento, atavni deo e"ven%e na onov "o!e i#ra@nava /e: pada! i

Onepromenl!ivaO pol!a i# +P #aglavl!a, od "o!i/ !e !edno i i#vori:na +P adrea. F>og toga !e

nemog;a itovremena primena proto"ola i NT-a.

C"oli"o e "oriti P tranportnom mod, tada portovi $"o!i e nala#e #aglavl!

proto"ola tranportnog nivoa& "riptovani i tada NPT ne moe da vr:i vo! 7n"%i!. lema !e en"apliran! +P $#a:ti;enog P-om& CIP pre nego :to pa"eti >d polati na

odredi:te "ro# NT. C"oli"o e, oim NT-a, "oriti i 7ireall, tada e #a >ro! CIP porta tati@"i

dodel!!e vrednot "o!a e "oriti #a +K, odnono port '00. =ireall vr:i 7iltriran!e na onov porta, pa

e "ori:;en!em +K porta omog;ava da P #a:ti;eni ao>ra;a! pro?e "ro# n!ega. tr"tra pa"eta

#a:ti;enog P-om tranportnom mod rada i en"apliranog CIP !e data na li%i $li"a 22&. Pol!e

pod na#ivom?ER< PAD e ato!i od vi/ nla i li "ao o#na"a pri!emni" da e radi o P, a ne

+K pa"et $!er !e ada >ro! porta iti #a o>a proto"ola&. C"oli"o e ne "oriti 7ireall, tada !e mog;eprimeniti i dinami@"o mapiran!e porta $prava primena NPT-a&. nalogni predlo#i poto!e i #a

en"apla%i! CIP da >i e omog;io n!i/ov me?o>ni rad, me?tim dale"o e re?e "orite

pra"i. +na@e, pored primene CIP-a, poto!e predlo#i da e vr:i i li@na en"apla%i!a TTP

);%perTe:t Tras&er Proto(ol # "ori:;en!e 'e(urit% 'o(ket La%erproto"ola&.

Slika ((! CIP en"aplirani P pa"et

lede;i pro>lem odnoi e na +K ei! "ro# NT. NT ;e onemog;iti +K ei! "oli"o

ra#mena "l!@eva ili erti7i"ata i#me? "ra!n!i/ ta@a"a tnela dovodi ve# n!i/ov identitet a +P

adreom, :to !e l@a! "od atenti"a%i!e pomo; pret/odno ra#men!eni/ adrea. Jedno od re:en!a !e da

e #a potre>e +K-a dodeli opeg adrea. Aim toga, mog;e !e "orititi i metod atenti"a%i!e pomo;

digitalni/ erti7i"ata. e?tim, ovde e !avl!a pro>lem drge vrte $"o!i ni!e pove#an a potre>om

NT-a&. Naime, "od atenti"a%i!e "ori:;en!em digitalni/ erti7i"ata n!i/ova verodoto!not e

proverava pomo; ta"o#vane ol!e re:en!e "orititi TP "ao tranportni proto"ol #a preno +K ei!e.

41


42/64


Prin%ip"o re:en!e vi/ ovi/ pro>lema !e primeniti NT pre +Pe%-a. Avo !e mog;e i#veti

na dva na@inaE

i#vr:iti NT na re?a! "o!i !e na ptan!i pre +Pe% re?a!a,

"orititi re?a! "o!i !e tan! da vr:i i +Pe% i NT o>rad.

Po!edini proi#vo?a@i "omni"a%ione opreme, "ao :to !e i%o nde rtere "o!i Opoo>niO

da "om>in! NT i +Pe%-o>rad. Ta"o?e, poto!e re:en!a "ao :to !e re%imo Ne(and-ovo, a to !e

NT re?a! veli"e propne mo;i "o!i vr:i mltiple"iran!e vi:e P "one"%i!a na !edn +P

"one"%i! $pomo; ve; o>!a:n!ene CIP en"apla%i!e&.

!C! Pa772through "P,

Avo !e !edna od mog;i/ reali#a%i!a gnedenog tnelovan!a. :tina e ato!i tome da

VPN tre>a da dal!enom "li!ent po!enom na prvi +ntranet do#voli pritp drgom +ntranet "ro#

prvi +ntranet i !avn mre $+nternet&. Avo !e pri"a#ano na li%i $li"a 23&.

Slika (C! Pa-t/rog/ VPN

!!Kori/$ene konfigura0i#e "P, 1re+a

?.?.+.Reai/acije pristupa VPN

Kao :to !e ve; re@eno, onovna vr/a VPN mree !e da o>e#>edi "orini" igrn

"omni"a%i! a edi:tem organi#a%i!e5"ompani!e. Ta"o?e, od interea !e da e ito vreme

"orini" na ne"i na@in o>e#>edi pritp +nternet.Poto!e @etiri "on7igra%i!e $di#a!na& VPN mree "o!e e "orite pra"i $pri"a#ani na li%i 24&E

o7tver"i pritp - dal!eni "orini" "oriti ra@nar a intaliranim VPN i 7ireall

o7tverom.

Pritp pre"o VPN 7ireall-a - dal!eni "orini" poed!e 7ireall "o!i podrava VPN

"one"%i!. Korini" e na N pove#!e pre"o re?a!a #a :iro"opo!ani pritp $BI -

road0ad A((ess Dei(e"1 :to mog >iti "a>lov"i ili I( modem.

Pritp pre"o VPN re?a!a - dal!eni "orini" poed!e /ardver"o VPN re:en!e, na N e

pove#!e pomo; BI-a.

Pritp pre"o rtera - dal!eni "orini" "oriti rter, "o!i li i "ao 7ireall i VPN re?a!.

Pritp edi:t VPN mree moe >iti ili dire"tan $rter&, ili pre"o BI-a.

42


43/64


SO4>"ERSKI PRIS>UP=ireall i VPN o7tver intalirani na "orini"ovom ra@nar omog;ava! VPN

pove#ivan!e. Cdal!eni "orini" e prvo atenti"!e, a #atim od VPN ervera do>i!a parametre "ao

:to virtelna +P adrea i adree ame ervera $IN i D+N&. Pored pritpa VPN-, "orini"

ta"o?e ima i pritp +nternet, i to na dva na@ina. Prvi podra#meva da "orini" paralelnoomog;ena o>a pritpa, t!. da +nternet i VPN ao>ra;a! odvo!eni i to !e t#v.split tuelli,# Kod

drgog na@ina av +nternet ao>ra;a! e tretira "ao i VPN ao>ra;a!, odnono vi poda%i prola#e

"ro# VPN tnel i#me? ervera i "orini"a. Irgi na@in !e igrni!i, ali dale"o vi:e optere;!e VPN

re?a!e. C l@a!split tuelli,-a1 "orini" >i tre>alo da "oriti 7ireall i antivirni o7tver !er

predtavl!a la> ta@" VPN mrei i toga tre>a da >de opreml!en odgovara!;om #a:titom.

Ta"o?e, 7ireall i antivirni o7tver vr:e #a:tit "orini"a "ada "oriti amo +nternet "one"%i!

$ni!e na VPN mrei& da >i e predpredili mog;i napadi "ada e "orini" "ani!e povee na VPN

mre.

Slika (! UP PREKO "P, 4IREALL2A

Ava "on7igra%i!a !e namen!ena ili #a po!edina@nog dal!enog "orini"a, ili #a vrlo maleorgani#a%ione !edini%e mati@ne organi#a%i!e. =ireall !e #aden #a VPN "one"%i!e i omog;!e

poe>an +nternet pritp )split tuelli,"#Ne #a/teva e da ra@nari "orini"a poed! >ilo "a"ve

VPN mog;noti. C ovom l@a! e ne vr:i poe>na atenti"a%i!a "orini"a, !er e matra da e

VPN 7ireall nala#i "ontrolianom o"ren!. Pritp N- e vr:i pre"o BI-a. C"oli"o e

radi o organi#a%iono! !edini%i tom l@a! e i#a 7ireall-a nala#i ne"i mreni re?a! $npr. />&.

PRIS>UP PREKO "P, URE%AAAo>ine ove "on7igra%i!e vrlo li@ne pret/odno!, a tom ra#li"om da VPN re?a! ne

poed!e 7ireall. F>og toga !e potre>no da "orini%i na vo!im ra@narima ima! odgovara!;i

7ireall o7tver. Prednot ovom l@a! !e to da !e "on7igra%i!a i pravl!an!e VPN re?a!amog;e vr:iti i# redi:ta organi#a%i!e5"ompani!e, >e# potre>e da tome @etv! "orini%i. To e

43


44/64


vr:i pomo; odgovara!;eg proto"ola, "ao :to !e npr. (.

PRIS>UP PREKO RU>ERAAva "on7igra%i!a !e identi@na "on7igra%i!i a pritpom pre"o 7ireall-a.

?.?.,. Kon1i$uracija u sredi'tu VPN %ree

redi:te !edne veli"e VPN mree >i prin%ip tre>alo da podri ve vrte VPN "one"%i!a,

odnono roter-to-roter $ "o!e pada! +nternet i tranet VPN "one"%i!e&, i remote-a%%e

"one"%i!e. A@igledno i na!!ednotavni!e re:en!e !e da e ra#li@ite VPN "one"%i!e terminira! na

ra#li@itim re?a!ima, t!. da poto!e poe>ni re?a!i #a remote-a%%e, #a +ntranet VPN i #a tranet

VPN. Prednot ova"ve "on7igra%i!e !e po!ednotavl!eno pro:irivan!e mree $"ala>ilnot&, "ao i

la":e pravl!an!e i odravan!e mree. Prin%ip"i i#gled redi:ta VPN mree !e dat na li%i $li"a 2'&.

Slika ('! redi:te VPN mree

Vidimo da poto!e dva VPN modla. Prvi !e namen!en #a interne VPN "orini"e $i# ite

organi#a%i!e&, "o!i #a pritp mog "orititi remote-a%%e ili +ntranet VPN "one"%i!e. Irgi modl

!e namen!en #a e"terne VPN "orini"e. Podela na modle !e i#vr:ena #>og drga@i!eg tretmana

interni/ i e"terni/ "orini"a.

odl namen!en #a interne "orini"e !e detal!ni!e pri"a#an na li%i $li"a 26&. Iola#ni

ao>ra;a! e prvo 7iltrira na 7ireall-, a #atim e, #avinoti od vrte "one"%i!e prole?!% na

VPN "on%etrator ili na VPN rter57ireall. vi re?a!i rade tandem, :to omog;ava

7n"%ionian!e mree i l@a! ipada !ednog od n!i/.

tranet VPN modl !e dat na li%i $li"a 2*&. VPN 7ireall li #a termina%i! tranetVPN "one"%i!a. =ireall !e namen!en pre vega #a 7iltriran!e dola#nog i odla#nog ao>ra;a!a,

odnono #a ograni@avan!e +P ao>ra;a!a amo na apli"a%i!e "o!im !e ntar +ntraneta do#vol!en

pritp. C l@a! da !e potre>na "omni"a%i!a #a amo ne"oli"o apli"a%i!a tranet, do>ra

#amena #a VPN tom l@a! >i >ilo "ori:;en!e ( proto"ola.

va VPN re:en!a mog e podeliti dve "ategori!eE o7tver"a i /ardver"a. o7tver"a

re:en!a e implementira! poto!e;e gatea)-e i ne:to !e7tini!a. ana ovog pritpa !e veli"o

optere;en!e gatea)-a "o!e !e poledi%a neop/odne o>rade led "riptovan!a, atenti"a%i!e, itd.

Avo !e mog;e done"le >laiti intaliran!em odgovara!;i/ "arti%a re?a!e "o!e ;e na e>e

pre#eti deo tereta pro%eiran!a $"riptovan!e&. ardver"a re:en!a t#v. tand-alone re?a!i "o!i

ima! poe>an pro%eor #aden #a atenti"a%i!, "riptovan!e i en"apla%i!. A>rada !e ovoml@a! >ra. ardver"a re:en!a mog imati ra#li@ite vidove 7n"%ionalnoti # onovn - mog

44


45/64


liti i "ao roteri, erveri, 7ireall-ovi, ...

4'


46/64


Ne"oli"o "l!@ni/ ra#li"a i#me? /ardver"i/ i o7tver"i/ re:en!a, "o!e 7igri: pri

"on"retnom i#>or VPN opreme lede;e. Pre vega, VPN /ardver !e #>og vo!e pe%i!ali#ovane

namene #natno po#dani!i. ilni!i operativni item na "ome e i#vr:ava! amo

VPN apli"a%i!e. Fa tetiran!e 7n"%ionian!a VPN /ardvera !e po pravil #aden proi#vo?a@.

+ntala%i!a i p:tan!e rad !e prin%ip >re nego "od o7tver"og re:en!a. lede;a prednot !eola":ani up,rade1 odnono prela#a" na nov ver#i! o7tvera "o!a ;e e i#vr:avati na VPN

/ardver. VPN /ardver ta"o?e omog;ava >ri rad i moe da opli vi:e "orini"a nego

o7tver"o re:en!e.

Slika (! odl #a interne VPN "orini"e

Anovna prednot o7tver"og re:en!a !e nia %ena. VPN o7tver e i#vr:ava na /ardver

op:te namene, a tandardnim operativnim itemom. +nteropera>ilnot ta"vog /ardvera i VPN

o7tvera !e nepo#nata i o>i@no ota!e na "orini" da !e tetira. Jo: !edna prednot o7tver"og

re:en!a !e prenoivot na vi:e ra#li@iti/ plat7ormi.

Slika (F! tranet VPN modl

46


47/64


Po@etne %ene o7tver"i/ re:en!a, "o!e podrava! do 2' "orini"a imltano na VPN mrei,

reda veli@ine od ne"oli"o /il!ada dolara. ardver"a re:en!a a itim >ro!em imltani/

"orini"a o"o 10M "pl!a. Naravno, %ene varira! od mog;noti "o!e ima! - "pl!a

podrava! va tri proto"ola opiana ovom te"t $+Pe%, PPTP, (2TP&, do" !e7tini!a amo ne"eod n!i/ - ali po pravil va re:en!a podrava! +Pe%. Na %en ta"o?e ti@e i proto" "o!i re?a!

podrava, a na!"pl!i oni "od "o!i/ proto" ni!e limitiran ve; e moe modlarno pove;avati $a

time i >ro! imltani/ "orini"a&. ene ta"vi/ re?a!a doti po ne"oli"o deetina /il!ada dolara.

e? proi#vo?a@ima VPN re:en!a po#nati! ,etS0reen >e0hologie76 ?i70o6 Lu0ent>e0hologie7! ?he0k Point6 IBM ... Pri"a# VPN proi#vo?a@a i %enovni" opreme !e dat dodat" *.

4*


48/64


' ! 4 R A M E RE L A 6 M P L S I " P ,

Clge i ervii "o!e pra! =rame ra;a!a na drgom nivo "o!i e vr:i "od ovi/ proto"ola mog;e

!e "reirati virtuelnuprivatn mre. Kao i "od et!ork 0ased VPN mrea, "orini" e olan!a naprova!dera ervia da o>e#>edi ta!n i #a:ti;en "omni"a%i!.

'!;! 4ra1e Rela5 "P,

Ve#e i#me? =rame


49/64


Nedota%i =rame aln

pove#anot moe da pondi amo +nternet.

pomenimo na "ra! i to da e poda%i pre"o =rame li".

C"oli"o e radi o poda%ima vrlo oetl!ive prirode tada e "orini%i o>i@no odl@! da i/ pre lan!a

"ript!. Ne"i prova!deri vo!o! pondi nde i "riptovan!e ao>ra;a!a.

'!( MPLS "P,

P( !e relativno nova te/nologi!a, "o!a !e !o: ve" tadi!m ra#vo!a. Hlavna ide!a

P(-a !e o>!edin!avan!e na!>ol!i/ oo>ina mrea a potavl!an!em ve#e )(oe(tio-orieted" i

mrea >e# potavl!an!a ve#e )(oe(tioless"# Pra"ti@no, P( !e ra#vi!en a %il!em da e +Pmreama o>e#>edi "valitet lge "o!i poto!i T i =rame ela, @ime e preno ni7i%ira i pota!e ne#avian od proto"ola drgog

nivoa $T, =rame ele adrane pa"et atomat"i odre?!e nova la>ela i

i#la#ni port. P( rter e na#iva !o: i (< La0el '!it(/ed Router# Kori:;en!e (P-a #natno

>r#ava preno odno na (oe(tiolesspreno "od +P mrea, do" na@in ra#mene in7orma%i!e odotpnoti o>e#>e?!e potpn pove#anot )a%-to-a% (oe(tiit%"#

P( VPN mree moemo podeliti dve grpe #avinoti od toga "o!eg !e nivoa

ao>ra;a! "o!i e po n!ima prenoi. To E

(2 P( VPN, odnono mree drgog nivoa.

(3 P( VPN, mree tre;eg nivoa.

@.,.+ L, MPLS VPN

(2 P( VPN mree le #a preno T, =rame


50/64


tnelovati i "a"o vr:iti ditri>%i! la>ela prili"om prenoa proto"ola drgog nivoa P( mrei

na#iva! e #a!edni@"im imenomMartii dra&ts $po inen!er ("i artini!&. Avim do"mentima

!e do ada po"riveno tnelovan!e =rame ra;a!a pre"o

P( mree.

@.,.,. L4 MPLS VPN

(3 P( VPN mree namen!ene #a preno +P ao>ra;a!a. r/ite"tra !edne (3 P(

VPN mree !e pri"a#ana na li%i $li"a 28&. Korini%i pre"o vo!i/ terminalni/ re?a!a $ -

.ustomer Ed,e" pri"l!@eni na m la#ne (< rtere, "o!i o>eleeni a P )Proider Ed,e"#(eleeni lovom P. Poda%i i#me? i P e ra#men!! +P pa"etima.

P !e #aden #a "onver#i! +P P( pa"ete i o>rnto.

Slika (G! P( VPN mrea

(3 P

Documents

77875119 Virtuelne Privatne Mreze