Download - MSSR_07_Basic_VPNs
-
Basic VPNs
11 aprilie 2011
-
2 MSSR
Clasificarea VPN-urilor
Overlay vs. Point-to-point
Site-to-Site vs Remote-access
Criptografie elemente eseniale
IPSec Site-to-Site VPNs
Servicii IPSec: criptare, autentificare, integritate
Protocoale IPSec
Funcionarea IPSec
Cisco ASA
Implementarea Site-to-Site IPSec
Fortinet
Implementarea Site-to-Site IPSec
Obiective
-
3 MSSR
O soluie de creare a unei conexiuni end-to-end privat peste o infrastructur public i nesigur precum Internetul
Exist i soluii WAN ce ofer aceleai servicii precum un VPN: linii nchiriate.
Care este diferena dintre un VPN i a avea o linie nchiriat?
costul
Ce sunt VPN-urile?
-
4 MSSR
Funcie de SP(1)
Overlay
Point-to-point
Modelul overlay face reeaua ISP-ului invizibil pentru clieni
Ruterele ISP-ului nu ajung s cunoasc reelele clienilor
Modele de VPN-uri overlay: PPTP, L2TP, IPSec
Tipuri de VPN-uri(1)
ISP
-
5 MSSR
Modele Overlay VPN
Tehnologie VPN Avantaje Dezavantaje
PPTP suport extins pe platforme Microsoft ofer criptare (MPPE) ofer compresie (MPPC)
schem slab de autentificare i criptare sistem proprietar de keymanagement nescalabil pe partea de server din cauza unei limite de sesiuni
L2TP independent de L2 poate asigura confidenialitate folosind IPSec
nu a fost niciodat adoptat la o scar foarte mare
IPSec scheme puternice de criptare i autentificare este open i extensibil
funcionalitatea ridicat aduce complexitate ridicat interoperabilitate sczut ntre vendori posibile probleme cu Firewall/NAT
-
6 MSSR
n modelul point-to-point ISP-ul particip n procesul de rutare
Adiacena se face ntre client i ISP
Modele overlay constituiau 90% din implementri pn la apariia protocului
Totui MPLS nu ofer nici o schem de confidenialitate
Point-to-point VPNs
MPLS
ISP
-
7 MSSR
Funcie de topologie (2)
Site-to-Site
Remote-access
O topologie Site-to-Site leag mai multe locaii peste Internet
Configuraiile nu trebuie fcute dect pe firewalluri/rutere
Nu necesit un client pentru conectare
Toi angajaii de la locaia respectiv folosesc ca gateway
firewallul /ruterul configurat pentru conexiunea VPN
Tipuri de VPN-uri(2)
Headquarters
Remote officeRemote office
-
8 MSSR
O topologie Site-to-Site ofer posibilitatea conectrii la VPN pentru un teleworker
Gateway-ul teleworkerului nu este un gateway VPN
Ofer o conexiuni securizat pn la resursele interne ale companiei
Folosete un client de VPN pentru conectarea la serverul aflat la remote office
n general IPSec sau SSL
VPN-uri Remote-access
Remote office
-
Exemplu: tunel IPIP
Folosit cnd reeaua surs sau destinaie nu este cunoscut n tabela de rutare a unui ruter intermediar
9 MSSR
Orice tehnologie de VPN se bazeaz pe tunelare
Tunelarea presupune ncapsularea cu nc un antet la nivelul la care se contruiete tunelul
Tunelare: ncapsulare
Antet IP original Antet nivel 4 DateAntet IP tunel
Antetul IP original este ascuns tuturor ruterelor dintre cele 2 capete ale tunelului
-
10 MSSR
Care sunt cele 2 tipuri de criptografie? Simetric
Asimetric
Ce presupune criptografia simetric? Folosirea aceleiai chei att pentru criptare ct i pentru decriptare
Ce presupune criptografia asimetric? Folosirea de chei diferite pentru criptare i decriptare
Care dintre cele dou variante pot fi realizate n hardware? Ambele
Care dintre cele dou variante este mai rapid? Simetric
Care este problema criptografiei simetrice? Schimbul iniial al cheii de criptare ntre dou entiti remote
Rezolv criptografia asimetric aceast problem? Depinde
Cryptography trivia round 1
-
11 MSSR
Ce este PKI?
De ce avem nevoie de PKI n criptare asimetric?
Public key infrastructure
BOB ALICE
Cazul 1: schimb normal
Cazul 2: MiTM
BOB
TRUDY
Mesaj criptat cu cheia public a lui BOB
Cheia public a lui BOB
Cheia public a lui BOB
Cheia public a lui TRUDY
ALICE
Mesaj criptat cu cheia public a lui TRUDY
Mesaj criptat cu cheia public a lui BOB
-
12 MSSR
Criptare asimetric fr PKI nu rezolv problema distribuiei unei chei iniiale ntre cele dou entiti
Funcionarea PKI este asemntoare funcionrii certificatelor de identitate
Public key infrastructure funcionare
Alice aplic pentru eliberarea buletinului
Alice ncearc s ncaseze un cec
Alice este identificatconform buletinului
-
13 MSSR
Analogia de mai devreme funcioneaz pentru c att Alice ct i banca au ncredere n aceeai autoritate comun (statul care a eliberat buletinul)
n PKI o autoritate elibereaz un certificat digital ce conine:
Informaie despre deintorul certificatului (nume, vrst etc)
Cheia public a deintorului certificatului
i este semnat cu cheia privat a autoritii
ns i o autoritate poate fi atacat MiTM dar mult mai greu
Concluzie: nu exist un mod perfect de a schimba o informaie n mode securizat; schema finala se bazeaz pe ncredere.
Public key infrastructure funcionare
-
14 MSSR
Cryptography trivia round 2
Care din cele de mai jos poate fi folosit ca o schem de autenficare? Pre-shared key RSA DES
Care este diferena ntre autentificare i autentificare_cu_nonrepudiere?
Autentificarea simpl autentific un grup de persoane fr a oferi posibilitatea de a identifica o persoan n grupul respectiv
Autentificarea cu nonrepudiere identific unic o persoan ce nu i poate repudia juridic identitatea
Exemplu: Autentificarea simpl poate fi considerat accesarea unui share Windows cu
aceeai parol pentru toi utilizatorii
Autentificarea cu nonrepudiere poate fi considerat PIN-ul unui card de credit
-
15 MSSR
IPSec este un framework de protocoale
IPSec - framework
-
16 MSSR
IPSec - framework
DH7
Lungimea cheii: 56 bii
Lungimea cheii: 168 bii
Lungimea cheii: 256 bii
Lungimea cheii: 160 bii
IPSec: Confidenialitate
-
17 MSSR
IPSec: integritate
IPSec - framework
DH7
Lungimea cheii: 128 bii
Lungimea cheii: 160 bii
-
18 MSSR
IPSec: autenificare cu non-repudiere
IPSec - framework
DH7
-
19 MSSR
IPSec definete n standard urmtoarele protocoale
ESP protocol folosit pentru ncapsulare ce ofer suport pentru toate serviciile IPSec
AH protocol folosit pentru ncapsulare ce nu ofer suport pentru confidenialitate
IKE protocol folosit pentru a negocia serviciile IPSec ntre dou capatele ale unui tunel
Structurile de date interne ce definesc ce protocoale folosete IPSec pentru confidenialitate, integritate etc se numesc SA-uri (Security Associations)
IKE este folosit pentru a negocia SA-urile IPSec
IPSec protocoale folosite
-
20 MSSR
ESP ofer confidenialitate i autentificare+integritate pentru antetul IP original, pentru antetul ESP i pentru payload
AH ofer autentificare+integritate pentru ntreg pachetul
Se pot folosi ambele protocoale n acelai timp. De ce s-ar dori acest lucru?
IPSec ESP vs. AH
Antet ESP Antet IP original DateAntet IP tunel
Autentificare
Confidenialitate
Antet AH Antet IP original DateAntet IP tunel
Autentificare
-
21 MSSR
IPSec are dou moduri de operare:
Transport
Tunel
Modul tunel adaug un nou antet IP pe lng antetul AH sau ESP
Mrete pachetul cu 20 bytes
Modul transport insereaz antetul ESP/AH ntre antetul IP original i antetul de nivel 4
nu se adaug un antet IP nou
Util pentru situaiile n care pachetele sunt foarte mici
IPSec moduri de operare
Antet ESP Antet IP original TCP Antet IP tunel Date
Antet ESP TCP Antet IP original Date
-
22 MSSR
Toi parametrii SA-urilor sunt negociai folosind IKE
IKE are 2 faze IKE phase 1 prima faz a IKE este gestionat de protocolul ISAKMP
IKE phase 2 numit i IPSec phase
IKE phase 1 (ISAKMP) Are rolul de a negocia SA-uri ce vor fi folosite pentru a securiza
negocierea SA-urilor din faza a doua
Folosete protocolul de criptare asimetric Diffie-Hellman pentru a negocia o cheie simetric cu care se vor cripta prounerile de SA-uri din faza a doua
Autentific cele 2 capete ale tunelului
IKE phase 2 Se negociaza SA-uri peste tunelul sigur creat de ISAKMP pentru a fi
folosite la criptarea traficului de date
IPSec funcionare IKE
-
23 MSSR
IKE phase 1 - ISAKMP
1. Negocierea politicilor
ISAKMP
2. Diffie - Hellman
1. Autentificare (PSK, RSA)
Policy 10
DES
MD5
pre-share
DH1
lifetime
Policy 15
DES
MD5
pre-share
DH1
lifetime
1. Negocierea politicilor
ISAKMP
2. Diffie - Hellman
1. Autentificare (PSK, RSA)
n urma acestei faze fiecare firewall va avea un SA pe care l va folosi att pentru transmisie ct i recepie n faza a doua
-
24 MSSR
SA-urile din aceasta faz sunt unidirecionale
Exist un SA folosit pentru transmisie i altul pentru recepie
Totui, dac SA-urile difer, tunelul nu este realizat
n standardul oficial se specific posibilitatea de a avea nivele de securitate diferite pentru transmisie i recepie, dar nici un vendor nu implementeaz aceast opiune.
IKE phase 2
Tunel ISAKMP
Se negociaz SA-urile ce vor fi folosite la criptarea i
autentificarea traficului de date
-
Cisco ASA configurarea IPSecSite-to-Site VPN
-
26 MSSR
Pasul 1: activarea ISAKMP
Pasul 2: definirea politicilor ISAKMP
Pasul 3: definirea unui tunnel-group
Pasul 4: definirea PSK pentru autentificare
Pai de configurare parametri ISAKMP
-
27 MSSR
Activarea ISAKMP pe interfa
Opional (pentru ASA OS 7.0, 7.1): Activarea posibilitii de a termina un tunel pe ASA
Activare ISAKMP
Piteti Galai
Piteti(config)# isakmp enable outside
# Pentru 7.0
Piteti(config)# sysopt connection permit-ipsec
# Pentru 7.1
Piteti(config)# sysopt connection permit-vpn
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
-
28 MSSR
Politicile ISAKMP sunt parcurse n ordinea indexului configurat pn la gsirea unei compatibiliti perfecte ntre cele dou capete ale tunelului
Configurarea unei politici ISAKMP
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti#(config)# isakmp policy 10
Pitesti#(config-isakmp-policy)# encryption des
Pitesti#(config-isakmp-policy)# hash sha
Pitesti#(config-isakmp-policy)# authentication pre-share
Pitesti#(config-isakmp-policy)# group 1
Pitesti#(config-isakmp-policy)# lifetime 86400
-
29 MSSR
Conceptul de tunnel-group a fost preluat de la VPN 3000 Concentrators
Definete tipul de tunel folosit(Site-to-Site/Remote-access) i peer-ul cu care se va construi tunelul
Atenie: dei primul argument al comenzii este un string, trebuie introdus IP-ul celuilalt capt al VPN-ului
Configurarea unui tunnel-group
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti(config)# tunnel-group 109.2.2.2 type ipsec-l2l
-
30 MSSR
Tot n tunnel-group se definete i pre-shared key-ul folosit pentru autentificare
Configurarea PSK
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti(config)# tunnel-group 109.2.2.2 ipsec-attributes
Pitesti(config-ipsec)# pre-shared-key cisco123
Pitesti(config-ipsec)# show run crypto isakmp
isakmp enable outside
isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
-
31 MSSR
Pasul 1: definirea traficului interesant
Pasul 2: definirea NAT Exemption pentru traficul IPSec
Pasul 3: configurarea IPSec transform-set
Pasul 4: configurarea unui crypto-map
Pasul 5: aplicarea crypto-mapului
Pai de configurare parametri IPSec(IKE phase 2)
-
32 MSSR
Cele dou liste de acces trebuie s fie simetrice
Aciunea permit = encrypt
Definirea traficului interesant i NAT Exemption
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti(config)# access-list 101 permit ip 10.0.1.0
255.255.255.0 10.0.2.0 255.255.255.0
Pitesti(config)# nat 0 (inside) 101
Galati(config)# access-list 101 permit ip 10.0.2.0
255.255.255.0 10.0.1.0 255.255.255.0
Galati(config)# nat 0 (inside) 101
-
33 MSSR
Doar ESP este suportat pe ASA n acest moment
Se pot defini maxim 2 intrri n fiecare set
Modul implicit este tunnel
Configurarea unui transform-set
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti(config)# crypto ipsec transform-set Galati esp-des esp-
md5-hmac
-
34 MSSR
Structura de date care reunete toate configuraiile IPSec
Aplicarea unui crypto-map
Configurarea i aplicarea unui crypto-map
Piteti Galai
10.0.1.11 10.0.2.11
Gi0/0 Gi0/0
209.1.1.1 109.2.2.2
Pitesti(config)# crypto map Pitesti 10 match address 101
Pitesti(config)# crypto map Pitesti 10 set peer 109.2.2.2
Pitesti(config)# crypto map Pitesti 10 set transform-set Galati
Pitesti(config)# crypto map Pitesti 10 set security-association
lifetime seconds 28800
Pitesti(config)# crypto map Pitesti interface outside
-
35 MSSR
Verificarea ACL-urilor show run access-list
Verificarea configuraiei corecte de ISAKMP show run isakmp
show run tunnel-group
Verificarea configuraiei corecte IPSec show run ipsec
Verificarea IPSec i ISAKMP SA show crypto ipsec sa
show crypto isakmp sa
Testarea i verificarea configuraiei VPN
-
36 MSSR
Verificarea configuraiei crypto-map show run crypto-map
tergerea SA-urilor IPSec clear crypto ipsec sa
tergerea SA-urilor ISAKMP clear crypto isakmp sa
Debug pentru IPSec i ISAKMP debug crypto ipsec
debug crypto isakmp
Testarea i verificarea configuraiei VPN
-
Fortinet Implementarea IPSecSite-to-Site VPN
-
38 MSSR
n FortiOS, IPSec se poate configura n dou moduri de operare
Policy-based se implementeaz prin definirea unei politici cu aciunea IPSEC ntre dou interfee i asocierea acesteia cu un tunel VPN
Route-based la crearea tunelului VPN se creeaz o interfa virtuala pentru acest tunel; definirea politicii se face ntre interfaa fizice i cea virtual cu aciunea ACCEPT
Se recomand utilizarea Route-based ct de des posibil din cauza flexibilitii pe care o ofer
Policy-based nu suport GRE-over-IPSec sau L2TP cu IPSec
Cnd folosim Policy-based? Dac UTM-ul este configurat n modul transparent, nu se poate folosi
dect policy-based
Tipuri de configuraie IPSec
-
39 MSSR
Pai de configurare IPSec:
Definirea Phase 1
Definirea Phase 2
Definirea unei politici de firewall pentru direcionarea prin tunel (diferit funcie de tipul configuraiei tunelului route-based/policy-based)
Configurare IPSec
-
40 MSSR
n phase 1 se alege modul route-based sau policy-based
Definirea phase 1 policy-based
-
41 MSSR
Route-based permite alegerea IKE v2
Definirea phase 1 route-based mode
-
42 MSSR
Necesit:
Nume
Asocierea cu un obiect phase 1
Definirea transform-setului
Definirea phase 2
-
43 MSSR
Aciunea trebuie s fie IPSec
Odat cu politica de firewall pot fi definite i politicile de NAT pentru tunel
Inbound NAT activeaz Outside NAT pentru pachetele ce vin criptate prin tunel
Outbound NAT activeaz Inside NAT pentru pachetele clear text ce intr n tunel
Definirea unei politici policy-based
-
44 MSSR
n route-based se creeaz o interfa virtual cu numele dat IKE Phase 1
Pentru a permite traficul iniiat din LAN prin tunel trebuie creat o politic ACCEPT ntre interfaa intern i interfaa virtual
Definirea unei politici route-based
-
45 MSSR
n route-mode trebuie definite 2 politici ACCEPT astfel nct tunelul s poat fi iniiat din orice direcie
Definirea unei politici route-mode bidirecionale
-
46 MSSR
Unele FortiGate-uri au procesor specializat pentru criptarea IPSec: FortiASIC NP2
Astfel se face offloading de pe procesorul principal
Exist anumite cerine de trafic pentru utilizarea sa
Pachetele trebuie s fie IPv4
Nivelul 4 trebuie s fie TCP, UDP, ICMP
Politica de firewall nu trebuie s conina IPS sau antivirus
Interfaa de ieire i de intrare trebuie s fie pe acelai networkprocessor
Pachetele incoming nu trebuie s fie fragmentate
MTU-ul pentru pachetele outgoing trebuie s fie minim 385 bytes
Offload i accelerare IPSec
-
Topologii VPN: Site-to-Site vs Remote-
access
47 MSSR
Overview
Tipuri de VPN funcie de ISP
Necesitatea pentru o
infrastructur PKIImplementarea Fortinet IPSecroute-based i policy-basedIPSec Offloading pe
Fortigate
Criptare simetric vsasimetric
Implementarea Cisco IPSecSite-to-Site
Ce este un VPN
-
48 MSSR
Teleworking
Remote-access VPN
Topologii de remote-access
Internet-browsing prin SSL
Cursul viitor
Intrusion Prevention Systems Strategii IPS
Semnturi IPS
Implementri IPS