Documente Academic
Documente Profesional
Documente Cultură
28 aprilie 2013
Obiective
Cisco ASA
Fortinet
Telecommuting
Angajatul locuiete departe de sediu i timpul petrecut pe drum este foarte mare Tipul de job presupune mult timp petrecut cltorind Lucrul de acas - multe studii arat c angajatul care i poate permite un somn de dup-mas de 1h, este mult mai eficient n a doua parte a zilei de munc
Telecommuting este totui o soluie pentru o minoritate din angajai pentru c exist dezavantaje:
Lucrnd acas angajaii pot fi distrai mai uor dect ntr-un mediu de munc comun
Riscurile de securitate de a trece date sensibile pentru companie peste o reea public sunt mari
Remote office
IPSec SSL
IPSec vs SSL
IPSec Aplicaii Putere de criptare Orice aplicaie IP based Puternic chei de la 56 la 256 bii SSL WEB, e-mail, file sharing n modul nativ (clientless) Moderat chei de la 40 la 128 de bii
Autentificare
Uurin n utilizare
Variante de conectare
SSL VPN
Serverul SSL VPN care se afl la locaia companiei Clientul SSL VPN care se afl ntotdeauna la utilizator Clientless Thin client Full client
Remote office
Thin client/clientless
Pentru ambele moduri clientul este browserul Clientless nu permite n general dect aplicaii HTTP/HTTPS folosind un portal WEB
Thin client
n acest mod utilizatorul descarc Applet-uri Java din portatul WEB Applet-ul se comport ca un TCP Proxy pentru anumite aplicaii Utilizatorul se conecteaz la o aplicaie suportat de TCP Proxy (POP3, SMTP, IMAP, Telnet, SSH, CIFS) TCP Proxy realizeaz o conexiune HTTPS la serverul SSL care conine n interiorul ei numele i portul serverului Serverul SSL realizeaz conexiunea ctre serverul destinaie
Full client
Varianta de full-client poate fi de obicei descrcat de pe portalul WEB creat de serverul VPN Depinznd de vendor, clientul se poate instala dinamic, fr intervenia utilizatorului sau poate fi instalat ca o aplicaie de sine stttoare obinuit
Varianta instalat automat se comport tot ca un proxy dar este mai puin configurabil Varianta instalat manual permite un grad de control al setrilor mai mare
Ambele variante de instalare ofer acces la orice aplicaie prin tunelul SSL
5
9
Cisco folosete o arhitectur client server numit Easy VPN Att parametrii de reea (IP, DNS etc) ct i politicile IPSec sunt pushed de ctre server la clientul VPN Clientul Easy VPN poate fi:
Software VPN client instalat pe laptopul utilizatorului Hardware ruter cu IOS, PIX Firewall, VPN 3002 Concentrator
Folosind un client hardware se simplific foarte mult configuraia Site-toSite pentru c nu mai trebuie sincronizai parametrii ntre cele dou locaii
11
Autentificare PSK > Aggressive mode Autentificare RSA > Main mode
Este recomandat folosirea certificatelor deoarece aggressive mode este mai puin securizat
12
n pasul 2 Cisco VPN client ncearc s stabileasc un SA ISAKMP prin trimiterea de propuneri ctre server Pentru a reduce cantitatea de configuraie manual, pe VPN Client sunt deja definite toate combinaiile de:
ASA va accepta prima propunere care face match n ordinea prioritilor Trebuie configurat pe client cheia partajat
13
n pasul XAUTH, utilizatorul este autentificat Parola i numele de utilizator sunt definite n clientul de VPN Credenialele sunt verificate de ASA local sau remote (RADIUS, Kerberos etc.) Acest transfer este protejat de tunelul ISAKMP creat anterior
14
Dac autentificare a avut loc cu succes, parametrii de configuraie necesari pentru conectivitate sunt cerui de client Dei se pot configura multipli parametrii (IP, DNS, split tunneling etc) singurul parametru obligatoriu este adresa IP
15
Odat ce conectivitatea L3 este realizat peste IP-ul adaptorului clientului, se pornete IKE Phase 2 Politicile IPSec sunt pushed de la ASA la clientul VPN Dup crearea SA-urilor din Phase 2, poate ncepe transferul de trafic conform acestora
16
17
User group-policy
User policy
Este un model de motenire (orice parametru definit la un nivel superior este motenit la un nivel inferior) Parametrii definii la nivel inferior sunt prioritari celor definii la nivel superior
18
Internal atributele politicii sunt definite local External atributele politicii sunt definite pe un RADIUS
DfltGrpPolicy este un nume rezervat ce reprezint Default Group Policy (cel mai nalt nivel de motenire) i e n mod implicit intern
Pitesti(config)# group-policy DfltGrpPolicy attributes
Pitesti(config-group-policy)# vpn-simultaneous-logins 3
Pitesti(config-group-policy)# ip-comp enable
19
20
La nivel de user-policy se pot defini atribute care vor avea cea mai mare prioritate: adres IP, ACL etc. n exemplul de mai jos adaptorul clientului VPN primete
Adresa IP 192.168.50.1 ACL-ul 102 care restricioneaz ce fel de trafic se poate face prin VPN
Pitesti(config)# username ciscouser password cisco123 Pitesti(config)# username ciscouser attributes Pitesti(config-username)# vpn-group-policy SecureMeGrp Pitesti(config-username)# vpn-framed-ip-address 192.168.50.1 255.255.255.255 Pitesti(config-username)# vpn-filter value 102
21
22
23
Local
Printr-o definire static n user-policy care ia mereu preceden Printr-un pool definit n general-attributes la un grup
Dintr-un pool definit pe un server RADIUS Prin trecerea cererii printr-un proxy ctre un server DHCP
Allow AAA servers to specify an IP address Allow DHCP servers to specify an IP address Allow local pools to specify an IP address
25
Definirea transform-setului
Pitesti(config)# crypto ipsec transform-set myset esp-aes-256 esp-shahmac
Motivul este c muli ISP ofer IP-uri dinamice ntr-un crypto-map peer-ul trebuie definit static astfel nct trebuie introdus alt structur de date Transform set-ul este legat n dynamic crypto-map Dynamic crypto-mapul va fi legat de crypto-map-ul obinuit
# definirea crypto-mapului dinamic Pitesti(config)# crypto dynamic-map dynmap 10 set transform-set myset
http://www.cisco.com/go/easyvpn
27
28
29
30
Configurarea dial-up
31
32
Ruterul IOS face PAT pentru ntreaga reea ce se conecteaz prin VPN Adresa IP public folosit pentru PAT este asignat interfeei virtuale de VPN Doar host-urile cu IP-uri private din spatele ruterului pot iniia conexiuni prin VPN Similar site-to-site, traficul prin VPN poate fi iniiat de oriunde Iniierea VPN-ului poate fi fcut dect de client (ruterul IOS) n acest mod nu exist o interfa virtual de VPN cu nevoia de a i asigna o adres IP deci ruterul IOS nu va face PAT pentru traficul prin tunel
33
34
E0/0
E0/1
Waters-awsm-client(config)# interface Ethernet0 Waters-awsm-client(config-if)# crypto ipsec client ezvpn EZVPN_Client inside Waters-awsm-client(config)# interface Ethernet1 Waters-awsm-client(config-if)# crypto ipsec client ezvpn EZVPN_Client outside
35
Web-only mode Tunnel mode Nu are nevoie de client dedicat folosete browserul Partea de server are dou componente: daemon SSL i portal VPN Portalul VPN ofer dup autentificare acces la HTTP/HTTPS pentru reelele din spatele firewall-ului dar i la telnet, FTP, SMB/CIFS, VNC, RDP i SSH prin applet-uri/widget-uri Java Portalul vine cu template-uri default i poate fi personalizat de:
Web-only mode
Administrator schimbrile vor fi vizibile de toi utilizatorii Fiecare utilizator schimbrile vor fi locale pentru acel utilizator
37
Tunnel mode
Ofer acces complet la orice aplicaie prin tunelul SSL VPN n tunnel mode portalul VPN ofer un link ctre descrcarea kitului pentru client Clientul este multi-platform (Windows/MAC OS/Linux) Tunnel-mode suport split-tunneling
Doar traficul ctre resursele interne ale companiei este trecut prin tunel Traficul ctre Internet sau ctre alte resurse nesigure nu este trecut prin VPN
SSO: pe portalul WEB utilizatorul/adminul poate configura Bookmarks ctre reelele interne ale companiei care s conin i credenialele de autentificare
38
Pasul 1: activare SSL VPN Se poate specifica un pool de adrese din care s se ofere adrese IP adaptorului de VPN de pe client
39
40
Pasul 3: configurarea unui utilizator i unui grup pentru VPN Trebuie specifica faptul c este un grup de tip SSL users i specificat tipul de acces oferit
41
Pasul 4: pentru web-vpn e nevoie doar de o politic de la interfaa outside la cea inside cu aciunea SSL-VPN
42
Pentru acces full prin modul tunnel, trebuie configurat o politic de intrarea n LAN
43
O topologie din ce n ce mai comun este cea n care utilizatorul se conecteaz prin VPN pn la server i apoi iese n Internet n mod nesecurizat Este astfel protejat n reeaua local de orice atac
44
45
Overview
Configurarea Easy VPN Server
Configurarea InternetBrowsing
46
Cursul viitor
Transparent firewall
WAN Optimization
47