Sieťové prostriedky na vytváranie VPN. Michal Majerčík 2014

Transcription

1 Sieťové prostriedky na vytváranie VPN Michal Majerčík

2 Teória VPN sietí Osnova Praktické konfigurácie (Cisco, Fortinet, Juniper, windows...) 2

3 Čo je to VPN sieť Základ VPN Prečo budujeme VPN siete 3

4 Čo je to VPN sieť Základ VPN Prečo budujeme VPN siete Confidentiality Integrity Peer authentication Key management 4

5 Základné použitie VPN 5

6 História kryptografie Je stará cca 5000 rokov Používala sa v diplomatických a vojenských kruhoch 6

7 Substitúcia Skladanie písmen Otočenie slov Prvé metódy šifrovania 7

8 Symetrické šifrovanie Proces šifrovania 8

9 Proces šifrovania Asymetrické šifrovanie 9

10 Možnosti vytvárania VPN tunelov Metódy tunelovania: L2TP (L2F) PPTP IPSec 10

11 L2TP [Layer 2 Tunneling Protocol] Vychádza z predchodcu L2F a špecifikácie PPTP Spojenie prebieha na druhej vrstve Zabezpečenie zriadenie tunela PPP 11

12 L2TP [Layer 2 Tunneling Protocol] Zriadenie L2TP tunela: 12

13 PPTP [Point-to-Point Tunneling Protocol] Protokol od spoločnosti Microsoft Implementovaný vo všetkých OS Windows Používa sa na vytvorenie VPN cez internet 13

14 Porovnanie L2TP - PPTP PPTP umožňuje užívateľovi výber cieľového uzlu tunelu až po zostavení PPP spojenia Pri modeli L2TP je PPP spojenie ukončené v sieti poskytovateľa komutovaného pripojenia L2TP model je používaný v prípadoch, kedy veľkí poskytovatelia obsahu prenajímajú prístupové siete iným firmám 14

15 IPSec [IP Security] Poskytuje autentizáciu a ochranu údajov pri prenose Na ochranu údajov sa používajú symetrické šifrovacie algoritmy Obsahuje obojsmernú autentizáciu a vyjednanie kryptografických metód a kľúčov Na začiatku sa identifikujú obe strany, a potom sa začne šifrovať 15

16 IPSec [IP Security] 16

17 IPSec [IP Security] IPSec protokol má na výber z troch hlavných protokolov: IPSec ESP [Encapsulating Security Payload] IPSec AH [Authentication Header] IPSec SA [Security Association] 17

18 IPSec AH IPSec [IP Security] IP protokol 51 Je zachovaná integrita dát Je overená autenticita zdroja dát Zaisťuje integritu a autentizáciu zdroja dát Využíva hašovaciu funkciu (MD5 alebo SHA) Dnes sa samostatne skoro vôbec nepoužíva 18

19 IPSec ESP IPSec [IP Security] IP protokol 50 Je zachovaná integrita dát a dôvernosť Je overená autenticita zdroja dát Dáta sú šifrované Využíva šifrovacie algoritmy (DES alebo AES) 19

20 IPSec SA IPSec [IP Security] skupina algoritmov, ktoré poskytujú parametre pre bezpečnú komunikáciu pomocou AH a ESP používa ISAKMP Framework a doplnkový protokol, napríklad IKE, pre výpočet atribútov Atribúty Šifrovací algoritmus Platnosť kľúčov Kompresiu a zapúzdrenie 20

21 IPSec [IP Security] Možnosť dvoch režimov Tunelový mód Transportný mód 21

22 IPSec [IP Security] 22

23 IKEv1 [Internet Key Exchange] Používa sa na začiatku IPSec komunikácie Používa port 500 (udp) Pre autentizáciu používa PSK alebo certifikát Rieši pravidelnú výmenu šifrovacích kľúčov Používa sa DH [Diffie-Hellman] na výmenu kľúčov IKE riadi silu kľúčov, použitie hašovacích funkcií, automatické generovanie a obnovovanie kľúčov, vyjednáva SA asociáciu 23

24 IKEv1 [Internet Key Exchange] ISAKMP SA jeden obojsmerný, bezpečnostný, dorozumievací kanál na výmenu bezpečnostných parametrov Životnosť je 24 hodín 25

25 1. fáza IKEv1 [Internet Key Exchange] 26

26 1. fáza IKEv1 [Internet Key Exchange] Dojednávajú si kanál ISAKMP SA Vytvoria bezpečný kanál pre IPSec SA vo fáze 2 Dohodnú si šifrovací algoritmus Hašovaciu funkciu Má dva módy» Main mode 6 paketov» Aggressive mode 3 pakety 27

27 1. fáza IKEv1 [Internet Key Exchange] Má tri možné metódy autentifikácie Pre-Share key na oboch zariadeniach sa používa ručne zadaný kľúč Public Key Infrastructure vygenerovanie certifikátov X.509 Náhodné čísla šifrované RSA 28

28 IKEv1 [Internet Key Exchange] Silnejšie politiky je dobré umiestňovať na začiatok tabuliek NAT-T Pakety v rámci IPSec-u sú chránené hašom, Pri NAT-ovaní sa mení hlavička Zapúzdri paket do UDP portu 29

29 2. fáza IKEv1 [Internet Key Exchange] Výmena jednosmerných správ IPSec SA a parametrov Každá správa je šifrovaná iným kľúčom Quick mode rieši znovu vyjednanie SA tesne pred jeho vypršaním. 30

30 2. fáza IKEv1 [Internet Key Exchange] Doplnkové zabezpečenie PFC [Perfect Forward Secrecy] pri odvodzovaní kľúčov vo fáze 2 sa odvodzujú z fázy 1. PFC pomocou D-H vyžiada znovu výmenu kľúčov pre fázu 2 XAUTH [Extended User Authentication] overenie peera voči RADIUS serveru. (Fáza 1 + fáza 2) 31

31 IKEv1 vs. IKEv2 [Internet Key Exchange] Používa menej transakcií na vyjednanie spojenia Silnejšia bezpečnosť (ochrana pred DoS a.i) Používa sekvenčné čísla, potvrdzovanie a korekcie chýb Podporuje EAP 32

32 SSL/TLS SSL (Secure Sockets Layer) je otvorený protokol V súčasnosti jedna z najpoužívanejších metód na zabezpečenie dátových prenosov SSL využíva asymetrické šifrovanie 33

33 SSL/TLS SSL protokol očakáva dva kroky: Spojenie SSL spojenia sú dočasné a každé spojenie je asociované jednou reláciou Relácia SSL spojenie medzi klientom a serverom. Slúžia na dojednanie bezpečnostných parametrov, aby pre každé spojenie nevznikala nová požiadavka 34

34 SSL/TLS SSL Handshake Protokol Autentifikuje server a klienta Dojednáva» šifrovací algoritmus» Algoritmus na výpočet autentizačného kódu» Kryptografický kľúč Výmena nastáva pred prenosom aplikačných údajov 35

35 SSL/TLS SSL Handshake Protokol 36

36 1 fáza SSL/TLS Nadviazanie logického spojenia Inicializuje ju klient, požaduje najvyššiu verziu SSL a náhodné číslo Server odpovedá rovnakými parametrami ako klient žiada. Verzia môže byť menšia ako klient žiada 37

37 1 fáza SSL/TLS Možnosť použitých kľúčov na výmenu»rsa»pevný DH»Dočasný DH»Anonymný DH 38

38 2 fáza SSL/TLS Server pošle svoj certifikát Správa certifikátu je vyžadovaná vždy okrem metódy anonymného DH 39

39 3 fáza SSL/TLS Klient overuje platnosť poslaného certifikátu Klient kontroluje, či boli akceptované hello správy Po overení klient pošle správu o výsledku Server môže požadovať certifikát 40

40 4 fáza SSL/TLS Ukončuje vytváranie bezpečnostného spojenia Správa finished ukončuje úspešnú výmenu kľúčov 41

41 TLS SSL/TLS Je nástupca SSL protokolu SSL 3.0 sa skoro rovná TLS 1.0 Umožňuje začať komunikáciu v nešifrovanom formáte 42

42 Praktická realizácia VPN 43

43 Zariadenia na realizáciu VPN 44

44 45

45 Cisco rodina Routre 46

46 Cisco rodina Firewall 47

47 VPN na routry: Štandardný IPSec VTI GRE tunel Easy VPN DM VPN GET VPN AnyConnect Cisco rodina 48

48 VPN na ASA FW IPsec VPN Cisco rodina Site-to-Site - spojujú sa VPN zariadenia Remote Access - používa sa Cisco VPN klient SSL VPN Clientless SSL VPN - prístup cez webový prehliadač, Cisco SSL VPN klient (Remote Access) - používa Cisco AnyConnect VPN klient 49

49 Možnosti konfigurácie CLI CCP ASDM Cisco rodina 50

50 Cisco rodina Možnosti konfigurácie: CLI CCP ASDM 51

51 Cisco rodina CCP 52

52 Cisco rodina ASDM 53

53 Príklad konfigurácie cez CLI crypto isakmp policy 1 authentication pre-share encr aes 256 hash sha group 2 lifetime exit Cisco rodina crypto isakmp key TOP_SECRET_PASSWORD address crypto ipsec transform-set MENO esp-sha-hmac esp-aes 256 mode tunnel exit 54

54 Cisco rodina Príklad konfigurácie cez CLI ip access-list extended SDM_1 remark CCP_ACL Category=4 remark IPSec Rule permit ip log permit ip log exit crypto map SDM_CMAP_1 4 ipsec-isakmp description Apply the crypto map on the peer router's interface having IP address ip_adresa_peeru that connects to this router. set transform-set MENO set peer match address SDM_1 exit 55

55 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 1/6 56

56 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 2/6 57

57 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 3/6 58

58 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 4/6 59

59 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 5/6 60

60 Cisco rodina - Firewall Wizard klikačka na LEN 6 klikov 6/6 61

61 Cisco rodina - Router Router wizard 62

62 Cisco rodina - Router Router wizard 63

63 Cisco rodina - Router Router wizard 64

64 Cisco rodina - Router Router wizard 65

65 Cisco rodina - Router Router wizard 66

66 Cisco rodina - Router Router wizard 67

67 Cisco rodina - Router Router wizard 68

68 Anyconnect klient Cisco rodina - SSL VPN 69

69 Anyconnect klient Cisco rodina - SSL VPN 70

70 Anyconnect klient Cisco rodina - SSL VPN 71

71 Anyconnect klient Cisco rodina - SSL VPN 72

72 Anyconnect klient Cisco rodina - SSL VPN 73

73 Anyconnect klient Cisco rodina - SSL VPN 74

74 Clientless SSL VPN Cisco rodina - SSL VPN 75

75 76

76 Palo Alto Next Generation Firewalls 77

77 Palo Alto Široký výber zariadení Preferované GUI Pravidelné obnovovanie licencie Širšie možnosti manažmentu 78

78 Palo Alto Wizard 79

79 Palo Alto Wizard 80

80 Palo Alto Wizard 81

81 Palo Alto Wizard 82

82 Palo Alto Wizard 83

83 Palo Alto Wizard 84

84 85

85 Juniper 86

86 Juniper Široké portfólio zariadení Rôzne sieťové zariadenia Pri postavení kompletnej infraštruktúry systém poskytuje široké možnosti 87

87 Juniper Wizard 88

88 Juniper Wizard 89

89 Juniper Wizard 90

90 Juniper Wizard 91

91 Juniper Wizard 92

92 Juniper Wizard 93

93 Juniper Wizard 94

94 95

95 Fortinet 96

96 Fortinet Zameranie hlavne na koncový firewall UTM funkcie LoadBalancer MTA LAN SW 97

97 Fortinet Wizard 98

98 Fortinet Wizard 99

99 Fortinet Wizard 100

100 Fortinet Wizard 101

101 Fortinet Wizard 102

102 Fortinet Wizard 103

103 Fortinet Wizard 104

104 Nástroje na troubleshooting Cisco debug mode Iné zariadenia logy Nástroje tretích strán 105

105 Ike-scan Nástroje na troubleshooting 106

106 Otázky a diskusia Ďakujem za pozornosť 107