GET VPN – 1

Group Encrypted transport VPN, Cisco”nun 2005 yılının sonlarına doğru duyurduğu ve temelinde RFC 3547 ile detayları açıklanmış Group Domain of Interpretation (GDOI) protokolünün olduğu gelişmiş şifreleme çözümüdür.

Get VPN”in çıkış amacı şifreleme yaparken yaşadığımız sorunlara çözümler bulmaktır. Standart IPSEC yaparken yaşadığımız en önemli sorunlar, Multicast trafiği taşıyamamak dolayısıyla dinamik yönlendirme protokollerini ipsec ile şifrelediğimiz linklerden geçirememektir. IPSEC ile şifreleme yaptığımız networkde her bir çift routerının birbirlerinine trafik göndermeden önce şifreleme için gereken protokollerde (transform set) anlaşmaları ve şifreleme için gereken anahtarları paylaşmaları gerekir. Full mesh bir yapıda 50 adet routerın kendi arasında ipsec faz-1 yapmaları (50×49)/2 (1225 kere 🙂 )yani kere bu işlemin tekrarlanması anlamına geliyor. Birde işin politika tarfı var. Her bir router üzerine hangi trafiğin şifreleneceğine dair erişim listesinin ayrı ayrı yönetilmesi gerekiyor.

GRE ile tünel kurmak istersekde en önemli sıkıntı tünel için ayrı ip adresleri yönetmek. Overlay routing dediğimiz bu durum çok noktalı müşterilerimizde önemli bir yönetim sorunu yaratmaktadır.

Get VPN”in detaylarını incelemek için GET VPN”i control plane ve data plane olarak iki kısıma ayırmakta fayda var. Control plane ile başlayacak olursak burada kilit nokta Key Server”dır. Adında “server (sunucu)” ibaresi olsa da bu “Key Server” bir router.  Networkümüzdeki şifreleme yapan routerlarımıza (Group Member) hizmet ettiği için key server diyoruz. Key server, trafiği şifrelemek için yaratılan keyin (TEK) üretilmesi ve dağıtılması, belirlenen zaman aralığında değiştirilmesi, hangi trafiğin şifreleneceğini bilgisini veren erişim listesinin tutulması ve bu bilgilerin routerlarımıza güvenli bir şekilde dağıtılması için gereken şifreleme Key”in (KEK”in) yaratılması ve dağıtılması işlemini yapan bir routerdır. (bir ton iş yapıyor gördüğünüz gibi 🙂 )Bundan sonra Group memberlarımız hem key bilgisini hemde erişim listesi bilgisini key server”dan alırlar.

Tünel mode ile şifreleme yaparken orjinal ip header ve ip payload enkapsüle edilir ve başına ESP header ve tünel ip adreslerimiz gelir. Bu da daha önce bahsettiğimiz overlay network durumunu ortaya çıkarır. Get VPN”de ise bu sıkıntıyı “IP header preservation” ile çözüyoruz. Yeni bir ip adres kullanmak yerine enkapsüle ettiğimiz orjinal ip başlığını tekrar alıp paketin başına kopyalıyoruz. Böylece mevcut network adreslerimin üzerinde yeni bir ip adres şeması yönetmek zorunda kalmıyorum. Ayrıca 3. katmana kadar tüm bilgileri başa kopyalandığı için QoS konfigürasyonumu da değiştirmek zorunda kalmıyorum. Tabii bunun için Qos sınıflandırmasını DSCP,TOS yada IP adreslerine göre yapmış olmam gerekiyor. TCP/UDP port numaralarını şifrelemeden sonra enkapsüle edilmiş kısmın içinde kalıyor.

Kısaca akışdan bahsedecek olursak Group member açıldıkdıktan sonra Key Server”ına erişmeye çalışır. Pre-Shared key veya sertifika ile kendini register eder. Key server, Group memberi doğruladıktan sonra TEK, KEK ve erişim listesi bilgisini Group member”a iletir.

Biraz karışık biliyorum, ama konfigurasyon kısmına geçince daha kolay anlaşılacağını umuyorum 🙂 Oda bir sonraki yazıma..

Görüşmek üzere..

“GET VPN – 1” için bir cevap

  1. GETVPN’den çok daha kolay bir grup şifreleme yöntemini Certes Networks sunuyor, policy sınırlamaları olmadan… Hem de isteğe göre Ethernet, IPSec (IP Payload) veya UDP payload şifreleyerek… Merkezi sistem mantığı da aynı gibi duruyor. http://www.certesnetworks.com Şiddetle tavsiye ederim… Hatta türkçe siteleri bile varmış. 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir