Sieťové prostriedky na vytváranie VPN - CSIRT.SK · IKEv1 vs. IKEv2 [Internet Key Exchange] •Používa menej transakcií na vyjednanie spojenia •Silnejšia bezpečnosť (ochrana

Sieťové prostriedky na vytváranie VPN

Michal Majerčík

2014

1

Osnova

• Teória VPN sietí

• Praktické konfigurácie (Cisco, Fortinet, Juniper, windows...)

2

Základ VPN

• Čo je to VPN sieť

• Prečo budujeme VPN siete

3

Základ VPN

• Čo je to VPN sieť

• Prečo budujeme VPN siete

Confidentiality

Integrity

Peer authentication

Key management

4

Základné použitie VPN

5

História kryptografie

• Je stará cca 5000 rokov

• Používala sa v diplomatických a vojenských kruhoch

6

Prvé metódy šifrovania

• Substitúcia

• Skladanie písmen

• Otočenie slov

7

Proces šifrovania

• Symetrické šifrovanie

8

Proces šifrovania

• Asymetrické šifrovanie

9

Možnosti vytvárania VPN tunelov

• Metódy tunelovania:

– L2TP (L2F)

– PPTP

– IPSec

10

L2TP [Layer 2 Tunneling Protocol]

• Vychádza z predchodcu L2F a špecifikácie PPTP

• Spojenie prebieha na druhej vrstve

• Zabezpečenie zriadenie tunela PPP

11

L2TP [Layer 2 Tunneling Protocol]

• Zriadenie L2TP tunela:

12

PPTP [Point-to-Point Tunneling Protocol]

• Protokol od spoločnosti Microsoft

• Implementovaný vo všetkých OS Windows

• Používa sa na vytvorenie VPN cez internet

13

Porovnanie L2TP - PPTP

• PPTP umožňuje užívateľovi výber cieľového uzlu tunelu až po zostavení PPP spojenia

• Pri modeli L2TP je PPP spojenie ukončené v sieti poskytovateľa komutovaného pripojenia

• L2TP model je používaný v prípadoch, kedy veľkí poskytovatelia obsahu prenajímajú prístupové siete iným firmám

14

IPSec [IP Security]

• Poskytuje autentizáciu a ochranu údajov pri prenose

• Na ochranu údajov sa používajú symetrické šifrovacie algoritmy

• Obsahuje obojsmernú autentizáciu a vyjednanie kryptografických metód a kľúčov

• Na začiatku sa identifikujú obe strany, a potom sa začne šifrovať

15

IPSec [IP Security]

16

IPSec [IP Security]

• IPSec protokol má na výber z troch hlavných protokolov:

– IPSec ESP [Encapsulating Security Payload]

– IPSec AH [Authentication Header]

– IPSec SA [Security Association]

17

IPSec [IP Security]

• IPSec AH

– IP protokol 51

– Je zachovaná integrita dát

– Je overená autenticita zdroja dát

– Zaisťuje integritu a autentizáciu zdroja dát

– Využíva hašovaciu funkciu (MD5 alebo SHA)

– Dnes sa samostatne skoro vôbec nepoužíva

18

IPSec [IP Security]

• IPSec ESP

– IP protokol 50

– Je zachovaná integrita dát a dôvernosť

– Je overená autenticita zdroja dát

– Dáta sú šifrované

– Využíva šifrovacie algoritmy (DES alebo AES)

19

IPSec [IP Security]

• IPSec SA

– skupina algoritmov, ktoré poskytujú parametre pre bezpečnú komunikáciu pomocou AH a ESP

– používa ISAKMP Framework a doplnkový protokol, napríklad IKE, pre výpočet atribútov

– Atribúty

• Šifrovací algoritmus

• Platnosť kľúčov

• Kompresiu a zapúzdrenie

20

IPSec [IP Security]

• Možnosť dvoch režimov

– Tunelový mód

– Transportný mód

21

IPSec [IP Security]

22

IKEv1 [Internet Key Exchange]

• Používa sa na začiatku IPSec komunikácie• Používa port 500 (udp)• Pre autentizáciu používa PSK alebo certifikát• Rieši pravidelnú výmenu šifrovacích kľúčov• Používa sa DH [Diffie-Hellman] na výmenu kľúčov• IKE riadi

– silu kľúčov, – použitie hašovacích funkcií, – automatické generovanie a obnovovanie kľúčov, – vyjednáva SA asociáciu

23


• ISAKMP SA – jeden obojsmerný, bezpečnostný, dorozumievací kanál na výmenu bezpečnostných parametrov

• Životnosť je 24 hodín

25


– 1. fáza

26


– 1. fáza

• Dojednávajú si kanál ISAKMP SA

• Vytvoria bezpečný kanál pre IPSec SA vo fáze 2

• Dohodnú si šifrovací algoritmus

• Hašovaciu funkciu

• Má dva módy » Main mode – 6 paketov

» Aggressive mode – 3 pakety

27


– 1. fáza

• Má tri možné metódy autentifikácie– Pre-Share key – na oboch zariadeniach sa používa ručne

zadaný kľúč

– Public Key Infrastructure – vygenerovanie certifikátov X.509

– Náhodné čísla šifrované RSA

28


• Silnejšie politiky je dobré umiestňovať na začiatok tabuliek

• NAT-T – Pakety v rámci IPSec-u sú chránené hašom,

– Pri NAT-ovaní sa mení hlavička

– Zapúzdri paket do UDP portu

29


• 2. fáza

– Výmena jednosmerných správ IPSec SA a parametrov

– Každá správa je šifrovaná iným kľúčom

– Quick mode – rieši znovu vyjednanie SA tesne pred jeho vypršaním.

30


• 2. fáza

– Doplnkové zabezpečenie

• PFC [Perfect Forward Secrecy] – pri odvodzovaní kľúčov vo fáze 2 sa odvodzujú z fázy 1. PFC pomocou D-H vyžiada znovu výmenu kľúčov pre fázu 2

• XAUTH [Extended User Authentication] – overenie peera voči RADIUS serveru. (Fáza 1 + fáza 2)

31

IKEv1 vs. IKEv2 [Internet Key Exchange]

• Používa menej transakcií na vyjednanie spojenia

• Silnejšia bezpečnosť (ochrana pred DoS a.i)

• Používa sekvenčné čísla, potvrdzovanie a korekcie chýb

• Podporuje EAP

32

SSL/TLS

• SSL (Secure Sockets Layer) je otvorený protokol

• V súčasnosti jedna z najpoužívanejších metód na zabezpečenie dátových prenosov

• SSL využíva asymetrické šifrovanie

33

SSL/TLS

• SSL protokol očakáva dva kroky:

– Spojenie SSL – spojenia sú dočasné a každé spojenie je asociované jednou reláciou

– Relácia SSL – spojenie medzi klientom a serverom. Slúžia na dojednanie bezpečnostných parametrov, aby pre každé spojenie nevznikala nová požiadavka

34

SSL/TLS

• SSL Handshake Protokol

– Autentifikuje server a klienta

– Dojednáva » šifrovací algoritmus

» Algoritmus na výpočet autentizačného kódu

» Kryptografický kľúč

– Výmena nastáva pred prenosom aplikačných údajov

35

SSL/TLS

• SSL Handshake Protokol

36

SSL/TLS

• 1 fáza

– Nadviazanie logického spojenia

– Inicializuje ju klient, požaduje najvyššiu verziu SSL a náhodné číslo

– Server odpovedá rovnakými parametrami ako klient žiada.

– Verzia môže byť menšia ako klient žiada

37

SSL/TLS

• 1 fáza

– Možnosť použitých kľúčov na výmenu

»RSA

»Pevný DH

»Dočasný DH

»Anonymný DH

38

SSL/TLS

• 2 fáza

– Server pošle svoj certifikát

– Správa certifikátu je vyžadovaná vždy okrem metódy anonymného DH

39

SSL/TLS

• 3 fáza

– Klient overuje platnosť poslaného certifikátu

– Klient kontroluje, či boli akceptované hello správy

– Po overení klient pošle správu o výsledku

– Server môže požadovať certifikát

40

SSL/TLS

• 4 fáza

– Ukončuje vytváranie bezpečnostného spojenia

– Správa „finished“ ukončuje úspešnú výmenu kľúčov

41

SSL/TLS

• TLS

– Je nástupca SSL protokolu

– SSL 3.0 sa skoro rovná TLS 1.0

– Umožňuje začať komunikáciu v nešifrovanom formáte

42

Praktická realizácia VPN

43

Zariadenia na realizáciu VPN

44

45

Cisco rodina

• Routre

46

Cisco rodina

• Firewall

47

Cisco rodina

• VPN na routry:

– Štandardný IPSec

– VTI GRE tunel

– Easy VPN

– DM VPN

– GET VPN

– AnyConnect

48

Cisco rodina

• VPN na ASA FW

• IPsec VPN• Site-to-Site - spojujú sa VPN zariadenia

• Remote Access - používa sa Cisco VPN klient

• SSL VPN• Clientless SSL VPN - prístup cez webový prehliadač,

• Cisco SSL VPN klient (Remote Access) - používa Cisco AnyConnect VPN klient

49

Cisco rodina

• Možnosti konfigurácie

– CLI

– CCP

– ASDM

50

Cisco rodina

• Možnosti konfigurácie:

– CLI

– CCP

– ASDM

51

Cisco rodina

• CCP

52

Cisco rodina

• ASDM

53

Cisco rodina

• Príklad konfigurácie cez CLI

crypto isakmp policy 1authentication pre-shareencr aes 256hash shagroup 2lifetime 86400exit

crypto isakmp key TOP_SECRET_PASSWORD address 10.10.10.10crypto ipsec transform-set MENO esp-sha-hmac esp-aes 256mode tunnelexit

54

Cisco rodina

• Príklad konfigurácie cez CLI

ip access-list extended SDM_1remark CCP_ACL Category=4remark IPSec Rulepermit ip 192.168.222.208 0.0.0.15 192.168.222.0 0.0.0.127 logpermit ip 192.168.222.208 0.0.0.15 10.0.0.0 0.255.255.255 logexit

crypto map SDM_CMAP_1 4 ipsec-isakmpdescription Apply the crypto map on the peer router's interface having IP address

ip_adresa_peeru that connects to this router.set transform-set MENOset peer 10.10.10.10match address SDM_1exit

55

Cisco rodina - Firewall

• Wizard klikačka na „LEN“ 6 klikov 1/6

56



57



58



59



60



61

Cisco rodina - Router

• Router

wizard

62


• Router

wizard

63


• Router

wizard

64


• Router

wizard

65


• Router

wizard

66


• Router

wizard

67


• Router

wizard

68

Cisco rodina - SSL VPN

• Anyconnect klient

69



70



71



72



73



74


• Clientless SSL VPN

75

76

Palo Alto

• Next Generation Firewalls

77

Palo Alto

• Široký výber zariadení

• Preferované GUI

• Pravidelné obnovovanie licencie

• Širšie možnosti manažmentu

78

Palo Alto

• Wizard

79

Palo Alto

• Wizard

80

Palo Alto

• Wizard

81

Palo Alto

• Wizard

82

Palo Alto

• Wizard

83

Palo Alto

• Wizard

84

85

Juniper

86

Juniper

• Široké portfólio zariadení

• Rôzne sieťové zariadenia

• Pri postavení kompletnej infraštruktúry systém poskytuje široké možnosti

87

Juniper

• Wizard

88

Juniper

• Wizard

89

Juniper

• Wizard

90

Juniper

• Wizard

91

Juniper

• Wizard

92

Juniper

• Wizard

93

Juniper

• Wizard

94

95

Fortinet

96

Fortinet

• Zameranie hlavne na koncový firewall

• UTM funkcie

• LoadBalancer

• MTA

• LAN SW

97

Fortinet

• Wizard

98

Fortinet

• Wizard

99

Fortinet

• Wizard

100

Fortinet

• Wizard

101

Fortinet

• Wizard

102

Fortinet

• Wizard

103

Fortinet

• Wizard

104

Nástroje na troubleshooting

• Cisco – debug mode

• Iné zariadenia – logy

• Nástroje tretích strán

105

Nástroje na troubleshooting

• Ike-scan

106

Otázky a diskusia

Ďakujem za pozornosť

107

Documents

Sieťové prostriedky na vytváranie VPN - CSIRT.SK · IKEv1 vs. IKEv2 [Internet Key Exchange] •Používa menej transakcií na vyjednanie spojenia •Silnejšia bezpečnosť (ochrana