+ All Categories
Home > Documents > MSSR_07_Basic_VPNs

MSSR_07_Basic_VPNs

Date post: 07-Jan-2016
Category:

Documents
Upload: iancu-adina-floricica
View: 2 times
Download: 0 times
Download Report this document
Share this document with a friend
Description:
VPN

of 48

Download
Transcript

  • Basic VPNs

    11 aprilie 2011

  • 2 MSSR

    Clasificarea VPN-urilor

    Overlay vs. Point-to-point

    Site-to-Site vs Remote-access

    Criptografie elemente eseniale

    IPSec Site-to-Site VPNs

    Servicii IPSec: criptare, autentificare, integritate

    Protocoale IPSec

    Funcionarea IPSec

    Cisco ASA

    Implementarea Site-to-Site IPSec

    Fortinet

    Implementarea Site-to-Site IPSec

    Obiective

  • 3 MSSR

    O soluie de creare a unei conexiuni end-to-end privat peste o infrastructur public i nesigur precum Internetul

    Exist i soluii WAN ce ofer aceleai servicii precum un VPN: linii nchiriate.

    Care este diferena dintre un VPN i a avea o linie nchiriat?

    costul

    Ce sunt VPN-urile?

  • 4 MSSR

    Funcie de SP(1)

    Overlay

    Point-to-point

    Modelul overlay face reeaua ISP-ului invizibil pentru clieni

    Ruterele ISP-ului nu ajung s cunoasc reelele clienilor

    Modele de VPN-uri overlay: PPTP, L2TP, IPSec

    Tipuri de VPN-uri(1)

    ISP

  • 5 MSSR

    Modele Overlay VPN

    Tehnologie VPN Avantaje Dezavantaje

    PPTP suport extins pe platforme Microsoft ofer criptare (MPPE) ofer compresie (MPPC)

    schem slab de autentificare i criptare sistem proprietar de keymanagement nescalabil pe partea de server din cauza unei limite de sesiuni

    L2TP independent de L2 poate asigura confidenialitate folosind IPSec

    nu a fost niciodat adoptat la o scar foarte mare

    IPSec scheme puternice de criptare i autentificare este open i extensibil

    funcionalitatea ridicat aduce complexitate ridicat interoperabilitate sczut ntre vendori posibile probleme cu Firewall/NAT

  • 6 MSSR

    n modelul point-to-point ISP-ul particip n procesul de rutare

    Adiacena se face ntre client i ISP

    Modele overlay constituiau 90% din implementri pn la apariia protocului

    Totui MPLS nu ofer nici o schem de confidenialitate

    Point-to-point VPNs

    MPLS

    ISP

  • 7 MSSR

    Funcie de topologie (2)

    Site-to-Site

    Remote-access

    O topologie Site-to-Site leag mai multe locaii peste Internet

    Configuraiile nu trebuie fcute dect pe firewalluri/rutere

    Nu necesit un client pentru conectare

    Toi angajaii de la locaia respectiv folosesc ca gateway

    firewallul /ruterul configurat pentru conexiunea VPN

    Tipuri de VPN-uri(2)

    Headquarters

    Remote officeRemote office

  • 8 MSSR

    O topologie Site-to-Site ofer posibilitatea conectrii la VPN pentru un teleworker

    Gateway-ul teleworkerului nu este un gateway VPN

    Ofer o conexiuni securizat pn la resursele interne ale companiei

    Folosete un client de VPN pentru conectarea la serverul aflat la remote office

    n general IPSec sau SSL

    VPN-uri Remote-access

    Remote office

  • Exemplu: tunel IPIP

    Folosit cnd reeaua surs sau destinaie nu este cunoscut n tabela de rutare a unui ruter intermediar

    9 MSSR

    Orice tehnologie de VPN se bazeaz pe tunelare

    Tunelarea presupune ncapsularea cu nc un antet la nivelul la care se contruiete tunelul

    Tunelare: ncapsulare

    Antet IP original Antet nivel 4 DateAntet IP tunel

    Antetul IP original este ascuns tuturor ruterelor dintre cele 2 capete ale tunelului

  • 10 MSSR

    Care sunt cele 2 tipuri de criptografie? Simetric

    Asimetric

    Ce presupune criptografia simetric? Folosirea aceleiai chei att pentru criptare ct i pentru decriptare

    Ce presupune criptografia asimetric? Folosirea de chei diferite pentru criptare i decriptare

    Care dintre cele dou variante pot fi realizate n hardware? Ambele

    Care dintre cele dou variante este mai rapid? Simetric

    Care este problema criptografiei simetrice? Schimbul iniial al cheii de criptare ntre dou entiti remote

    Rezolv criptografia asimetric aceast problem? Depinde

    Cryptography trivia round 1

  • 11 MSSR

    Ce este PKI?

    De ce avem nevoie de PKI n criptare asimetric?

    Public key infrastructure

    BOB ALICE

    Cazul 1: schimb normal

    Cazul 2: MiTM

    BOB

    TRUDY

    Mesaj criptat cu cheia public a lui BOB

    Cheia public a lui BOB

    Cheia public a lui BOB

    Cheia public a lui TRUDY

    ALICE

    Mesaj criptat cu cheia public a lui TRUDY

    Mesaj criptat cu cheia public a lui BOB

  • 12 MSSR

    Criptare asimetric fr PKI nu rezolv problema distribuiei unei chei iniiale ntre cele dou entiti

    Funcionarea PKI este asemntoare funcionrii certificatelor de identitate

    Public key infrastructure funcionare

    Alice aplic pentru eliberarea buletinului

    Alice ncearc s ncaseze un cec

    Alice este identificatconform buletinului

  • 13 MSSR

    Analogia de mai devreme funcioneaz pentru c att Alice ct i banca au ncredere n aceeai autoritate comun (statul care a eliberat buletinul)

    n PKI o autoritate elibereaz un certificat digital ce conine:

    Informaie despre deintorul certificatului (nume, vrst etc)

    Cheia public a deintorului certificatului

    i este semnat cu cheia privat a autoritii

    ns i o autoritate poate fi atacat MiTM dar mult mai greu

    Concluzie: nu exist un mod perfect de a schimba o informaie n mode securizat; schema finala se bazeaz pe ncredere.

    Public key infrastructure funcionare

  • 14 MSSR

    Cryptography trivia round 2

    Care din cele de mai jos poate fi folosit ca o schem de autenficare? Pre-shared key RSA DES

    Care este diferena ntre autentificare i autentificare_cu_nonrepudiere?

    Autentificarea simpl autentific un grup de persoane fr a oferi posibilitatea de a identifica o persoan n grupul respectiv

    Autentificarea cu nonrepudiere identific unic o persoan ce nu i poate repudia juridic identitatea

    Exemplu: Autentificarea simpl poate fi considerat accesarea unui share Windows cu

    aceeai parol pentru toi utilizatorii

    Autentificarea cu nonrepudiere poate fi considerat PIN-ul unui card de credit

  • 15 MSSR

    IPSec este un framework de protocoale

    IPSec - framework

  • 16 MSSR

    IPSec - framework

    DH7

    Lungimea cheii: 56 bii

    Lungimea cheii: 168 bii

    Lungimea cheii: 256 bii

    Lungimea cheii: 160 bii

    IPSec: Confidenialitate

  • 17 MSSR

    IPSec: integritate

    IPSec - framework

    DH7

    Lungimea cheii: 128 bii

    Lungimea cheii: 160 bii

  • 18 MSSR

    IPSec: autenificare cu non-repudiere

    IPSec - framework

    DH7

  • 19 MSSR

    IPSec definete n standard urmtoarele protocoale

    ESP protocol folosit pentru ncapsulare ce ofer suport pentru toate serviciile IPSec

    AH protocol folosit pentru ncapsulare ce nu ofer suport pentru confidenialitate

    IKE protocol folosit pentru a negocia serviciile IPSec ntre dou capatele ale unui tunel

    Structurile de date interne ce definesc ce protocoale folosete IPSec pentru confidenialitate, integritate etc se numesc SA-uri (Security Associations)

    IKE este folosit pentru a negocia SA-urile IPSec

    IPSec protocoale folosite

  • 20 MSSR

    ESP ofer confidenialitate i autentificare+integritate pentru antetul IP original, pentru antetul ESP i pentru payload

    AH ofer autentificare+integritate pentru ntreg pachetul

    Se pot folosi ambele protocoale n acelai timp. De ce s-ar dori acest lucru?

    IPSec ESP vs. AH

    Antet ESP Antet IP original DateAntet IP tunel

    Autentificare

    Confidenialitate

    Antet AH Antet IP original DateAntet IP tunel

    Autentificare

  • 21 MSSR

    IPSec are dou moduri de operare:

    Transport

    Tunel

    Modul tunel adaug un nou antet IP pe lng antetul AH sau ESP

    Mrete pachetul cu 20 bytes

    Modul transport insereaz antetul ESP/AH ntre antetul IP original i antetul de nivel 4

    nu se adaug un antet IP nou

    Util pentru situaiile n care pachetele sunt foarte mici

    IPSec moduri de operare

    Antet ESP Antet IP original TCP Antet IP tunel Date

    Antet ESP TCP Antet IP original Date

  • 22 MSSR

    Toi parametrii SA-urilor sunt negociai folosind IKE

    IKE are 2 faze IKE phase 1 prima faz a IKE este gestionat de protocolul ISAKMP

    IKE phase 2 numit i IPSec phase

    IKE phase 1 (ISAKMP) Are rolul de a negocia SA-uri ce vor fi folosite pentru a securiza

    negocierea SA-urilor din faza a doua

    Folosete protocolul de criptare asimetric Diffie-Hellman pentru a negocia o cheie simetric cu care se vor cripta prounerile de SA-uri din faza a doua

    Autentific cele 2 capete ale tunelului

    IKE phase 2 Se negociaza SA-uri peste tunelul sigur creat de ISAKMP pentru a fi

    folosite la criptarea traficului de date

    IPSec funcionare IKE

  • 23 MSSR

    IKE phase 1 - ISAKMP

    1. Negocierea politicilor

    ISAKMP

    2. Diffie - Hellman

    1. Autentificare (PSK, RSA)

    Policy 10

    DES

    MD5

    pre-share

    DH1

    lifetime

    Policy 15

    DES

    MD5

    pre-share

    DH1

    lifetime

    1. Negocierea politicilor

    ISAKMP

    2. Diffie - Hellman

    1. Autentificare (PSK, RSA)

    n urma acestei faze fiecare firewall va avea un SA pe care l va folosi att pentru transmisie ct i recepie n faza a doua

  • 24 MSSR

    SA-urile din aceasta faz sunt unidirecionale

    Exist un SA folosit pentru transmisie i altul pentru recepie

    Totui, dac SA-urile difer, tunelul nu este realizat

    n standardul oficial se specific posibilitatea de a avea nivele de securitate diferite pentru transmisie i recepie, dar nici un vendor nu implementeaz aceast opiune.

    IKE phase 2

    Tunel ISAKMP

    Se negociaz SA-urile ce vor fi folosite la criptarea i

    autentificarea traficului de date

  • Cisco ASA configurarea IPSecSite-to-Site VPN

  • 26 MSSR

    Pasul 1: activarea ISAKMP

    Pasul 2: definirea politicilor ISAKMP

    Pasul 3: definirea unui tunnel-group

    Pasul 4: definirea PSK pentru autentificare

    Pai de configurare parametri ISAKMP

  • 27 MSSR

    Activarea ISAKMP pe interfa

    Opional (pentru ASA OS 7.0, 7.1): Activarea posibilitii de a termina un tunel pe ASA

    Activare ISAKMP

    Piteti Galai

    Piteti(config)# isakmp enable outside

    # Pentru 7.0

    Piteti(config)# sysopt connection permit-ipsec

    # Pentru 7.1

    Piteti(config)# sysopt connection permit-vpn

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

  • 28 MSSR

    Politicile ISAKMP sunt parcurse n ordinea indexului configurat pn la gsirea unei compatibiliti perfecte ntre cele dou capete ale tunelului

    Configurarea unei politici ISAKMP

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti#(config)# isakmp policy 10

    Pitesti#(config-isakmp-policy)# encryption des

    Pitesti#(config-isakmp-policy)# hash sha

    Pitesti#(config-isakmp-policy)# authentication pre-share

    Pitesti#(config-isakmp-policy)# group 1

    Pitesti#(config-isakmp-policy)# lifetime 86400

  • 29 MSSR

    Conceptul de tunnel-group a fost preluat de la VPN 3000 Concentrators

    Definete tipul de tunel folosit(Site-to-Site/Remote-access) i peer-ul cu care se va construi tunelul

    Atenie: dei primul argument al comenzii este un string, trebuie introdus IP-ul celuilalt capt al VPN-ului

    Configurarea unui tunnel-group

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti(config)# tunnel-group 109.2.2.2 type ipsec-l2l

  • 30 MSSR

    Tot n tunnel-group se definete i pre-shared key-ul folosit pentru autentificare

    Configurarea PSK

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti(config)# tunnel-group 109.2.2.2 ipsec-attributes

    Pitesti(config-ipsec)# pre-shared-key cisco123

    Pitesti(config-ipsec)# show run crypto isakmp

    isakmp enable outside

    isakmp policy 10

    authentication pre-share

    encryption 3des

    hash sha

    group 2

    lifetime 86400

  • 31 MSSR

    Pasul 1: definirea traficului interesant

    Pasul 2: definirea NAT Exemption pentru traficul IPSec

    Pasul 3: configurarea IPSec transform-set

    Pasul 4: configurarea unui crypto-map

    Pasul 5: aplicarea crypto-mapului

    Pai de configurare parametri IPSec(IKE phase 2)

  • 32 MSSR

    Cele dou liste de acces trebuie s fie simetrice

    Aciunea permit = encrypt

    Definirea traficului interesant i NAT Exemption

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti(config)# access-list 101 permit ip 10.0.1.0

    255.255.255.0 10.0.2.0 255.255.255.0

    Pitesti(config)# nat 0 (inside) 101

    Galati(config)# access-list 101 permit ip 10.0.2.0

    255.255.255.0 10.0.1.0 255.255.255.0

    Galati(config)# nat 0 (inside) 101

  • 33 MSSR

    Doar ESP este suportat pe ASA n acest moment

    Se pot defini maxim 2 intrri n fiecare set

    Modul implicit este tunnel

    Configurarea unui transform-set

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti(config)# crypto ipsec transform-set Galati esp-des esp-

    md5-hmac

  • 34 MSSR

    Structura de date care reunete toate configuraiile IPSec

    Aplicarea unui crypto-map

    Configurarea i aplicarea unui crypto-map

    Piteti Galai

    10.0.1.11 10.0.2.11

    Gi0/0 Gi0/0

    209.1.1.1 109.2.2.2

    Pitesti(config)# crypto map Pitesti 10 match address 101

    Pitesti(config)# crypto map Pitesti 10 set peer 109.2.2.2

    Pitesti(config)# crypto map Pitesti 10 set transform-set Galati

    Pitesti(config)# crypto map Pitesti 10 set security-association

    lifetime seconds 28800

    Pitesti(config)# crypto map Pitesti interface outside

  • 35 MSSR

    Verificarea ACL-urilor show run access-list

    Verificarea configuraiei corecte de ISAKMP show run isakmp

    show run tunnel-group

    Verificarea configuraiei corecte IPSec show run ipsec

    Verificarea IPSec i ISAKMP SA show crypto ipsec sa

    show crypto isakmp sa

    Testarea i verificarea configuraiei VPN

  • 36 MSSR

    Verificarea configuraiei crypto-map show run crypto-map

    tergerea SA-urilor IPSec clear crypto ipsec sa

    tergerea SA-urilor ISAKMP clear crypto isakmp sa

    Debug pentru IPSec i ISAKMP debug crypto ipsec

    debug crypto isakmp

    Testarea i verificarea configuraiei VPN

  • Fortinet Implementarea IPSecSite-to-Site VPN

  • 38 MSSR

    n FortiOS, IPSec se poate configura n dou moduri de operare

    Policy-based se implementeaz prin definirea unei politici cu aciunea IPSEC ntre dou interfee i asocierea acesteia cu un tunel VPN

    Route-based la crearea tunelului VPN se creeaz o interfa virtuala pentru acest tunel; definirea politicii se face ntre interfaa fizice i cea virtual cu aciunea ACCEPT

    Se recomand utilizarea Route-based ct de des posibil din cauza flexibilitii pe care o ofer

    Policy-based nu suport GRE-over-IPSec sau L2TP cu IPSec

    Cnd folosim Policy-based? Dac UTM-ul este configurat n modul transparent, nu se poate folosi

    dect policy-based

    Tipuri de configuraie IPSec

  • 39 MSSR

    Pai de configurare IPSec:

    Definirea Phase 1

    Definirea Phase 2

    Definirea unei politici de firewall pentru direcionarea prin tunel (diferit funcie de tipul configuraiei tunelului route-based/policy-based)

    Configurare IPSec

  • 40 MSSR

    n phase 1 se alege modul route-based sau policy-based

    Definirea phase 1 policy-based

  • 41 MSSR

    Route-based permite alegerea IKE v2

    Definirea phase 1 route-based mode

  • 42 MSSR

    Necesit:

    Nume

    Asocierea cu un obiect phase 1

    Definirea transform-setului

    Definirea phase 2

  • 43 MSSR

    Aciunea trebuie s fie IPSec

    Odat cu politica de firewall pot fi definite i politicile de NAT pentru tunel

    Inbound NAT activeaz Outside NAT pentru pachetele ce vin criptate prin tunel

    Outbound NAT activeaz Inside NAT pentru pachetele clear text ce intr n tunel

    Definirea unei politici policy-based

  • 44 MSSR

    n route-based se creeaz o interfa virtual cu numele dat IKE Phase 1

    Pentru a permite traficul iniiat din LAN prin tunel trebuie creat o politic ACCEPT ntre interfaa intern i interfaa virtual

    Definirea unei politici route-based

  • 45 MSSR

    n route-mode trebuie definite 2 politici ACCEPT astfel nct tunelul s poat fi iniiat din orice direcie

    Definirea unei politici route-mode bidirecionale

  • 46 MSSR

    Unele FortiGate-uri au procesor specializat pentru criptarea IPSec: FortiASIC NP2

    Astfel se face offloading de pe procesorul principal

    Exist anumite cerine de trafic pentru utilizarea sa

    Pachetele trebuie s fie IPv4

    Nivelul 4 trebuie s fie TCP, UDP, ICMP

    Politica de firewall nu trebuie s conina IPS sau antivirus

    Interfaa de ieire i de intrare trebuie s fie pe acelai networkprocessor

    Pachetele incoming nu trebuie s fie fragmentate

    MTU-ul pentru pachetele outgoing trebuie s fie minim 385 bytes

    Offload i accelerare IPSec

  • Topologii VPN: Site-to-Site vs Remote-

    access

    47 MSSR

    Overview

    Tipuri de VPN funcie de ISP

    Necesitatea pentru o

    infrastructur PKIImplementarea Fortinet IPSecroute-based i policy-basedIPSec Offloading pe

    Fortigate

    Criptare simetric vsasimetric

    Implementarea Cisco IPSecSite-to-Site

    Ce este un VPN

  • 48 MSSR

    Teleworking

    Remote-access VPN

    Topologii de remote-access

    Internet-browsing prin SSL

    Cursul viitor

    Intrusion Prevention Systems Strategii IPS

    Semnturi IPS

    Implementri IPS