4. Віртуальні приватні мережі.
Міністерство освіти і науки України
Національний університет “Львівська політехніка”
Кафедра “Телекомунікації”
М. Павликевич телекомунікаційні мережі
4
ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ
Лекції для студентів cпеціальності
7.092402 “Інформаційні мережі зв’язку”
Львів, 2002
4.1. Вступ
Віртуальна приватна мережа – це комунікаційне середовище, у якому доступ контрольований через дозвіл сполучення між респондентами тільки всередині визначеної спільноти за інтересами і побудований на певних формах спільного використання основного комунікаційного середовища, де це основне комунікаційне середовище забезпечує послуги мережі на невиключній основі.
Найпростіше трактувати термін “приватна” у тому сенсі, що комунікації між двома (або більше) пристроями є певним чином секретними, що пристрої, які не беруть участі у “приватній” природі комунікацій, не мають доступу до вмісту комунікації і повністю вільні від особливих (приватних) взаємовідносин з будь-ким. Інше трактування терміну “приватна” витікає з його протиставлення поняттю “публічна”. Публічні засоби доступні відкрито та адмініструються через публічні адміністративні органи як загальнодоступні публічні ресурси. На відміну від цього, доступ до приватних засобів обмежений до визначеної множини учасників та адмініструється органами, які мають вийняткове право доступу. Ще один важливий аспект “приватності” VPN полягає в технічному визначенні, яке описує приватність систем адресації та раутінгу в тому сенсі, що адресація всередині спільноти VPN є окремою і відмінною від адресації в основній спільній мережі та від VPN інших спільнот. Це саме справедливе для систем раутінгу у VPN та в основній спільній мережі.
Термін “приватна” досить складним чином пов’язаний із концепцією “віртуалізації”. Значення терміну “віртуальна мережа” слід в даному контексті трактувати як “симульована” або “модельована”, тобто така, що здійснює функції чогось, чим вона не є в дійсності. Аспект “віртуалізації” подібний до вже описаної “приватності”, однак сценарій тут дещо модифікований –приватна комунікація здійснюється через мережеву інфраструктуру, яка спільно використовується більше, ніж однією організацією. Приватні ресурси тепер будуються із використанням логічного поділу певних основних спільних ресурсів замість створення окремих виділених фізичних кіл та комунікаційних послуг, тобто “приватній” мережі не відповідаає “приватна” комунікаційна система. Тому “приватна” мережа” є віртуальним твором, яка не має фізичного відовідника. Віртуальна комунікація між двома (або більше) пристроями обумовлена тим фактом, що пристрої, які не є учасниками віртуальної комунікації, не мають доступу до вмісту даних і не пов’язані приватними відносинами між віртуальними партнерами.
Поєднання цих понять приводить до віртуальної приватної мережі – приватної мережі, приватність якої впроваджена певними методами віртуалізації. VPN може бути побудована між двома кінцевими системами, між двома організаціями, між окремими кінцевими системами всередині однієї організації або між багатьма організаціями через глобальний Internet, між індивідуальними застосуваннями або для довільної комбінації вказаних вище.
Про віртуальні приватні мережі також можна сказати, що вони є дискретними, тобто відокремленими мережами. Дискретна природа VPN дозволяє приватність і віртуальність. Оскільки VPN не є повністю відокремленими у фізичному сенсі, то їх відокремленість забезпечується тим, що вони оперують дискретно через спільну інфраструктуру, створюючи виключне комунікаційне середовище, яке не є спільним із іншими в жодному пункті сполучення. Тому VPN не обов’язково означає комунікаційну ізоляцію, а скоріше керовану сегментацію комунікацій для спільнот за інтересами через спільну інфраструктуру.
Слід також відзначити, що оскільки віртуальні приватні мережі можуть бути побудовані відповідно до будь-якої кількості певних бізнесових потреб або технічних вимог, то сучасні VPN-розв’язання повинні підтримувати доступ через комутовані канали, доступ до багатьох віддалених пунктів через виділені лінії, здатність надавачів VPN-послуг надавати різні послуги замовникам VPN і датність VPN-провайдерів підтримувати сполучення не тільки всередині VN, але і між VPN, включно із сполученнями до Internet.
Існує декілька мотивів для побудови VPN. Основна мотивація міститься в економіці комунікацій. Сьогоднішні комунікаційні системи характерні високими коштами фіксованої компоненти та значно меншими коштами змінних компонент, які змінюються із перепускною здатністю або шириною смуги системи. З фінансової точки зору становить інтерес об’єднання певної кількості окремих комунікаційних послуг у спільну високопродуктивну комунікаційну платформу, дозволяючи амортизацію високих коштів, пов’язаних із цією платформою, за рахунок більшої кількості клієнтів. Множина віртуальних мереж, вбудованих в окрему комунікаційну систему, коштує дешевше від еквівалентної множини менших фізично окремих комунікаційних систем, кожна з яких обслуговує окремого мережевого клієнта. Тому, якщо агрегування комунікацій провадить до більш ефективної в коштах комунікаційної інфраструктури, то об’єднання всіх необхідних послуг в межах однієї публічної комунікаційної системи повинне дати найбільший економічний ефект.
Другою мотивацією для побудови VPN є забезпечення приватності комунікації, де характеристики і цілісність комунікаційних послуг всередині одного замкненого середовища ізольовані від усіх інших середовищ, які спільно використовують загальну комунікаційну систему. Рівень приватності в основному залежить від ступеня ризику, прийнятного для організації – абонента VPN, і визначає ступінь жорсткості заодів для захисту інформації, яка пересилається через загальну комунікаційну систему.
Історичним попередником VPN є публічна мережа даних (Public Data Network – PDN); на сьогодні найбільш відомим представником такої мережі є глобальний Internet. Internet створив повсюдний взірець (парадигму) сполучності, у якому мережа дозволяє будь-якій сполученій групі мереж обмінюватися даними з довільною іншою сполученою групою. Паралелі з публічною комутованою телефонною мережею є очевидними, бо парадигма повсюдності публічного доступу є основною характеристикою цієї мережі. Однак публічна мережа даних не має вбудованої політики розділення трафіку. Мережеве середовище побудоване із використанням одної схеми адресації та спільної ієрархії раутінгу, які дозволяють елементам комутації мережі визначати розташування всіх груп, які з’єднуються. Всі ці сполучені групи також спільно використовують загальну інфраструктуру кіл та комутації. Проте модель повсюдності в Internet не задовільняє всіх можливих вимог, зокрема потреби приватності даних. Існує ряд факторів, крім приватності, які включають питання якості послуг (Quality of Service – QoS), доступності та надійності, використання публічних схем адресації, публічних протоколів, захисту пунктів та цілісності даних. Крім того, застосування для приватних мереж можуть потребувати вищого рівня управління характеристиками, ніж наявний у публічному Internet’і, або можуть визначати режими управління, які відрізняються від чинних у основному Internet’і.
Альтернативою до використання Internet як VPN на сьогодні є виділення кіл та окремих призначених комунікаційних послуг операторами публічних мереж (звичайно локальних телефонних компаній) і створення цілком приватних мереж. Такі мережі можна називати “повністю приватними”, бо вказані виділені комунікаційні послуги знову є (на нижніх рівнях стеку протоколів) окремими випадками віртуальних приватних комунікаційних систем, побудованих над спільною системою пересилання. Слід відзначити, що більшість ранніх досягнень в мережах даних і багато сьогоднішніх мережевих архітектур не використовують модель розгортання повсюдного публічного доступу. Натомість застосовується модель закритого (або приватного) мережевого середовища, де інфраструктура, схема адресації, управління і послуги призначені для закритої множини абонентів. Такий попередник VPN може бути названий приватною мережею даних (Private Data Network – PDN) і може бути побудований з використанням виділених кабельних офісних систем і виділених кіл (або приватних віртуальних кіл від базової системи з комутацією пакетів, наприклад, X.25) для сполучення географічно віддалених пунктів.
Типи VPN
Існують різні типи VPN і, залежно від функціональних вимог, різні методи їх побудови. Процес вибору може включати розгляд того, яка проблема вирішується, аналіз ризику при захисті інформації, передбаченому для конкретних впроваджень, питання масштабування при збільшенні розміру VPN, складності провадження VPN, а також обслуговування та відмовостійкості. Для спрощення опису різних типів VPN їх ділять на категорії, розміщені на різних рівнях системи протоколів TCP/IP.
Віртуальні мережі Мережевого рівня.
Мережевий рівень стеку протоколів TCP/IP містить систему IP-раутінгу. Існують декілька методів побудови VPN на Мережевому рівні. Із цієї точки зору доцільно здійснити короткий огляд відмінностей між моделями VPN – модель партнерів (peer) і модель накладання (overlay). У певному спрощенні, VPN-модель партнерів – це така, в якій обчислення шляху пересилання на Канальному рівні здійснюється на основі послідовних стрибків, де кожен вузол у проміжному шляху пересилання даних є партнером вузла для наступного стрибка. Традиційні маршрутовані мережі є прикладом моделі партнерів, бо кожен раутер на шляху є партнером свого сусіда для наступного стрибка. На відміну від цього, модель VPN з накладанням – це така модель, у якій проміжна мережа Канального рівня використовується для транзиту до іншого крайнього вузла на протилежному кінці мережі. Прикладами такої моделі є впровадження ATM, Frame Relay і тунелювання.
Слід відзначити, що модель з накладанням створюює серйозні проблеми з масштабуванням у випадках, коли вимагається велика кількість вхідних партнерів. Це витікає з факту, що кількість сусідів зростає у прямій залежності від кількості вхідних партнерів.
Прості приклади цих двох моделей показані на рис. . Нехай раутери, які оточують внутрішню комутовану інфраструктуру, репрезентують вхідних партнерів і комутатори в основній внутрішній мережі сконфігуровані так, що всі вхідні вузли забезпечують тільки один стрибок на Рівні 3 до будь-якого іншого, утворюючи транзитну мережу. Це основа для мережі з накладанням. На відміну від цього, якщо комутатори були б замінені раутерами, то раутери, розташовані на краях мережі, тепер стають партнерами з раутерами наступного стрибка, а не з іншими вхідними раутерами. Це основа для VPN-моделі партнерів.
Р
ис.
Модель VPN з накладанням
(а) і модель партнерів (б).
Фільтрування маршрутів.
Фільтрування матшрутів – це метод, у якому основна мережа здійснює тільки управління маршрутами до пункту, де тільки певні мережі приймають маршрути для інших мереж, які належать до їх власної спільноти за інтересами. Ця модель може розглядатися як модель партнерів, бо раутер всередині пункту VPN встановлює відносини раутінгу з раутером всередині мережі VPN-провайдера замість встановлення наскрізних відносин партнерства з раутерами в інших пунктах цієї VPN. Якщо спільний основний Internet взагалі переносить маршрути від усіх мереж, під’єднаних до нього, то архітектура даної моделі приймає, що тільки підмножина таких мереж формує VPN. Маршрути для цієї підмножини мереж фільтруються так, що вони не анонсуються до будь-якої іншої групи сполучених мереж і що всі інші не-VPN-маршрути не анонсуються у мережах, які належать до VPN.
Р
ис.
Фільтрування маршрутів.
Наприклад, на рис. , якщо раутери сервіс-провайдера (SP) фільтрують раутінгову інформацію, прийняту від одного пункту мережі A до інших пунктів мережі A, то пункти, що не належать до мережі A (наприклад, пункти мережі B) не можуть знати про будь-які інші мережі, під’єднані до інфраструктури сервіс-провайдера (рис. ). Таким чином, приватність послуг тут впроваджується через відсутність можливості для станцій даної VPN відповідати на пакети, які мають адресу джерела з-поза спільноти вузлів даної VPN.
Таке використання часткової раутінгової інформації піддатне багатьом видам помилкового конфігурування. Однією можливою проблемою з фільтрацією маршрутів є те, що вона дуже складна, якщо взагалі можлива, при забороні для абонентських мереж вказувати за замовчуванням на вхідний раутер наступного стрибка для трафіку, призначеного мережам поза спільнотою даної VPN. Із позиції абонентів всередині VPN розумно, щоб доступ за замовчуванням для всіх учасників тієї самої VPN означав досяжність всіх інших членів тієї самої VPN і щоб вказання маршруту за замовчуванням до локального вхідного шляху були в локальному контексті розумним вирішенням. Якщо сервіс-провайдер адмініструє конфігурування у розташуванні замовника, то це рідко викликає проблеми. Однак поширеним явищем у VPN є те, що замовник сам конфігурує і адмініструє раутери в своєму розташуванні. Тоді з боку сервіс-провайдера доцільно помістити фільтри трафіку на раутері першого стрибка, щоб заборонити весь трафік, призначений для мереж поза спільнотою інтересів даної VPN.
Слід також відзначити, що це середовище посередньо припускає існування спільного ядра раутінгу. Це, у свою чергу, веде до того, що кожна VPN повинна вживати адреси, які не перетинаються з адресами будь-якої іншої VPN у тій самій спільній інфраструктурі, і не може оголошувати довільні приватні адреси у VPN. Побічним ефектом у цій формі структури VPN є те, що дві VPN не можуть мати одного пункту взаємосполучення, або VPN у такому середовищі не може оперувати одним пунктом сполучення з Internet. Так званий “шлюз”, де весь зовнішній трафік пересилається через контрольний пункт, може регулювати як певні форми політики доступу, так і вести реєстр зовнішніх транзакцій. Спільне ядро раутінгу використовує один взірець раутінгу, базований виключно на адресі призначення.
З іншого боку необхідно відзначити, що ця вимога виявляє одну із двоїстостей архітектур VPN. Віртуальні приватні мережі повинні оперувати у середовищі, ворожому щодо них, тому повинна здійснюватися протидія будь-якій вразливості, яку виявляє приватне середовище щодо доступу до нього з боку зовнішньої третьої групи. Однак віртуальні приватні мережі рідко є справді ізольованим середовищем і звичайно всі вони здійснюють певні форми зовнішньої взаємодії, дозволяючи конрольовану досяжність до інших VPN і до поширених публічних мереж. Протиріччя між захистом приватності та потребою зовнішнього доступу є постійною властивістю віртуальних приватних мереж.
Впровадження сполучності між VPN вимагає від мережі маршрутування зовнішніх пакетів до пункту взаємозв’язку VPN і, якщо вони визнаються у пункті взаємозв’язку VPN, то вони можуть бути вислані через мережу за потрібною адресою призначення. Без використання технології трансляції мережевих адрес (Network Address Translation – NAT) у пункті взаємозв’язку входу до VPN, цей вид комунікаційної структури не може підтримуватися у наведеній архітектурі VPN (рис. ).
Р
ис.
. Використання трансляції мережевих
адрес.
Загалом техніка підтримки приватних спільнот за інтересами тільки шляхом фільтрації маршрутів є примітивним методом побудови VPN, схильним до адміністративних помилок і надмірного рівня незахищеності та мережевої негнучкості. Навіть із всеохоплюючою фільтрацією трафіку та маршрутів результуюче середовище не повністю стійке. Операційне службове навантаження, необхідне для підтримки додаткових систем традиційних фільтрів для раутінгу і трафіку із використанням сучасних технологій раутінгу, не дозволяє перевищити межу кількості VPN понад декілька сотень.
Більші можливості для масштабованості надає використання BGP-спільнот як методу управління поширенням маршрутів. Використання атрибутів BGP-спільнот дозволяє провайдеру VPN “позначати” інформацію досяжності Мережевого рівня BGP (BGP Network Layer Reachability Information – BGP NLRI) атрибутами спільноти, так що управління конфігуруванням дозволяє поширювати раутингову інформацію відповідно до профілю спільноти (рис. ).
Р
ис.
Спільноти BGP.
Внаслідок того факту, що трафік від різних спільнот за інтересами повинен перетинати спільну інфраструктуру, реальна приватність даних відсутня в цій частині мережі, однак можна сказати, що доки сполучені підмережі або абоненти VPN-послуг не здатні виявити, що існують інші абоненти послуг, доти потоки трафіку даних багатьох абонентів пересилаються незахищеним чином у ядрі мережі надавача послуг.
Тунелювання.
Рис.
. Традиційна модель тунелювання.
Висилання певної частини мережевого трафіку через тунель є іншим методом побудови VPN, більш ефективним від інших. Найбільш поширеним механізмом тунелювання є використання загальної раутингової інкапсуляції (Generic Routing Incapsulation – GRE) між джерелом і раутером призначеня, між раутерами, або протоколів тунелювання між станціями, таких як L2TP, PPTP і DVMRP. Тунелювання можна розглядати як модель накладання, однак серйозність впливу масштабування приводить до того, що тунелі здійснюють за схемами “пункт-пункт” або “пункт-багато пунктів”. Тунелі “пункт-пункт” маєть менше проблем з масштабуванням, ніж тунелі “пункт-багато пунктів”, за вийнятком ситуацій, коли окремий вузол починає будувати багато тунелів “пункт-пункт” з багатьма кінцевими пунктами. Коли лінійна проблема масштабування уведена від цього пункту, то керованість тунелів “пункт-пункт” здійснюється виключно через адміністративне навантаження і тим самим через самі тунелі. З другого боку, тунелі “пункт-багато пунктів”, які використовують транзитний механізм, щоб збільшити кількість кінцевих пунктів на відстані одного стрибка від довільного іншого, потім створюють значно більш серйозну проблему масштабування.