Upload
hoangcong
View
221
Download
1
Embed Size (px)
Citation preview
Základ VPN
• Čo je to VPN sieť
• Prečo budujeme VPN siete
Confidentiality
Integrity
Peer authentication
Key management
4
História kryptografie
• Je stará cca 5000 rokov
• Používala sa v diplomatických a vojenských kruhoch
6
L2TP [Layer 2 Tunneling Protocol]
• Vychádza z predchodcu L2F a špecifikácie PPTP
• Spojenie prebieha na druhej vrstve
• Zabezpečenie zriadenie tunela PPP
11
PPTP [Point-to-Point Tunneling Protocol]
• Protokol od spoločnosti Microsoft
• Implementovaný vo všetkých OS Windows
• Používa sa na vytvorenie VPN cez internet
13
Porovnanie L2TP - PPTP
• PPTP umožňuje užívateľovi výber cieľového uzlu tunelu až po zostavení PPP spojenia
• Pri modeli L2TP je PPP spojenie ukončené v sieti poskytovateľa komutovaného pripojenia
• L2TP model je používaný v prípadoch, kedy veľkí poskytovatelia obsahu prenajímajú prístupové siete iným firmám
14
IPSec [IP Security]
• Poskytuje autentizáciu a ochranu údajov pri prenose
• Na ochranu údajov sa používajú symetrické šifrovacie algoritmy
• Obsahuje obojsmernú autentizáciu a vyjednanie kryptografických metód a kľúčov
• Na začiatku sa identifikujú obe strany, a potom sa začne šifrovať
15
IPSec [IP Security]
• IPSec protokol má na výber z troch hlavných protokolov:
– IPSec ESP [Encapsulating Security Payload]
– IPSec AH [Authentication Header]
– IPSec SA [Security Association]
17
IPSec [IP Security]
• IPSec AH
– IP protokol 51
– Je zachovaná integrita dát
– Je overená autenticita zdroja dát
– Zaisťuje integritu a autentizáciu zdroja dát
– Využíva hašovaciu funkciu (MD5 alebo SHA)
– Dnes sa samostatne skoro vôbec nepoužíva
18
IPSec [IP Security]
• IPSec ESP
– IP protokol 50
– Je zachovaná integrita dát a dôvernosť
– Je overená autenticita zdroja dát
– Dáta sú šifrované
– Využíva šifrovacie algoritmy (DES alebo AES)
19
IPSec [IP Security]
• IPSec SA
– skupina algoritmov, ktoré poskytujú parametre pre bezpečnú komunikáciu pomocou AH a ESP
– používa ISAKMP Framework a doplnkový protokol, napríklad IKE, pre výpočet atribútov
– Atribúty
• Šifrovací algoritmus
• Platnosť kľúčov
• Kompresiu a zapúzdrenie
20
IKEv1 [Internet Key Exchange]
• Používa sa na začiatku IPSec komunikácie• Používa port 500 (udp)• Pre autentizáciu používa PSK alebo certifikát• Rieši pravidelnú výmenu šifrovacích kľúčov• Používa sa DH [Diffie-Hellman] na výmenu kľúčov• IKE riadi
– silu kľúčov, – použitie hašovacích funkcií, – automatické generovanie a obnovovanie kľúčov, – vyjednáva SA asociáciu
23
IKEv1 [Internet Key Exchange]
• ISAKMP SA – jeden obojsmerný, bezpečnostný, dorozumievací kanál na výmenu bezpečnostných parametrov
• Životnosť je 24 hodín
25
IKEv1 [Internet Key Exchange]
– 1. fáza
• Dojednávajú si kanál ISAKMP SA
• Vytvoria bezpečný kanál pre IPSec SA vo fáze 2
• Dohodnú si šifrovací algoritmus
• Hašovaciu funkciu
• Má dva módy » Main mode – 6 paketov
» Aggressive mode – 3 pakety
27
IKEv1 [Internet Key Exchange]
– 1. fáza
• Má tri možné metódy autentifikácie– Pre-Share key – na oboch zariadeniach sa používa ručne
zadaný kľúč
– Public Key Infrastructure – vygenerovanie certifikátov X.509
– Náhodné čísla šifrované RSA
28
IKEv1 [Internet Key Exchange]
• Silnejšie politiky je dobré umiestňovať na začiatok tabuliek
• NAT-T – Pakety v rámci IPSec-u sú chránené hašom,
– Pri NAT-ovaní sa mení hlavička
– Zapúzdri paket do UDP portu
29
IKEv1 [Internet Key Exchange]
• 2. fáza
– Výmena jednosmerných správ IPSec SA a parametrov
– Každá správa je šifrovaná iným kľúčom
– Quick mode – rieši znovu vyjednanie SA tesne pred jeho vypršaním.
30
IKEv1 [Internet Key Exchange]
• 2. fáza
– Doplnkové zabezpečenie
• PFC [Perfect Forward Secrecy] – pri odvodzovaní kľúčov vo fáze 2 sa odvodzujú z fázy 1. PFC pomocou D-H vyžiada znovu výmenu kľúčov pre fázu 2
• XAUTH [Extended User Authentication] – overenie peera voči RADIUS serveru. (Fáza 1 + fáza 2)
31
IKEv1 vs. IKEv2 [Internet Key Exchange]
• Používa menej transakcií na vyjednanie spojenia
• Silnejšia bezpečnosť (ochrana pred DoS a.i)
• Používa sekvenčné čísla, potvrdzovanie a korekcie chýb
• Podporuje EAP
32
SSL/TLS
• SSL (Secure Sockets Layer) je otvorený protokol
• V súčasnosti jedna z najpoužívanejších metód na zabezpečenie dátových prenosov
• SSL využíva asymetrické šifrovanie
33
SSL/TLS
• SSL protokol očakáva dva kroky:
– Spojenie SSL – spojenia sú dočasné a každé spojenie je asociované jednou reláciou
– Relácia SSL – spojenie medzi klientom a serverom. Slúžia na dojednanie bezpečnostných parametrov, aby pre každé spojenie nevznikala nová požiadavka
34
SSL/TLS
• SSL Handshake Protokol
– Autentifikuje server a klienta
– Dojednáva » šifrovací algoritmus
» Algoritmus na výpočet autentizačného kódu
» Kryptografický kľúč
– Výmena nastáva pred prenosom aplikačných údajov
35
SSL/TLS
• 1 fáza
– Nadviazanie logického spojenia
– Inicializuje ju klient, požaduje najvyššiu verziu SSL a náhodné číslo
– Server odpovedá rovnakými parametrami ako klient žiada.
– Verzia môže byť menšia ako klient žiada
37
SSL/TLS
• 2 fáza
– Server pošle svoj certifikát
– Správa certifikátu je vyžadovaná vždy okrem metódy anonymného DH
39
SSL/TLS
• 3 fáza
– Klient overuje platnosť poslaného certifikátu
– Klient kontroluje, či boli akceptované hello správy
– Po overení klient pošle správu o výsledku
– Server môže požadovať certifikát
40
SSL/TLS
• 4 fáza
– Ukončuje vytváranie bezpečnostného spojenia
– Správa „finished“ ukončuje úspešnú výmenu kľúčov
41
SSL/TLS
• TLS
– Je nástupca SSL protokolu
– SSL 3.0 sa skoro rovná TLS 1.0
– Umožňuje začať komunikáciu v nešifrovanom formáte
42
Cisco rodina
• VPN na routry:
– Štandardný IPSec
– VTI GRE tunel
– Easy VPN
– DM VPN
– GET VPN
– AnyConnect
48
Cisco rodina
• VPN na ASA FW
• IPsec VPN• Site-to-Site - spojujú sa VPN zariadenia
• Remote Access - používa sa Cisco VPN klient
• SSL VPN• Clientless SSL VPN - prístup cez webový prehliadač,
• Cisco SSL VPN klient (Remote Access) - používa Cisco AnyConnect VPN klient
49
Cisco rodina
• Príklad konfigurácie cez CLI
crypto isakmp policy 1authentication pre-shareencr aes 256hash shagroup 2lifetime 86400exit
crypto isakmp key TOP_SECRET_PASSWORD address 10.10.10.10crypto ipsec transform-set MENO esp-sha-hmac esp-aes 256mode tunnelexit
54
Cisco rodina
• Príklad konfigurácie cez CLI
ip access-list extended SDM_1remark CCP_ACL Category=4remark IPSec Rulepermit ip 192.168.222.208 0.0.0.15 192.168.222.0 0.0.0.127 logpermit ip 192.168.222.208 0.0.0.15 10.0.0.0 0.255.255.255 logexit
crypto map SDM_CMAP_1 4 ipsec-isakmpdescription Apply the crypto map on the peer router's interface having IP address
ip_adresa_peeru that connects to this router.set transform-set MENOset peer 10.10.10.10match address SDM_1exit
55
Palo Alto
• Široký výber zariadení
• Preferované GUI
• Pravidelné obnovovanie licencie
• Širšie možnosti manažmentu
78
Juniper
• Široké portfólio zariadení
• Rôzne sieťové zariadenia
• Pri postavení kompletnej infraštruktúry systém poskytuje široké možnosti
87
Nástroje na troubleshooting
• Cisco – debug mode
• Iné zariadenia – logy
• Nástroje tretích strán
105