Advanced VPNs

28 aprilie 2013

Obiective

Soluii de remote access VPN

IPSec SSL Easy VPN soluie de remote-access IPSec VPN

Cisco ASA

Fortinet

Implementarea SSL VPN

Web-VPN Tunnel-VPN Internet Browsing Personalizarea portalului SSL VPN

Telecommuting

Pentru multe companii, soluia de telecommuting este deseori preferat

Angajatul locuiete departe de sediu i timpul petrecut pe drum este foarte mare Tipul de job presupune mult timp petrecut cltorind Lucrul de acas - multe studii arat c angajatul care i poate permite un somn de dup-mas de 1h, este mult mai eficient n a doua parte a zilei de munc

Remote access VPN

Telecommuting este totui o soluie pentru o minoritate din angajai pentru c exist dezavantaje:

Lucrnd acas angajaii pot fi distrai mai uor dect ntr-un mediu de munc comun

n general joburile ce presupun creativitate au mari avantaje n telecommuting

Riscurile de securitate de a trece date sensibile pentru companie peste o reea public sunt mari
Remote office

Remote access VPN

IPSec SSL

IPSec vs SSL
IPSec Aplicaii Putere de criptare Orice aplicaie IP based Puternic chei de la 56 la 256 bii SSL WEB, e-mail, file sharing n modul nativ (clientless) Moderat chei de la 40 la 128 de bii

Autentificare
Uurin n utilizare

Puternic two-way authentication

Moderat poate fi provocator pentru un utilizator non-tehnic Este nevoie de un client dedicat pre-configurat

Moderat one-way sau two-way authentication

Foarte uoar

Variante de conectare

Nu e nevoie de client specializat. Browserul este clientul.

Ca i soluii de RA, cele dou nu se exclud

IPSec = securitate SSL = mobilitate, flexibilitate

SSL VPN

Arhitectura SSL VPN presupune:

Serverul SSL VPN care se afl la locaia companiei Clientul SSL VPN care se afl ntotdeauna la utilizator Clientless Thin client Full client

Clientul SSL VPN are 3 moduri de funcionare

Remote office

Thin client/clientless

Pentru ambele moduri clientul este browserul Clientless nu permite n general dect aplicaii HTTP/HTTPS folosind un portal WEB

Utilizatorul se autentific pe portalul WEB pentru a primi acces la resursele interne

Thin client

n acest mod utilizatorul descarc Applet-uri Java din portatul WEB Applet-ul se comport ca un TCP Proxy pentru anumite aplicaii Utilizatorul se conecteaz la o aplicaie suportat de TCP Proxy (POP3, SMTP, IMAP, Telnet, SSH, CIFS) TCP Proxy realizeaz o conexiune HTTPS la serverul SSL care conine n interiorul ei numele i portul serverului Serverul SSL realizeaz conexiunea ctre serverul destinaie

Full client

Varianta de full-client poate fi de obicei descrcat de pe portalul WEB creat de serverul VPN Depinznd de vendor, clientul se poate instala dinamic, fr intervenia utilizatorului sau poate fi instalat ca o aplicaie de sine stttoare obinuit

Varianta instalat automat se comport tot ca un proxy dar este mai puin configurabil Varianta instalat manual permite un grad de control al setrilor mai mare

Ambele variante de instalare ofer acces la orice aplicaie prin tunelul SSL

Stabilirea unui tunel SSL VPN

1 Utilizatorul face o conexiune TCP ctre portul 443 Firewall-ul rspunde cu o cheie public semnat cu certificat

Software-ul client genereaz o cheie secret

Clientul transmite cheia secret criptat cu cheia public

5
9

Se face bulk encryption folosind cheia secret

Cisco ASA Implementarea IPSec VPN

Easy VPN Server/Client

Cisco folosete o arhitectur client server numit Easy VPN Att parametrii de reea (IP, DNS etc) ct i politicile IPSec sunt pushed de ctre server la clientul VPN Clientul Easy VPN poate fi:

Software VPN client instalat pe laptopul utilizatorului Hardware ruter cu IOS, PIX Firewall, VPN 3002 Concentrator

Folosind un client hardware se simplific foarte mult configuraia Site-toSite pentru c nu mai trebuie sincronizai parametrii ntre cele dou locaii

11

Easy VPN Pasul 1

Authentication mode?

Pasul 1: funcie de metoda de autentificare folosit se alege tipul IKE Phase 1

Autentificare PSK > Aggressive mode Autentificare RSA > Main mode

Este recomandat folosirea certificatelor deoarece aggressive mode este mai puin securizat

12

Easy VPN Pasul 2: ISAKMP

propunerea 1, propunerea 2, propunerea 3

n pasul 2 Cisco VPN client ncearc s stabileasc un SA ISAKMP prin trimiterea de propuneri ctre server Pentru a reduce cantitatea de configuraie manual, pe VPN Client sunt deja definite toate combinaiile de:

Algoritmi de criptare i hashing Metode de autentificare Grupuri DH

ASA va accepta prima propunere care face match n ordinea prioritilor Trebuie configurat pe client cheia partajat

13

Easy VPN Pasul 2: XAUTH

Request: User/Parol
Response: User/Parol

n pasul XAUTH, utilizatorul este autentificat Parola i numele de utilizator sunt definite n clientul de VPN Credenialele sunt verificate de ASA local sau remote (RADIUS, Kerberos etc.) Acest transfer este protejat de tunelul ISAKMP creat anterior

14

Easy VPN Pasul 3: Mode configuration

Clientul face o cerere pentru parametrii de configuraie Parametrii sunt oferii de ASA

Dac autentificare a avut loc cu succes, parametrii de configuraie necesari pentru conectivitate sunt cerui de client Dei se pot configura multipli parametrii (IP, DNS, split tunneling etc) singurul parametru obligatoriu este adresa IP

15

Easy VPN Pasul 3: IKE Quick mode

Odat ce conectivitatea L3 este realizat peste IP-ul adaptorului clientului, se pornete IKE Phase 2 Politicile IPSec sunt pushed de la ASA la clientul VPN Dup crearea SA-urilor din Phase 2, poate ncepe transferul de trafic conform acestora

16

Configurarea Easy VPN server

Pitesti 172.26.26.1 192.168.1.5

Activarea ISAKMP i definirea unei politici

Pitesti(config)# isakmp enable outside Pitesti(config)# isakmp policy 20

Pitesti(config-isakmp-policy)# authentication pre-share

Pitesti(config-isakmp-policy)# encryption des Pitesti(config-isakmp-policy)# hash sha Pitesti(config-isakmp-policy)# group 2

17

Definirea Remote-Access attributes

Configurarea parametrilor de mode-config se poate face pe ASA la 3 nivele

Default Group Policy

User group-policy

User policy

Este un model de motenire (orice parametru definit la un nivel superior este motenit la un nivel inferior) Parametrii definii la nivel inferior sunt prioritari celor definii la nivel superior

18

Definirea Remote-Access attributes

Pitesti 172.26.26.1 192.168.1.5

Orice group-policy poate fi:

Internal atributele politicii sunt definite local External atributele politicii sunt definite pe un RADIUS

DfltGrpPolicy este un nume rezervat ce reprezint Default Group Policy (cel mai nalt nivel de motenire) i e n mod implicit intern
Pitesti(config)# group-policy DfltGrpPolicy attributes

Pitesti(config-group-policy)# vpn-simultaneous-logins 3
Pitesti(config-group-policy)# ip-comp enable

19

Definirea Remote-Access attributes

Definirea unui group-policy de tip internal

Pitesti(config)# group-policy MSSR internal Pitesti(config)# group-policy MSSR attributes Pitesti(config-group-policy)# default-domain value securemeinc.com

Definirea user-policy se face dup definirea unui utilizator

Pitesti(config)# username ciscouser password cisco123 Pitesti(config)# username ciscouser attributes

20

Definirea Remote-Access attributes

La nivel de user-policy se pot defini atribute care vor avea cea mai mare prioritate: adres IP, ACL etc. n exemplul de mai jos adaptorul clientului VPN primete

Adresa IP 192.168.50.1 ACL-ul 102 care restricioneaz ce fel de trafic se poate face prin VPN

Pitesti(config)# username ciscouser password cisco123 Pitesti(config)# username ciscouser attributes Pitesti(config-username)# vpn-group-policy SecureMeGrp Pitesti(config-username)# vpn-framed-ip-address 192.168.50.1 255.255.255.255 Pitesti(config-username)# vpn-filter value 102

21

Configurarea tipului de tunel i PSK

Pitesti 172.26.26.1 192.168.1.5

Trebuie configurat tipul ipsec-ra

Pitesti(config)# tunnel-group ciscovpn type ? ipsec-l2l IPSec Site to Site group ipsec-ra IPSec Remote Access group Pitesti(config)# tunnel-group ciscovpn type ipsec-ra

Pitesti(config)# tunnel-group ciscovpn ipsec-attributes

Pitesti(config-ipsec)# pre-shared-key cisco123

Atenie: numele grupului trebuie s fie configurat la fel pe VPN Client

22

Definirea utilizatorilor i tip de autentificare

Pitesti 172.26.26.1 192.168.1.5

Tipul de autentificare este configurat pentru a folosi baza de date local

Pitesti# configure terminal Pitesti(config)# username ciscouser password cisco1 Pitesti(config)# username adminuser password cisco2 Pitesti(config)# tunnel-group ciscovpn general-attributes Pitesti(config-group-policy)# authentication-server-group LOCAL

23

Definirea unui pool de adrese local

Pitesti 172.26.26.1 192.168.1.5

Serverul poate oferi adrese clientului VPN n 3 moduri

Local

Printr-o definire static n user-policy care ia mereu preceden Printr-un pool definit n general-attributes la un grup

Dintr-un pool definit pe un server RADIUS Prin trecerea cererii printr-un proxy ctre un server DHCP
Allow AAA servers to specify an IP address Allow DHCP servers to specify an IP address Allow local pools to specify an IP address

Chicago(config)# vpn-addr-assign ? aaa dhcp local

24

Asignarea unei adrese IP

Asignarea se poate face static la nivel de user-policy

Pitesti(config)# username ciscouser attributes

Pitesti(config-username)# vpn-framed-ip-address 192.168.50.1

Sau local prin definirea unui pool

Pitesti(config)# ip local pool vpnpool 192.168.50.2192.168.50.199
Pitesti(config)# tunnel-group ciscovpn general-attributes Pitesti(config-general)# address-pool vpnpool

Sau prin proxy ctre DHCP

Pitesti(config)# vpn-addr-assign dhcp Pitesti(config)# tunnel-group ciscovpn general-attributes Pitesti(config-general)# dhcp-server 192.168.10.10

25

Definirea transform-setului i unui dynamic crypto-map

Definirea transform-setului
Pitesti(config)# crypto ipsec transform-set myset esp-aes-256 esp-shahmac

Se folosete un crypto-map dinamic

Motivul este c muli ISP ofer IP-uri dinamice ntr-un crypto-map peer-ul trebuie definit static astfel nct trebuie introdus alt structur de date Transform set-ul este legat n dynamic crypto-map Dynamic crypto-mapul va fi legat de crypto-map-ul obinuit

# definirea crypto-mapului dinamic Pitesti(config)# crypto dynamic-map dynmap 10 set transform-set myset

# definirea crypto-mapului static i asocierea cu cel dinamic

Pitesti(config)# crypto map IPSec_map 65535 ipsec-isakmp dynamic dynmap # aplicarea crypto-mapului static pe interfa Pitesti(config)# crypto map IPSec_map interface outside 26

Clieni Cisco - VPN

Exist 2 tipuri de clieni Cisco VPN

Software client ce se instaleaz n OS Hardware IOS/PIX/VPN 3002 Concentrator

http://www.cisco.com/go/easyvpn

Versiune pentru Windows(x86, x64)/Linux/MacOS

27

Configurarea Cisco VPN Client

1 Instalare client

Definirea adresei IP a serverului EasyVPN

Definirea numelui de tunnel_group configurat pe serverul EasyVPN

Definirea metodei de autentificare i credenialelor

(Opional) Definirea transparent tunneling

(Opional) Definirea unei conexiuni de dial-up windows pentru a accesa VPN-ul

28

Crearea unei noi conexiuni

29

Configurarea NAT Traversal

30

Configurarea dial-up

31

VPN Client - statistics

32

Client VPN Hardware

Client mode cunoscut i sub numele de PAT mode

Ruterul IOS face PAT pentru ntreaga reea ce se conecteaz prin VPN Adresa IP public folosit pentru PAT este asignat interfeei virtuale de VPN Doar host-urile cu IP-uri private din spatele ruterului pot iniia conexiuni prin VPN Similar site-to-site, traficul prin VPN poate fi iniiat de oriunde Iniierea VPN-ului poate fi fcut dect de client (ruterul IOS) n acest mod nu exist o interfa virtual de VPN cu nevoia de a i asigna o adres IP deci ruterul IOS nu va face PAT pentru traficul prin tunel

Network extension mode (NEM)

33

Configuraie Client VPN Hardware

209.165.200.225

Waters-awsm-client(config)# crypto ipsec client ezvpn EZVPN_Client Waters-awsm-client(config-crypto-ezvpn)# connect auto

Waters-awsm-client(config-crypto-ezvpn)# group ciscovpn key cisco123

Waters-awsm-client(config-crypto-ezvpn)# mode network-extension Waters-awsm-client(config-crypto-ezvpn)# peer 209.165.200.225 Waters-awsm-client(config-crypto-ezvpn)# username ciscouser password cisco1

34

Configuraie Client VPN Hardware

209.165.200.225

E0/0

E0/1

Waters-awsm-client(config)# interface Ethernet0 Waters-awsm-client(config-if)# crypto ipsec client ezvpn EZVPN_Client inside Waters-awsm-client(config)# interface Ethernet1 Waters-awsm-client(config-if)# crypto ipsec client ezvpn EZVPN_Client outside

35

Fortinet Implementarea SSL VPN

SSL VPN pe FortiOS 4.0 MR2

Exist 2 moduri de configurare a SSL VPN

Web-only mode Tunnel mode Nu are nevoie de client dedicat folosete browserul Partea de server are dou componente: daemon SSL i portal VPN Portalul VPN ofer dup autentificare acces la HTTP/HTTPS pentru reelele din spatele firewall-ului dar i la telnet, FTP, SMB/CIFS, VNC, RDP i SSH prin applet-uri/widget-uri Java Portalul vine cu template-uri default i poate fi personalizat de:

Web-only mode

Administrator schimbrile vor fi vizibile de toi utilizatorii Fiecare utilizator schimbrile vor fi locale pentru acel utilizator

37

Fortigate SSL VPN tunnel mode

Tunnel mode

Ofer acces complet la orice aplicaie prin tunelul SSL VPN n tunnel mode portalul VPN ofer un link ctre descrcarea kitului pentru client Clientul este multi-platform (Windows/MAC OS/Linux) Tunnel-mode suport split-tunneling

Doar traficul ctre resursele interne ale companiei este trecut prin tunel Traficul ctre Internet sau ctre alte resurse nesigure nu este trecut prin VPN

SSO: pe portalul WEB utilizatorul/adminul poate configura Bookmarks ctre reelele interne ale companiei care s conin i credenialele de autentificare

38

Configurarea SSL VPN

Pasul 1: activare SSL VPN Se poate specifica un pool de adrese din care s se ofere adrese IP adaptorului de VPN de pe client

39

Configurarea SSL VPN

Pasul 2: configurarea portului pentru tunelul de SSL

Implicit 10443 443 este folosit implicit pentru administrare remote

40

Configurarea utilizatorilor SSL VPN

Pasul 3: configurarea unui utilizator i unui grup pentru VPN Trebuie specifica faptul c este un grup de tip SSL users i specificat tipul de acces oferit

41

Configurarea politicii de firewall Web vpn

Pasul 4: pentru web-vpn e nevoie doar de o politic de la interfaa outside la cea inside cu aciunea SSL-VPN

42

Configurarea politicii de firewall Tunnel mode

Pentru acces full prin modul tunnel, trebuie configurat o politic de intrarea n LAN

43

Internet browsing policy

O topologie din ce n ce mai comun este cea n care utilizatorul se conecteaz prin VPN pn la server i apoi iese n Internet n mod nesecurizat Este astfel protejat n reeaua local de orice atac

44

Personalizarea portalului VPN

Personalizarea portalului: bookmarks, connection tools, session information, tunnel mode

45

Overview
Configurarea Easy VPN Server

Funcionarea SSL VPN RA VPN IPSec vs. SSL

Funcionarea Easy VPN

Fortigate SSL VPN web i tunnel mode

Configurarea SSL VPN

Configurarea Easy VPN Client Hardware

Configurarea Easy VPN Client Software

Configurarea InternetBrowsing

Personalizarea portalului VPN SSL

46

Cursul viitor

Transparent firewall

Unele funcionaliti limitate (VPN, UTM) Schimbri de strategie n securizarea reelei

WAN Optimization

WEB-caching Byte-caching Protocol optimization

47