Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Course 07

    Încărcat de

    nexus7n
    6 vizualizări48 pagini
    defs

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    defs

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    6 vizualizări48 pagini

    Course 07

    Încărcat de

    nexus7n
    defs

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 48

    Basic VPNs

    22 aprilie 2013

    Obiective

    Clasificarea VPN-urilor

    Overlay vs. Point-to-point Site-to-Site vs Remote-access Criptografie elemente eseniale Servicii IPSec: criptare, autentificare, integritate Protocoale IPSec Funcionarea IPSec Implementarea Site-to-Site IPSec Implementarea Site-to-Site IPSec

    IPSec Site-to-Site VPNs


    Cisco ASA

    Fortinet

    Ce sunt VPN-urile?

    O soluie de creare a unei conexiuni end-to-end privat peste o infrastructur public i nesigur precum Internetul Exist i soluii WAN ce ofer aceleai servicii precum un VPN: linii nchiriate. Care este diferena dintre un VPN i a avea o linie nchiriat?

    costul

    Clasificarea soluiilor VPN n funcie de SP

    Funcie de SP:

    Overlay Point-to-point
    ISP

    Modelul overlay face reeaua ISP-ului invizibil pentru clieni Ruterele ISP-ului nu ajung s cunoasc reelele clienilor Modele de VPN-uri overlay: PPTP, L2TP, IPSec

    Modele Overlay VPN


    Tehnologie VPN
    PPTP

    Avantaje
    suport extins pe platforme Microsoft ofer criptare (MPPE) ofer compresie (MPPC)

    Dezavantaje
    schem slab de autentificare i criptare sistem proprietar de key management nescalabil pe partea de server din cauza unei limite de sesiuni

    L2TP

    independent de L2 poate asigura confidenialitate folosind IPSec


    scheme puternice de criptare i autentificare este open i extensibil

    nu a fost niciodat adoptat la o scar foarte mare

    IPSec

    funcionalitatea ridicat aduce complexitate ridicat interoperabilitate sczut ntre vendori posibile probleme cu Firewall/NAT

    Point-to-point VPNs

    n modelul point-to-point ISP-ul particip n procesul de rutare Adiacena se face ntre client i ISP

    ISP

    Modele overlay constituiau 90% din implementri pn la MPLS apariia protocului Totui MPLS nu ofer nici o schem de confidenialitate

    Clasificarea soluiilor VPN n funcie de topologie

    Funcie de topologie:

    Headquarters

    Site-to-Site Remote-access
    Remote office Remote office

    O topologie Site-to-Site leag mai multe locaii peste Internet Configuraiile nu trebuie fcute dect pe firewall-uri/rutere Nu necesit un client pentru conectare

    Toi angajaii de la locaia respectiv folosesc ca gateway firewall-ul /ruterul configurat pentru conexiunea VPN

    VPN-uri Remote-access

    O topologie Remote-access ofer posibilitatea conectrii la VPN pentru un teleworker Gateway-ul teleworkerului nu este un gateway VPN Ofer o conexiuni securizat pn la resursele interne ale companiei Folosete un client de VPN pentru conectarea la serverul aflat la remote office n general IPSec sau SSL
    Remote office

    Tunelare: ncapsulare

    Orice tehnologie de VPN se bazeaz pe tunelare Tunelarea presupune ncapsularea cu nc un antet la nivelul la care se contruiete tunelul Exemplu: tunel IPIP

    Folosit cnd reeaua surs sau destinaie nu este cunoscut n tabela de rutare a unui ruter intermediar
    Antet IP original Antet nivel 4 Date

    Antet IP tunel

    Antetul IP original este ascuns tuturor ruterelor dintre cele 2 capete ale tunelului

    Cryptography trivia Round 1

    Care sunt cele 2 tipuri de criptografie?


    Simetric Asimetric Folosirea aceleiai chei att pentru criptare ct i pentru decriptare Folosirea de chei diferite pentru criptare i decriptare Ambele Simetric Schimbul iniial al cheii de criptare ntre dou entiti remote Depinde

    Ce presupune criptografia simetric?

    Ce presupune criptografia asimetric?

    Care dintre cele dou variante pot fi realizate n hardware?

    Care dintre cele dou variante este mai rapid?

    Care este problema criptografiei simetrice?

    Rezolv criptografia asimetric aceast problem?

    10

    Public key infrastructure


    Ce este PKI? De ce avem nevoie de PKI n criptare asimetric?


    Cazul 1: schimb normal
    BOB Cheia public a lui BOB Mesaj criptat cu cheia public a lui BOB ALICE

    Cazul 2: MiTM
    BOB Cheia public a lui BOB Mesaj criptat cu cheia public a lui BOB

    TRUDY ALICE Cheia public a lui TRUDY Mesaj criptat cu cheia public a lui TRUDY

    11

    Public key infrastructure Funcionare


    Criptare asimetric fr PKI nu rezolv problema distribuiei unei chei iniiale ntre cele dou entiti Funcionarea PKI este asemntoare funcionrii certificatelor de identitate
    Alice aplic pentru eliberarea buletinului

    Alice ncearc s ncaseze un cec

    Alice este identificat conform buletinului

    12

    Public key infrastructure Funcionare

    Analogia de mai devreme funcioneaz pentru c att Alice ct i banca au ncredere n aceeai autoritate comun (statul care a eliberat buletinul) n PKI o autoritate elibereaz un certificat digital ce conine:

    Informaie despre deintorul certificatului (nume, vrst etc) Cheia public a deintorului certificatului

    i este semnat cu cheia privat a autoritii ns i o autoritate poate fi atacat MiTM

    dar mult mai greu

    Concluzie: nu exist un mod perfect de a schimba o informaie n mod securizat; schema finala se bazeaz pe ncredere.

    13

    Cryptography trivia Round 2

    Care din cele de mai jos poate fi folosit ca o schem de autentificare?


    Pre-shared key RSA DES

    Care este diferena ntre autentificare i autentificare_cu_nonrepudiere?


    Autentificarea simpl autentific un grup de persoane fr a oferi posibilitatea de a identifica o persoan n grupul respectiv Autentificarea cu nonrepudiere identific unic o persoan ce nu i poate repudia juridic identitatea
    Autentificarea simpl poate fi considerat accesarea unui share Windows cu aceeai parol pentru toi utilizatorii Autentificarea cu nonrepudiere poate fi considerat PIN-ul unui card de credit

    Exemplu:

    14

    IPSec Framework

    IPSec este un framework de protocoale

    15

    IPSec Framework

    IPSec: Confidenialitate

    Lungimea cheii: 56 bii Lungimea cheii: 168 bii

    Lungimea DH7 cheii: 256 bii

    Lungimea cheii: 160 bii

    16

    IPSec Framework

    IPSec: integritate

    Lungimea cheii: 128 bii

    Lungimea cheii: 160 bii DH7

    17

    IPSec Framework

    IPSec: autenificare cu non-repudiere

    DH7

    18

    IPSec Protocoale folosite

    IPSec definete n standard urmtoarele protocoale


    ESP protocol folosit pentru ncapsulare ce ofer suport pentru toate serviciile IPSec AH protocol folosit pentru ncapsulare ce nu ofer suport pentru confidenialitate IKE protocol folosit pentru a negocia serviciile IPSec ntre dou capete ale unui tunel

    Structurile de date interne ce definesc ce protocoale folosete IPSec pentru confidenialitate, integritate etc se numesc SA-uri (Security Associations) IKE este folosit pentru a negocia SA-urile IPSec

    19

    IPSec ESP vs. AH

    ESP ofer confidenialitate i autentificare + integritate pentru antetul IP original, pentru antetul ESP i pentru payload
    Antet IP tunel Antet ESP Antet IP original Date

    Autentificare
    Confidenialitate

    AH ofer autentificare+integritate pentru ntreg pachetul


    Antet IP tunel Antet AH Antet IP original Date

    Autentificare

    Se pot folosi ambele protocoale n acelai timp. De ce s-ar dori acest lucru?

    20

    IPSec Moduri de operare

    IPSec are dou moduri de operare:


    Transport Tunel

    Modul tunel adaug un nou antet IP pe lng antetul AH sau ESP

    Mrete pachetul cu 20 bytes


    Antet ESP Antet IP original TCP Date

    Antet IP tunel

    Modul transport insereaz antetul ESP/AH ntre antetul IP original i antetul de nivel 4

    Nu se adaug un antet IP nou Util pentru situaiile n care pachetele sunt foarte mici

    Antet IP original

    Antet ESP

    TCP

    Date

    21

    IPSec Funcionare IKE


    Toi parametrii SA-urilor sunt negociai folosind IKE IKE are 2 faze

    IKE phase 1 prima faz a IKE este gestionat de protocolul ISAKMP IKE phase 2 numit i IPSec phase Are rolul de a negocia SA-uri ce vor fi folosite pentru a securiza negocierea SA-urilor din faza a doua Folosete protocolul de criptare asimetric Diffie-Hellman pentru a negocia o cheie simetric cu care se vor cripta propunerile de SA-uri din faza a doua Autentific cele 2 capete ale tunelului Se negociaz SA-uri peste tunelul sigur creat de ISAKMP pentru a fi folosite la criptarea traficului de date

    IKE phase 1 (ISAKMP)

    IKE phase 2

    22

    IKE phase 1 - ISAKMP

    1. Negocierea politicilor ISAKMP

    Policy 10 DES MD5

    Policy 15 DES MD5

    1. Negocierea politicilor ISAKMP

    pre-share
    DH1 lifetime

    pre-share
    DH1 lifetime

    2. Diffie - Hellman

    2. Diffie - Hellman

    1. Autentificare (PSK, RSA)

    1. Autentificare (PSK, RSA)

    n urma acestei faze fiecare firewall va avea un SA pe care l va folosi att pentru transmisie ct i recepie n faza a doua

    23

    IKE phase 2
    Tunel ISAKMP

    Se negociaz SA-urile ce vor fi folosite la criptarea i autentificarea traficului de date

    SA-urile din aceasta faz sunt unidirecionale


    Exist un SA folosit pentru transmisie i altul pentru recepie Totui, dac SA-urile difer, tunelul nu este realizat

    n standardul oficial se specific posibilitatea de a avea nivele de securitate diferite pentru transmisie i recepie, dar nici un vendor nu implementeaz aceast opiune.

    24

    Cisco ASA Configurarea IPSec Site-to-Site VPN

    Pai de configurare parametri ISAKMP


    Pasul 1: activarea ISAKMP Pasul 2: definirea politicilor ISAKMP Pasul 3: definirea unui tunnel-group Pasul 4: definirea PSK pentru autentificare

    26

    Activare ISAKMP
    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Activarea ISAKMP pe interfa


    Piteti(config)# isakmp enable outside

    Opional (pentru ASA OS 7.0, 7.1): Activarea posibilitii de a termina un tunel pe ASA
    # Pentru 7.0 Piteti(config)# sysopt connection permit-ipsec # Pentru 7.1

    Piteti(config)# sysopt connection permit-vpn


    27

    Configurarea unei politici ISAKMP


    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Politicile ISAKMP sunt parcurse n ordinea indexului configurat pn la gsirea unei compatibiliti perfecte ntre cele dou capete ale tunelului
    Pitesti#(config)# isakmp policy 10 Pitesti#(config-isakmp-policy)# encryption des

    Pitesti#(config-isakmp-policy)# hash sha


    Pitesti#(config-isakmp-policy)# authentication pre-share Pitesti#(config-isakmp-policy)# group 1 Pitesti#(config-isakmp-policy)# lifetime 86400

    28

    Configurarea unui tunnel-group


    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Conceptul de tunnel-group a fost preluat de la VPN 3000 Concentrators Definete tipul de tunel folosit (Site-to-Site/Remote-access) i peer-ul cu care se va construi tunelul Atenie: dei primul argument al comenzii este un string, trebuie introdus IP-ul celuilalt capt al VPN-ului
    Pitesti(config)# tunnel-group 109.2.2.2 type ipsec-l2l

    29

    Configurarea PSK
    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Tot n tunnel-group se definete i pre-shared key-ul folosit pentru autentificare


    Pitesti(config)# tunnel-group 109.2.2.2 ipsec-attributes Pitesti(config-ipsec)# pre-shared-key cisco123

    Pitesti(config-ipsec)# show run crypto isakmp


    isakmp enable outside isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400
    30

    Pai de configurare parametri IPSec (IKE phase 2)


    Pasul 1: definirea traficului interesant Pasul 2: definirea NAT Exemption pentru traficul IPSec Pasul 3: configurarea IPSec transform-set Pasul 4: configurarea unui crypto-map Pasul 5: aplicarea crypto-map

    31

    Definirea traficului interesant i NAT Exemption


    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Cele dou liste de acces trebuie s fie simetrice

    Aciunea permit = encrypt

    Pitesti(config)# access-list 101 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0


    Pitesti(config)# nat 0 (inside) 101 Galati(config)# access-list 101 permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 Galati(config)# nat 0 (inside) 101

    32

    Configurarea unui transform-set


    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Doar ESP este suportat pe ASA n acest moment Se pot defini maxim 2 intrri n fiecare set Modul implicit este tunnel
    Pitesti(config)# crypto ipsec transform-set Galati esp-des espmd5-hmac

    33

    Configurarea i aplicarea unui crypto-map


    Piteti
    Gi0/0
    209.1.1.1 10.0.1.11

    Galai
    Gi0/0
    109.2.2.2 10.0.2.11

    Structura de date care reunete toate configuraiile IPSec


    Pitesti(config)# crypto map Pitesti 10 match address 101 Pitesti(config)# crypto map Pitesti 10 set peer 109.2.2.2 Pitesti(config)# crypto map Pitesti 10 set transform-set Galati Pitesti(config)# crypto map Pitesti 10 set security-association lifetime seconds 28800

    Aplicarea unui crypto-map


    Pitesti(config)# crypto map Pitesti interface outside

    34

    Testarea i verificarea configuraiei VPN


    Verificarea ACL-urilor

    show run access-list show run isakmp show run tunnel-group show run ipsec show crypto ipsec sa show crypto isakmp sa

    Verificarea configuraiei corecte de ISAKMP


    Verificarea configuraiei corecte IPSec

    Verificarea IPSec i ISAKMP SA

    35

    Testarea i verificarea configuraiei VPN

    Verificarea configuraiei crypto-map

    show run crypto-map clear crypto ipsec sa clear crypto isakmp sa

    tergerea SA-urilor IPSec

    tergerea SA-urilor ISAKMP

    Debug pentru IPSec i ISAKMP


    debug crypto ipsec debug crypto isakmp

    36

    Fortinet Implementarea IPSec Site-to-Site VPN

    Tipuri de configuraie IPSec

    n FortiOS, IPSec se poate configura n dou moduri de operare


    Policy-based se implementeaz prin definirea unei politici cu aciunea IPSEC ntre dou interfee i asocierea acesteia cu un tunel VPN Route-based la crearea tunelului VPN se creeaz o interfa virtual pentru acest tunel; definirea politicii se face ntre interfaa fizice i cea virtual cu aciunea ACCEPT

    Se recomand utilizarea Route-based ct de des posibil din cauza flexibilitii pe care o ofer Policy-based nu suport GRE-over-IPSec sau L2TP cu IPSec Cnd folosim Policy-based?

    Dac UTM-ul este configurat n modul transparent, nu se poate folosi dect policy-based

    38

    Configurare IPSec

    Pai de configurare IPSec:


    Definirea Phase 1 Definirea Phase 2 Definirea unei politici de firewall pentru direcionarea prin tunel (diferit funcie de tipul configuraiei tunelului route-based/policy-based)

    39

    Definirea phase 1 Policy-based

    n phase 1 se alege modul route-based sau policy-based

    40

    Definirea phase 1 Route-based mode

    Route-based permite alegerea IKE v2

    41

    Definirea phase 2

    Necesit:

    Nume Asocierea cu un obiect phase 1 Definirea transform-setului

    42

    Definirea unei politici policy-based


    Aciunea trebuie s fie IPSec Odat cu politica de firewall pot fi definite i politicile de NAT pentru tunel

    Inbound NAT activeaz Outside NAT pentru pachetele ce vin criptate prin tunel Outbound NAT activeaz Inside NAT pentru pachetele clear text ce intr n tunel

    43

    Definirea unei politici route-based


    n route-based se creeaz o interfa virtual cu numele dat IKE Phase 1 Pentru a permite traficul iniiat din LAN prin tunel trebuie creat o politic ACCEPT ntre interfaa intern i interfaa virtual

    44

    Definirea unei politici route-mode bidirecionale

    n route-mode trebuie definite 2 politici ACCEPT astfel nct tunelul s poat fi iniiat din orice direcie

    45

    Offload i accelerare IPSec


    Unele FortiGate-uri au procesor specializat pentru criptarea IPSec: FortiASIC NP2 Astfel se face offloading de pe procesorul principal Exist anumite cerine de trafic pentru utilizarea sa

    Pachetele trebuie s fie IPv4 Nivelul 4 trebuie s fie TCP, UDP, ICMP Politica de firewall nu trebuie s conin IPS sau antivirus Interfaa de ieire i de intrare trebuie s fie pe acelai network processor Pachetele incoming nu trebuie s fie fragmentate MTU-ul pentru pachetele outgoing trebuie s fie minim 385 bytes

    46

    Overview
    Criptare simetric vs asimetric

    Tipuri de VPN funcie de ISP Ce este un VPN

    Topologii VPN: Siteto-Site vs Remoteaccess

    IPSec Offloading pe Fortigate

    Implementarea Fortinet IPSec route-based i policy-based

    Necesitatea pentru o infrastructur PKI

    Implementare a Cisco IPSec Site-to-Site

    47

    Cursul viitor

    Teleworking

    Remote-access VPN Topologii de remote-access Internet-browsing prin SSL

    Intrusion Prevention Systems


    Strategii IPS Semnturi IPS Implementri IPS

    48

    S-ar putea să vă placă și