Tunelowanie, VLAN, VPN
Przemysłowe Sieci Informatyczne
04.06.2009
Opracował dr inż. Jarosław Tarnawski
Plan wykładu
" Definicja tunelowania
" Powody tunelowania
" Wirtualne sieci lokalne VLAN
" Konfiguracja Przemysłowych przełączników
EDS-Moxa508 do pracy w VLAN
" Tunelowanie RS232 w Ethernecie
" Wirtualne sieci prywatne VPN
Tunelowanie
" Definicja tunelowania (ang. tunneling)
Zestawianie połączenia pomiędzy dwoma (byd
może, ale niekoniecznie odległymi) hostami
dające wrażenie połączenia bezpośredniego.
" Tunel wykorzytuje technikÄ™ enkapsulacji
jednego protokołu w innym, umożliwia
zastosowanie mechanizmów szyfrowania lub
translacji transmitowanych danych.
" Zwykle jeden protokół jest nośnikiem innego
Powody tunelowania
Å›ðtranslacja protokołów i technologii - Å‚Ä…czenie
ze sobą sieci lokalnych pracujących w różnych
technologiach (IPX, TCP/IP, ...) za
pośrednictwem publicznych sieci rozległych
(Frame Relay, ATM, X.25, IP, ...),
Å›ðwzglÄ™dy bezpieczeostwa - Å‚Ä…czenie
tunelowania z wykorzystaniem metod
kryptograficznych celem utworzenia kanału
krytpograficznego.
Techniki tunelowania
Å›ð Techniki datagramowe:
 L2TP (Layer 2 Tunneling Protocol),
 GRE (Generic Routing Encapsulation),
 GTP (GPRS Tunnelling Protocol),
 PPTP (Point-to-Point Tunneling Protocol),
 PPPoE (Point-to-Point Protocol over Ethernet),
 PPPoA (Point-to-Point Protocol over ATM),
 IP-IP Tunneling,
 IPsec,
 IEEE 802.1Q (Ethernet VLANs),
Å›ð Techniki strumieniowe:
 TLS (Transport Layer Security),
 SSL (Secure Socket Layer)
Tunelowanie z wykorzystaniem sieci
publicznych
sieć ogólnodostępna
stanowiÄ…ca TUNEL
Fabryka1  sieć firmowa np.
Modbus
Biuro i pion ekonomiczny
firmy  sieć firmowa np.
Ethernet
Fabryka2  sieć firmowa np.
Profibus
Tunelowanie z SSH
Å›ð Tunelowanie w oparciu o SSH polega na przesyÅ‚aniu
niezabezpieczonych pakietów protokołów TCP przez
bezpieczny protokół SSH. W tunelowaniu SSH wyróżnia się
dwa rodzaje przekierowania portów:
 lokalne (wychodzÄ…ce) - przekierowujÄ…ce ruch przychodzÄ…cy na
port lokalny na odpowiedni port zdalny,
 zdalne (przychodzÄ…ce) - przekierowujÄ…ce ruch przychodzÄ…cy na
port na serwerze na odpowiedni port lokalny.
Å›ð Tunelowanie w oparciu o SSH może byd wykorzystane do
umożliwienia dostępu do sieci korporacyjnej, do której nie
jest on możliwy w sposób bezpośredni. Posiadając
odpowiednie konto SSH na dostępnym serwerze, możliwe
jest zestawienie tunelu SSH do usługi na własnym
komputerze w korporacji.
" Najczęściej tunelowane protokoły POP3, SMTP,
HTTP, FTP
" Rys www.ssh.com
Wykorzystanie tunelowania do omijania
blokowanych portów i usług
" mHaker.pl
" Aplikacje
" http-tunnel
Tunelowanie w Automatyce
Å›ð Tunelowanie w celach Å‚Ä…czenia sieci różnego typu
 różne sieci polowe

ð Profibus

ð Ethernet

ð LON

ð EIB

ð CAN
 biurowe,
 korporacyjne
Å›ð Tunelowanie w celu zabezpieczeo
Å›ð Tunelowanie w celu poÅ‚Ä…czeo rozproszonych elementów
firmy
Å›ð Tunelowanie w celu uzyskania możliwoÅ›ci zdalnego nadzoru
Przykład tunelowania
Przykład tunelowania
Przykład tunelowania
VLAN (ang Virtual LAN)
" VLAN - sied komputerowa wydzielona
logicznie w ramach innej, większej sieci
fizycznej
" VLAN służy głównie do logicznego podziału
sieci fizycznie dołączonych do tego samego
urzÄ…dzenia (switcha)
Powody budowy VLAN
Å›ðLogiczna zamiast sprzÄ™towej organizacja (sieci
przemysłowej/korporacyjnej.
Å›ðDzielenie sieci na grupy użytkowe:
 Inżynierowie
 Ekonomiści
 ZarzÄ…dzanie
 Serwis/obsługa IT
Å›ðTworzenie hierarchii
Å›ðTworzenie typów użytkowników np. streaming, e-
mail, WWW, itd.
VLAN
" Podstawowe założenie Ethernetu  dostęp każdy
z każdym
Gdy potrzebna jest
Separacja wymagałoby
to większej liczby
urzÄ…dzeo
sieciowych
VLAN
Znakowanie ramek i trunk
Aby do pojedynczej sieci VLAN można było przypisad fizyczne porty
kilku przełączników, konieczne jest przekazywanie między
przełącznikami oprócz ramek,także informację o numerze (ID) Vlanu
aby odległy przełącznik przekazał ją do właściwej sieci wirtualnej.
Tą funkcję spełnia znakowanie lub tagowanie (tagging) opisane w
dokumencie IEEE 802.1Q. Dzięki temu mechanizmowi możliwe jest
transmitowanie ramek należących do wielu różnych VLANów
poprzez jedno fizyczne połączenie zwane trunk. Ramka znakowana
jest po wejściu do portu przełącznika, przekazywana
jest między przełącznikami, następnie kierowana jest na port/ porty
wyjściowe, gdzie usuwane są znaczniki przed wysłaniem ramki do
hosta. W niektórych przypadkach, karty sieciowe hostów potrafią
znakowad ramki podczas wysyłania do przełącznika, gdzie czynnośd
ta jest omijana.
IEEE 802.1Q
Standard IEEE 802.3Q określa metodę
znakowania ramek przynależnych do
odpowiedniego VLAN. Pole TPID (Tag
Protocol Information) jest znacznikiem
protokołu. Jednobitowe pole CFI
(Canonical Format Indicator)
wykorzystane jest dla osiągnięcia
zgodności ethernet  Token Ring.
UrzÄ…dzenia Ethernet zawsze ustawiajÄ… w
ramce wartośd pola CFI =1. Pole TCI (Tag
Control Information) jest informacjÄ…
kontrolnÄ… znacznika. Pierwsze 3 bity
występują dla utrzymania zgodności z
protokołem 802.1p (QoS) i przenoszą
informacjÄ™ o priorytecie ramki. W polu
VLAN ID przenoszony jest numer sieci
wirtualnej, do której należy dana ramka.
Maksymalna liczba VLANów wynosi 212-2
czyli 4096.
Zalety płynące z VLAN
Å›ðProsta programowa konfiguracja ulokowania
urządzeo w sieci, prostota i szybkośd
rekonfiguracji
Å›ðPodniesienie bezpieczeostwa  komunikowad
siÄ™ mogÄ… tylko uprawnione podsieci. Np.
operator jest logicznie odseparowany od
pionu zarzÄ…dzania
Å›ðUporzÄ…dkowanie ruchu sieciowego
Przykład VLAN z MOXA 508
Przykład VLAN z MOXA 508
VPN (ang. Virtual Private Network)
Å›ð VPN (ang. Virtual Private Network, Wirtualna Sied Prywatna), można opisad jako
tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami
koocowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób,
że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki
kanał może opcjonalnie kompresowad lub szyfrowad w celu zapewnienia lepszej
jakości lub większego poziomu bezpieczeostwa przesyłanych danych.
Å›ð OkreÅ›lenie "Wirtualna" oznacza, że sied ta istnieje jedynie jako struktura logiczna
działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci
prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz.
Pomimo takiego mechanizmu działania stacje koocowe mogą korzystad z VPN
dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne.
RozwiÄ…zania oparte na VPN powinny byd stosowane np. w sieciach korporacyjnych
firm, których zdalni użytkownicy dosyd często pracują ze swoich domów na
niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dośd dużą
efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim
poziomem bezpieczeostwa (ze względu na szyfrowanie).
VPN
VPN ma trzy rodzaje zastosowao:
Å›ðsieci dostÄ™powe - Å‚Ä…czÄ… zdalnych użytkowników:
czyli pracowników mobilnych, konsultantów,
sprzedawców, lokalne filie, z siedzibą firmy;
Å›ðintranet - Å‚Ä…czy odlegÅ‚e oddziaÅ‚y tej samej firmy;
Å›ðekstranet - zapewnia ograniczony dostÄ™p do sieci
firmowej zaufanym partnerom biznesowym.
Å›ðWirtualna sied prywatna
VPN korzysta z publicznej
infrastruktury
telekomunikacyjnej, która
dzięki stosowaniu
protokołów tunelowania,
szyfrowania i procedur
bezpieczeostwa zachowuje
poufnośd danych.
Å›ðRys. PC World
Najczęściej spotykane protokoły VPN
Bezpieczne sieci VPN można tworzyć za
pomocą jednego z trzech protokołów: L2TP
(Layer 2 Tunneling Protocol), IPSecurity
lub SSL/TLS (Secure Sockets
Layer/Transport Layer Security).
Dominującym obecnie protokołem jest
IPSec, ale coraz większą popularnością
cieszy siÄ™ SSL/TLS.
Open VPN darmowa aplikacja do
budowy VPN
OpenVPN
openvpn.net
OpenVPN to jedno z najpopularniejszych rozwiązań SSL VPN. Służy do budowy
sieci VPN opartych na protokole SSL/TLS. Jest łatwy w obsłudze i ma
rozbudowane możliwości konfiguracyjne. Są wersje do kilku systemów
operacyjnych, m.in. do: Linuksa, Windows, OpenBSD, FreeBSD, NetBSD, Solarisa.
Wersja 2, potrafi obsługiwać wielu klientów w tym samym porcie. Klient różni
się od serwera odmiennym plikiem konfiguracyjnym. Załączona pomoc opisuje,
w jaki sposób wygenerować pary certyfikatów za pomocą programu OpenSSL -
najpierw trzeba zainstalować pakiet OpenSSL oraz bibliotekę LZO,
przeprowadzajÄ…cÄ… kompresjÄ™.
Konfiguracja OpenVPN jest bardzo prosta nawet dla niedoświadczonego
użytkownika systemów VPN i oprócz instalacji niezbędnych pakietów, wymaga
ustawienia kilku parametrów w pliku konfiguracyjnym .ovpn.
VPN
Wdrażając bezpieczne sieci VPN, należy mieć na uwadze, że:
" przesył między użytkownikami powinien być szyfrowany i
uwierzytelniany;
" część protokołów wykorzystywanych w VPN przeprowadza
uwierzytelnienie, ale nie szyfrowanie;
" klucze kryptograficzne należy zmieniać w miarę możliwości jak
najczęściej i przechowywać bezpiecznie;
" poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch
stronach ustanawianego tunelu;
" nikt poza administratorem sieci nie może mieć dostępu do parametrów
bezpieczeństwa.
Różnica pomiędzy VLAN i VPN
" Obie sieci majÄ… nazwÄ™ sieci virtualnych
" Ogólnie VLAN pozwala sied (przeważnie
skupionÄ…) dzielid na mniejsze podsieci
(wydzielad logicznie)
" Ogólnie VPNP pozwala łączyd podsieci
(przeważnie rozproszone) w większą podsied
Bibliografia
" MOXA EtherDevice"! Switch EDS-508 Series
User s Manual
" Sieci VPN. Zdalna praca i bezpieczeostwo
danych, Helion 2008
" VPN za darmo, Krystian Ryłko, PC World