VLAN e VPN by Roberto Iuliano

VLAN

rob_iul_98_99 — 2017-02-07 14:39:35 UTC

Virtual LAN

VPN

rob_iul_98_99 — 2017-02-07 14:39:39 UTC

Virtual Private Networks

Definizione

rob_iul_98_99 — 2017-02-07 14:39:53 UTC

•Una VLAN (Virtual LAN) è una rete LAN realizzata logicamente, isolata quindi virtualmente ma non fisicamente, da altre LAN Virtuali.

•Una Virtual LAN, quindi, consente di:

• Separare host appartenenti allo stesso dominio di broadcast;

•Connettere host separati fisicamente, alla stessa rete logica virtuale.

Realizzazione di una VLAN

rob_iul_98_99 — 2017-02-07 14:41:11 UTC

•Ci sono due modi per realizzare una Virtual LAN:

•Port Based (Private VLAN): lo switch assegna una VLAN a delle porte;

•Tagged (802.1Q): lo switch associa un indirizzo IP/MAC ad una VLAN.

•Per gestire più VLAN sulla stessa struttura fisica, lo switch deve essere in grado di svolgere funzioni di:

•Ingress: capire la VLAN di provenienza del frame;

•Forwarding: capire la porta di destinazione del frame, in base alla VLAN di destinazione;

•Egress: trasmettere il frame in modo che la sua appartenenza alla VLAN venga correttamente interpretata da altri eventuali switch.

VLAN Trunking (Tagged), 802.1Q

rob_iul_98_99 — 2017-02-07 14:43:21 UTC

•Questo protocollo (VTP) permette di far condividere una VLAN su più switch. Per fare questo, vengono aggiunti 4 byte (TAG) al frame Ethernet.

VLAN Trunking (Tagged), 802.1Q

rob_iul_98_99 — 2017-02-07 14:45:09 UTC

•Descrizione blocchi:

•TPID (Tag ProtocolIdentifier): contiene il tag EtherType (valore 0x8100) che identifica il frame come 802.1Q;

•TCI (Tag Control Information):

•PCP (Priority Code Point): priorità del frame (range 0-7);

•DEI (DropEligibleIndicator)*: designa il frame come scartabile in caso di congestione;
*nelle prime versioni era CFI, utilizzato per indicare la forma canonica o meno dell’indirizzo MAC

•VID (VLAN Identificator): campo esadecimale che identifica la Virtual LAN di appartenenza del frame.

Vantaggi delle VLAN

rob_iul_98_99 — 2017-02-07 14:48:17 UTC

Risparmio

Si realizzano LAN Virtuali sulle stesse strutture fisiche, con notevole risparmio di tempo e di denaro.

Aumento prestazioni

I frame non vengono propagati verso destinazioni non necessarie, grazie al confinamento del traffico broadcast alla singola VLAN.

Aumento sicurezza

Gli host possono vedere solamente il traffico della loro VLAN, e non quello delle altre

Flessibilità

Spostamento fisico di host: l’host rimane collegato alla stessa Virtual LAN, senza riconfigurare gli switch.

Spostamento fisico di un utente nell’infrastruttura di rete: l’utente può rimanere assegnato ad una Virtual LAN, dopo un’opportuna riconfigurazione degli apparati.

Definizione

rob_iul_98_99 — 2017-02-07 14:51:54 UTC

VPN è un acronimo che sta per Virtual Private Networks, una rete privata che sfrutta una Rete pubblica – ovvero Internet – per permettere ai computer connessi di comunicare tra loro come se fossero tutti fisicamente collegati allo stesso router.
Il termine virtuale si riferisce al fatto che i computer non sono effettivamente collegati tra loro come accade in una LAN (Local Area Network) o in una rete aziendale dedicata, ma sfrutta un’altra infrastruttura fisica, sulla quale viene creato il cosiddetto tunnel VPN.

Realizzazione di una VPN

rob_iul_98_99 — 2017-02-07 14:52:39 UTC

Generalmente una VPN è composta da due parti: una interna (generalmente più sicura) e una esterna (generalmente meno sicura) utilizzata per interconnettere tra loro i vari nodi della rete. Come funziona e come vengono garantiti i livelli di sicurezza in una VPN? Attraverso un meccanismo a tre livelli: un sistema di autenticazione, che permette l’accesso alla VPN solamente a utenti registrati; un metodo di cifratura, che consente di schermare i dati scambiati tra i vari nodi della rete; un firewall, che filtra gli accessi alle porte della rete. La cifratura è affidata a protocolli come l’IPsec, il Transport Layer Security (TLS/SSL), PPTP e il Secure Shell (SSH).

I passaggi da seguire per la realizzazione sono:

1 Trovare un programma VPN che soddisfi le proprie necessità.
Esistono molti programmi disponibili per impostare una VPN personale. Molti sono prodotti a pagamento, ma alcuni offrono versioni gratuite per gli utenti di base. LogMeIn Hamachi e OpenVPN sono due programmi di questo tipo.

2 Installare il programma VPN server su un computer costantemente in funzione.

3 Installare il programma VPN client su ogni computer che si vuole connettere alla rete.

Classificazione delle VPN

rob_iul_98_99 — 2017-02-07 14:56:11 UTC

Le reti VPN si dividono tra reti ad accesso remoto, che connettono un individuo a un network, e reti site-to-site, che consentono la connessione tra due network differenti. La prima tipologia dà l’opportunità a un dipendente “fuori sede” o in telelavoro di connettersi all’intranet della propria azienda o ai documenti che condivide con gli altri colleghi; la seconda, invece, permette a differenti sedi di una stessa azienda o società di condividere una rete virtuale.
All’interno di questa distinzione, possiamo riscontrare tre tipologie di reti VPN: la Trusted VPN, la Secure VPN e la Hybrid VPN.

Nella Trusted VPN un cliente affida a un ISP (Internet Service Provider) la creazione di una serie di percorsi dotati di caratteristiche di sicurezza particolari, così da avere la certezza che i dati viaggino sempre al riparo da occhi discreti.

La Secure VPN, invece, garantisce la creazione di un tunnel VPN (grazie a protocolli di cifratura e di sicurezza come quelli citati precedentemente) tra due nodi della rete o tra due segmenti di rete: i dati che viaggiano all’interno del tunnel sono inaccessibili (o indecifrabili) a qualsiasi utente esterno alla VPN che provasse a entrarne in possesso.

La Hybrid VPN è invece una tipologia di rete recentemente introdotta sul mercato che garantisce gli stessi livelli di sicurezza di una Secure VPN unita alla certezza dei percorsi della Trusted VPN. Una rete ibrida di questo genere può essere messa in piedi se, ad esempio, una società dotata di Trusted VPN avesse bisogno anche di una Secure VPN. Fortunatamente, le applicazioni VPN più diffuse non impediscono questo tipo di aggiornamento e molte software house stanno distribuendo sistemi che prevedono esplicitamente la possibilità di costruire reti Hybrid.

rob_iul_98_99 — 2017-02-07 15:10:05 UTC

rob_iul_98_99 — 2017-02-07 15:10:17 UTC

Vantaggi delle VPN

rob_iul_98_99 — 2017-02-07 15:13:12 UTC

Una VPN ben strutturata può offrire grandi vantaggi a un'azienda:

estende la connettività geografica;
migliora la sicurezza dove le linee di dati non sono state criptate;
riduce i costi di operazione;
riduce il tempo di transito e i costi di trasporto per i clienti remoti;
semplifica la topologia di rete, almeno in determinati scenari;
fornisce la possibilità di reti globali;
fornisce supporto di rete;
fornisce compatibilità con le reti a banda larga;
fornisce una più veloce tempo di ritorno dell'investimento rispetto al trasporto tradizionale delle linee WAN (Wide Area Network);
mostra una buona economia di scala.

Funzionamento

rob_iul_98_99 — 2017-02-07 15:49:54 UTC

In generale, un dispositivo VPN (hardware o software) funge da server e un
altro funge da client e stabilisce la connessione con il server. I principali
protocolli VPN utilizzati sono PPTP (Point-to-Point Tunneling Protocol),
L2TP (Layer 2 Tunneling Protocol) e IPSec (Internet Protocol Security).
Un client PPTP è comunque incluso in tutte le versioni di Windows ed è facile da
configurare una volta noto l'indirizzo IP del dispositivo che funge da server
VPN. Questo, solitamente, è un firewall hardware; alternativamente, può essere
un server Windows o Linux configurato come server VPN, oppure un router con
supporto VPN o un concentratore VPN hardware.
Un frame (pacchetto) PPP è formato dal pacchetto IP con l'aggiunta
dell'intestazione PPP. Ora, per inserire il frame PPP dentro il tunnel
protettivo, si prende il pacchetto PPP, se ne cifra la parte dati con il protocollo
MPPE di Microsoft (la cifratura non fa parte del PPTP ma è normalmente
eseguita) e si aggiungono due intestazioni: quella GRE (Generic Routing Encapsulation)
e una nuova intestazione IP per inoltrare il pacchetto verso destinazione.
Con PPTP si possono usare diversi protocolli (supportati da Windows) per l'autenticazione.
Dopo l'apertura del tunnel, il PC client si trova nella rete virtuale alle stesse condizioni degli altri computer della LAN fisica a cui è connesso il server VPN.
Il passo successivo è configurare sul firewall il protocollo di autenticazione (MSCHAPv2 è raccomandato) e il database degli utenti. Dopodiché avviene il set-up del client ed infine la connessione. Quando viene aperta la connessione PPTP, il server VPN assegna al PC client un secondo indirizzo IP per la terminazione del tunnel PPTP.

Limiti

rob_iul_98_99 — 2017-02-07 15:58:30 UTC

La password di accesso alla VPN PPTP è quindi il primo punto debole, visto che non si usano certificati e firme digitali come in L2TP e in IPSec. Una password PPTP violata significa fare accomodare il nemico all'interno del perimetro protettivo dell'azienda, quindi una VPN PPTP deve essere accessibile
solo da personale di provata fiducia.

Configurazione di una VLAN

rob_iul_98_99 — 2017-02-07 16:01:29 UTC

Switch# vlan database
Switch(vlan)# vlan 10 name faculty
Switch(vlan)# vlan 20 name student

Fatto questo si assegna il gateway per la VLAN qualora ci sia collegato un router o un’apparecchiatura che faccia da gateway:

Switch(vlan)# vtp domain Group1Switch(config)# ip default-gateway 172.16.1.1

A questo punto entrando nella configurazione della VLAN1 specifichiamo l’indirizzo alla VLAN di management, questo ultimo sarà usato qualora dovremo gestire lo switch da remoto:

witch(config)# interface vlan 1
Switch(config-if)# ip address 172.16.1.2 255.255.255.0

Ora assegniamo le porte dello switch alle VLAN, assegniamo la porta fa0/5 e fa0/6 alla VLAN 10 faculty e le porte fa0/7 e fa0/8 alla VLAN20 student, le rimanenti porte (fa0/1, fa0/2, fa0/3, fa0/4) non assegnandole a nessuno rimarranno nella VLAN di management VLAN1.

Switch(config)# interface fa0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface fa0/6
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface fa0/7
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

Switch(config)# interface fa0/8
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

Autore

rob_iul_98_99 — 2017-02-07 16:13:33 UTC

Roberto Iuliano, 07 febbraio 2017