IPSec VPN Pe Linux

7/25/2019 IPSec VPN Pe Linux

1/14

IPSec VPN peLinux

1


2/14

1. Funcionarea reelelor VPN de tip IPSec

IPSec a devenit standardul de facto pentru crearea reelelor VPN nindustria reelelor. Mai muli furnizori au implementat-o i! pentru c"Internet #n$ineerin$ %as& 'orce (I#%') a devenit IPSec ntr-un document*'+! interopera,ilitatea dintre furnizori face din IPSec cea mai ,un"

operaiune pentru construirea reelelor VPN. IPSec ofer" un miloc standardde sta,ilire a autentic"rii i a serviciilor de criptare! ntre participanii laconexiune (peers). /n cadrul acestei prezent"ri folosim pentru a ne referi latermenul 0peer dispozitivele care formez" capetele unui tunel VPN. IPSecacioneaz" n stratul reea din modelul de referin" 2SI! prote3nd iautentic3nd pac4etele IP dintre dispozitivele IPSec care particip" (peers)!cum sunt routerele +isco sau sistemele re5all. IPSec ofer" urm"toareleservicii de securitate a reelei6

+ondenialitatea datelor 7 expeditorul IPSec poate cripta pac4etele

nainte de a le trimite printr-o reea. 8ac" un 4ac&er ar citi datele! acesteanu i-ar de nici un folos.Inte$ritatea datelor 7 punctul nal receptor IPSec autentic" toatepac4etele trimise de expeditorul IPSec! asi$ur3nd c" datele nu au fostmodicate n timpul transmisiei.9utenticarea ori$inii datelor 7 receptorul IPSec poate autentica sursapac4etelor IPSec transmise. 9cest serviciu depinde de serviciul deinte$ritate a datelor.Nu permite reluarea transmiterii pac4etelor 7 receptorul IPSec poatedetecta i respin$e pac4etele retransmise.

IPSec proteeaz" datele care trec prin reelele neproteate! iar

serviciile de securitate IPSec sunt oferite la nivelul stratului reea. 8eaceea! nu tre,uie s" con$urai separat staiile de lucru! P+-urile sauaplicaiile. /n loc s" oferii serviciile de securitate pe care nu aveti nevoie sale instalai i s" coordonati securitatea ec"rei aplicaii i a ec"ruicalculator n parte! putei modica infrastructura reelei pentru a oferiserviciile necesare de securitate. 9cest suport permite soluii IPSec scalatepentru reelele de dimensiuni medii! mari i n dezvoltare! acolo unde estesolicitat" o conexiune ntre mai multe dispozitive.

IPSec ofer" performane de securitate! cum sunt al$oritmii mai ,unide criptare i o autenticare mai cuprinz"toare. *eelele de companiiconectate la Internet pot permite un acces VPN :exi,il i si$ur cu IPSec. /ncazul te4nolo$iei IPSec! clienii pot construi reele VPN prin Internet! av3ndo protecie ,azat" pe criptare n faa atacurilor de interceptare! desustra$ere sau de alt tip! care p"trund n comunicaiile private.

IPSec asi$ur" servicii de autenticare i criptare pentru protecimpotriva vizualiz"rii sau modic"rii neautorizate a datelor din reeauadumneavoastr" sau n timpul transferului printr-o reea neproteat"! cumeste Internetul pu,lic. IPSec poate cripta date ntre diferite dispozitive! cumsunt6

- router c"tre router;- sistem re5all c"tre router;

- sistem re5all c"tre sistem re5all;- utilizator c"tre router;- utilizator c"tre sistem re5all;


3/14

- utilizator c"tre concentrator VPN;- utilizator c"tre server.IPSec este o structur" de standarde desc4ise! denite de or$anizaia

I#%'. IPSec ofer" securitatea transmisiei informaiilor condeniale prinreelele neproteate! cum este Internetul. 'i$ura 1 arat" cele mai uzuale treitipuri de reele VPN.

'i$ura 1

9utenticarea i inte$ritatea datelorPentru a sta,ili adev"rul! autenticarea veric" identitatea a dou"

puncte de cap"t VPN i a utilizatorilor ce transmit tracul prin reeua VPN.=n punct de cap"t ar putea un client VPN! un concentrator VPN! unsistem re5all sau un router.

9utenticarea este un proces ce ine de securitatea IP i care are locdup" criptarea datelor i nainte de criptarea! la cap"tul receptor . #ste ofuncie necesar" n cadrul securit"ii IP! prin care se asi$ur" c" am,elep"ri! expeditorul i destinatarul! sunt cine pretind a . /n cazul IPSec!ecare participant tre,uie con$urat manual cu o c4eie partaat" anterior>de o,icei se convine asupra ei n afara unei conexiuni i o list" static" departicipani vala,ili ! cre3nd astfel un ta,el mare n cadrul routerului! carenecesit" resurse de memorie.

Inte$ritatea datelor este o alt" funcie din IPSec. Inte$ritate nseamn"c" pac4etul primit de destinatar nu a fost modicat n timpul transmisiei.9cet lucru se realizeaz" folosind un al$oritm 4as4 ireversi,il. =n al$oritm4as4 ireversi,il este ec4ivalent cu o suma de control criptat"! dupa ceexpeditorul cripteaz" i autentic" un pac4et! al$oritmul 4as4 ireversi,il

este rulat pe valoarea ntre$ului pac4et. 2 valoare 4as4 este interesant"pentru c" rezultatul acesteaia va avea ntotdeauna o dimensiune x"!indiferent de intrare. 9cesta este un alt mecanism de securitate! astfel

?


4/14

ncat 4ac&erii s" nu poat" ti dimensiunea c3mpului de intrare. 9l$oritmul4as4 ireversi,il creeaz" un c3mp de criptat anexat la mesa. La cap"tulreceptor! valoarea 4as4 ireversi,il" este extras" din pac4et! iar receptorulruleaz" propriul s"u al$oritm 4as4. 8eoarece al$oritmul 4as4 este rulatasupra unor varia,ile din pac4et! cum sunt ora transmiterii! num"rul deocteti! etc.! am,ele valori 4as4 tre,uie s" e aceleai! acest lucrunsemn3nd c" pac4etul nu a fost viciat. 8ac" valorile sunt diferite! pac4etuleste respins! iar IPSec rene$ociaz" parametrii securit"ii.

%ransmiterea datelor prin tunel*eelele VPN se ,azeaz" pe transmiterea prin tunel pentru a crea o

reea privat" n Internet. /n esen"! acesta este procesul de preluarea aunui pac4et ntre$ de date i de ncapsulare a lui n cadrul altui pac4et!nainte de a-l trimite prin reea! reeaua tre,uie s" nelea$" protocolulpac4etului din exterior! pentru ca acesta s" intre i s" iasa din reea.+rearea unui tunel necesit" funcionarea a trei protocoale diferite6

Protocolul pasa$erului (passen$er protocol) 7 Pac4etul datelor iniiale!de o,icei de tip IP! care tre,uie criptat n reeaua VPN. 9r putea incluse ialte protocoale precum IP@ sau NetA#=I! dac" dorii.

Protocolul de ncapsulare (encapsulatin$ protocol) 7 Protocolul (B*#!IPSec! L


5/14

nu sunt IP. +3nd tre,uie s" e transmise prin tunel! pac4etele care nu suntIP (precum IP@)! IPSec i B*# ar tre,ui folosite mpreun".

Moduri de criptare

IPSec are dou" moduri de criptare! tunel i transport. 'iecare moddifer" prin aplicaiile sale i prin cantitatea de informaii ad"u$ate nantetul pac4etului pasa$er. 9ceste moduri diferite de operare sunt

rezumate astfel6 modul tunel cripteaz" antetul pac4etului i se$mentul dedate utile al ec"rui pac4et! pe c3nd modul transport cripteaz" doarse$mentul cu datele utile.

Modul tunel9ceasta este metoda normal" prin IPSec! este implementat ntre

dou" sisteme PI@ 'ire5all (sau alte pori de securitate) care sunt conectateprintr-o reea lipsit" de ncredere! cum este Internetul pu,lic. /ntrea$aprezentare le$at" de IPS#c implic" modul tunel. Modul tunel ncapsuleaz" iproteeaz" un pac4et IP complet. 8eoarece ncapsuleaz" sau ascundepac4etele pentru a transmise n continuare cu succes! c4iar routerele decriptare posed" adresele IP folosite n aceste antete noi. Modul tunel poate folosit cu oricare dintre portocoalele #SP (#ncapsulatin$ SecuritD Protocol7 protocol de securitate cu ncapsulare) i 9E (9ut4entication Eeader 7antet de autenticare) sau cu am3ndou". 'olosirea modului tunel duce la ocretere suplimentar" a pac4etului! cu aproximativ


6/14

Protocolul #ncapsulatin$ SecuritD PaDload (#PS 7 se$mentul de date cuprotecie prin ncapsulare ) 7 2fer" condenialitatea i protecia datelorprin servicii opionale de autenticare i detectare a relu"rii pac4etelor. #SPncapsuleaz" complet datele utilizatorului. #SP poate folosit ca atare saumpreun" cu protocolul 9E. #SP ruleaz" protocolul %+P pe porturile JF i J1i este descris n documentul *'+


7/14

elementele c4eilor utilizate de cei doi participani. 9socierile de securitatesunt unidirecionale i sunt sta,ilite separat pentru protocoale diferite desecuritate (9E isau #SP). 9socierile IPSec S9 pot sta,ilite n dou"moduri6

9socieri manuale de securitate! cu c4ei prepartaate 7 =tilizareaasocierii manuale IPSec S9 necesit" un acord preala,il ntre administratoriisistemului PI@ 'ire5all i participantul IPSec. Nu exist" o ne$ociere aasocierilor de securitate! dei informaia de con$urare din am,ele sisteme

tre,uie s" e aceeai pentru ca IPSec s" deruleze cu succes tracul.9socierea manual" este uor de con$urat! ns" este dicil s" se modicec4eile prepartaate! deoarece tunelul ar eua n acest caz! aa c" c4eilepre-partaate nu se sc4im," de o,icei.

9socieri de securitate sta,ilite prin metoda IH# 7 +3nd se foloseteIH# pentru sta,ilirea asocierilor IPSec! participanii pot ne$ocia parametripe care i vor folosi pentru noile asocieri de securitate. 9cest lucrunseamn" c" putei specica liste (precum listele de transform"riaccepta,ile) n cadrul elementului crDpto map (4arta cript"rii).

Protocolul Internet HeD #xc4an$e (IH#)9ceast" seciune descrie protocolul Inter,et HeD #xc4an$e (IH#) i

modul de funcionare a acestuia mpreun" cu IPSec pentru a realiza reeleVPN mai scala,ile. IH# este un protocol 4i,rid care folosete o parte dinprotocolul 2a&leD i o parte dintr-o alt" suit" de protocoale numit" SecureHeD #xc4an$e Mec4anism (SH#M#) ! n cadrul format de InternetSecuritD9ssociation and HeD Mana$ement Protocol (IS9HMP 7 protocolul deasociere pentru securitatea i mana$ementul c4eilor n Internet).

IH# sta,ilete o politic" de securitate partaat" i autentic" c4eipentru serviciile care necesit" c4ei (cum este IPSec). /nainte ca un trac

IPSec oarecare s" e admis! ecare routersistem re5all$azd" tre,uie s"poata verica identitatea celuilat participant. 9cest lucru se poate facemanual. Prin introducerea c4eilor pre-partaate n am,ele $azde! cuserviciul +ertication 9utorit4D (+9 7 autoritatea de certicare) sau cusistemul 8NS proteat (8NSSec) . IH# este protocolul cunoscut anterior su,numele IS9HMP2a&leD! denit n *'+


8/14

urm"toare. 8ac" exist" un acord al celor doi participani asupra uneipolitici! o asociere de participare sta,ilit" la ecare participantidentic" parametri de securitate ai politicii i acestei asocieri S9 seaplic"! pe durata ne$ocierii! ntre$ului trac IH# care urmeaz".

Protocolul IS9HMP

Protocolul IS9HMP (Internet SecuritD 9ssociation and HeD

Mana$ement Protocol 7 protocolul de asociere pentru securitatea imana$ementul c4eilor n Internet ) este un cadru care denetemecanismele de implementare a protocolului de sc4im, al c4eilor ine$ocierea unei politici de securitate. IS9HMP este folosit pentrusc4im,urile proteate at3t de parametri S9! c3t i de c4ei private! ntreparticipanii dintr-un mediu IPSec! precum i la crearea i controlul c4eilor.

IS9HMP ofer" mai multe metode de control al c4eilor i un tranzitproteat al parametrilor IPSec ntre participani. 9cest lucru este realizatfolosind al$oritmi similari cu cei folosii de IPSec pentru criptarea propriu-zis" a datelor din se$mentul de date. +a i IPSec! IS9HMP nu este unprotocol ci o simpl" interfa" de control a diferitelor metode de sc4im,dinamic al c4eilor. IS9HMP denete diferite metode 7 cum ar semn"turadi$ital"! certicatele i al$oritmii 4as4 ireversi,ili 7 pentru a se asi$ura c"ne$ocierea asocierilor de securitate ntre participani se desfasoar" nsi$uran".

/n prezent! sin$urul protocol acceptat din IS9HMP este protocolulInternet HeD #xc4an$e (IH#). +3nd IH# este folosit activ n procesul decriptare! devin disponi,ile multe funcii pentru procesul de comunicareIPSec. 'olosind criptarea cu c4ei pu,lice! IH# ne$ociaz" parametri desecuritate i sc4im,urile de c4ei nainte c4iar ca prelucrarea IPSec s"nceap".

+um funcioneaz" IPSecSarcina principal" pe care o are IPSec este s" permit" sc4im,ul deinformaii private printr-o conexiune neproteat"! ne$ociind conexiunea ioferind c4eile ntr-un mod si$ur. IPSec folosete criptarea pentru a proteainformaiile mpotriva intercept"rilor sau indiscreiilor. %otui! pentru a folosiecient criptarea! am,ele p"ri tre,uie s" partaeze o c4eie secret" (parol")utilizat" at3t pentru criptarea! c3t i pentru decriptarea informaiilor c3ndacestea intr" i ies din tunelul VPN. IPSec folosete IH# pentru a sta,ilile$"tura si$ur"! astfel nc3t s" se formeze reeaua VPN i conexiunile dedate.

/n mare! secvena de evenimente pentru o tranzacie IPSec este

urm"toarea6 =nul dintre participanii IPSec primete sau $enereaz" un trac de

interes pe o interfa" care a fost con$urat" s" iniieze un tunel IPSecpentru acel trac de interes.

Modul principal sau modul a$resiv de ne$ociere care folosete IH# areca rezultat crearea unei asocieri IH# de securitate (S9) ntre cei doiparticipani IPSec.

Ne$ocierea n modul rapid! care folosete IH#! are ca rezultat crerea adou" asocieri IPSec! de securitate ntre doi participani IPSec.

8atele ncep s" treac" printr-un tunel criptat o examinare

suplimentar". IPSec funcioneaz" n dou" faze maore pentru apermite sc4im,ul condenial al unei c4ei secrete partaate! asa cumeste prezentat n seciunile care urmeaz".


9/14

IH# 7 'aza 1'aza 1 din protocolul IH# se ocup" de ne$ocierea parametrilor de

securitate necesari pentru a sta,ili un canal proteat ntre doi participaniIPSec. 'aza 1 este! n $eneral implementat" prin protocolul IH# i se ocup"mai ales de sta,ilirea suitei de protecie pentru mesaele IH#. Secvena deevenimente din faza 1 este urm"toarea6

'aza 1 const" n crearea asocierii de securitate IS9HMP! n care

participanii ne$ociaz" i convin parametri pentru asocierea IPSecurm"toare. 8up" ce se termin" faza 1 i este sta,ilit un canal si$ur ntreparticipani! IH# trece la faza


10/14

9stfel! este si$ur c" participantul A poate decripta mesaul! ind sin$urulcare cunoate propria c4eie privat".

9ceasta este cea mai ,un" metod" pentru sta,ilirea unui canal decomunicaie si$ur (IS9HMP S9) ! astfel nc3t asocierile IPSec viitoare s"poat" face un sc4im, proteat de informaii despre c4ei! f"r" a folosial$oritmul cu c4ei pu,lice pentru sc4im,ul de c4ei de ecare dat" c3ndeste transmis un trac criptat.

%racul este dea criptat nainte de sf3ritul fazei 1 a ne$ocierii IH#.

9stfel se ofer" un sc4im, proteat de propuneri IPSec i de c4ei! executatpentru IPSec n faza < a ne$ocierii IH#.Pentru asi$urarea unui mecanism si$ur de sc4im, al c4eilor i control alasocierilor IPSec! IS9HMP mai ofer" c3teva funcii importante. IS9HMPpoate con$urat s" sta,ileasc" duratele de via" pentru asocierile IPSec!care permit un control mai mare asupra frecvenei cu care se face sc4im,ulde c4ei. 8e asemenea permite s" se fac" sc4im,ul de c4ei n timpulcomunicaiei f"r" a ter$e i a reconstrui asocieri IPSec. /n cazul uneiinterfee IPSec de sine st"t"toare! dac" se face sc4im,ul de c4ei n timpulcomunicaiei! asocierile de securitate existente sunt 0anulate i

reconstruite cu noile c4ei. 8eoarece IS9HMP ne$ociaz" asocierile S9 pentruIPSec i le proteeaz" cu propria asociere S9! se poate face sc4im,ul dec4ei 0din mers! f"r" a reconstrui ne$ocierile pentru S9. Se o,ine astfel unavanta fa" de IPSec folosit ca atare. IS9HMP permite de asemnea! oautenticare dinamic" a participanilor! iar inte$ritatea datelor se veric"prin folosirea al$oritmilor 4as4 ireversi,ili.

2. IPSec VPN pe Linux folosind StrongSwan

Stron$S5an este o implementare open source a protocolului IPSec isuport" am,ele versiuni de sc4im, automat al c4eilor n IPSec (Internet&eDin$ #xc4an$e (IH#) V1 Q V


11/14

- ec4o Rde, 4ttp6ftp.de,ian.or$de,ian 54eezD-,ac&ports mainR T etcaptsources.list.d54eezD-,ac&ports.list

- sudo apt-$et update- sudo apt-$et -t 54eezD-,ac&ports install stron$s5an li,c4aron-extra-

plu$ins

Confgurare Strongswan:'iierele necesare pentru con$urare sunt ipsec.conf! ipsec.secretsand stron$s5an.conf i se re$"sesc n usrlocaletc.

Stron$S5an poate utilizat n ? moduri6a. PSH Pre-s4ared HeD,. =sin$ +erticatesc. =sin$ %o&ensd.Pentru cele dou" maini virtuale vom seta urm"toarele adrese IP6- left node! user1! node1 ip U1-

PSK Pre-shared:

- User 1:'iierul ipsec.conf6

con$ setupc4aronde,u$URallRuniueidsUDes

strictcrlpolicDUno

conn site-to-siteleftre5allUDesaut4,DUsecretautoUroute&eDexc4an$eUi&ev

Date post:	25-Feb-2018
Category:	Documents
Upload:	iovita-adrian
View:	285 times
Download:	0 times

IPSec VPN Pe Linux

Documents