Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť
IP forwarding ● Přesměrování portů ● Sítě s omezenou propustností (firewally, NAT) ● Realizace jinak nedovoleného spojení ● Lokální provoz je přesměrován na vzdálený počítač ● Nemusí být nutně tunelován ● X11 Forwarding ● Základní vlastnost OpenSSH, ale forwarding není úplně spolehlivý
IP forwarding – iptables ● PREROUTING, POSTROUTING ● Obecně –přesměrování portů na úrovni firewallu (transportní vrstva) ● Lze přesměrovávat vše, co daný firewall rozpozná – klidně i celé adresy ● Webový server za firewallem – dotaz na port 80 na firewallu přesměruje spojení na server uvnitř lokální sítě ● Dotaz na konkrétní adresu je přesměrován na jinou –vhodné pro případ poruchy
IP tunneling ● Vytvoření bezpečného kanálu pro libovolnou komunikaci (síťová vrstva) ● Na úrovni jádra systému ● Virtuální síťová rozhraní ● Routing probíhá stejně, jako na fyzické síti ● GRE – General Routing Encapsulation ● Podmínky: povolený port GRE (47), nastavení zdrojové adresy odchozích paketů ● Problémy: GRE pakety mohou překročit maximální délku – fragmentace pouze na ICMP dotaz (nutno povolit na firewallech)
IPSec ● Tunelování na úrovni jádra ● Flexibilnější, ale méně podporované ● Konfigurační soubor ● Definuje propojení dvou sítí (levý a pravý konec tunelu) bez rozdílu místní/vzdálený ● Klíčování tunelu – automatické (jednorázové náhodné klíče pro udržení spojení, perzistentní klíč pro navázání a generování ● Podmínky: port udp/500, IP protokoly 50:51 ● Propojení sítí dohromady – nelze dotazovat konce tunelu (jiná síť)
Virtuální síť ● Automaticky generované tunely pro veškerý povolený provoz + routing ● Minimální množství otevřených portů na fyzické síti, ideálně jeden ● LAN i WAN ● Šifrování pomocí známých a ověřených metod – ideálně SSL/TLS ● Podpora tcp protokolu (IPSec používá vlastní) ● Spojování existujících sítí
OpenVPN ● Volně dostupná virtuální síť ● Ověřování autentizace pomocí sdíleného klíče, certifikátu, L/P ● Podporuje SSL/TLS ● Multiplatformní (prakticky všechny 32 a 64 bitové architektury a OS) ● Jeden dedikovaný port (1194), možnost striktně tcp provozu ● Virtuální rozhraní TUN(ip) nebo TAP(tcp/udp) ● Pracuje v userspace – nepotřebuje funkce jádra systému