1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux...
-
Upload
toinette-conte -
Category
Documents
-
view
186 -
download
3
Transcript of 1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux...
11
SommaireSommaire La problématique VPN : l’accès distant !
La solution : Une architecture VPN IP
Les deux modèles de VPN
Les modèles de VPNs adaptés aux problématiques spécifiques: L’accès distant L’intranet L’extranet
L’encapsulation principe
L2TP: Implémentation protocolaire : principe Exemple: création d’un tunnel
IPsec Mode tunnel, Mode Transport
VPN:Les perspectives
22
Intranet de l’entreprise
Serveur de fichier comptable
Serveur Web des Employés
La problématique: Gestion de l’accès La problématique: Gestion de l’accès à distanceà distance
Lan interneLan interne????
??
??
??
Travailleur mobile (Données, GSM,GPRS, UMTS)+ PC laptop
?
SOHO: Small Office Home OfficeSOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distantepetite agence distante))
??
Serveur Serveur bases de bases de donnéesdonnées
agence distanteagence distanteou unité distanteou unité distante
Partenaire APartenaire A
Extranet sécurisé
Partenaire BPartenaire B Partenaire CPartenaire C
??
Réseaux données GSM,GPRS,UMTS
Réseau partenaire A
Siège socialSiège social
33
La solution : Une architecture VPN IPLa solution : Une architecture VPN IP
ItinérantItinérantNomadesNomades
Point Point
d ’Accès ISP (POP)d ’Accès ISP (POP)
Hôte Hôte
destinationdestination
Connexion auConnexion au
Point de présencePoint de présence
Intranet Partenaire
Intranet Site CentralInternetInternet
44
PasserellePasserelle
PasserellePasserelle
PasserellePasserelle
PasserellePasserelleà à
PasserellePasserelle
ClientClientà à
PasserellePasserelle
Les Modèles de VPNLes Modèles de VPN
Internet Internet
Internet Internet
55
Connexion réseau à distanceConnexion réseau à distance
ItinérantItinérantNomadesNomades
Point d ’AccèsPoint d ’Accès
ISP (POP)ISP (POP)
Hôte Hôte
destinationdestination
ConnexionConnexion
auau
Point dePoint de
présenceprésence
Intranet Site CentralInternet Internet
Authentification et ChiffrementAuthentification et Chiffrement
Réseau ISP
Serveur Serveur d’authentification d’authentification AAAAAA
Serveur NASServeur NAS
OUOU
B- B- Le client établit un tunnel crypté Le client établit un tunnel crypté à travers l’ISP vers le réseau de à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de l’entreprise. Avantage : cryptage de bout en bout de la communication.bout en bout de la communication.
OUOU
AA
A- A- L’utilisateur communique avec L’utilisateur communique avec le NAS de l’ISP qui lui établit une le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de liaison cryptée avec le réseau de l’entreprisel’entreprise
BB
66
Connexion Intranet entre sitesConnexion Intranet entre sites
Point Point
d ’Accès ISPd ’Accès ISP
(POP)(POP)
Hôte Hôte
destinationdestination
Intranet Site Distant
Intranet Site CentralInternet Internet
Authentification et ChiffrementAuthentification et Chiffrement
77
Connexion Extranet entre sitesConnexion Extranet entre sites
Point Point
d ’Accès ISPd ’Accès ISP
(POP)(POP)
Hôte Hôte
destinationdestination
Intranet Site Partenaire
Intranet Site CentralInternet Internet
ChiffrementChiffrement
AuthentificationAuthentification
88
TCP / IPTCP / IP
PPTP, L2F,PPTP, L2F,L2TFL2TFIPSECIPSEC
Protocole Protocole de transportde transport
PRINCIPE DU TUNNELING OU PRINCIPE DU TUNNELING OU D ’ENCAPSULATION D ’ENCAPSULATION
Protocole TransportéProtocole Transporté
Protocole Protocole d ’Encapsulationd ’Encapsulation
TCP / IP, IPX, ...TCP / IP, IPX, ...
PPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, AscendPPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, AscendL2F (Layer 2 Forwarding: CISCO, Shiva (INTEL)L2F (Layer 2 Forwarding: CISCO, Shiva (INTEL)L2TP: (Tunnel de niveau 2) standardL2TP: (Tunnel de niveau 2) standardIPSEC: (Mode Transport ou Tunnel de niveau 3) standardIPSEC: (Mode Transport ou Tunnel de niveau 3) standard
99
Protocol orienté connection
Basé sur PPP, Point-to-Point Protocol
Synthèse de PPTP(Microsoft) et L2F(Cisco)
Ses principes sont décrit dans un DRAFT de IETF: draft-ietf-pppext-l2tp-14.txt
L2TP (Layer 2 Tunneling Protocol)L2TP (Layer 2 Tunneling Protocol) Layer 2 Transport Protocol
Encapsulation L2TP dans IPEncapsulation L2TP dans IP
IPIPHeaderHeader
UDPUDPHeaderHeader PPP donnéePPP donnéeL2TPL2TP
HeaderHeaderPPPPPP
HeaderHeader
Tous ces champs sont les données du paquet IPTous ces champs sont les données du paquet IP
IPIPHeaderHeader IP DatagrammeIP Datagramme
1010
Intranet
NAS194.64.20.101
192.100.20.102
IPCP
192.100.20.101
Adresses Internet Publiques
Adresses Intranet Privées
Données DonnéesDonnées
IP
192.100.20.101
192.100.20.102
IP
192.100.20.101
192.100.20.102
IP
192.100.20.101
192.100.20.102
PPP PPP
L2TP
IP
194.64.20.101
195.222.1.1
L2TPL2TP Envoyer des données au-dessus d’un L2TP
LNS192.222.1.1
1111
Authentification / Integrité
Chiffré
Nouvel Entête IP
EntêteESP
DonnéesEntête IP Original
Mode Tunnel
Authentification** / Intègrité
Nouvel Entête IP
EntêteAH
DonnéesEntête IP Original
Entête IP Original
EntêteAH
Données
Authentification*** / Intègrité
Mode Transport
ESP
AH
IPSec: Authentification et Chiffrement IPSec: Authentification et Chiffrement
* AH incompatible avec NAT* AH incompatible avec NAT
** Sauf pour les champs variables du nouvel en-tête
*** Sauf pour les champs variables de l’en-tête
AH +
ESPAuthentification*** / Intègrité
Chiffré
EntêteESP
DonnéesEntête IP Original
EntêteAH
Authentification** / Intègrité
Nouvel Entête IP
EntêteESP
DonnéesEntête IP Original
EntêteAH
Chiffré
la protection depend du mode et du protocôlela protection depend du mode et du protocôle Mode Tunnel
Sécurise le trafic IP entre deux réseaux Mode Transport
Sécurise le trafic IP entre deux nœuds
Trailer ESP
Données d’authent.
Entête IP Original
EntêteESP
Données
Authentification / Intègrité
Chiffré
Trailer ESP
Données d’authent.
Trailer ESP
Données d’authent.
Trailer ESP
Données d’authent.
1212
Travailleur mobile (Données, GSM,GPRS, UMTS)+ PC laptop
Backbone MPLS ou IPSec
Serveur de fichier comptable
Serveur Web des Employés
Lan interneLan interneIPSec/IPSec/L2TPL2TP
IPSec/L2TPIPSec/L2TPAccès Accès distant distant sécurisésécurisé
Internet
SOHO: Small Office Home OfficeSOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distantepetite agence distante))
Serveur Serveur bases de bases de donnéesdonnées
agence distanteagence distanteou unité distanteou unité distante
Partenaire APartenaire A
Extranet sécurisé
Partenaire BPartenaire B Partenaire CPartenaire C
IPSec IPSec ou ou MPLSMPLS
Réseaux données GSM,GPRS,UMTS
Réseau partenaire A
Siège socialSiège social
IPSec/L2TPIPSec/L2TP
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
Intranet de l’entreprise
VPN 34VPN 34
VPN 97VPN 97
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
VPN: PerspectivesVPN: Perspectives
Réseau sans fil interne (laptop, palmtop…)
VPN 55VPN 55
1313
Backup SlidesBackup Slides
1414
La problématique: Gestion de l’accès La problématique: Gestion de l’accès à distanceà distance
Travailleur mobile (Données, GSM, GPRS, UMTS)+ PC laptop
Backbone MPLS ou IPSec
Serveur de fichier comptable
Serveur Web des Employés
Lan interneLan interne
IPSecIPSec
IPSecIPSec
Accès Accès distant distant sécurisésécurisé
Internet public
SOHO: Small Office Home OfficeSOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distantepetite agence distante))
Serveur Serveur bases de bases de donnéesdonnées
agence distanteagence distanteou unité distanteou unité distante
Partenaire APartenaire A
Extranet sécurisé
Partenaire BPartenaire B Partenaire CPartenaire C
IPSec IPSec ou ou MPLSMPLS
Réseaux données GSM,GPRS,UMTS
Réseau partenaire A
Siège socialSiège social
IPSec/L2TPIPSec/L2TP
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
Intranet de l’entreprise
VPN 34VPN 34
VPN 97VPN 97
IPSec/L2TPIPSec/L2TPou PPTPou PPTP
1515
Connexion réseau à distanceConnexion réseau à distance
ItinérantItinérantNomadesNomades
Point d ’AccèsPoint d ’Accès
ISP (POP)ISP (POP)
Hôte Hôte
destinationdestination
ConnexionConnexion
auau
Point dePoint de
présenceprésence
Intranet Site CentralInternet Internet public public
Réseau ISP
Serveur Serveur d’authentification d’authentification AAAAAA
Serveur NASServeur NAS
OUOU
B- B- Le client établit un tunnel crypté Le client établit un tunnel crypté à travers l’ISP vers le réseau de à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de l’entreprise. Avantage : cryptage de bout en bout de la communication.bout en bout de la communication.
OUOU
AA
A- A- L’utilisateur communique avec L’utilisateur communique avec le NAS de l’ISP qui lui établit une le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de liaison cryptée avec le réseau de l’entreprisel’entreprise
BB
1616
Connexion Intranet entre sitesConnexion Intranet entre sites
Point Point
d ’Accès ISPd ’Accès ISP
(POP)(POP)
Hôte Hôte
destinationdestination
Intranet Site Distant
Intranet Site CentralInternet Internet public public
1717
Connexion Extranet entre sitesConnexion Extranet entre sites
Point Point
d ’Accès ISPd ’Accès ISP
(POP)(POP)
Hôte Hôte
destinationdestination
Intranet Site Partenaire
Intranet Site CentralInternet Internet public public
1818
La solution : La solution : Une Une architecture architecture VPN IPVPN IP
1919
Différences entre les protocoles de sécurité Différences entre les protocoles de sécurité réseauxréseaux
1 Support non encore fournit ; toutefois il y a des actions en cours (WIP, Work In Progress) au sein du groupe de travail IPSec de L'IETF.
2 Lorsqu'il est utilisé dans une connexion client VPN, il authentifie l'utilisateur, pas la machine. Lorsqu'il est utilisé dans une connexion routeurs à routeurs, la machine se voit asssigné un ID utilisateur ce qui lui permet d'être authentifié.
2020
Intranet
NAS/HomeGatewayRAC/RAS/LAC
PDN(e.g Internet)
Voluntary Tunnel
Mandatory Tunnel
Voluntary Tunnel: This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec
Mandatory Tunnel: This type of tunnel is created from the ISP up to the Home Gateway of the Intranet
e.g L2F, L2TP
Type of Tunneling ConnectionsType of Tunneling Connections
2121
Une liaision typique de bout en boutUne liaision typique de bout en bout
Internet publicInternet public Intranet Site CentraleIntranet Site Centrale
Intranet PartenaireIntranet Partenaire
ItinérantItinérantNomadesNomades
Point Point
d ’Accès ISPd ’Accès ISP
Hôte Hôte
destinationdestinationFirewall / RouteurFirewall / Routeur
Connexion auConnexion au
Point de présencePoint de présence
2222
Network Security Protocol Network Security Protocol DifferencesDifferences
1 Support is not yet provided; however, there is work in progress (WIP) by the IETF IPSec working group.
2 When used as a client VPN connection, it authenticates the user, not the computer. When used as a gateway-to-gateway connection, the computer is assigned a user ID and is authenticated.
Mode Tunnel Sécurise le trafic IP entre deux réseaux
Mode Transport Sécurise le trafic IP entre deux noeuds
2323
La solution : La solution : Une Une architecture architecture VPN IPVPN IP
INTRANET SITE CENTRALINTRANET SITE CENTRAL
ITINERANTS / NOMADESITINERANTS / NOMADES
INTRANET PARTENAIREINTRANET PARTENAIRE
INTRANET SITE DISTANTINTRANET SITE DISTANT
INTERNETINTERNET
Tunnel VPN
Tunnel VPN
Tunnel VPNTunnel VPN
Tunnel VPNTunnel VPN
2424
IPIP
(Réseau)(Réseau)
L2TP/PPPL2TP/PPPPPTP/PPPPPTP/PPP
(Liaison de Donnée)(Liaison de Donnée)
La pile TCP / IP et les protocoles de La pile TCP / IP et les protocoles de sécurité VPNsécurité VPN
ApplicationsApplications
TCP/UDPTCP/UDP
(Transport)(Transport)
S-MIMES-MIMES-HTTPS-HTTPPGPPGPSETSETIPSEC (ISAKMP)IPSEC (ISAKMP)
SSLSSLSOCKS V5SOCKS V5
IPSEC (AH,ESP)IPSEC (AH,ESP)
CHAP, MS-CHAPCHAP, MS-CHAPPAP, MPPEPAP, MPPE
* AH incompatible avec NAT* AH incompatible avec NAT
2525
2. Démarrage de la demande de contrôle de connection: Appel + Challenge CHAP (option)
3. Démarrage de la réponse au démarrage de contrôle de connection: Connection accepté + Réponse CHAP (option) + Demande d’authentification CHAP (option)
4. Démarrage du contrôle de connection connecté : Connection accepté + Réponse CHAP (option)
LAC
LNS
Public Network
Serveur d’authentification
Tunnel L2TP
1. Authentification PPP
Server d’authentification
L2TPL2TP Création du Tunnel
LAC = L2TP access concentratorLAC = L2TP access concentrator
LNS = L2TP network serverLNS = L2TP network server
2626
5.Demande d’appel entrant
6. Réponse à l’appel entrant: appel accepté
7. Appel entrant connecté
LNS
Réseau publicTunnel L2TP
8. Authentification (Radius par exemple)
LAC
Serveur d’authentification
Serveur d’authentification
L2TPL2TP PPP Connection vers un LNS
LAC = L2TP access concentratorLAC = L2TP access concentrator
LNS = L2TP network serverLNS = L2TP network server
2727
Architecture Actuelle sur Frame Architecture Actuelle sur Frame RelayRelay
2828
IPSec Mode TunnelIPSec Mode Tunnel
Association de Sécurité
InternetSecurité Gateway Securité Gateway
Ordinateur OrdinateurNon encrypté Encrypté
ESPESP
AuthenticationNew IP Header(any options)
TCP
DATA ESP Trailer
Authentifié
Orig IP Header(any options)
AHOrig IP Header(any options)
TCP
DATA
Authentifié
New IP Header(any options)
* AH incompatible avec NAT* AH incompatible avec NAT
L2TP avec IPSec Mode Tunnel (sécurisation)L2TP avec IPSec Mode Tunnel (sécurisation)
IPIPHeaderHeader
UDPUDPHeaderHeader PPP donnéePPP donnéeL2TPL2TP
HeaderHeaderPPPPPP
HeaderHeader
Tous ces champs sont les données du paquet IPTous ces champs sont les données du paquet IP
IPIPHeaderHeader IP DatagrammeIP Datagramme
IPSecIPSecHeaderHeader
IPIPHeaderHeader
2929
IPSec Mode TransportIPSec Mode Transport
Association de Securité
InternetGateway Gateway
Ordinateur OrdinateurNon encrypté Encrypté
ESPESP
AuthenticationOrig IP Header(any options)
TCP
DATA ESP Trailer
Authentifié
AHOrig IP Header(any options)
TCP
DATA
Authentifié
* AH incompatible avec NAT* AH incompatible avec NAT
L2TP avec IPSec Mode Transport (sécurisation) L2TP avec IPSec Mode Transport (sécurisation)
UDPUDPHeaderHeader PPP donnéePPP donnéeL2TPL2TP
HeaderHeaderPPPPPP
HeaderHeader
Tous ces champs sont les données du paquet IPTous ces champs sont les données du paquet IP
IPIPHeaderHeader IP DatagrammeIP Datagramme
IPSecIPSecHeaderHeader
IPIPHeaderHeader
3030
Intranet
NAS/HomeGatewayRAC/RAS/LAC
PDN(e.g Internet)
Voluntary Tunnel
Mandatory Tunnel
Voluntary Tunnel: This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec
Mandatory Tunnel: This type of tunnel is created from the ISP up to the Home Gateway of the Intranet
e.g L2F, L2TP
Type of Tunneling ConnectionsType of Tunneling Connections
3131
Choix d ’implémentation IPSec Choix d ’implémentation IPSec Modes et FonctionsModes et Fonctions Mode Tunnel
Sécurise le trafic IP entre deux réseaux
Mode Transport
Sécurise le trafic IP entre deux noeuds
Machine authentification Internet Key Exchange (IKE) ou clés pré-partagées
Authentification et intégrité des Paquets
Authentication Header (AH)
En cryptage, Authentification et Intégrité Optionnelles
Encapsulated Security Protocol (ESP)
Règles NégociéesRègles Négociées
* AH incompatible avec NAT* AH incompatible avec NAT
3232
Bibliographie (pour aller plus loin)Bibliographie (pour aller plus loin)
A Comprehensive Guide to Virtual Private Networks, Volume 1 http://redbooks.ibm.com/abstracts/sg245201
IP VPN - (société CISCO)
What is VPN? http://www.cisco.com
PPP/L2TP/Ipsec, VPNs réseaux GPRS/UMTS 2.5G- 3G - (société Nortel Networks)
Radius (Société Funk)
6 solutions de réseau privé virtuel à l ’étude - http://www.01.net.com/rdn?oid=126425
3333
IPSec (IP Security)IPSec (IP Security)
3434
IPSec DétailsIPSec Détails
• Protocôles de sécurité définissent: Intégrité des donnéesAuthentification de l’origine des donnéesProtection contre les “replays” (sequencing) Confidentialité (encryptage)
• Protocoles de sécurité du trafic:AH (Authentication Header)ESP (Encapsulating Security Payload)
• Protocoles et procèdures de gestion de clés cryptographiques:ManuelleIKE - Internet Key Exchange (basée sur “ISAKMP/Oakley”)
* AH incompatible avec NAT* AH incompatible avec NAT
3535
Comment ces services sont-ils Comment ces services sont-ils fournisfournis??
• AH (Authentication Header)Fourni l’intégrité des données, l’authentification de l’origine des données, et un service optionel d’”anti-replay” (sequencing)
• ESP (Encapsulating Security Payload)Fourni la confidentialité (encryptage). Il peut aussi fournir l’intégrité des donnés, l’authentification de l’origine des données, et un service d’”anti-replay” (sequencing)
* AH incompatible avec NAT* AH incompatible avec NAT
3636
IPSec et les associations de type de IPSec et les associations de type de sécuritésécurité
Une relation entre deux ou plus des éléments qui décrit comment les éléments utiliseront les services de sécurité pour communiquer en mode sécurisé
Uniquement identifier par un:SPI (Security Parameter Index)
IP adresse de destination
Security Protocol Identifier (AH or ESP)
Securité Association
InternetSecurité Gateway Securité Gateway
Ordinateur Ordinateur
3737
PrincipePrincipe
SAD
SPD
Administrateur
Applications
(ftp, http,…)
TCP/UDP
IP / IPsec (AH, ESP)
NAP
IKE
DOI
ISAKMP
Oakley
SKEME
* AH incompatible avec NAT* AH incompatible avec NAT
3838
IPSec - 1IPSec - 1
Key Management Internet Key Exchange (IKE = ISAKMP/Oakley)
Allows users to agree on authentication methods, encryption methods, keys to use, and key duration.The Internet Security Association and Key Management Protocol (ISAKMP) serves as a framework for authentication and key exchange using the Oakley key exchange protocol
Cryptographic Security Mechanisms for IP Authentication Header (AH)
Provides integrity and authentication without confidentiality to IP datagrams.Available even in locations where the export, import or use of encryption to provide confidentiality is regulated
Encapsulation Security Payload (ESP)
Provides integrity, authentication, and confidentiality to IP datagrams. * AH incompatible avec NAT* AH incompatible avec NAT
3939
Two IPSec Modes : Transport and Tunnel ModeTwo IPSec Modes : Transport and Tunnel Mode
New IPHeader
IPSecHeader
Data
IP Header Data
Tunnel Mode
Original IPHeader
IPSecHeader
Transport Mode
Original IPHeader
Data
Optional Encryption
Optional Encryption
Outer IP Header
Inner IP Header
4040
GPRS Tunneling : GTP and VPN tunnels
4141
Connectivity oriented protocol
Uses a mandatory tunnel
Principles described in: GSM 09.60
GTPGTP
GPRS Tunneling Protocol
GGSNSGSN
PDP Context Activation
GTP Tunnel (PDP Context)
4242
GTP and VPNGTP and VPN
SGSN
PDP Context Activation
Intranet
Internet
GTP IntranetVPN :
IPSec/L2TPGn interfac
eGi
interface
4343
Intranet
NAS/HomeGatewayRAC/RAS/LAC
PDN(e.g Internet)
Voluntary Tunnel
Mandatory Tunnel
Voluntary Tunnel: This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec
Mandatory Tunnel: This type of tunnel is created from the ISP up to the Home Gateway of the Intranet
e.g L2F, L2TP
Type of Tunneling ConnectionsType of Tunneling Connections
4444
Network Address Translation (NAT) ConceptsNetwork Address Translation (NAT) Concepts
NAT is defined in RFC 1631. It provides the translation of an IP address used within one network to an IP address known within another network
It is mainly used to reduce the number of public IP addresses needed by a Corporation
Private addresses are used within the corporate network, public addresses are used only for communication to the Internet
NAT is implemented on routers, firewalls or proxy servers via a NAT table in which IP adresses from different domains are mapped together
The mapping can be:Static One to One Dynamic One to OneDynamic Many to One PAT (Port Address Translation)
PAT maps IP addresses to a single IP address but different TCP port numbers
One Public IP address can be used for up to 64 k private addresses (theorically), 1k-10k is a safe value
PAT Internet
10.0.0.2 192.69.1.1
10.0.0.2 192.69.1.1: 500110.0.0.3 192.69.1.1: 5002
4545
Network Address Translation LimitationsNetwork Address Translation Limitations IPSec and NAT interoperability
IPSec tunnels with AH fail when going through NAT because NAT changes the IP header the IPsec checksum is no more valid
IPSec tunnels with ESP encryption work with NAT (integrity only calculated on the payload)
IPSec and PAT interoperabilityAll type of IPSec tunnel would fail through PAT because the ISAKMP protocol used by IPSec to exchange keys uses specifiv TCP port numbers
L2TP and NAT/PAT interoperabilityL2TP works with static NAT only (the LNS has to know the translated LAC IP address)
NAT interoperability with common IP protocolsAll major IP protocols can work with NAT, thanks to NAT Application Gateways
PAT interoperability with common IP protocolsSMTP, DNS and RealMedia do not work with PAT
4646
Network Address Translation Limitations - Network Address Translation Limitations - SummarySummary
Operating mode Tunneling IP Service or Application Static NAT Dynamic NAT N-to-1 NAT
Transparent No encryption DNS OK OK OKSMTP / POP3 OK OK OKHTTP OK OK OKFTP OK OK OKRealaudio - Realvideo OK OK NOK
Internet initiated sessions (including DNS queries, SMTP, HTTP, ICQ, …) OK
sender must be aware of the current NATed IP address NOK
End to end IPSec encryption AH/ESP All NOK NOK NOKEnd to end IPSec encryption AH All NOK NOK NOKEnd to end IPSec encryption ESP All OK OK NOK
Non Transparent L2TP All OK Practically not feasible Practically not feasibleIPSec encryption AH/ESP All NOK NOK NOKIPSec encryption AH All NOK NOK NOKIPSec encryption ESP All OK OK NOK
4747
Basic Internet Service : Transparent modeBasic Internet Service : Transparent mode
GGSN
SGSN
DHCP(Preside)
RouterFirewall
SGSN
DNS (Preside)
Router
SGSN
GPRS PLMNGPRS PLMN
ISPISPnetworknetwork
InternetInternet
AddressAddressPoolsPools
LS
GGSN
WAP Server
Authentication Not applicableIP Address Allocation Private addresses allocated by a local DHCP
Server or the GGSN Internal Address PoolsPAT is implemented at the ISP to Internetborder
PAT
Private Address SpaceOne Class A
Public Address SpaceMax. four Class C
Mobile data+ PC
4848
Remote Intranet Access Service using an IPSec Remote Intranet Access Service using an IPSec ClientClient
GGSN
SGSN
DHCP (Preside)
SGSN
DNS (Preside)
Router
SGSN
GPRS PLMNGPRS PLMN
InternetInternet
AddressAddressPoolsPools
IPSec Tunnel Terminator
DNS
DHCP
RADIUS
Mobiles data+ PC (Ipsec Client)
IPsec TunnelIPsec Tunnel
Authentication At the Intranet SideFirst IP Address Allocation Public IP address. GGSN
internal address pool or localDHCP
Second IP Address Allocation(private address)
At the Intranet Side, by DHCP,RADIUS or internal address pools
This is a Transparent modefrom the GPRS network point of view
PAT can not be implemented,It is not compatible with anIPSec tunnel
4949
AAA on the Intranet : Virtual Dial Non AAA on the Intranet : Virtual Dial Non Transparent modeTransparent mode
GGSN
SGSN
SGSN
DNS (Preside)
Router
SGSN
GPRS PLMNGPRS PLMN
InternetInternet
AddressAddressPoolsPools
L2TP Network Server
DNS
DHCP
RADIUS
Mobiles data+ PC
L2TP/IPsec L2TP/IPsec TunnelTunnel
Authentication Performed by the L2TP Network ServerIP address Allocation Handled by the L2TP Network Server
which queries a DHCP or RADIUS Serveror uses its internal address pools
The GGSN forwards all Authentication, Authorizationand Accounting relative queries to the L2TPNetwork Server.Allocated IP addresses are from the Intranetaddress space PAT is not required
5050
Dedicated Access : Non Transparent Untunneled Dedicated Access : Non Transparent Untunneled modemode
Authentication Can be requested by the GGSN to alocal or distant RADIUS Server
IP Address Allocation Requested by the GGSN to itsinternal pools or a local DHCP Serveror a local / distant RADIUS Server
GGSN
SGSN
DHCP (Preside)
SGSN
DNS (Preside )
Router
SGSN
GPRS PLMNGPRS PLMN
Mobiles data+ PC
Radius(Preside)
Secured Connection
RouterDNS
Services
IntranetIntranet
GGSN
ISPISP
Services
Radius
Secured connection InternetInternet
Note: IP address allocation via RADIUS is actually part of the authentication procedure
PAT can be implementedat the ISP - Internet border
5151
The E-Plus CaseThe E-Plus Case
Transparent mode or Non Transparent Untunneled mode connection to the E-Plus ISP infrastructure
Authentication done at the ISP network side (RADIUS or other), no GI tunneling
PAT set up at the ISP network side, into the border routers connected to the Internet
For one million « always on » users, a maximum of four public Class C are required (depending on the PAT capacity of the border router)
GGSNRouterFirewall
ISPISPnetworknetwork InternetInternet
AddressAddressPoolsPools
Leased Line
RouterFirewall
NAT/PAT
Private Addressing Space Public Addressing Space
5555
IPSEC - Authentification et IPSEC - Authentification et ChiffrementChiffrement
NouvelleNouvelle
Ent IPEnt IP ESPESP Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données
Ent IP Ent IP AHAH Ent TCP Données Ent TCP Données
AuthentificationAuthentification
Ent IP Ent IP ESPESP Ent TCP Données Ent TCP Données
ChiffrementChiffrement
AuthentificationAuthentification
AHAH
ESPESP
NouvelleNouvelle
Ent IPEnt IP AHAH Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données
AuthentificationAuthentification
ChiffrementChiffrement
AuthentificationAuthentification
Mode TransportMode Transport Mode TunnelMode Tunnel
Ent IP Ent IP AH ESPAH ESP Ent TCP Données Ent TCP Données
ChiffrementChiffrement
AuthentificationAuthentification
AH AH ++
ESPESP
NouvelleNouvelle
Ent IPEnt IP AH AH ESP ESP Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données
ChiffrementChiffrement
AuthentificationAuthentification
* AH incompatible avec NAT* AH incompatible avec NAT