OMREŽNA VARNOST Z UPORABO IPSEC IN VPN

Transcription

1 Miran Jelušič OMREŽNA VARNOST Z UPORABO IPSEC IN VPN Diplomsko delo Maribor, februar 2011

2 I Diplomsko delo univerzitetnega študijskega programa OMREŽNA VARNOST Z UPORABO IPSEC IN VPN Študent: Študijski program: Smer Mentor Miran Jelušič Univerzitetni študijski program Telekomunikacije doc. dr. Janez Stergar Maribor, februar 2011

3 II

4 III ZAHVALA Zahvaljujem se mentorju za pomoč in vodenje pri opravljanju diplomskega dela. Posebna zahvala velja staršem, ki so mi omogočili študij.

5 IV OMREŽNA VARNOST Z UPORABO IPSEC IN VPN Ključne besede: IPsec Site-to-Site VPN, IKE, ISAKMP, Cisco VPN Client, SDM UDK: (043.2) Povzetek Diplomska naloga podaja osnovno razumevanje IPsec VPN protokolov, ki nudijo varno povezavo prek interneta. Predstavi, kako se na Cisco usmerjevalnikih postavi IPsec povezava med vozliščema, za katero uporabimo Cisco IOS ukaze v konzolnem načinu. V nadaljevanju prikaže, kako s pomočjo Cisco programa Security Device Manager postavimo IPsec VPN povezavo med vozliščema in uporabimo»easy VPN«strežnik. Cisco SDM deluje v grafičnem načinu in omogoča konfiguriranje s pomočjo čarovnika. Če je potrebno nastaviti veliko VPN povezav ali pa VPN strežnik, nam pri tem SDM prihrani veliko časa. Za zaključek vzpostavimo varno VPN povezavo s programom Cisco VPN Client na VPN strežnik.

6 V NETWORK SECURITY USING IPSEC AND VPN Key words: IPsec Site-to-Site VPN, IKE, ISAKMP, Cisco VPN Client, SDM UDK: (043.2) Abstract This diploma paper presents basic understanding of IPsec VPN protocols. An IPsec VPN can safely transmit data from untrusted network, such as the Internet. Furthermore, we show how to use Cisco IOS commands in the CLI to configure an IP site-to-site VPN. In the continuation we describe how to use Cisco SDM to configure an IPsec site-to-site VPN and Easy VPN Server. The graphic wizard like Cisco SDM interface can save a tremendous amount of time, when multiple site-to-site VPNs or VPN Server have to be configured. In the end we safely connect to Easy VPN Server using the Cisco VPN Client.

7 VI VSEBINA 1 UVOD PREGLED IPSEC VARNOSTNE ZVEZE SA VARNOSTNI PROTOKOL AH IN ESP NAČINI IN STOPNJE VARNE IZMENJAVE KLJUČEV - IKE ISAKMP GLAVA ISAKMP IKE STOPNJA 1 ALI ISAKMP TUNEL IKE STOPNJA 2 ALI IPSEC TUNEL STOPNJE VZPOSTAVITVE IPSEC TUNELA PRIMER DOBRE PRAKSE - PRIPOROČILA PRIMER DOBRE PRAKSE - PRIPOROČILA ZA IDENTIFIKACIJO IN IPSEC KONTROLO DOSTOPA PRIMER DOBRE PRAKSE - PRIPOROČILA ZA IPSEC PRIMER DOBRE PRAKSE - PRIPOROČILA ZA NAT IZGRADNJA IPSEC SITE-TO-SITE VPN V KONZOLNEM NAČINU PET KORAKOV V ŽIVLJENJSKI DOBI IPSEC SITE-TO-SITE VPN PET POMEMBNIH KORAKOV PRI KONFIGURIRANJU IPSEC SITE-TO-SITE VPN POVEZAVE OSNOVNA KONFIGURACIJA USMERJEVALNIKOV KONFIGURIRANJE IKE STOPNJE 1 TUNELA KONFIGURIRANJE IKE STOPNJE 2 ALI IPSEC TUNELA PRITRDITEV KRIPTOGRAFSKE MAPE TESTIRANJE IPSEC TUNELA IZGRADNJA IPSEC VPN MED VOZLIŠČEMA Z UPORABO SDM SECURITY DEVICE MANAGER NAMESTITEV PROGRAMA SDM... 30

8 VII 6.3 PREDSTAVITEV SDM VPN ČAROVNIKA HITRI NAČIN KONFIGURACIJE IPSEC MEDVOZLIŠČNI VPN V SDM KONFIGURACIJA IPSEC SITE-TO-SITE VPN PO KORAKIH KONFIGURACIJA»EASY VPN«STREŽNIKA S PROGRAMOM SDM CISCO VPN ODJEMALEC SKLEP VIRI PRILOGE SEZNAM SLIK SEZNAM PREGLEDNIC NASLOV ŠTUDENTA... 73

9 VIII UPORABLJENE KRATICE PVC - Permanent Virtual Circuit VPN - Virtual Private Network LDIS - Laboratorij za digitalne in industrijske sisteme IP - Internet Protocol IPsec - Internet Protocol Security AH - Authentication Header ESP - Encapsulating Security Payload ISAKMP - Internet Security Association and Key Management Protocol OTP - One-time passwords SA - Security Associations SPI - Security Parameter Index Dest_IP - IP destination Address SP_ID - Security Protocol ID SPD - Security Policy Database SAD - Security Association Database IKE - Internet Key Exchange SDM - Security Device Manager ACL - Access Control List CLI - Command Line Interface CCNA - Cisco Certified Network Associate LAN - Local Area Network WAN - Wide Area Network HTTP - HyperText Transfer Protocol HTTPS - HyperText Transfer Protocol Secure PFS Perfect Forward Secrecy DOI - Domain of Interpretation

10 Omrežna varnost z uporabo IPsec in VPN Stran 1 1 UVOD Danes, v dobi globalizacije, podjetja rastejo in lokalni trg je postal premajhen. Zaradi tega se podjetja širijo in odpirajo nova hčerinska podjetja povsod po svetu. Za uspešno delovanje podjetja je priporočljivo, da so vsa, po svetu razkropljena podjetja, povezana med seboj kot, da so v lastnem domačem omrežju, kljub temu, da se nahajajo na tisoče kilometrov stran. Obstaja več rešitev za povezavo med njimi, kot na primer: najeti vod, trajna virtualna povezava oz. PVC (ang. Permanent Virtual Circuit), Frame Relay. Vendar pa je cenovno najbolj ugodna in enostavna rešitev ta, da uporabimo širokopasovni dostop do interneta in tako preko interneta, s pomočjo VPN povezave, omogočimo podjetjem varno komuniciranje med seboj. U uvodnem delu je razložen princip delovanja IPsec-a, sledi princip delovanja virtualnih privatnih omrežij, preko katerih IPsec tuneli potekajo. Nadalje, razložimo in opišemo delovanje IKE stopenj in načinov. Glavni del diplomskega dela je bil v laboratoriju simulirati varno komuniciranje dveh oddaljenih podjetji preko interneta. Navidezni internet smo simulirali z usmerjevalnikom, ki je prevzel vlogo internetnega ponudnika in hkrati navidezno skrbel za usmerjenje preko interneta. Ker je znano, da internet ni zaupanja vreden medij, smo morali za varno povezavo prek njega izbrati IPsec VPN rešitev med vozliščema (ang. Site-to-Site) v nadaljevanju IPSec Site-to-Site. Ta rešitev nam je omogočila zaščito podatkov s pomočjo tuneliranja, šifriranja in avtentifikacije. Predstavljena sta dva načina konfiguracije usmerjevalnikov. S konzolnim vmesnikom oz. konzolni način (ang. Command Line Interface-CLI) in z grafičnim vmesnikom oz. grafični način, s pomočjo Cisco programa, Security Device Manager. Za konzolni način je značilno, da od administratorja zahteva ogromno znanja. V našem primeru, za konfiguracijo IPsec Site-to-Site povezave, zahteva podrobno poznavanje vseh IPsec opcij in parametrov. Za razliko od konzolnega načina, Cisco omogoča SDM konfiguriranje VPN Site-to-Site povezave, s pomočjo čarovnika. Tako, na primer ponuja opcijo hitri način, kjer vnesemo samo glavne parametre, ostale parametre pa izbere sam. Prav tako lahko izberemo način po korakih, kjer sami izberemo med naborom parametrov, opcij in tako zagotovimo varno povezavo po lastni meri.

11 Omrežna varnost z uporabo IPsec in VPN Stran 2 Za konec prikažemo, kako smo s programom SDM vzpostavimo»easy VPN«strežnik in kako se nanj varno povežemo iz oddaljenega omrežja, preko navideznega interneta. To smo storili s programom Cisco VPN Client, katerega smo naložili na oddaljen računalnik.

12 Omrežna varnost z uporabo IPsec in VPN Stran 3 2 PREGLED IPSEC Za vzpostavitev varne VNP povezave lahko najamemo podatkovni vod in imamo s tem najeto linijo 24 ur na dan. Na ta način pridobimo varen prenos podatkov, vendar pa je ta rešitev draga, ker si ta vod lastimo in ga uporabljamo samo mi. Cenovno ugodnejša rešitev je uporaba širokopasovnega dostopa do interneta. Pri tem uporabimo internet za povezavo med dvema oddaljenima točkama. Oba načina sta prikazana na spodnji sliki 2.1. Slika 2.1: Primer najetega voda in primer dostopa prek interneta Ta rešitev je zelo razširila uporabo VPN storitev, vendar moramo biti pri tem previdni. Internet velja za odprto, zaupanja nevredno omrežje, pri katerem je potrebno še posebno paziti na varnost. S tem, ko postavimo virtualno privatno omrežje, uporabimo javno omrežje, kot zasebno. Varnost preko interneta lahko zagotovimo na več načinov, eden izmed teh je z uporabo ogrodja IPsec, ki poteka na omrežni plasti OSI L3 in zaradi tega ni potrebno spreminjati aplikacij na višjem nivoju. V IPv4 protokolu imamo možnost izbire, ali IPsec uporabimo ali ne. V IPv6 protokolu je IPsec sestavni del, njegova uporaba pa je obvezna. V IPsec ogrodju je definiranih več protokolov, ki morajo pokriti različna področja kot so: overjanje izvora podatkov, celovitost podatkov, tajnost podatkov, zaščita pred ponovljenimi podatki in avtomatsko upravljanje s kriptografskimi ključi ter varnostnimi atributi. Osnovni IPsec protokoli so:

13 Omrežna varnost z uporabo IPsec in VPN Stran 4 IP Authentication Header (AH), ki zagotovi celovitost paketov, overjanje izvora in zaščito pred ponovljenimi paketi. IP Encapsulating Security Payload (ESP), kateri zagotovi tajnost paketov, poskrbi za overjanje izvora paketov, celovitost ter zaščito pred ponovljenimi paketi. Internet Security Association and Key Management Protocol (ISAKMP) zagotavlja metodo avtomatičnega vzpostavljanja varnostnih atributov in upravljanja z njihovimi kriptografskimi ključi. Če na kratko povzamemo nam tehnologija, kot je kabelska ali DSL, nudi VPN transportne mehanizme za zagotavljanje varnosti prek interneta. Za dodatno varnost pri VPN transportu poskrbi IPsec, s tem ko nudi: 1. Zaupnost: za podatkovno zaupnost zagotovi šifriranje. 2. Celovitost: podatkovna celovitost zagotovi, da podatek ni bil spremenjen med prenosom. To naredi tako, da končna usmerjevalnika preračunata digitalni prstni odtis t.i. hash število, ki predstavlja zaporedje bitov predpisane dolžine in je izračunano z zgoščevalno funkcijo. Če se števili na obeh usmerjevalnikih ujemata, podatek ni bil spremenjen. 3. Dokaz pristnosti: podatkovna avtentifikacija omogoči končnima uporabnikoma, da se predstavita in preveri njuno pristnost. Obstajajo različni načini avtentifikacije: Uporabniško ime in geslo; Enkratna gesla (ang. One-time passwords OTP); Biometrične tehnologije, kot je prstni odtis ali skeniranje šarenice; Vnaprej dogovorjeni ključi; Digitalni certifikati; Poznamo dva načina prenosa IPsec prometa, en način je tunelski, drugi pa je transportni. Tunelski način se uporablja pri prenosu podatkov med dvema vozliščema (usmerjevalnikoma), oziroma v VPN omrežjih. Uporablja se tudi med delovno postajo in usmerjevalnikom v primeru oddaljenega dostopa. Zgradba IP paketa v tunelskem načinu je prikazana na sliki 2.2. Tunelski način deluje tako, da izvirni paket enkapsulira v nov paket, in tako celoten originalni paket postane v novem paketu podatek (ang. Payload).

14 Omrežna varnost z uporabo IPsec in VPN Stran 5 Transportni način se uporablja predvsem za povezavo končnih točk (ang. host-to-host connection). Pri tem načinu se uporabi originalno IP glavo. Tako se med besedilo in IP glavo vrine varnostni protokol AH ali ESP. IP glava B esedilo O rigina len IP pa ket No va IP glava IP glava B esedilo IP paket v tunelskem načinu Slika 2.2: IP paket v tunelskem načinu IP glava B esedilo O rigina le n IP pa ket IP glava AH g lav a B esedilo IP paket v tran spo rtnem načinu Slika 2.3: IP paket v transportnem načinu Varnostna zveza v transportnem načinu povezuje dva računalniška sistema. Kadar vsaj ena od obeh strani zveze ni končni računalniški sistem, ampak prehod, mora biti uporabljen tunelski način varnostne povezave. Tunelski način je mogoče uporabiti tudi za povezavo dveh gostiteljskih računalniških sistemov. Primer zvez prikazuje slika 2.4. Tunelski način uporablja vozlišči, ki ščitita tranzitni promet, zato so paketi enkapsulirani v dodatno ovojnico [2]. Slika 2.4: Vrste varnostnih zvez

15 Omrežna varnost z uporabo IPsec in VPN Stran Varnostne zveze SA Varnostni atribut SA (ang. Security Associations) je enosmerna (ang. simplex) povezava za prenos varovanega prometa. Predstavljen je s trojico parametrov: SPI (ang. Security Parameter Index) to je kazalec varnostnih parametrov; Dest_IP (ang. IP destination Address), ciljni IP naslov; SP_ID (ang. Security Protocol ID), to je identifikacija varnostnega protokola, lahko je AH ali ESP. Če želimo dvosmerno komunikacijo potrebujemo dva SA-ja na vsakem sistemu, kot je prikazano na sliki 2.5. SA za svojo varnost uporablja protokola AH ali ESP. Pri tem lahko uporabi oba skupaj, vendar v tem primeru potrebujemo po dva SA-ja na vsako smer. SA 1 Vozlišče 1 SA 2 Vozlišče 1 Slika 2.5: Dve varnostni zvezi za dvosmerni promet med vozliščema Model za obdelavo IP prometa v povezavi z varnostnimi zvezami sloni na dveh podatkovnih bazah: bazi varnostne politike SPD (ang. Security Policy Database) in bazi varnostnih zvez SAD (ang. Security Association Database). Prva opisuje pravila za obravnavanje vseh IP paketov, ki vstopajo ali zapuščajo vozlišče. Druga vzdržuje informacije o stanju vseh aktivnih varnostnih zvez v sistemu [2]. 2.2 Varnostni protokol AH in ESP IPsec temelji na varnostnih protokolih AH (ang. Authentication Header) ali ESP (ang. Encapsulating Security Payload). Oba protokola omogočata izvorno preverjanje pristnosti in celovitosti sporočila, kar zagotovi verodostojnost pošiljatelja in da sporočilo ni bilo spremenjeno med prenosom. Glavna razlika med protokoloma je ta, da ESP omogoča šifriranje originalnega paketa, medtem ko AH tega ne omogoča, oba pa omogočata

16 Omrežna varnost z uporabo IPsec in VPN Stran 7 overjanje. Zaradi tega je ESP veliko bolj razširjen. Spodnja slika prikazuje strukturo AH in ESP paketa v transportnem in tunelskem načinu. I P p ak et z A H zaščito v tran s p or tn em n ačin u IP glava A H glava K o ris tn a vs eb in a O verjen o (ra zen s prem enl jivih polj v novi IP gl avi) IP p ak et z A H za šč ito v tu n e lsk e m n ačin u N ova I P glav a A H glava I P gla va K or istn a vs eb in a O verjen o (raz en s prem enljiv ih polj v novi IP gla vi) I P p ake t z E S P z aščito v tr an s p ortn e m n ačin u IP glava E S P g lava K o ris tn a vs eb in a Š ifrirano O verje no E S P r ep E S P o ver. IP p ak et z E S P za šč ito v tu n e lsk em n ačin u N ova I P glav a E S P gla va I P gla va K ori stn a vs eb in a Š ifriran o O verjen o E S P re p E S P ove r. Slika 2.6: Struktura AH in ESP v transportnem in tunelskem načinu Tako AH kot ESP sta primerna za delovanje v transportnem in tunelskem načinu. Pri transportnem načinu se v originalni paket vstavi AH ali ESP glavo. Prednost tega načina je manjša količina odvečnega prometa, slabost pa, da se overjanja ne izvaja na poljih, ki se na poti spreminjajo in zato ne vsebujejo zaščite. Tunelski način uporabimo vedno, ko ena ali obe točki povezave nista končni. Pri tem načinu se originalni IP paket enkapsulira v nov IP paket. AH ali ESP glava se vrine med novo IP glavo in originalen IP paket. Omenimo še, da lahko protokola AH in ESP uporabimo posamično ali v kombinaciji. Kombinacije IPsec protokolov se realizirajo s SA svežnji. Obstajata dva pristopa za ustvarjanje SA svežnja. Prvi je ta, da uporabimo transportno soseščino (ang. Transport Adjacency), kjer se oba protokola uporabita v transportnem načinu nad istim IP paketom. Druga opcija pa je ta, da uporabimo ponavljajoče (gnezdeno) tuneliranje (ang. Iterated (nested) tunneling), kjer si protokoli sledijo v zaporedju. Po vsakem IP paketu, se ustvari nov IP paket, ki se mu pripne protokol (AH ali ESP) [11].

17 Omrežna varnost z uporabo IPsec in VPN Stran 8 3 NAČINI IN STOPNJE VARNE IZMENJAVE KLJUČEV - IKE Varna izmenjava ključa je poglavitnega pomena za varno komunikacijo med dvema oddaljenima točkama. Nič ne pomaga močno overjanje in najnovejši šifrirni algoritmi, če so ogroženi ključi. Za varno izmenjavo ključev poskrbi IKE (ang. Internet Key Exchange) protokol, kateri temelji na ISAKMP (ang. Internet Security Association and Key Management Protocol) ogrodju, in je prevzeti protokol za IPsec. IKE lahko uporabi tri načine za vzpostavitev varne IPsec povezave med odjemalci. Ti so: glavni način (ang. Main mode), agresivni način (ang. Aggressive mode) in hitri način (ang. Quick mode). 3.1 ISAKMP glava Pobudni piškotek (Initiator cookie ) Naslednja gla va O dzivni piškotek (Respon der co okie) Glavna verzija Po d verz ija T ip spor očila Zastavice Identifikator sporočila (Message length) Do lžina ce lotneg a spor oči la (M essa ge leng th) Slika 3.1: Format ISAKM glave ISAKMP sporočila so sestavljena z verigo ISAKMP podatkov pripetih na ISAKMP glavo: Initiator, Responder Cookie pobudni/odzivni piškotek se ustvarita skupaj s poljem Message ID pri obeh sodelujočih v komunikaciji. Skupaj služijo za določitev stanja ISAKMP izmenjave. Piškotki predstavljajo 8 zlogov naključne informacije, ki se uporabljajo za identifikacijo ISAKMP SA-ja. Do naključnega števila pridemo z zgoščevalno funkcijo, ki je funkcija identitete sistema (IP naslov, vrata, protokol), lokalno generirane skrite številke, datuma in časa. Piškotki so neke vrste ISAKMP SPI. Naslednja glava (ang. Next payload) označuje ISAKMP podatke, ki sledijo glavi. Glavna in manjša verzija (ang. Major and Minor version) določata verzijo protokola. Tip sporočila (ang. Exchange type) podaja tip sporočila, ki se pošilja.

18 Omrežna varnost z uporabo IPsec in VPN Stran 9 Zastavice (ang. Flags) zasedajo en zlog. Uporabljeni so trije biti. Bit 0 je šifrirni bit. Če je postavljen na 1, pomeni, da je šifriranje vključeno. Bit 1 je zavezovalni bit in če je postavljen, zagotavlja, da šifrirano sporočilo ne bo prispelo pred vzpostavitvijo SA-ja. Bit 2 je overitveni bit. Če je postavljen, pomeni, da bodo podatki overjeni, vendar ne šifrirani. Dolžina sporočila (ang. Message length) podaja dolžino celotne verige ISAKMP sporočila (vključno z glavo). Primer ISKMP sporočila prikazuje naslednja slika. Kot je razvidno, lahko sledi glavi več različnih ISAKMP podatkov. Zgradba podatkov je enaka, razlika je le v vsebini, ki jo nosijo Pobudni piškotek Odz ivni piško tek KE Ve rzija T ip sporočila Za stavice ISAK MP glava ID spor očila (Messag e ID ) D olžina celotneg a sporočila (M essa ge leng th) Non ce 0 Dolž ina KA besedila K E besedilo KE isakm p p odatek 0 0 Dolžina Nonc e besedila Po lnilno besedil o Slika 3.2: Primer ISAKMP sporočila N once isak mp pod atek ISAKMP glava vsebuje v polju»next payload«naslov podatka, ki sledi glavi. V našem primeru gre za podatek tipa KE (ang. Key Exchange). Temu sledi podatek tipa»nonce«, ki nosi naključno informacijo.»nonce«vsebuje vrednost 0 v polju»next header«in s tem označuje konec ISAKMP sporočila. Format ISAKMP podatkov je sledeč: Naslednja glava (ang. Next Header) vsebuje naslov podatka, ki sledi podatku. Rezervirano rezervirano za nadaljnjo uporabo in mora biti postavljeno na 0. Dolžina besedila (ang. Payload Length) vsebuje dolžino ISAKMP podatkov Naslednja glava Rezervirano Dolžina besedila Slika 3.3: Format ISAKMP podatka

19 Omrežna varnost z uporabo IPsec in VPN Stran ISAKMP ISAKMP definira izmenjavo ključev v dveh stopnjah. Prva stopnja pozna dva načina delovanja: glavni (ang. Main mode) in agresivni (ang. Aggressive mode) način. Glavni način vsebuje tri dvosmerne izmenjave med pošiljateljem in prejemnikom, skupaj šest izmenjav. Druga stopnja se izvede s hitrim načinom (ang. Quick mode), s tremi izmenjavami. Hitri način lahko uporabimo zato, ker ta povezava že poteka po zaščitenem komunikacijskem kanalu. Praksa je, da se osveževanje SA-jev v drugi stopnji izvaja dokaj pogosto (vsako uro), medtem ko se SA-ji prve stopnje osvežujejo le enkrat na dan. Potek izmenjave sporočil v IKE stopnji 1 in 2 je predstavljen v nadaljevanju Glavni način Za svoje delovanje uporablja model treh izmenjav informacij med končnima IPsec odjemalcema. Izmenjava poteka tako, da tisti, ki začne zvezo, pošlje več predlogov o načinu povezave drugemu odjemalcu. Ta izbere njemu ustrezen predlog. Predlogi vsebujejo različna šifriranja, avtentifikacije in življenjsko dobo ključa. Dodatno lahko predlog vsebuje tudi način povezave z uporabo javnih ključev. S tem zagotovimo dodatno varnost. Model treh izmenjav lahko strnemo na sledeč način: 1. Prva izmenjava: Uporabnik izbere njemu ustrezen predlog, katerega je predlagal pobudnik zveze. (Sporočilo 1 in 2). 2. Druga izmenjava: Za izmenjavo ključa čez nevarno povezavo se uporabi Diffie- Hellman algoritem. (Sporočilo 3 in 4). 3. Tretja izmenjava: Uporabi se za overjanje pošiljatelja. S tem se vzpostavi varna seja ISAKMP, ki se uporabi za določitev IPsec seje. (Sporočilo 5 in 6) Agresivni način Tako imenovana agresivna metoda hitreje doseže vzpostavitev seje kot osnovna metoda. To naredi z uporabo treh paketov. Začetnik seje pošlje paket s potrebnimi informacijami za vzpostavitev varne povezave SA (Security association). Uporabnika se dogovorita, katere parametre bosta uporabila za ISAKMP sejo. Odjemalec z drugim paketom odgovori, katere parametre si je izbral in istočasno potrdi sejo. Tretji in zadnji paket pošlje pobudnik seje in z njim potrdi ali zavrne ISAKMP sejo.

20 Omrežna varnost z uporabo IPsec in VPN Stran Hitri način Hitri način je podoben agresivnemu načinu. Vzpostavitev seje se izvrši z uporabo treh paketov. Razlika je le v tem, da tokrat potekajo pogajanja za IPsec sejo in so zaščitena z ISAKMP sejo. 3.3 IKE stopnja 1 ali ISAKMP tunel IKE stopnja 1 Sporočilo1 Pobudnik zveze zgradi ISAKMP sporočilo (Slika 3.4) in ga pošlje prejemniku. ISAKMP sporočilo je del UDP paketa, ki je vsebovan kot besedilo IP paketa. Izvorni in ponorni naslov, ki se nahaja v IP glavi, vsebuje naslov pošiljatelja in prejemnika sporočila. UDP glava vsebuje številko vrat, na katerih mora poslušati prejemnik. Za ISAKMP protokol so rezervirana vrata s št Besedilo UDP paketa vsebuje ISAKMP sporočilo. IP glava U DP g la va ISA KM P glav a SA Pre dlog št.1 T ransfo rm št.1 Predlog št.n T ransfo rm št.n Predlog alternativ Sistem A Siste m b Sprejem alternat iv Slika 3.4: Glavni način - sporočilo 1 in 2 Pobudnik zveze v prvem sporočilu predlaga eno ali več zaščitnih alternativ, ki jih lahko prejemnik izbere. ISAKMP sporočilo vsebuje sledeča polja v svojem besedilu: V ISAKMP glavi imamo nastavljeno»id Sporočila«na 0,»Odzivni piškotek«na 0, ker še ne obstaja. Za polje»pobudni piškotek«se izbere naključno število. SA polje identificira DOI. Polje»Predlog«ima SPI vrednost nastavljeno na 0. Polje»Transform«vsebuje metodo overitve, zgoščevalni algoritem in šifrirni algoritem.

21 Omrežna varnost z uporabo IPsec in VPN Stran IKE stopnja 1 Sporočilo 2 Prejemnik z drugim sporočilom sporoči pošiljatelju, katero iz predlaganih alternativ sprejme. Vsebina sporočila bo naslednja: Naslova v IP glavi označujeta pošiljatelja in prejemnika. UDP glava vsebuje številko ponornih vrat (500). Besedilo UDP paketa vsebuje sporočilo 2. ISAKMP glava označuje, da gre za glavni način izmenjave in ima vrednost v polju»id Sporočila«nastavljeno na 0. Izbere naključno število za polje»odzivni piškotek«. SA polje vsebuje DOL. Polje»Predlog«podaja, da gre za ISAKMP protokol in ima SPI vrednost enako 0. Polje»Transform«vsebuje predlagani transform s strani pošiljatelja. S tema dvema sporočiloma so lastnosti ISAKMP SA dogovorjene s strani pošiljatelja in prejemnika. Identiteta ISAKMP SA-ja je določena z»odzivni piškotek«in»pobudni piškotek«. Na tej točki še nimamo preverjene identitete sodelujočih v komunikaciji IKE stopnja 1 Sporočilo 3 Tretje sporočilo izmenja informacijo, s pomočjo katere se proizvedejo šifrirni ključi. Vsa informacija se izmenja v berljivi obliki. Nobeno sporočilo ne vsebuje dejanskih ključev, ampak le določeno informacijo, ki skupaj z lokalno izbranimi atributi tvori izračun tajnega ključa. Diffie-Hellman javno število X=g x (mod n). Pri tem je število x tajno in mora ostati varno shranjeno. Naključno število pošiljatelja N i (ang. Nonce initiator). IP glava U DP g la va ISAK MP glava g x N i g x. N i Sistem A Siste m b g y. N r Slika 3.5: Glavni način - sporočilo 3 in 4 Ti števili se prenašata v ISAKMP podatkih Key Exchange in Nonce.

22 Omrežna varnost z uporabo IPsec in VPN Stran IKE stopnja 1 Sporočilo 4 Ko prejemnik dobi Diffie-Hellman javno in naključno število, odgovori s svojo javno številko (g y ) in svojim naključnim številom (N r ). Sledi izračun ključa. Vsaka stran lahko izračuna g xy, ker pozna javna števila (g x in g y ) in svoje tajno število (x ali y). Obe števili poznata tudi vrednosti N i, N r, ter odzivni in pobudni piškotek. S pomočjo dane informacije je vsaki stani posebej omogočen izračun potrebnih vsebin IKE stopnja 1 Sporočilo 5 S tem sporočilom sistema izmenjata informacijo o identiteti, pri tem pa uporabljata prej določen ključ za medsebojno overitev. ISAKMP sporočilu se pripne sporočilo o identiteti, prej določen ključ, lahko tudi digitalni podpis ali sporočilo s certifikatom. Pošiljatelj uporablja sporočilo 5 za pošiljanje informacije prejemniku, ki mu bo zadoščala za overitev pošiljatelja IKE stopnja 1 Sporočilo 6 Po prejetju sporočila 5 bo prejemnik preveril identiteto pošiljatelja. Če je podpis ustrezen, bo poslal sporočilo 6, s katerim pošiljatelju dopušča preverjanje identitete. Ko sporočilo 6 prispe na cilj in ga prejemnik overi, se stopnja 1 zaključi. Sedaj sta se oba sistema medsebojno overila, dogovorila sta se o varnostnih atributih (ISAKMP SA) in oba izpeljala enake ključe. Opisan primer izmenjave šestih sporočil se uporablja tako za overjanje digitalnih podpisov kot tudi za prej določenimi ključi in javnimi ključi. 3.4 IKE Stopnja 2 ali IPsec tunel Po vzpostavitvi ISAKMP SA-jev v prvi stopnji komunikacije sledi hitri način izmenjave. Ta način vsebuje tri sporočila. Namen te stopnje je definicija varnostih atributov in ključev, ki se bodo uporabili za zaščito uporabniškega IP prometa. Overjanje prometa v stopnji dva se doseže s pomočjo zgoščevalnih funkcij. Vhod zgoščevalne funkcije je deloma informacija iz prve stopnje in deloma informacija, ki se izmenja v drugi stopnji.

23 Omrežna varnost z uporabo IPsec in VPN Stran IKE stopnja 2 Sporočilo1 Prvo sporočilo omogoča overitev pošiljatelja, izbiro naključnega števila, predlog varnostnih atributov prejemniku, izvršitev Diffie-Hellman vrednosti in naznanilo, ali deluje kot pošiljatelj ali kot pogajalec za neko drugo entiteto. Vključitev polja»key exchange«je obvezna le, če se uporablja PFS. IP glava U DP g la va ISA KM P glav a Hash SA Pred št.1 Transf Pre d T ran sf št.1 št.n št.1 K E ID H ash_1. SA. g x. N i Sistem A Hash_2. SA. g y. N r Siste m b H ash_3 Slika 3.6: Hitri način - sporočilo 1,2 in 3 Če predpostavimo, da obe strani delujeta samostojno, potem polj z identiteto (ID) ne bo. Sporočilo bo sestavljeno iz: ISAKMP glave: označuje, da gre za hitri način izmenjave. Vsebuje naključno število različno od 0 v polju»id sporočila«. Poleg tega vsebuje tudi števili»odzivni piškotek«in»pobudni piškotek«iz prve stopnje. HASH_1: mora slediti ISAKMP glavi. HASH_1 uporablja pseudo-naključno funkcijo, ki je bila dogovorjena med izmenjavo prve stopnje.»sa«: označuje izbrani DOI. Predlogi, pari transformov: ESP ali AH»Nonce«: vsebuje naključno število N i, izbrano s strani pošiljatelja.»ke«: vsebuje javno Diffie-Hellman število izbrano s strani pošiljatelja, g x qm IKE stopnja 2 Sporočilo 2 Ko sprejemnik prejme sporočilo 1 in ga uspešno overi s HASH_1 formulo, skonstruira sporočilo 2. Polje»ID sporočila«ostane nespremenjeno, nove vrednosti pa so sledeče:»nonce«polje vsebuje naključno število N r, izbrano s strani prejemnika.»ke«polje vsebuje javno Diffie-Hellman število g y qm. Izračuna zgoščevalno funkcijo HASH_2.

24 Omrežna varnost z uporabo IPsec in VPN Stran 15»SA«opisuje le en predlog in transform, ki ga je izbral prejemnik. Poleg tega izbere naključno število za SPI. SPI, ki ga je izbral pošiljatelj, je neodvisen od SPI števila, ki ga sprejme prejemnik IKE stopnja 2 Sporočilo 3 Sistema sta si izmenjala vso potrebno informacijo za izpeljavo ključev. Tretje sporočilo se uporabi s strani pobudnika zveze, da dokaže pristnost v komunikaciji. Proizvede zgoščevalno funkcijo, ki vsebuje»id sporočila«, in obe naključni števili, ki sta bili izmenjani s sporočili 1 in 2. Zgradba sporočila 3 je sestavljena iz ISAKMP glave in besedila, ki vsebuje zgoščevalno funkcijo. Ko prejemnik sprejme sporočilo 3 in preveri zgoščevalno funkcijo, lahko sistema pričneta z uporabo dogovorjenih varnostnih protokolov za zaščito uporabniškega prometa [11]. 3.5 Stopnje vzpostavitve IPsec tunela IKE modeli odražajo dve stopnji vzpostavljanja IPsec tunela. Med prvo stopnjo, IKE stopnja 1, se vzpostavi varna ISAKMP seja z uporabo osnovne ali agresivne metode. Med IKE stopnjo 2 se sistema dogovorita o algoritmih, zgoščevalnih funkcijah, zgoščevalnih mehanizmih in o drugih parametrih potrebnih za vzpostavitev varne ISAKMP seje. To prvo stopnjo lahko imenujemo ISAKMP tunel ali IKE tunel stopnje 1. Ta zbirka parametrov se imenuje SA (ang. Security association). Z IKE stopnjo 1, je SA povezava vzpostavljena dvosmerno, kar pomeni, da se za izmenjavo podatkov uporablja enak ključ v obeh smereh. IKE stopnja 2 se vzpostavi s pomočjo hitre metode. Druga stopnja se začne po prvi stopnji, kar pomeni, da že imamo varen komunikacijski kanal in zato ne potrebujemo tako zapletenih izmenjav, kot jih vsebuje prva stopnja. V tej stopnji se uporabijo enosmerna SA pogajanja, kar pomeni, da se uporablja ločene ključe za izmenjavo. Osveževanje SA v drugi stopnji poteka dokaj pogosto (vsako uro) za razliko od prve stopnje, kjer se osvežuje enkrat dnevno ali manj.

25 Omrežna varnost z uporabo IPsec in VPN Stran 16 4 PRIMER DOBRE PRAKSE - PRIPOROČILA 4.1 Primer dobre prakse - Priporočila za identifikacijo in IPsec kontrolo dostopa VPN design vsebuje mehanizme za enostavno identifikacijo VPN naprav. Proces identifikacije se imenuje overjanje. IPsec VPN-ji lahko za potrjevanje izvora uporabijo v naprej določene ključe (ang. Preshared Key) ali digitalne certifikate. Pri konstruiranju VPN povezav moramo biti pozorni na priporočila dobre prakse (ang. Best-practice). Cisco priporoča naslednje: Priporoča uporabo digitalnih potrdil za VPN omrežja, katera presegajo več kot 20 naprav. Digitalna potrdila priporoča zato, ker imajo določeno življenjsko dobo in zagotovijo sinhronizacijo za naprave, katere uporabljajo digitalne certifikate. Če je uporabljen certifikat zaupanja vreden in še vedno veljaven, preverimo CRT (ang. Certificate Revocation List) in CTL (ang. Certificate Trust List) seznam. Če je v omrežju manj kot 20 naprav, se lahko uporabi vnaprej določene ključe, a pri tem je potrebno paziti, da se ključi ne nanašajo na imena omrežij, skupin, računalnikov. Prav tako moramo skrbeti za zaščito teh ključev in jih je potrebno večkrat zamenjati. Ključi morajo predstavljati kombinacijo številk in črk. Odsvetuje se uporabo skupnih ključev, to pomeni, istih ključev za več različnih omrežij. Če je le mogoče, za zaščito, raje uporabimo strojno opremo. Programsko zaščito je lažje prelisičiti, zato se njeni uporabi raje izognemo. Za filtriranje nezaželenega prometa uporabimo dostopovne sezname - ACL 4.2 Primer dobre prakse - Priporočila za IPsec VPN omrežja zaščitena na IPsec osnovi, ponujajo več opciji za izbiro nastavitev varnosti. Za pravilno izbiro nastavitev Cisco predlaga naslednje rešitve: Uporaba IPsec s preverjanjem celovitosti in s šifriranjem. To storimo tako, da izberemo raje ESP kot pa opcijo AH.

26 Omrežna varnost z uporabo IPsec in VPN Stran 17 Uporabimo raje močne šifrirne algoritme, kot so 3DES ali AES in se izogibamo slabšim DES algoritmom. Uporabimo SHA (ang. Secure Hash Algorithm) namesto MD5 (ang. Message Digest 5) kot zgoščevalni algoritem. S tem povečamo varnost in prav tako samo hitrost prenosa. Večjo varnost si zagotovimo s tem, da zmanjšamo življenjsko dobo SA-ju ali z uporabo vnaprejšnje tajnosti - PFS (ang. Perfect Forward Secrecy). PFS poskrbi za varno generiranje varnostnega ključa. Cisco odsvetuje spreminjanje teh nastavitev, razen v primeru, če so podatki zelo pomembni. Take spremembe bistveno obremenijo procesor naprave. 4.3 Primer dobre prakse - Priporočila za NAT NAT (ang. Network Address Translation) se uporablja zaradi premajhnega števila internetnih naslovov (IPv4). Kjer se uporablja IPsec VPN, Cisco odsvetuje uporabo NAT. Uporabo NAT svetuje le v primeru, če se omrežni naslovi na obeh koncih prekrivajo.

27 Omrežna varnost z uporabo IPsec in VPN Stran 18 5 IZGRADNJA IPSEC SITE-TO-SITE VPN V KONZOLNEM NAČINU Po osvojenem osnovnem znanju o IPsec site-to-site VPN omrežju, smo zasnovali lastno varno omrežje. Omrežje smo sestavili iz treh usmerjevalnikov. Usmerjevalnik 1 in Usmerjevalnik 2 sta služila kot vozlišči dveh oddaljenih podjetij, usmerjevalnik InternetISP pa je imel dva serijska vmesnika, ki sta služila kot dva internetna ponudnika. Interneta posebej nismo simulirali, ker za to skrbijo razni protokoli, in če usmerjevanje deluje kot mora, je končni rezultat enak, kot če imamo samo en usmerjevalnik, ki predstavlja dva različna internetna ponudnika (z izjemo časovnih zakasnitev). Usmerjevalnik 1 in 2 sta bila Ciscova iz serije 2650XM, z operacijskim sistemom verzije 12.4(25c). Usmerjevalni InternetISP pa je bil serije Cisco 1841, z operacijskim sistemom verzije 13.3(8r)T8. Način vezave usmerjevalnikov prikazuje slika 5.1. Naš namen je bil zaščititi promet, ki zapušča Usmerjevalnik 1 in potuje preko interneta do vhoda v Usmerjevalnik 2. Za zaščito smo si izbrali IPsec stite-to site VPN. Promet, ki je bil znotraj Usmerjevalnika 1 in Usmerjevalnika 2 nezaščiten! Zaščiten promet je na sliki 5.1 prikazan črtkano. Slika 5.1: Prikaz vezave usmerjevalnikov in primer IPsec VPN tunela z dvema oddaljenima podjetjema Sama konfiguracija je potekala na sledeč način. Najprej smo izbrali in določili internetne naslove omrežjem. Prvemu podjetju smo določili omrežje 1 in omrežni naslov /24,

28 Omrežna varnost z uporabo IPsec in VPN Stran 19 do interneta je dostopal preko serijske povezave in omrežja /30. Drugemu omrežju pa smo dodelili omrežni naslov /24, dostop do interneta pa preko omrežja /30. Usmerjevalnikoma 1 in 2 smo morali določiti, da ves promet, ki ni namenjen lastnemu omrežju, pošljeta preko serijskega vmesnika. Naknadno smo tudi določili ACL, kjer smo določili, kateri promet se pošlje preko varne povezave. Nepomemben promet je tako potekal nezaščiten. V našem primeru smo naprave konfigurirali tako, da se je ves promet namenjen omrežjema /24 in /24 zaščitil z varno povezavo IPsec. Postopek, kako smo to naredili in izvedli, je podrobno opisan v nadaljevanju. Pred tem si še poglejmo pet korakov v življenjski dobi IPsec site-to-site VPN ter pet pomembnih korakov pri sami konfiguraciji. 5.1 Pet korakov v življenjski dobi IPsec site-to-site VPN Na sliki 5.2 je predstavljenih pet glavnih korakov pri procesu vzpostavitve, vzdrževanje in zaključevanje, IPSec VPN povezave. Slika 5.2: IPsec VPN koraki

29 Omrežna varnost z uporabo IPsec in VPN Stran Opisuje postopek, ko računalnik 1, pošlje promet računalniku 2. Če usmerjevalnik 1 promet prepozna, da gre za»pomemben promet«, se začne vzpostavitev IPSec tunela; 2. Usmerjevalnik 1 in usmerjevalnik 2 se pogajata, katero SA bosta uporabila za vzpostavitev IKE stopnje 1 tunela; 3. Prikazuje vzpostavljeno IKE stopnjo 1 in vzpostavitev IKE stopnje 2. Iz slike je razvidno, da poteka vzpostavljanje IKE stopnje 2 pod zaščito IKA stopnje 1; 4. Vzpostavljen je IPSec tunel, in skozi njega potuje pomemben promet. Če promet ni klasificiran kot pomemben, se ga usmeri po nezavarovani poti do končnega odjemalca; 5. Prikazuje razdrtje tunela, to se zgodi, ko izteče čas SA ali ko se podre povezavo. 5.2 Pet pomembnih korakov pri konfiguriranju IPSec site-to-site VPN povezave Poznamo več načinov konfiguriranja varne povezave. Lahko jo konfiguriramo v konzolnem načinu ali pa v grafičnem, s programom SDM. Pri konzolnem konfiguriranju IPSec site-to-site VPN povezave se je pomembno držali petih pomembnih korakov: 1. Določimo parametre, politiko za IKE stopnjo 1. Ta sklop prametrov se imenuje politika ISAKMP; 2. Določimo parametre IKE stopnje 2 ali IPsec tunela; 3. Skonfiguriramo ACL, v kateri določimo, kateri promet je pomemben in mora biti poslan prek IPSec tunela; 4. Ustvarimo kriptografsko mapo, katera logično grupira parametre določene v prejšnjih korakih. Ta mapa mora biti pripeta pravemu vmesniku usmerjevalnika; 5. Naredimo dodatno ACL, v kateri prepovemo nepomembnim podatkom pot skozi varno VPN povezavo.

30 Omrežna varnost z uporabo IPsec in VPN Stran Osnovna konfiguracija usmerjevalnikov Kot prvo smo v globalnem načinu z ukazom hostname določili usmerjevalniku ime. V nadaljevanju smo vmesnikom določili internetne naslove. To smo naredili tako, da smo v globalnem načinu z ukazom interface in ime vmesnika fa0/0 prišli v način, kjer z ukazom ip address določimo internetni naslov. V našem primeru smo določili s pripadajočo masko Povezavo z usmerjevalnikom InternetISP smo uporabili serijsko povezavo in pri tej povezavi, smo na enem koncu morali nastaviti sinhronizacijsko uro z ukazom clock rate. Vedno, ko določamo ip naslove vmesnikom, jih moramo na koncu ročno aktivirati. To storimo z ukazom no shudown. Osnovna konfiguracija je podana v spodnjih tabelah. Tabela 5.1: Osnovna konfiguracija Usmerjevalnika 1 routar# conf t routar(config)# hostname Usmerjevalnik1 Usmerjevalnik1(config)# int fa0/0 Usmerjevalnik1(config-if)# ip add Usmerjevalnik1(config-if)# no sh Usmerjevalnik1(config-if)# int s0/1 Usmerjevalnik1(config-if)# ip add Usmerjevalnik1(config-if)# clock rate Usmerjevalnik1(config-if)# no sh Tabela 5.2: Osnovna konfiguracija InternetISP routar# conf t routar(config)# hostname InternetISP InternetISP(config)# int s0/0 InternetISP(config-if)# ip add InternetISP (config-if)# no sh InternetISP (config-if)# int s0/1 InternetISP (config-if)# ip add InternetISP (config-if)# clock rate InternetISP (config-if)# no sh

31 Omrežna varnost z uporabo IPsec in VPN Stran 22 Tabela 5.3: Osnovna konfiguracija Usmerjevalnika 2 routar# conf t routar(config)# hostname Usmerjevalnik2 Usmerjevalnik2(config)# int fa0/0 Usmerjevalnik2(config-if)# ip add Usmerjevalnik2(config-if)# no sh Usmerjevalnik2(config-if)# int s0/1 Usmerjevalnik2(config-if)# ip add Usmerjevalnik2(config-if)# no sh Tabela 5.4: Osnovna konfiguracija Računalnika 1 in Računalnika 2 Računalnik1: IP: Subnetmask: Gateway: Računalnik1: IP: Subnetmask: Gateway: S tem ukazom smo določili, da ves promet namenjen omrežjem, katerih usmerjevalnik ne pozna, pošlje skozi serijski vmesni s 0/1/0. Enako smo konfigurirali Usmerjevalnik 2. Tabela 5.5: Privzeta usmerjevalna pot na Usmerjevalniku 1 Usmerjevalnik1# conf t Usmerjevalnik1(config)# ip route serial 0/1/0 Usmerjevalnik2# conf t Tabela 5.6:Privzeta usmerjevalna pot na Usmerjevalniku 2 Usmerjevalnik2(config)# ip route serial 0/1/0

32 Omrežna varnost z uporabo IPsec in VPN Stran Konfiguriranje IKE stopnje 1 tunela Za prikaz konzolnega konfiguriranja IPSec site-to-site VPN povezave smo uporabili topologijo iz slike 5.3. Naš glavni namen je bil, da smo omogočili varno povezavo med omrežjema /24 in /24. Slika 5.3: IPsec točka - točka VPN omrežje Vzpostavitev varne povezave, med omrežjema je potekala tako, da smo najprej določili ISAKMP parametre. V tabeli 5.7 je prikazana začetna konfiguracija Usmerjevalnika 1, v tabeli 5.8 pa začetna konfiguracija Usmerjevalnika 2. Poglejmo si, kaj pomenijo določeni ukazi in čemu so namenjeni. Crypto isakmp policy 1 uporabimo, da vstopimo v ISAKMP konfiguracijski način. V tem načinu vpišemo ukaz authentication pre-share in s tem določimo, da uporabljamo v naprej določen ključ za avtentifikacijo. Z hash sha ukazom uporabimo Secure Hash zgoščevalni algoritem za vzpostavitev ISAKMP Secure Association (SA). Ukaz encryption aes 128 poskrbi, da uporabimo 128 Advanced Encryption Standard (AES) za šifriranje, z group 2 določimo Diffie-Hellman algoritem tipa Group 2 in s tem zagotovimo varno izmenjavo ključa. Za zaključek v tem konfiguracijskem načinu še vpišemo ukaz lifetime in določimo življenjsko dobo enega dneva SA-ju. Za konec še v globalnem konfiguracijskem načinu določimo ključ Cisco0Press in ponorni naslov usmerjevalnika z ukazom crypto isakmp key Cisc0Press address

33 Omrežna varnost z uporabo IPsec in VPN Stran 24 Tabela 5.7: Konfiguracija IKE stopnje 1 na Usmerjevalniku 1 Usmerjevalnik1# conf t Usmerjevalnik1(config)# crypto isakmp policy 1 Usmerjevalnik1(config-isakmp)# authentication pre-share Usmerjevalnik1(config-isakmp)# hash sha Usmerjevalnik1(config-isakmp)# encryption aes 128 Usmerjevalnik1(config-isakmp)# group 2 Usmerjevalnik1(config-isakmp)# lifetime Usmerjevalnik1(config-isakmp)# exit Usmerjevalnik1(config)# crypto isakmp key Cisc0Press address Usmerjevalnik1(config)# end Tabela 5.8: Konfiguracija IKE stopnje 1 na Usmerjevalniku 2 Usmerjevalnik2# conf t Usmerjevalnik2(config)# crypto isakmp policy 1 Usmerjevalnik2(config-isakmp)# authentication pre-share Usmerjevalnik2(config-isakmp)# hash sha Usmerjevalnik2(config-isakmp)# encryption aes 128 Usmerjevalnik2(config-isakmp)# group 2 Usmerjevalnik2(config-isakmp)# lifetime Usmerjevalnik2(config-isakmp)# exit Usmerjevalnik2(config)# crypto isakmp key Cisc0Press address Usmerjevalnik2(config)# exit 5.5 Konfiguriranje IKE stopnje 2 ali IPsec tunela Spomnimo, da je IKE stopnja 2 (IPsec tunel) dosežena s predhodno vzpostavitvijo varnega ISAKMP tunela. V spodnji tabeli 5.9 in 5.10, je prikazana sintaksa vzpostavitve IKE stopnje 2 tunela za Usmerjevalnik 1 in Usmerjevalnik 2. Z ukazom crypto ipsec transform-set MYSET esp-aes esp-sha-hmac ustvarimo in določimo transformacijskem nizu ime MYSET. S parametrom esp-aes določimo šifrirni algoritem, z esp-sha-hmac pa zgoščevalni (ang. hashing) algoritem. V obeh primerih tvorimo t.i. razširjeno ACL z oznako 101, v kateri določimo, da bo ves IP promet med

34 Omrežna varnost z uporabo IPsec in VPN Stran 25 omrežjema /24 in /24 potoval skozi IPsec tunel. Nato ustvarimo kriptografsko mapo z ukazom crypto map ime kriptografske mape 10 ipsec-isakmp. V kriptografskem konfiguracijskem načinu z ukazom set peer določimo IP naslov IPsec ponora na usmerjevalniku. Match address 101 poveže prej ustvarjeno ACL s kriptografsko mapo. MAYSET je povezan s kriptografsko mapo z ukazom set transformset MYSET. Tabela 5.9: Konfiguracija IKE stopnja 2 na Usmerjevalniku 1 Usmerjevalnik1# conf t Usmerjevalnik1(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac Usmerjevalnik1(cfg-crypto-trans)# exit Usmerjevalnik1(config)#access-list 101 permit ip Usmerjevalnik1(config)# crypto map ROUT1_TO_ ROUT2 10 ipsec-isakmp Usmerjevalnik1(cfg-crypto-map)# set peer Usmerjevalnik1(cfg-crypto-map)# match address 101 Usmerjevalnik1(cfg-crypto-map)# set transform-set MYSET Usmerjevalnik1(cfg-crypto-map)# exit Usmerjevalnik1(config)# exit Tabela 5.10: Konfiguracija IKE stopnje 2 na Usmerjevalniku 2 Usmerjevalnik2# conf t Usmerjevalnik2(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac Usmerjevalnik2(cfg-crypto-trans)# exit Usmerjevalnik2(config)#access-list 101 permit ip Usmerjevalnik2(config)# crypto map ROUT2_TO_ ROUT1 10 ipsec-isakmp Usmerjevalnik2(cfg-crypto-map)# set peer Usmerjevalnik2(cfg-crypto-map)# match address 101 Usmerjevalnik2(cfg-crypto-map)# set transform-set MYSET Usmerjevalnik2(cfg-crypto-map)# exit Usmerjevalnik2(config)# exit

35 Omrežna varnost z uporabo IPsec in VPN Stran Pritrditev kriptografske mape Kriptografsko mapo smo morali še prilepiti vmesniku, preko katerega smo želeli, da poteka IPsec tunel. V tabeli 5.11 in 5.12 je prikazana pritrditev ROUT1_TO_ROUT2 kriptografske mape na Usmerjevalnik 1 in pritrditev ROUT2_TO_ ROUT1 kriptografske mape na Usmerjevalnik 2. Najprej smo z ukazom interface serial 0/1 preklopili v vmesniški konfiguracijski način, kjer smo prilepili kriptografsko mapo z ukazom crypto map ROUT1_TO_ROUT2. ROUT1_TO_ ROUT2 je ime kriptografske mape, ki smo jo predhodno ustvarili. V obeh primerih uporabimo še ukaz ip route, s katerim ustvarimo statično pot, ki kaže na oddaljeno omrežje in naslednje vozlišče. Tabela 5.11: Dodajanje kriptografske mape na usmerjevalnik 1 Usmerjevalnik1# conf term Usmerjevalni1(config)# interface serial 0/1 Usmerjevalnik1(config-if)# crypto map ROUT1_TO_ ROUT2 Usmerjevalnik1(config-if)# exit Usmerjevalnik1(config)# ip route Usmerjevalnik1(config)# end Tabela 5.12: Dodajanje kriptografske mape na usmerjevalnik 2 Usmerjevalnik2# conf term Usmerjevalnik2(config)# interface serial 0/1 Usmerjevalnik2(config-if)# crypto map ROUT2_TO_ ROUT1 Usmerjevalnik2(config-if)# exit Usmerjevalnik2(config)# ip route Usmerjevalnik2(config)# end 5.7 Testiranje IPsec tunela Testiranje IPsec tunela, smo izvedli tako, da smo v usmerjevalniku 1 vnesli ukaz ping in s tem izvedli razširjen ukaz ping, kot je prikazano v spodnji tabeli Prvi ping je bil neuspešen, ker se je takrat vzpostavljal IPsec tunel (in razreševala preslikava IP v MAC z

36 Omrežna varnost z uporabo IPsec in VPN Stran 27 ARP). Ostali pingi so bili uspešni, kar je pomenilo, da smo uspešno vzpostavili varno IPsec povezavo. Tabela 5.13: Prikaz testiranja IPsec tunela z razširjenim pingom Izpis ukaza za verifikacijo show crypto session je prikazan v spodnji tabeli Razvidno je, da poteka varna povezava IPsec od lokalnega naslova do oddaljenega naslova preko vrat 500. Razvidno je, da je vzpostavljen tunel, kar pomeni, da ne gre za končni točki, in zato se promet iz omrežja /24, ki je namenjen v omrežje /24 zaščiti. Prav tako je razvidno, da je povezava aktivna. Tabela 5.14: Ukaz show crypto session

37 Omrežna varnost z uporabo IPsec in VPN Stran 28 Tabela 5.15: Prikaz ukaza show crypto engine connection active Z navedenimi ukazi smo verificirali, da je varna povezava vzpostavljena. V tej točki lahko na kratko obnovimo, kako poteka varna IPsec povezava. Najprej se vzpostavi IKE stopnja 1 in nato še IKE stopnja 2. Po vzpostavitvi IKE stopnje 2 se ustvari t. i. IPsec tunel med dvema vmesnima točkama, v našem primeru, med Usmerjevalnikom 1 in Usmerjevalnikom 2. Poglejmo, kaj se zgodi s paketom, ko ga pošljemo iz omrežja /24 v omrežje /24. Nezaščiten paket prispe na Usmerjevalnik 1. V tem trenutku ima izvorni naslov npr in ponorni naslov Usmerjevalnik prepozna, da gre za pomemben promet, ker je namenjen v omrežje /24. V tem trenutku je potrebno celotno sporočilo zaščititi. Usmerjevalnik 1 to naredi tako, da originalno besedilo in IP glavo šifrira ter doda novo glavo z novim izvornim in ponornim ip naslovom. V našem primeru dodeli izvorni ip naslov in ponorni naslov Originalni paket, vključno z originalno IP glavo, šifrira z AES. Overjanje izvrši s SHA, oviri ESP glavo.

38 Omrežna varnost z uporabo IPsec in VPN Stran 29 6 IZGRADNJA IPSEC VPN MED VOZLIŠČEMA Z UPORABO SDM V prejšnjem poglavju smo vse usmerjevalnike konfigurirali v konzolnem načinu. Konfiguriranje IPsec v konzolnem načinu je dokaj zahtevno za omrežne administratorje, saj zahteva podrobno poznavanje IPsec parametrov in pripadajočih nastavitev. Za lažje rokovanje z usmerjevalniki, je Cisco razvil posebno grafično orodje, t. i. Security Device Manager ali krajše SDM. Ta grafični vmesnik vsebuje medvozliščni VPN čarovnik, ki nam pomaga konfigurirati varno IPsec povezavo. Sam postopek konfiguracije s pomočjo SDM programa bomo opisali v nadaljevanju. Najprej si poglejmo kratko predstavitev in samo namestitev programa. 6.1 Security Device Manager Security Device Manager, v nadaljevanju SDM, je grafični vmesnik in deluje na spletnem brskalniku. Za delovanje le-tega smo morali biti pozorni, da uporabljamo pravo verzijo spletnega brskalnika in Jave, kot je navedeno v specifikacijah. Namen samega programa je ta, da omogoči uporabniku lažje in hitrejše nastavljanje usmerjevalnika in obenem poskrbi za boljšo varnost. Za lažje, hitrejše in učinkovitejše nastavljanje poskrbijo t. i. čarovniki, ki vodijo uporabnika skozi samo nastavitev. Preden želimo uporabiti SDM, moramo najprej to omogočiti na samem usmerjevalniku. To izvedemo prek konzolnega kabla na usmerjevalniku s terminalskim dostopom. Slika 6.1: Povezava računalnik usmerjevalnik s konzolnim kablom Na usmerjevalniku smo omogočili HTTP in HTTPS strežnik. To storimo v globalnem konfiguracijskem načinu tako, da smo vpisali ukaze navedene v tabeli 6.1. Router# configure terminal Tabela 6.1: Omogočitev HTTP in HTTPS strežnik

39 Omrežna varnost z uporabo IPsec in VPN Stran 30 Enter configuration commands, one per line. End with CNTL/Z. Router(config)# ip http server Router(config)# ip http secure-server Router(config)# ip http authentication local Router(config)# ip http timeout-policy idle 600 life requests Obvezno smo mu morali določiti uporabniško ime in geslo za privilegiran način. Kako smo to naredili je opisano v tabeli 6.2. Paziti smo morali, da smo tam, kjer piše username vpisali uporabniško ime, tam, kjer je pisalo password pa geslo. Slednje se uporabi za prijavo v SDM. Z ukazom transport input telnet ssh smo omogočili uporabo SSH (ang. Secure Shell). To je protokol, ki omogoča varno izmenjavo podatkov med dvema napravama. Obenem smo omogočili še Telnet. Telnet ravno tako omogoča izmenjavo podatkov med dvema napravama, vendar brez šifriranja sporočil. SSH-ju in Telnet-u smo omogočili lokalno prijavljanje v privilegiranem načinu. Zaradi varnosti je smotrno onemogočiti Telnet z ukazom no transport input telnet. Omogočili smo mu še nadzor nad lokalnim prijavljanjem z ukazom logging buffered warning. Tabela 6.2: Nastavitev uporabniškega imena, gesla in varne povezave Router(config)# username username privilege 15 secret 0 password Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet ssh Router(config-line)# exit Router(config)# logging buffered warning 6.2 Namestitev programa SDM Program SDM lahko naložimo direktno na usmerjevalnik ali na računalnik. Lahko pa storimo oboje. V našem primeru smo ga naložili na računalnik, saj s tem privarčujemo s pomnilniškim prostorom na samem usmerjevalniku. Sama namestitev programa SDM je enostavna, saj nas skozi celotno namestitev vodi čarovnik. Zagon programa se izvede s SDM zaganjalnikom, v katerega vpišemo internetni naslov usmerjevalnika.

40 Omrežna varnost z uporabo IPsec in VPN Stran 31 Slika 6.2: Namestitev programa SDM skozi katero nas vodi čarovnik V nadaljevanju se odpre brskalno okno, ki od nas zahteva uporabniško ime in geslo, katerega smo določili v začetni konfiguraciji usmerjevalnika. Za prikaz v brskalniku se uporablja program Java (Slika 6.3). Slika 6.3: Prikaz prijavnega okna SDM

41 Omrežna varnost z uporabo IPsec in VPN Stran 32 Po vpisu uporabniškega imena in gesla se odpre začetna stran programa SDM. Odpre se pod opravilno vrstico»home«. Program omogoča izbiranje med naslednjimi opravilnimi vrsticami: Home, Configure in Monitor. Slika 6.4: Opravilna vrstica Home 6.3 Predstavitev SDM VPN čarovnika Cisco SDM omogoča dva načina nastavitve IPsec VPN povezave. En način je z uporabno hitrega čarovnika (ang. Quick Setup wizard), drugi nas vodi po korakih skozi celotno nastavitev (ang. Step-by-Step wizard). Čarovnik od nas zahteva, da vnesemo nekaj ključnih elementov in nato sam vključi že vnaprej nastavljene VPN elemente. Na ta način ustvari varno povezavo in od nas ne zahteva širšega znanja o IPsec protokolih. Slika 6.5 prikazuje, kako smo začeli s Cisco SDM Site-to-Site VPN konfiguracijo. Potek je opisan po korakih.

42 Omrežna varnost z uporabo IPsec in VPN Stran 33 Slika 6.5: Cisco SDM Site-to-Site VPN čarovnik Prvi korak je bil ta, da smo v upravljalni vrstici izbrali gumb»configure«, s tem se nam je odprlo novo okno. V drugem koraku, smo na levi strani, v upravljalni vrstici z gumbi, izbrali ikono VPN. Ko smo to storili se nam je pokazala zgornja slika. V tretjem koraku smo izbrali»site to Site VPN«. Nato smo, s četrtim korakom, izbrali hitri način (ang. Quick setup). Za konec smo v petem koraku potrdili gumb»launch the selected task«. Zagnalo se je okno, v katerem smo lahko izbirali med hitro konfiguracijo (ang. Quick setup) ali konfiguracijo po korakih (ang. Step by step wizard). To je prikazano na sliki 6.6.

43 Omrežna varnost z uporabo IPsec in VPN Stran 34 Slika 6.6: Izbira VPN čarovnika Na tej točki smo izbirali med hitrim načinom in čarovnikom, ki nas vodi po korakih. Izvedli smo oba načina. Kot prvo si poglejmo hitri način nato pa še način konfiguracije po korakih. 6.4 Hitri način konfiguracije IPsec medvozliščni VPN v SDM Za demonstracijo delovanja IPsec Site-to-Site VPN s pomočjo SDM, smo z njim konfigurirali samo Usmerjevalnik 1. Na usmerjevalniku InrernetISP in Usmerjevalniku 2 smo imeli samo osnovne nastavitve. Katere nastavitve smo morali naknadno vnesti na Usmerjevalnik 2 nam je sporočil sam SDM program. Topologija priključitve je prikazana na sliki 6.7.

44 Omrežna varnost z uporabo IPsec in VPN Stran 35 Slika 6.7: Topologija izvedbe hitrega IPsec Site-to-Site VPN čarovnika Za lažje razumevanje, kako so nastavitve potekale, smo jih razdeli na osem korakov Izbira opcij in vnos parametrov Čarovnik v hitrem načinu privzeto ponuja dve IKE opciji. Ena je, da izberemo digitalno potrdilo, druga opcija pa je z vnaprej določenim ključem. Izbrali smo slednjo in za ključ določili geslo Cisc0Pass. Za vmesnik, preko katerega je vzpostavljena VPN povezava, smo izbrali serijski vmesnik Serial0/1. Za IP oddaljenega usmerjevalnika smo izbrali , za oddaljeno omrežje smo izbrali IP naslov z masko /24. Kako smo to izvedli je prikazano na sliki 6.8.

45 Omrežna varnost z uporabo IPsec in VPN Stran Pregled nastavitev Slika 6.8: Vstavljanje parametrov za hitri način Ko smo vnesli vse parametre, smo potrdili gumb «Next«. Prikazala se je spodnja slika. Slika 6.9: Pregled nastavitev

46 Omrežna varnost z uporabo IPsec in VPN Stran Prenos nastavitev na usmerjevalnik Izrisalo se je pregledno okno s predhodno izvedenimi nastavitvami, ki smo jih potrdili z gumbom»finish«. S tem ukazom so se nastavitve prenesle na usmerjevalnik. Končan prenos potrdimo z gumbom»ok«. Slika 6.10: Prenos nastavitev Pregled Site-to-Site VPN konfiguracije Slika 6.11: Pregled Site-to-Site VPN konfiguracije

47 Omrežna varnost z uporabo IPsec in VPN Stran 38 Uspešno preneseni podatki na usmerjevalnik nam še vedno niso zagotovili varne povezave. Iz slike 6.11 je razvidno, da je VPN povezava še vedno neaktivna (opozorilo»down«). Neaktivna je bila zaradi tega, ker usmerjevalnik na drugem koncu tunela, še ni bil nastavljen Izpis nastavitev za usmernik na drugi strani Cisco SDM nam samodejno pomaga pri nastavitvah usmerjevalnika, na drugi strani tunela. S potrditvijo gumba «Generate Mirror«, se je odprlo novo okno, v katerem so se izpisale nastavitve, katere je bilo potrebno vnesti v usmerjevalnik na drugi strani tunela. To je prikazano na spodnji sliki Preden smo pripeli izpisano kripto mapo, smo morali določiti vmesnik, na oddaljenem usmerjevalniku, na katerega jo bomo pripeli. Slika 6.12: Izpis nastavitev za usmerjevalnik na drugi strani tunela Konfiguracija usmerjevalnika na drugi strani tunela Na oddaljenem usmerjevalniku je bilo potrebno ročno vnesti nastavitve, ki nam jih je predlagal SDM. Kako smo to izvedli, je podano v spodnji tabeli.

48 Omrežna varnost z uporabo IPsec in VPN Stran 39 Usmerjevalnik2# conf t Tabela 6.3: Konfiguracija usmerjevalnika na drugi strani tunela Usmerjevalnik2(config)# crypto isakmp policy 1 Usmerjevalnik2(config-isakmp)# authentication pre-share Usmerjevalnik2(config-isakmp)# encryption 3des Usmerjevalnik2(config-isakmp)# hash sha Usmerjevalnik2(config-isakmp)# group 2 Usmerjevalnik2(config-isakmp)# lifetime Usmerjevalnik2(config-isakmp)# exit Usmerjevalnik2(config)# crypto isakmp key Cisc0Press address Usmerjevalnik2(config)# crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des Usmerjevalnik2(cfg-crypto-trans)# exit Usmerjevalnik2(config)# ip access-list extended SDM_1 Usmerjevalnik2(config-ext-nacl)# permit ip Usmerjevalnik2(config)# crypto map SDM_CMAP_1 1 ipsec-isakmp Usmerjevalnik2(cfg-crypto-map)# set peer Usmerjevalnik2(cfg-crypto-map)# match address SDM_1 Usmerjevalnik2(cfg-crypto-map)# set transform-set ESP-3DES-SHA Usmerjevalnik2(cfg-crypto-map)# exit Usmerjevalnik2(config)# exit Nato smo potrdili gumb»test Tunnel«in odprlo se nam je okno»troubleshooting«, kjer smo testirali VPN povezavo Testiranje VPN tunela S potrditvijo gumba»start«, smo pričeli s testom VPN povezave. Ker je bilo vse v redu se je izpisalo»vpn tunnel is up«. Prikazano na sliki 6.13.

49 Omrežna varnost z uporabo IPsec in VPN Stran 40 Slika 6.13: Testiranje VPN povezave Prikaz uspešne povezave Ko smo zaprli okno»vpn Trubleshooting«se je ustvaril VPN tunel med obema usmerjevalnikoma. To je prikazano na sliki Sledil je pregled te povezave. Pod opravilno vrstico smo izbrali»monitor«in kliknili gumb»vpn Status«, kjer smo opazovali promet. Promet smo ustvarili tako, da smo iz računalnika 1 preverjali povezljivost na računalnik 2 z ukazom ping t. Na sliki 6.15 vidimo, da je najprej krivulja za prikaz prenosa paketov potekala pod enim naklonom, nato se je naklon povečal. To se je zgodilo zato, ker smo po določenem času še preverjali povezljivost v obratni smeri (ping iz računalnika 2 na računalnik 1) in se je zato obseg prometa povečal.

50 Omrežna varnost z uporabo IPsec in VPN Stran 41 Slika 6.14: Tunel oz. vmesnik je v delujočem stanju (status Up) Slika 6.15: VPN Status

51 Omrežna varnost z uporabo IPsec in VPN Stran Konfiguracija IPsec Site-to-Site VPN po korakih Čarovnik konfiguracije IPsec VPN po korakih je bolj zahteven. Od uporabnika zahteva več dodatnih vnosov parametrov in s tem boljše razumevanje IPsec VPN povezav. Za razliko, od hitrega načina, nam ponuja možnost izbire predlogov in nastavitev: Predlog za vzpostavitev IKE stopnje 1; Predlog za vzpostavitev IKE stopnje 2; Ponuja možnost konfiguracije ACL. Dodatne nastavitve predlogov so koristne, ko imamo drugi končni usmerjevalnik že nastavljen. S tem, ko nam SDM nudi možnost izbire nastavitev, nam omogoči, da ta usmerjevalnik nastavimo tako, kot je nastavljen oddaljen, že nastavljen usmerjevalnik. Na ta način nam SDM olajša delo. Prvi del poteka je opisan v poglavju Predstavitev SDM VPN čarovnika. Razlika nastopi v točki, ko smo se morali odločiti med čarovnikom za hitro nastavitev ali po korakih, kot je prikazano na sliki 6.6. V tem primeru smo izbrali nastavitev po korakih in potrdili»next«. Postopek smo razdelili v šest delov Vnos parametrov Odprlo se je novo okno, kot prikazuje slika Tukaj smo vnesli naslednje parametre: Za VPN povezavo smo izbrali serijski vmesnik 0/1; Izbrali smo statični internetni naslov; Za oddaljen IP naslov ; Overjanje smo izbrali z vnaprej določenim ključem»cisc0press«. Potrdimo z»next«.

52 Omrežna varnost z uporabo IPsec in VPN Stran 43 Slika 6.16: Povezavni parametri Nastavitev IKE predlogov Odprlo se je okno, v katerem smo imeli omogočeno nastavljanje IKE predlogov. Tukaj smo izbrali IKE, kot ga je predlagal Cisco SDM. Ravno tako smo lahko izbrali gumb»add«in sami nastavili predloge (Slika 6.17). Izbirali smo naslednje parametre politike IKE: Prioriteto (nastavljena na 1 pomeni osnovno nastavitev); Šifriranje (po osnovni nastavitvi je nastavljena na 3DES); Hash (po osnovni nastavitvi nastavljen na SHA_1); Overjanje (lahko izbiramo med PRE_SHARE in RSA_SIG); Življenjska doba (življenjska doba Security Associaton [SA]).

53 Omrežna varnost z uporabo IPsec in VPN Stran 44 Slika 6.17: IKE predlagani parametri Vnesene podatke smo potrdili z»ok«. Po izbiri»next«, se je odprlo okno»transform Set«, kjer smo vpisali parametre za IPsec tunel Korak 3: Vnos parametrov za IPsec tunel IKE predlog določi varnostne parametre za ISAKMP tunel (IKE stopnja 1). V tem koraku je bilo potrebno še nastaviti varnostne parametre za IPsec tunel (IKE stopnja 2). To smo naredili tako, da smo v konfiguracijskem oknu,»transform Set«, prikazanem na sliki 6.18, izbrali»add«. Tukaj smo lahko nastavili nastavitve po meri:»transform set name«smo izbrali ESP-3DES-SHA; Med»Encapuslating Security Payload«in»Authentication Header«smo izbrali ESP; Za zgoščevalni algoritem smo izbrali SHA; Šifriranje smo izbrali 3DES;»Mode«smo izbrali tunel;

54 Omrežna varnost z uporabo IPsec in VPN Stran 45»IP compression (COMP-LTS)«pa nismo izbirali. Slika 6.18: Parametri za IPsec tunel Po vnosu podatkov, smo kliknili gumb»ok«in nato»next«. Odprlo se je novo okno, kjer smo določili ACL Nastavitev ACL Sedaj je bilo potrebno določiti, kateri promet se zaščiti z uporabo IPsec tunela. Lahko izberemo, da zaščitimo ves promet v določenem podomrežju, ali pa sami ustvarimo dostopovno listo - ACL. V našem primeru smo zaščitili promet med omrežjem /24 in /24 kot je prikazano na sliki6.19. V primeru, ko smo sami želeli določiti ACL, smo izbrali»create/select an access-list for IPsec«, kot je prikazano v sliki Kliknemo na» «in dodamo pravilo.

55 Omrežna varnost z uporabo IPsec in VPN Stran 46 Slika 6.19: Zaščita vsega prometa med omrežjema Slika 6.20: Zaščita prometa s pomočjo ACL

56 Omrežna varnost z uporabo IPsec in VPN Stran 47 Ko smo izbrali»create a new rule (ACL) and select«, se je odprlo okno, kjer smo določali pravila. Najprej smo določili številko ACL in po želji dodali opis. Izbiro smo potrdili z»add«. Slika 6.21: Dodajanje pravila Odprlo se je podokno, slika 6.22, v katerega smo vpisali pravila za razširjen dostopovni seznam (ang. exteded ACL): V polju»select an action«smo izbrali»protect the traffic«; V polju»description«smo izbrali»prikaz ACL«; V polju»source Host/Network«smo izbrali»network«, IP address: ; V polju»destination Host/Network«smo izbrali»a Network«, IPaddress: ; V polju»protocol and Service«smo izbrali TCP, kot ciljna vrata pa telnet.

57 Omrežna varnost z uporabo IPsec in VPN Stran 48 Slika 6.22: Ustvarjanje razširjenega pravila Vnose smo potrdili z»ok«in na to še z»next«. Odprlo se je novo okno, s prikazom pregleda vsebin Pregled vsebin V predhodnem koraku smo lahko pred prenosom podatkov le-te ponovno pregledali. Po pregledu nastavitev smo potrdili gumb»finish«in s tem poslali nastavitve na usmerjevalnik. Novo pojavno okno»commands Delivery Status window«, zapremo z»ok«(slika 6.23). S tem smo prenesli nastavitve na Usmerjevalnik 1. Hkrati se je odprlo novo okno s prikazom statusa povezave. V istem oknu smo lahko izbrali gumb»generate Mirror«, ki prikaže potrebne nastavitve za usmerjevalnik na drugi strani tunela (Slika 6.24). Sledilo je testiranje povezave.

58 Omrežna varnost z uporabo IPsec in VPN Stran 49 Slika 6.23: Command Delivery Status Window Slika 6.24: Prikaz povezave

59 Omrežna varnost z uporabo IPsec in VPN Stran Testiranje povezave Za testiranje povezave smo izbrali gumb»test Tunel«. Odprlo se je okno za testiranje povezave v katerem smo za zagon testiranja izbrali gumb»start«. SDM diagnostika je ugotovila, da je tunel še vedno neaktiven. Ker so bili ostali parametri v redu, je predlagal generiranje prometa v drugo končno omrežje (Slika 6.26). Slika 6.25: Testiranje povezave

60 Omrežna varnost z uporabo IPsec in VPN Stran 51 Slika 6.26: Generiranje prometa v oddaljeno omrežje Povezava je bila uspešno ustvarjena. Slika 6.27: VPN tunel je OK

61 Omrežna varnost z uporabo IPsec in VPN Stran 52 Slika 6.28: VPN tunel je vzpostavljen Pregled delovanja povezave Slika 6.29: Pregled delovanja povezave

62 Omrežna varnost z uporabo IPsec in VPN Stran 53 Povezavo smo uspešno vzpostavili. Sledil je še pregled te povezave. Pod opravilno vrstico smo izbrali»monitor«in izbrali»vpn Status«, kjer smo opazovali promet. V začetku ni bilo prometa, nato smo izvedli preverjanje povezljivosti s pingom v oddaljeno omrežje. Nastala je prva stopnica, druga stopnica je pa nastala, ko smo to storili ponovno. 6.6 Konfiguracija»Easy VPN«strežnika s programom SDM Konfiguracija VPN strežnika je potekala na podoben način kot vzpostavitev povezave med vozliščema. V opravilni vrstici smo izbrali»configure«, potrdili»vpn«in»easy VPN Server«. Slika 6.30: Izbira»Easy VPN Server«Izbrali smo avtentikacijo, avtorizacijo in obračunavanje z»enable AAA«(korak 5). Ta opcija se prikaže le v primeru, če na usmerjevalniku še niso bili nastavljeni parametri za

63 Omrežna varnost z uporabo IPsec in VPN Stran 54 avtentikacijo, avtorizacijo in obraračunavanje. S potrditvijo Enable AAA smo izvedli vse v enem koraku. To je prikazano na naslednjih dveh slikah. Slika 6.31: Omogoči AAA Slika 6.32: Prenos podatkov na usmerjevalnik Nato smo izbrali»launch Easy VPN Server Wizard«in zagnali čarovnik za postavitev VPN strežnika.

64 Omrežna varnost z uporabo IPsec in VPN Stran 55 Slika 6.33: Predstavitev čarovnika»easy VPN Server«V naslednjem oknu smo določili preko katerega vmesnika, bomo dostopali do strežnika in kakšno overjanje bomo uporabili. Za vmesnik smo izbrali Serial 0/1, overjanje pa z v naprej določenim ključem. Slika 6.34: Izbira vmesnika in ključa

65 Omrežna varnost z uporabo IPsec in VPN Stran 56 Po vnosu želenih parametrov smo kliknili»next«, odprlo se je novo okno, katero je zahtevalo IKE predloge. Izbrali smo osnovni predlog. Slika 6.35: Izbira IKE nastavitev Sledil je vnos nastavitev za VPN tunel. Nastavili smo šifriranje, avtentifikacijo in algoritme. Izbrali smo kar osnovne nastavitve. V primeru, da želimo druge, kliknemo gumb»add«, kjer lahko nastavimo: Prioriteto, Šifriranje, Overjanje. Skupino, Zgoščevalni algoritem in Življenjsko dobo ISAKMP povezave.

66 Omrežna varnost z uporabo IPsec in VPN Stran 57 Slika 6.36: Izbira nastavitev za VPN tunel S potrditvijo»next«smo aktivirali novo okno za avtentifikacijo. Izbrali smo le lokalno avtentikacijo. Slika 6.37: Izbira avtentifikacije V naslednjem oknu ravno tako izberemo»local Only«.

67 Omrežna varnost z uporabo IPsec in VPN Stran 58 Slika 6.38: Avtentifikacija uporabnika V naslednjem oknu, smo z izbiro»add«, definirali še skupine. Slika 6.39: Določite avtentikacijske in uporabniške skupine.

68 Omrežna varnost z uporabo IPsec in VPN Stran 59 Tukaj smo pod zavihek»general«vpisali ime skupine, v našem primeru Client_VPN, pred določen ključ Cisc0Press. Obseg (bazen) naslovov do , z masko To je prikazano na spodnji sliki. Slika 6.40: Osnovne nastavitve S tem smo ustvarili politiko z imenom skupine Client_VPN in SDM_PO z obsegom naslovov. Čas trajanja zveze nismo določili.

69 Omrežna varnost z uporabo IPsec in VPN Stran 60 Slika 6.41: Ustvarjena je nova politika Za konec smo izbrali»next«in pregledali katere nastavitve se bodo prenesle na usmerjevalnik. S»Finish«smo zaključili z izdelavo strežnika. Slika 6.42: Pregled nastavitev»easy VPN Server«Nato pošljemo še podatke na usmerjevalnik.

70 Omrežna varnost z uporabo IPsec in VPN Stran 61 VPN Strežnik je tako uspešno nastavljen. Slika 6.43: Pošiljanje nastavitev na usmerjevalnik Slika 6.44:»Easy VPN Server«Zadevo smo še testirali s potrditvijo gumba»test VPN Server«. Povezava je bila uspešno vzpostavljena kar je razvidno iz slike 6.45.

71 Omrežna varnost z uporabo IPsec in VPN Stran 62 Slika 6.45: Uspešno preverjen VPN Strežnik Če povezava uspešno deluje, najbolj preprosto preverimo s t. i. Cisco VPN odjemalcem (ang. Cisco VPN Client). 6.7 Cisco VPN odjemalec Cisco VPN je programska oprema podjetja Cisco. Slednji omogoča uporabnikom varno povezavo med točkama ali do VPN strežnika. Za vzpostavitev varne povezave se uporabi IPsec protokol. Program od uporabnika zahteva le vnos osnovnih nastavitev. Ostale nastavitve kot so, VPN dostopovna politika, se prenesejo iz oddaljenega prehoda, ko je povezava vzpostavljena. To omogoča enostavno uporabo in upravljanje Vzpostavitev varne VPN povezave na»easy VPN«strežnik s programom Cisco VPN Client Za prikaz delovanja Cisco VPN Clienta, smo uporabili topologijo iz slike 5.1. Program Cisco VPN Client smo naložili na Računalnik 2 in se iz njega povezali na»easy VPN«strežnik aktiviran na Usmerjevalniku 1. Sama inštalacija programa je preprosta, zato jo

72 Omrežna varnost z uporabo IPsec in VPN Stran 63 bomo izpustili. Vzpostavitev varne VPN povezave na»easy VPN«strežnik s programom Cisco VPN Client smo ustvarili na sledeč način. Zagnali smo Cisco VPN Client kot je prikazano na spodnji sliki. Izbrali smo okno»new«, kamor smo vpisali potrebne podatke za vzpostavitev VPN povezave s strežnikom. Slika 6.46:: Cisco VPN Client

73 Omrežna varnost z uporabo IPsec in VPN Stran 64 Slika 6.47: Vpis podatkov potrebnih za povezavo Pod»Connection Entry«smo izbrali»client_vpn«. Kot naslov gostitelja (ang. Host) pa smo izbrali vhodni vmesnik na Usmerjevalniku 1 in sicer , ki predstavlja prehod (ang. gateway). Overjanje mora biti enako kot na strežniku in zato je to v našem primeru pod vnosom»name«client_vpn, kot ključ pa navedemo Cisc0Press. To so vse potrebne nastavitve. Nato smo preverili, če je naša povezava uspešna. To smo preverili z dvojnim klikom na povezavo. Pojavilo se je okno v katerem je zahtevalo uporabniško ime in geslo, za dostop do usmerjevalnika. To geslo in uporabniško ime je enako kot smo ga določili za dostop do programa SDM.

74 Omrežna varnost z uporabo IPsec in VPN Stran 65 Slika 6.48: Vnos uporabniškega imena in gesla Po uspešno vnesenem uporabniškem imenu in geslu se je vzpostavila varna povezava s strežnikom (Slika 6.49). Slika 6.49: VPN povezava se je vzpostavila

75 Omrežna varnost z uporabo IPsec in VPN Stran 66 Pogledali smo status povezave. To smo storili tako, da smo izbrali gumb»status«in potrdili «Statistic«. S tem smo aktivirali okno za izpis statusa povezave (Slika 6.50). Slika 6.50: Status VPN povezave Iz statusa je razvidno, da smo bili prijavljeni v omrežje To omrežje smo izbrali, ko smo nastavljali VPN strežnik, z navedbo obsega ip naslovov, v nastavitvah»general«(slika 6.40). Povezani smo na strežnik, kateri se nahaja na naslovu Pod zavihkom»route Details«lahko vidimo podrobnosti usmerjanja (Slika 6.51). Slika 6.51: Podrobnosti usmerjenja

76 Omrežna varnost z uporabo IPsec in VPN Stran 67 V osnovnem konfiguracijekm oknu VPN Client izberemo še zavihek»log > Log Settings«in aktiviramo zapisovanje prenosa podatkov, ki potekajo prek programa Cisco VPN Client (Slika 6.52). Slika 6.52: Vklop in določitev prioritete pomembnim podatkom S tem, ko smo določili IKE in IPsec 3 - High, smo dosegli, da bomo lahko v»log Windows«spremljali kako je potekala IKE in IPsec povezava. Slika 6.53: Okno za beleženje dogodkov