Documente Academic
Documente Profesional
Documente Cultură
Proiectarea Rețelelor
Cuprins
IPsec
Algoritmii din IPsec
Configurarea IPsec site-to-site
2
Tipuri de VPN-uri
3
Ce este un VPN?
Un VPN este o rețea privată end-to-end peste o rețea
publică (de exemplu, peste Internet)
4
Unde putem implementa un VPN?
Partener de afaceri
cu ruter Angajat mobil cu
client VPN
Rețeaua
CSA
companiei
Internet Firewall
Birou cu ruter DSL
WAN
5
Beneficii VPN
Principalul avantaj al unui VPN:
Oferă o conexiune sigură și izolată fără să fie necesară o conexiune
fizică
7
VPN de Nivel 3
8
Topologii VPN
Există două tipuri de topologii VPN:
VPN-uri Remote-access
Utilizatorii remote trebuie să aibă conexiune la Internet
Parametrii VPN-ului sunt negociați dinamic
Utilizatorul stabilește tunelul VPN prin ISP
Tunelul este stabilit doar când este nevoie de el
VPN-uri Site-to-site
Configurat între două dispozitive VPN
Mereu pornită
Oferă interconectivitate între multiple rețele pe ambele părți
Fiecare capăt de tunel joacă rolul unui gateway pentru rețelele sale
9
VPN Site-to-site
10
Tuneluri GRE
11
Încapsulare GRE
GRE (Generic Routing Encapsulation): RFC 1702 și 2784
Este un protocol de tunelare de nivel 3 OSI
Inițial dezvoltat de Cisco, acum standardizat
Poate încapsula multiple tipuri de pachete într-un tunel
IP
Adaugă un antet între antetul de nivel 3 al tunelului și payload
Acest antet identifică protocolul încapsulat
12
Antetul de tunel GRE
Tunelurile GRE nu au stare
Capetele nu rețin informații despre stare sau disponibilitatea
celuilalt capăt
Nu oferă mecanisme puternice de autentificare și
confidențialitate
13
Configurare tunel GRE
15
Trafic GRE
16
Framework-ul IPsec
17
Ce este IPsec?
IPsec este un standard IETF (RFC 2401-2412)
Definește metode prin care se pot implementa VPN-uri
folosind protocolul IP
Este un framework de standarde deschise ce descriu cum se
pot stabili canale de comunicație sigură
19
Componente IPsec
Protocolul IPsec folosit
Opțiunile sunt: AH (Authentication Header) și ESP (Encapsulating
Security Payload)
Algoritmi ce oferă confidențialitate (criptare):
Exemple: DES, 3DES, AES, SEAL
Algoritmi ce oferă integritate:
Exemple : MD5, SHA, și versiunile lor
Algoritmi ce definesc metoda de autentificare:
Opțiunile includ: pre-shared keys (PSK) sau semnături digitale
folosind RSA
Mecanismul prin care se stabilește o cheie partajată sigură:
Grupuri DH (Diffie-Hellman)
20
Confidențialitate IPsec
21
Confidențialitate IPsec
DES
Criptare cu chei simetrice, procesare rapidă, chei pe 56 biți
3DES
Criptare cu chei simetrice, trei chei independente pe 56 biți
AES
Securitate mai bună decât DES și mai rapid decât 3DES. Criptare cu chei
simetrice folosind chei pe 128, 192 sau 256 de biți
SEAL (Software Optimized Encryption Algorithm)
Cifru pe fluxuri (stream cipher) cu chei simetrice pe 160 biți
22
Integritate IPsec
Verificările de integritate sunt necesare în VPN-uri IPsec
Date private sunt transportate peste rețele publice
Datele pot fi interceptate și modificate fără ca emițătorul sau
receptorul să observe
23
Integritate IPsec
25
Schimb de chei IPsec
Algoritmii de criptare (DES, 3DES, AES, etc.) au nevoie de o
cheie secretă comună pentru a face criptarea și decriptarea
Algoritmii de integritate (HMAC) au nevoie de chei secrete
pentru a verifica integritatea
Cum pot două dispozitive să stabilească o cheie sigură?
26
Schimb de chei IPsec
27
Protocoalele de securitate IPsec
28
Authentication Header (AH)
Pachetul încapsulat este trimis către
3 celălalt ruter.
1 Antetul IP și payload-ul sunt hashed
Integritate
Autentificare
Schimb de chei
30
Encapsulating Security Payload (ESP)
ESP oferă confidențialitate prin criptarea payload-ului
Folosește o varietate de algoritmi de criptare cu chei
simetrice
Alegerea implicită este DES
ESP poate oferi integritate și autentificare
Folosește aceleași protocoale și metode ca AH.
Opțional, ESP poate proteja împotriva replay attacks
Protecție împotriva duplicării pachetelor de către atacatori
Folosit de obicei în ESP, dar disponibil și în AH
Cum? Pe lângă antet și cheia secretă, în algoritmul de hash
intră și un număr de secvență
31
Protocoale ESP
Opțiuni
Integritate
Autentificare
Confidențialitate
Schimb de chei
32
Încapsularea IPsec
34
Încapsularea IPsec: Mod tunel
35
SA (Asocieri de Securitate)
VPN-urile negociază parametrii de securitate
Parametrii finali se numesc o asociere de securitate (Security
Association, SA)
Intrările SA sunt menținute într-o SADB (bază de date) și conțin:
Parametrii pentru criptarea IPsec
Parametrii pentru schimbul de chei
DH este folosit pentru a crea cheile partajate pentru criptare
Dar protocolul IKE face schimbul de chei efectiv
Chiar dacă perechi de chei publice/private sunt folosite pentru
autentificare, criptarea se face pe bază de chei simetrice
Deoarece sunt mult mai rapide
36
Internet Key Exchange (IKE)
Pentru a nu transmite cheile direct peste rețea, IKE schimbă o serie de
mesaje prin care emițătorul și receptorul calculează cheile
Schimbul nu permite unui atacator să deducă cheia
37
Fazele IKE
Protocolul IKE execută două faze pentru a stabili un canal
sigur:
Faza 1
Negocierea inițială a SA-urilor. Autentifică emițătorul și receptorul și
negociază seturile de politice IKE (parametrii tunelului). Este stabilit
un canal sigur
Faza 2
Canalul sigur stabilit în faza 1 este folosit de ISAKMP pentru a
negocia un al doilea set de SA-uri, pentru criptarea traficului. După
această fază, emițătorul și receptorul sunt autentificați și cunosc
aceeași cheie secretă
39
IKE faza 1 – Al doilea schimb
Al doilea schimb creează și schimbă cheile publice de DH
Grupul DH este cunoscut din politicile alese anterior în
primul schimb
Aceasta asigură că ambii participanți folosesc același algoritm
de generare a cheii, și obțin în final aceeași cheie secretă
40
IKE faza 1 – Al treilea schimb
Ultimul schimb din prima fază autentifică participanții
Autentificarea se poate face prin:
pre-shared key (PSK)
semnături RSA
Ambii participanți îl autentifică pe celălalt
După al treilea schimb, un SA IKE bidirecțional este stabilit
41
IKE faza 2
Scopul fazei 2 este să negocieze parametrii IPsec ce vor fi
folosiți pentru a securiza tunelul IPsec
42
IKE faza 2
43
VPN-uri IPsec site-to-site
44
Comportamentul unui tunel VPN
IKE SA IKE SA
Tunel IPsec
46
Configurare IPsec
47
1. Configurare ACL
Verificăm că nu există ACL-uri care să blocheze trafic IPsec
sau IKE
AH este protocolul IP numărul 51
ESP este protocolul IP numărul 50
IKE folosește UDP portul 500
Aveți grijă la diferența dintre număr de protocol și port!
48
1. Exemplu Configurare ACL
49
2. Configurare Politici IKE
50
2. Configurare Politici IKE
Întrăm în modul de configurare politici ISAKMP:
R1(config)#crypto isakmp policy 110
Setăm parametrii ISAKMP:
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption des
R1(config-isakmp)#group 1
R1(config-isakmp)#hash md5
R1(config-isakmp)#lifetime 86400
Numerele de politici au relevanță locală (110)
Numerele de politici nu trebuie să se potrivească, doar conținutul lor
Toți parametrii trebuie să fie aceeași pentru a se potrivi
(cu excepția duratei de viață a cheii, unde este folosită valoarea mai mică)
51
2. Parametri Politici IKE
52
2. Negocierea Politicilor
De exemplu:
R1(config)#crypto isakmp key cisco123 address 172.30.2.2
[similar config for R2, using R1’s IP address]
54
3. Configurare transform set
Un transform set este un set de perechi protocol-algoritm ce va
proteja fluxul de date din tunelul IPsec
Fiecare pereche protocol-algoritm este o „transformare”
Un transform set poate avea până la 4 transformări:
O metodă de autentificare AH
O metodă de criptare ESP
O metodă de autentificare ESP
O metodă de compresie
56
3. Exemple transform set
57
4. Configurare Crypto ACL
Un Crypto ACL este un ACL ce selectează ce trafic să fie
protejat
59
4. Configurare Crypto ACL
60
5. Configurare crypto map
Un crypto map este o „sumă” a tuturor configurațiilor discutate
până acum
Combină următoarele aspecte:
Crypto ACL-ul care selectează traficul de protejat
SA-urile folosite pentru a stabili tunelul
Cine este celălalt capăt al tunelului
Ce adresă locală să fie folosită pentru Ipsec (opțional)
Ce transform set să fie folosit pentru protejarea datelor
Un crypto map are nume și numere de secvență:
Mai multe crypto maps cu același nume și numere de secvență diferite
formează un crypto map set
Un singur crypto map poate fi aplicat pe o interfață
61
5. Configurare crypto map
64
Verificare IPsec
Show command Description
show crypto map
Afișează crypto map-urile
configurate.
show crypto isakmp policy
Afișează politicile IKE configurate.
• Tuneluri GRE
66