Documente Academic
Documente Profesional
Documente Cultură
22 aprilie 2013
Obiective
Clasificarea VPN-urilor
Overlay vs. Point-to-point Site-to-Site vs Remote-access Criptografie elemente eseniale Servicii IPSec: criptare, autentificare, integritate Protocoale IPSec Funcionarea IPSec Implementarea Site-to-Site IPSec Implementarea Site-to-Site IPSec
Cisco ASA
Fortinet
Ce sunt VPN-urile?
O soluie de creare a unei conexiuni end-to-end privat peste o infrastructur public i nesigur precum Internetul Exist i soluii WAN ce ofer aceleai servicii precum un VPN: linii nchiriate. Care este diferena dintre un VPN i a avea o linie nchiriat?
costul
Funcie de SP:
Overlay Point-to-point
ISP
Modelul overlay face reeaua ISP-ului invizibil pentru clieni Ruterele ISP-ului nu ajung s cunoasc reelele clienilor Modele de VPN-uri overlay: PPTP, L2TP, IPSec
Avantaje
suport extins pe platforme Microsoft ofer criptare (MPPE) ofer compresie (MPPC)
Dezavantaje
schem slab de autentificare i criptare sistem proprietar de key management nescalabil pe partea de server din cauza unei limite de sesiuni
L2TP
IPSec
funcionalitatea ridicat aduce complexitate ridicat interoperabilitate sczut ntre vendori posibile probleme cu Firewall/NAT
Point-to-point VPNs
n modelul point-to-point ISP-ul particip n procesul de rutare Adiacena se face ntre client i ISP
ISP
Modele overlay constituiau 90% din implementri pn la MPLS apariia protocului Totui MPLS nu ofer nici o schem de confidenialitate
Funcie de topologie:
Headquarters
Site-to-Site Remote-access
Remote office Remote office
O topologie Site-to-Site leag mai multe locaii peste Internet Configuraiile nu trebuie fcute dect pe firewall-uri/rutere Nu necesit un client pentru conectare
Toi angajaii de la locaia respectiv folosesc ca gateway firewall-ul /ruterul configurat pentru conexiunea VPN
VPN-uri Remote-access
O topologie Remote-access ofer posibilitatea conectrii la VPN pentru un teleworker Gateway-ul teleworkerului nu este un gateway VPN Ofer o conexiuni securizat pn la resursele interne ale companiei Folosete un client de VPN pentru conectarea la serverul aflat la remote office n general IPSec sau SSL
Remote office
Tunelare: ncapsulare
Orice tehnologie de VPN se bazeaz pe tunelare Tunelarea presupune ncapsularea cu nc un antet la nivelul la care se contruiete tunelul Exemplu: tunel IPIP
Folosit cnd reeaua surs sau destinaie nu este cunoscut n tabela de rutare a unui ruter intermediar
Antet IP original Antet nivel 4 Date
Antet IP tunel
Antetul IP original este ascuns tuturor ruterelor dintre cele 2 capete ale tunelului
Simetric Asimetric Folosirea aceleiai chei att pentru criptare ct i pentru decriptare Folosirea de chei diferite pentru criptare i decriptare Ambele Simetric Schimbul iniial al cheii de criptare ntre dou entiti remote Depinde
10
Cazul 2: MiTM
BOB Cheia public a lui BOB Mesaj criptat cu cheia public a lui BOB
TRUDY ALICE Cheia public a lui TRUDY Mesaj criptat cu cheia public a lui TRUDY
11
Criptare asimetric fr PKI nu rezolv problema distribuiei unei chei iniiale ntre cele dou entiti Funcionarea PKI este asemntoare funcionrii certificatelor de identitate
Alice aplic pentru eliberarea buletinului
12
Analogia de mai devreme funcioneaz pentru c att Alice ct i banca au ncredere n aceeai autoritate comun (statul care a eliberat buletinul) n PKI o autoritate elibereaz un certificat digital ce conine:
Informaie despre deintorul certificatului (nume, vrst etc) Cheia public a deintorului certificatului
Concluzie: nu exist un mod perfect de a schimba o informaie n mod securizat; schema finala se bazeaz pe ncredere.
13
Autentificarea simpl autentific un grup de persoane fr a oferi posibilitatea de a identifica o persoan n grupul respectiv Autentificarea cu nonrepudiere identific unic o persoan ce nu i poate repudia juridic identitatea
Autentificarea simpl poate fi considerat accesarea unui share Windows cu aceeai parol pentru toi utilizatorii Autentificarea cu nonrepudiere poate fi considerat PIN-ul unui card de credit
Exemplu:
14
IPSec Framework
15
IPSec Framework
IPSec: Confidenialitate
16
IPSec Framework
IPSec: integritate
17
IPSec Framework
DH7
18
ESP protocol folosit pentru ncapsulare ce ofer suport pentru toate serviciile IPSec AH protocol folosit pentru ncapsulare ce nu ofer suport pentru confidenialitate IKE protocol folosit pentru a negocia serviciile IPSec ntre dou capete ale unui tunel
Structurile de date interne ce definesc ce protocoale folosete IPSec pentru confidenialitate, integritate etc se numesc SA-uri (Security Associations) IKE este folosit pentru a negocia SA-urile IPSec
19
ESP ofer confidenialitate i autentificare + integritate pentru antetul IP original, pentru antetul ESP i pentru payload
Antet IP tunel Antet ESP Antet IP original Date
Autentificare
Confidenialitate
Autentificare
Se pot folosi ambele protocoale n acelai timp. De ce s-ar dori acest lucru?
20
Transport Tunel
Antet IP tunel
Modul transport insereaz antetul ESP/AH ntre antetul IP original i antetul de nivel 4
Nu se adaug un antet IP nou Util pentru situaiile n care pachetele sunt foarte mici
Antet IP original
Antet ESP
TCP
Date
21
Toi parametrii SA-urilor sunt negociai folosind IKE IKE are 2 faze
IKE phase 1 prima faz a IKE este gestionat de protocolul ISAKMP IKE phase 2 numit i IPSec phase Are rolul de a negocia SA-uri ce vor fi folosite pentru a securiza negocierea SA-urilor din faza a doua Folosete protocolul de criptare asimetric Diffie-Hellman pentru a negocia o cheie simetric cu care se vor cripta propunerile de SA-uri din faza a doua Autentific cele 2 capete ale tunelului Se negociaz SA-uri peste tunelul sigur creat de ISAKMP pentru a fi folosite la criptarea traficului de date
IKE phase 2
22
pre-share
DH1 lifetime
pre-share
DH1 lifetime
2. Diffie - Hellman
2. Diffie - Hellman
n urma acestei faze fiecare firewall va avea un SA pe care l va folosi att pentru transmisie ct i recepie n faza a doua
23
IKE phase 2
Tunel ISAKMP
Exist un SA folosit pentru transmisie i altul pentru recepie Totui, dac SA-urile difer, tunelul nu este realizat
n standardul oficial se specific posibilitatea de a avea nivele de securitate diferite pentru transmisie i recepie, dar nici un vendor nu implementeaz aceast opiune.
24
Pasul 1: activarea ISAKMP Pasul 2: definirea politicilor ISAKMP Pasul 3: definirea unui tunnel-group Pasul 4: definirea PSK pentru autentificare
26
Activare ISAKMP
Piteti
Gi0/0
209.1.1.1 10.0.1.11
Galai
Gi0/0
109.2.2.2 10.0.2.11
Opional (pentru ASA OS 7.0, 7.1): Activarea posibilitii de a termina un tunel pe ASA
# Pentru 7.0 Piteti(config)# sysopt connection permit-ipsec # Pentru 7.1
Galai
Gi0/0
109.2.2.2 10.0.2.11
Politicile ISAKMP sunt parcurse n ordinea indexului configurat pn la gsirea unei compatibiliti perfecte ntre cele dou capete ale tunelului
Pitesti#(config)# isakmp policy 10 Pitesti#(config-isakmp-policy)# encryption des
28
Galai
Gi0/0
109.2.2.2 10.0.2.11
Conceptul de tunnel-group a fost preluat de la VPN 3000 Concentrators Definete tipul de tunel folosit (Site-to-Site/Remote-access) i peer-ul cu care se va construi tunelul Atenie: dei primul argument al comenzii este un string, trebuie introdus IP-ul celuilalt capt al VPN-ului
Pitesti(config)# tunnel-group 109.2.2.2 type ipsec-l2l
29
Configurarea PSK
Piteti
Gi0/0
209.1.1.1 10.0.1.11
Galai
Gi0/0
109.2.2.2 10.0.2.11
Pasul 1: definirea traficului interesant Pasul 2: definirea NAT Exemption pentru traficul IPSec Pasul 3: configurarea IPSec transform-set Pasul 4: configurarea unui crypto-map Pasul 5: aplicarea crypto-map
31
Galai
Gi0/0
109.2.2.2 10.0.2.11
32
Galai
Gi0/0
109.2.2.2 10.0.2.11
Doar ESP este suportat pe ASA n acest moment Se pot defini maxim 2 intrri n fiecare set Modul implicit este tunnel
Pitesti(config)# crypto ipsec transform-set Galati esp-des espmd5-hmac
33
Galai
Gi0/0
109.2.2.2 10.0.2.11
34
Verificarea ACL-urilor
show run access-list show run isakmp show run tunnel-group show run ipsec show crypto ipsec sa show crypto isakmp sa
35
36
Policy-based se implementeaz prin definirea unei politici cu aciunea IPSEC ntre dou interfee i asocierea acesteia cu un tunel VPN Route-based la crearea tunelului VPN se creeaz o interfa virtual pentru acest tunel; definirea politicii se face ntre interfaa fizice i cea virtual cu aciunea ACCEPT
Se recomand utilizarea Route-based ct de des posibil din cauza flexibilitii pe care o ofer Policy-based nu suport GRE-over-IPSec sau L2TP cu IPSec Cnd folosim Policy-based?
Dac UTM-ul este configurat n modul transparent, nu se poate folosi dect policy-based
38
Configurare IPSec
Definirea Phase 1 Definirea Phase 2 Definirea unei politici de firewall pentru direcionarea prin tunel (diferit funcie de tipul configuraiei tunelului route-based/policy-based)
39
40
41
Definirea phase 2
Necesit:
42
Aciunea trebuie s fie IPSec Odat cu politica de firewall pot fi definite i politicile de NAT pentru tunel
Inbound NAT activeaz Outside NAT pentru pachetele ce vin criptate prin tunel Outbound NAT activeaz Inside NAT pentru pachetele clear text ce intr n tunel
43
n route-based se creeaz o interfa virtual cu numele dat IKE Phase 1 Pentru a permite traficul iniiat din LAN prin tunel trebuie creat o politic ACCEPT ntre interfaa intern i interfaa virtual
44
n route-mode trebuie definite 2 politici ACCEPT astfel nct tunelul s poat fi iniiat din orice direcie
45
Unele FortiGate-uri au procesor specializat pentru criptarea IPSec: FortiASIC NP2 Astfel se face offloading de pe procesorul principal Exist anumite cerine de trafic pentru utilizarea sa
Pachetele trebuie s fie IPv4 Nivelul 4 trebuie s fie TCP, UDP, ICMP Politica de firewall nu trebuie s conin IPS sau antivirus Interfaa de ieire i de intrare trebuie s fie pe acelai network processor Pachetele incoming nu trebuie s fie fragmentate MTU-ul pentru pachetele outgoing trebuie s fie minim 385 bytes
46
Overview
Criptare simetric vs asimetric
47
Cursul viitor
Teleworking
48