Othmar Gsenger Erwin Nindl Christian Pointner

Inhalt Einfühtung VPN Techniken Was ist Anycast? Secure Anycast Tunneling Protocol (SATP) Verschlüsselung Live Demo Anytun

Was ist Anytun? User-Space VPN Daemon Benutzt tun/tap (ipv4/ipv6/Ethernet) Paket basierte Verschlüsselung mit AES Cluster / Fault-Tolerance Mechanismen Platformunabhängig (Linux,BSD,Win..)

Existierende VPN Lösungen Host Server Keyexchange NAT Transversal Datenübertragung Verschlüsselung OpenVPN IPSec Daten Client2 Client1 Host Keyexchange NAT Transversal

Anytun Vereinigung von Daten und NAT Transversal Host Vereinigung von Daten und NAT Transversal Abspaltung von Keyechange Nur Tunnel Modus (kein Transport) Anytun Host Keyexchange Daten NAT Transversal

Anytun - Cluster Host Daten Syncronisation Host Host Host

Adressierungsarten in IP Netzen Unicast 1 IP / Rechner Daten an genau diesen Rechner Broadcast 1 IP / Netz Daten an alle Rechner in diesem Netz Multicast 1 IP Adresse für mehrere Rechner Daten an alle Rechner mit dieser IP Addresse

Anycast 1 IP Adresse für mehrere Rechner Nur ein Rechner bekommt die Daten (kann wechseln) Anwendung Load-Balancing Fault-Tolerance (Redundanz) Skalierbare Systeme (im Betrieb erweiterbar)

Realisierungen von Anycast Einfach 2 Rechner im LAN haben die selbe IP etwas anspruchsvoller Anycast innerhalb eines Netzes / Autonoumouse Systems internes Routing global Anycast mit BGP4

Anycast mit BGP4 Midestmenge an Adressen erforderlich /24 (256) für Ipv4 /32 (65536 Endkundennetze = /48) für IPv6 Vorteile kürzestes Routing im Internet geografisches Load-Balancing minimales Delay

Anwendungen von Anycast Domain Name System (DNS) Root Name Server (z.B. K-Root in Europa) IP in IP Encapsulation / Tunnels 6to4 Komplexere Protokolle möglich? Ja!

Secure Anycast Tunneling Protocoll -------Router -+---- DNS Server / \ / --- 6to4 Router / unicast -------+----------Router --+--- DNS Server host \ \ \ --- 6to4 Router \ --- 6to4 Router unicast | encrypted | anycast | plaintext tunnel | communication | tunnel | anycast endpoint | using SATP | endpoint | services

Secure Anycast Tunneling Protocoll --------- router ----------- / \ unicast ------+---------- router ------------+------ unicast host \ / host unicast | encrypted | anycast | encrypted | unicast tunnel | communication | tunnel | communication | tunnel endpoint | using SATP | endpoint | using SATP | endpoint

Secure Anycast Tunneling Protocoll An example of SATP used to connect 2 networks Router ----------- ---------------Router / \ / \ Network - Router ------------x Network A \ / \ / B | packets | packets | packets | plaintext | get | take a | get | plaintext packets | de/encrypted | random | de/encrypted | packets |de/encapsulated| path |de/encapsulated|

Secure Anycast Tunneling Protocoll Examples of SATP used with different lower layer and payload protocols +------+-----+-------------------------------+ | | | + ---------------+------ | | IPv6 | UDP | SATP | Ethernet 802.3 | ... | | | | | +----------------+-----+ | Tunneling of Ethernet over UDP/IPv6 +------+-----+---------------------------+ | | | +------+-----+-----+ | | IPv4 | UDP | SATP | IPv6 | UDP | RTP | |

Anytun Implementiert SATP OpenVPN ähnliches Interface Volle Kontrolle über Topologie (z.B. P2P) Volle Kontrolle über Routing

Anytun Tunneln von IPv4, IPv6 & Ethernet über UDP Unterstützung für NAT und wechselnde IPs Volle Cluster / Load-Balancing / Syncronisierungs-Unterstützung geeignete Verschlüsselung

Verschlüsselung Daten Sequence Number 1 Session Key pro Paket Key Derivation 1 Session Key pro Paket AES-CTR Sender ID Masterkey

Replay Protection Grundidee Pakete zählen Sender ID erlaub mehrere Replay Windows

Danke! Netidee / Internet Privatstiftung Austria Mur.at LIR Server Housing(mit BGP) Funkfeuer Wien & Graz

Live Demo 3 Server im Internet verteilt Graz mur.at – ACO.NET Graz Funkfeuer – Inode Wien Funkfeuer – SIL / Nextlayer / ATNOC Routing Eigenes Ipv4 /21, Ipv6 /32 und ASN

Live Demo Othmar Gsenger Erwin Nindl Christian Pointner http://anytun.org