Othmar Gsenger Erwin Nindl Christian Pointner
Inhalt Einfühtung VPN Techniken Was ist Anycast? Secure Anycast Tunneling Protocol (SATP) Verschlüsselung Live Demo Anytun
Was ist Anytun? User-Space VPN Daemon Benutzt tun/tap (ipv4/ipv6/Ethernet) Paket basierte Verschlüsselung mit AES Cluster / Fault-Tolerance Mechanismen Platformunabhängig (Linux,BSD,Win..)
Existierende VPN Lösungen Host Server Keyexchange NAT Transversal Datenübertragung Verschlüsselung OpenVPN IPSec Daten Client2 Client1 Host Keyexchange NAT Transversal
Anytun Vereinigung von Daten und NAT Transversal Host Vereinigung von Daten und NAT Transversal Abspaltung von Keyechange Nur Tunnel Modus (kein Transport) Anytun Host Keyexchange Daten NAT Transversal
Anytun - Cluster Host Daten Syncronisation Host Host Host
Adressierungsarten in IP Netzen Unicast 1 IP / Rechner Daten an genau diesen Rechner Broadcast 1 IP / Netz Daten an alle Rechner in diesem Netz Multicast 1 IP Adresse für mehrere Rechner Daten an alle Rechner mit dieser IP Addresse
Anycast 1 IP Adresse für mehrere Rechner Nur ein Rechner bekommt die Daten (kann wechseln) Anwendung Load-Balancing Fault-Tolerance (Redundanz) Skalierbare Systeme (im Betrieb erweiterbar)
Realisierungen von Anycast Einfach 2 Rechner im LAN haben die selbe IP etwas anspruchsvoller Anycast innerhalb eines Netzes / Autonoumouse Systems internes Routing global Anycast mit BGP4
Anycast mit BGP4 Midestmenge an Adressen erforderlich /24 (256) für Ipv4 /32 (65536 Endkundennetze = /48) für IPv6 Vorteile kürzestes Routing im Internet geografisches Load-Balancing minimales Delay
Anwendungen von Anycast Domain Name System (DNS) Root Name Server (z.B. K-Root in Europa) IP in IP Encapsulation / Tunnels 6to4 Komplexere Protokolle möglich? Ja!
Secure Anycast Tunneling Protocoll -------Router -+---- DNS Server / \ / --- 6to4 Router / unicast -------+----------Router --+--- DNS Server host \ \ \ --- 6to4 Router \ --- 6to4 Router unicast | encrypted | anycast | plaintext tunnel | communication | tunnel | anycast endpoint | using SATP | endpoint | services
Secure Anycast Tunneling Protocoll --------- router ----------- / \ unicast ------+---------- router ------------+------ unicast host \ / host unicast | encrypted | anycast | encrypted | unicast tunnel | communication | tunnel | communication | tunnel endpoint | using SATP | endpoint | using SATP | endpoint
Secure Anycast Tunneling Protocoll An example of SATP used to connect 2 networks Router ----------- ---------------Router / \ / \ Network - Router ------------x Network A \ / \ / B | packets | packets | packets | plaintext | get | take a | get | plaintext packets | de/encrypted | random | de/encrypted | packets |de/encapsulated| path |de/encapsulated|
Secure Anycast Tunneling Protocoll Examples of SATP used with different lower layer and payload protocols +------+-----+-------------------------------+ | | | + ---------------+------ | | IPv6 | UDP | SATP | Ethernet 802.3 | ... | | | | | +----------------+-----+ | Tunneling of Ethernet over UDP/IPv6 +------+-----+---------------------------+ | | | +------+-----+-----+ | | IPv4 | UDP | SATP | IPv6 | UDP | RTP | |
Anytun Implementiert SATP OpenVPN ähnliches Interface Volle Kontrolle über Topologie (z.B. P2P) Volle Kontrolle über Routing
Anytun Tunneln von IPv4, IPv6 & Ethernet über UDP Unterstützung für NAT und wechselnde IPs Volle Cluster / Load-Balancing / Syncronisierungs-Unterstützung geeignete Verschlüsselung
Verschlüsselung Daten Sequence Number 1 Session Key pro Paket Key Derivation 1 Session Key pro Paket AES-CTR Sender ID Masterkey
Replay Protection Grundidee Pakete zählen Sender ID erlaub mehrere Replay Windows
Danke! Netidee / Internet Privatstiftung Austria Mur.at LIR Server Housing(mit BGP) Funkfeuer Wien & Graz
Live Demo 3 Server im Internet verteilt Graz mur.at – ACO.NET Graz Funkfeuer – Inode Wien Funkfeuer – SIL / Nextlayer / ATNOC Routing Eigenes Ipv4 /21, Ipv6 /32 und ASN
Live Demo Othmar Gsenger Erwin Nindl Christian Pointner http://anytun.org