Embed Size (px)
DESCRIPTION
Инструктор SkillFactory Сергей Кучеренко – специалист по информационной безопасности международного класса и обладатель CCIE Security – о современных способах создания защищенного доступа к удаленной сети на основе технологий компании Cisco.
Citation preview
Как правильно выбрать Cisco
VPN?Сергей Кучеренко
3.03.2013
О чем Мы поговорим:
Классификация и принципы построения виртуальных частных сетей.
Организация защищенного удаленного доступа
Построение защищенных распределенных корпоративных сетей
Демонстрация настройки отказоустойчивой DMVPN-топологии
VPN и их классификация:
VPN (Virtual Private Network) – общее название для группы технологий основной задачей которых является организация распределенной корпоративной сети через общую среду передачи данных (ex: Internet), либо же организация защищенного удаленного доступа
В качестве платформы для организации VPN используется сеть оператора связи.
VPNПо степени доверия По назначению
Secured VPN
TrustedVPN
IntranetVPN
ExtranetVPN
Remote AccessVPN
Trusted VPN (Доверенный VPN) – построение VPN без использование технологий защиты передаваемого трафика (ex: шифрование), Обычно используется при использованием провайдером технология предполагающих изоляцию заказчиков друг от друга:
MPLS VPN – L3 VPN технология применяемая операторами связи, сеть оператора для потребителя услуги выглядит как один большой маршрутизатор, при этом потребители изолированы друг от друга.
VPLS – L2 VPN технология применяемая операторами связи, сеть оператора для потребителя услуги выглядит как один большой коммутатор,
при этом потребители изолированы друг от друга
По степени доверия:
Secured VPN (Защищенный VPN) – VPN технологии которые предполагает защиту передаваемого трафика с помощью различных криптографических методов
При таком подходе может происходит (используется один или несколько способов защиты):1. Аутентификация – конечные устройства проверяю принадлежность друг друга к данной VPN
сети2. Шифрование – передаваемые данные скрываться, только участники VPN сети способны их
прочитать3. Проверка целостности – проверяется что пакеты были доставлены в неизменённом виде4. Инкапсуляция (Туннелированные) – IP адресация исходных пакетов скрывается за адресами
конечных точек туннеля
Internet
Bank ABC Moscow Office Bank ABC Kiev Office
195.5.101.1/24192.168.101.0/24 195.5.110.1/24 192.168.110.0/24
Host A Host BDST_IP:
BSRC_IP:
ADATA
Ты ли Router в Киевском офисе
Да я, знаю пароль:cisco1
DATA!
@2a2
Контрольная сумма
3Контрольная сумма
DST_IP:B
SRC_IP:A
!@2a
4SRC_IP:
195.5.101.1DST_IP:
195.5.101.1
DST_IP:B
SRC_IP:ADATA
Обратные преобразования
По назначению:
Intranet VPN – Организация VPN сети между территориально распределенными подразделениями одной организации.
Extranet VPN - Организация VPN сети меду различными организациями (Ex: подключение банка к процессинговому центру)
Remote Access VPN – использование VPN технологий для организации защищенного доступа мобильных сотрудников к ресурсам предприятия.
Разделяется на два подвида: Client VPN - на устройство сотрудника ставится специально ПО (VPN client), на устройстве создается виртуальный сетевой адаптер которому присваивается внутренний IP Clientless – клиент не требуется, доступ к ресурсам предприятия через браузер
Cisco VPN
Secured VPN у Cisco можно разделить следующим образом:
IntranetVPNExtranet
VPN
Remote AccessVPN
Easy VPN (IPSEC)
Anyconnect (SSL)
Crypto Map (IPSEC)
MacSec
(D)VTI
DMVPN
Dynamic VTI
GET VPN
Критерии выбора VPN технологии
1. Способ реализации
VS
Remote Access VPN Site-to-Site VPN
2. Уровень модели OSI на котором будет происходить туннелированные
Transport Layer – единственная технология SSL VPN, возможно как клиентская так и без клиентская реализация
Network Layer - все другие технологии кроме MacSec Data link Layer – технология MacSec, организация защищенного L2 соединения между
площадками
3. Реализация отказоустойчивых подключений
Dynamic routing IOS IP SLA
Провайдер 1 Провайдер 2
Dynamic routing
protocol
Провайдер 1 Провайдер 2
Ping
2. VPN топология (site-to-site only) Hub and spoke/hierarchical hub and
spoke/Centralized Hub and spoke Full mash/partial mash
VS
VS
4. Требуется шифрование multicast traffic –Не все VPN технологии поддерживают передачу через туннели multicast traffic
3.Через что строится VPN VPN строиться через Internet VPN строится через WAN Услуга от оператора:
a) VPN MPLSb) VPLSc) Предоставление волокна/предоставление λ в волокне
5. Размеры сети–Количество узлов сейчас, планируемый рост
Организация защищенного удаленного доступаCisco Easy VPN – технология защищенного удаленного доступа использующая в качестве транспорта набор протоколов IPSEC. По логике технологии участники построение VPN сети делятся на два типа:
Server – устройство которое принимает подключения от удаленных клиентов, проводит их аутентификацию и настройку (Выдает IP адрес в корпоративной сети, сообщает трафик для каких сетей следует отправлять в туннель, а так же выдает дополнительные настройки)
Роль Easy VPN Server доступна на Cisco IOS, Cisco ASA
Client– осуществляет подключение к определенному серверу, на клиенте описаны все возможные варианты политик защиты данных, клиент посылает все эти политики на сервер, и сервер выбирает из них наиболее подходящую
На стороне клиента настраивается:a) Server IP/Name b) Group Name – имя группы в которую должен попасть пользователь, на стороне сервера именно
группа определяет все настройки которые будут присвоены входящим в нее клиентам. c) Group Password – pre-shared key указанный в Connection profile
or: d) Certificate - вместо b) и c) на стороне клиента может быть указано какой сертификат использовать Server определит имя группы прочитав в сертификате поле OU (Organization Unit) Роль Easy VPN Client выполняет ПО Cisco Ease VPN client а так же Hardware Client в Router и ASA
Host B
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24Route to:0.0.0.0/0
Username/Password/Certificate
Configuration (IP/DNS/WINS)
SRC_IP:192.168.151.10
DST_IP:192.168.110.10
Original IP Packet
SRC_IP:195.5.111.10
DST_IP:195.5.110.1
IPSec Header
Cisco Easy VPN Software Client, как это работает + дополнительные функции
Проверить включен ли Firewall
Расширенная конфигурация* (Proxy Server Auto Update)
Internet
ProxyServer
*- расширенные настройки при использовании ASA в качестве сервер
Cisco Easy VPN Hardware Client, как это работаетa) Client Mode
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
192.168.151.10/24Route to:192.168.110.0/24
Dynamic PATSRC_IP:
192.168.100.10DST_IP:
192.168.110.10SRC_IP:
192.168.151.10DST_IP:
192.168.110.10
Username/Password/Certificate
Configuration (IP/DNS/WINS)
b) Network Extension Mode
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
Username/Password/Certificate
My local network – 192.168.100.0/24 Static route to:192.168.100.0/24
b) Network Extension Mode Plus – отличие от предыдущего в том что Router Client получает IP из корпоративного адресного пространства для управления
Область применения технологии: Организация простого удаленного доступа для сотрудников Организация VPN сети с не большими подразделениями, имеющими собственный выход в
интернет, и не большими требованиями по доступу к ресурсам центрального офиса Организация технологических сетей (сети банкоматов, терминалы самообслуживания)
Преимущества и недостатки:
Cisco Easy VPNПреимущества Недостатки
Простая настройка клиента
Не требует лицензий
Сложная настройка сервера
Ограниченная поддержка QoS
Отсутствие поддержки Dynamic
Routing
Различные режимы работы
Предпочтительное устройство для реализации – Cisco ASA
Технология не развивается
Cisco SSL VPN – технология предполагающая использование в качестве транспортного протокола SSL, существуют две реализации:
Client SSL VPN –Как и при использовании IPSEC для удаленного доступа клиенту требуется установить специальное ПО – VPN клиент (Cisco AnyConnect), при установке которого создаться виртуальный сетевой адаптер на который будет назначаться IP address из корпоративной сети и через него будет осуществляется защищенный обмен информацией.ПО устанавливается либо с ASA/Router, либо в ручную
Технология имеет ряд дополнительных функций: Возможность установки клиента на мобильные устройства Оценка состояния рабочей станции (Host Scan) Start Before Login – запуск VPN требуется для входа в систему Always ON VPN – автоматически запускать клиента при входе в систему Перенаправление http/https/ftp трафика на Cisco Web Security Appliance Сам клиент имеет модульную структуру которая дает целый ряд дополнительных
возможностей не имеющих прямого отношения к VPN:a) Менеджер проводных и беспроводных подключенийb) Клиент Cisco ScanSafe
Cisco Client SSL , как это работает + дополнительные функции
Internet
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24Route to:0.0.0.0/0
Аутентификация на WEB порталеClient Download
SRC_IP:192.168.151.10
DST_IP:192.168.110.10
Original IP Packet
SRC_IP:195.5.111.10
DST_IP:195.5.110.1
SSL Header
Сбор информации о состоянии системы
OS Version/Antivirus type/Firewall type ...
Username/Password
Settings
SRC_IP:192.168.151.10
DST_IP:192.168.110.10
SRC_IP:192.168.151.10
DST_IP:Facebook
Cisco Clientless SSL , как это работает + дополнительные функцииВ самом простом случае на портале может осуществляется публикация http/https/cifs ресурсовПри использовании browser plugin (java applet) добавляются: RDP Telnet/SSH VNCПлагины нужно загрузить на ASA, после этого появляется доступ к таким ресурсам через портал
Internet 195.5.110.1/24
Аутентификация на WEB портале
Аутентификация на WEB портале
IT user
Finance user
Область применения технологии: Удаленный доступ с мобильных устройств Clientless доступ Проверка “здоровья” подключающейся рабочей станции Защита Web доступа сотрудников
Достаточно сложно подобрать правильную лицензию
Кроме того некоторые функции требуют дополнительных лицензий: проверка рабочей станции, Доступ с мобильных устройств, фильтрация Web трафикahttp://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html
Преимущества и недостатки:
Cisco SSL VPN Недостатки
Богатый функционал
Гибкое решение Сложная политика лицензирования
Дорогостоящие решение
Client/Clientless
Предпочтительное устройство для реализации – Cisco ASA
Преимущества
Построение защищенных распределенных корпоративных сетей
Crypto map Site-to-Site VPN – самая старая реализация VPN для построения корпоративных сетей
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
IF traffic go FROM (192.168.100.0/24) TO(192.168.110.0/24)THENEncryptANDSend to 195.5.110.1
IF traffic go FROM (192.168.110.0/24) TO(192.168.100.0/24)THENEncryptANDSend to 195.5.111.1
Область применения технологии: Не большие корпоративные сети Основные ресурсы в “Центре” В сети отсутствует multicast
Преимущества и недостатки:
Crypto Map VPN
Недостатки
Можно использовать QoS
Легко настроить в небольших сетях
Низкая масштабируемость
Отсутствие поддержки Dynamic
Routing
Преимущества
Отсутствие поддержки Multicast
Устройства для реализации: ASA, Router
VTI (Virtual Tunnel Interface) – технология предполагающая наличие специального туннельного интерфейса, через которой передается VPN трафик. Наличие выделенного интерфейса дает возможность определять интересный трафик с помощью маршрутизации, а так же использовать multicast
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
Tunnel 0172.16.1.1/24Tunnel src: 195.5.111.10Tunnel dst: 195.5.110.10Encrypt all traffic through tunnel
Tunnel 0172.16.1.2/24Tunnel src: 195.5.111.10Tunnel dst: 195.5.110.10Encrypt all traffic through tunnel
S 192.168.110.0/24172.16.1.2 S 192.168.100.0/24172.16.1.1
SRC_IP:195.5.111.10
DST_IP:195.5.110.1
IPSec Header
Original IP Packet
DVTI (Dynamic Virtual Tunnel Interface) – аналог Easy VPN но более гибкая реализация ориентированная в основном на аппаратные клиенты (IOS), Для каждого подключающегося клиента создается отдельный виртуальный интерфейс что дает возможность использовать QoS/Multicast/Dynamic Routing
Преимущества и недостатки:
(D)VTI Недостатки
Поддержка Multicast
Поддержка Dynamic Routing
Трудно использовать в больших сетях
Преимущества
Область применения технологии: Малые средние корпоративные сети Централизованные Hub and Spoke topology Есть необходимость в динамической маршрутизации Есть необходимость в поддержке multicast
Устройства для реализации: Router
GETVPN – технология без туннельного шифрования (сокрытие исходных IP адресов не происходит).Применяется при использовании в качестве WAN: MPLS VPN VPLSМаршрутизаторы в этой технологии разделятся на два типа: Key server – маршрутизатор отвечающей за регистрацию всех других Routers в группе, периодическую
генерацию ключа для защиты данных и безопасную доставку этого ключа всем участникам группы. Кроме того сообщает всем – какой именно трафик они должны шифровать. Group Member – должен зарегистрироваться на своем Key server и получать с него всю необходимую
информацию, при наличии интересного трафика выполнять его защиту. 192.168.10.0/24
KS primaryencrypt 192.168.0.0/16 to 192.168.0.0/16
KS secondaryencrypt 192.168.0.0/16 to 192.168.0.0/16
MPLS VPN
192.168.100.0/24 192.168.110.0/24
Registration/Authentication
Policy
Registration/Authentication
Policy
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
SRC_IP:192.168.100.10
DST_IP:192.168.110.10Encrypted Data
Подробнее:http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf
Преимущества и недостатки:
GETVPN Недостатки
Высокая масштабируемость
Без туннельное шифрование
Не все функции легко настроить
Преимущества
Область применения технологии: Крупные сети Подключение к оператору MPLS VPN/VPLS Сети с высокими требованиями к Real time traffic (за счет снижения Overhead)
Устройства для реализации: Router
Поддержка Multicast
Поддержка QoS
DMVPN – технология использующая как основу VTI но при этом destination IP для туннеля узнается динамически, с использованием специального протокола NHRP (Next Hop Resolution Protocol)Маршрутизаторы делятся на два типа: Hub - маршрутизатор к которому подключатся Spoke, он хранит информацию о соответствии Public IP to
Tunnel IP для всех spoke а также какие сети за ними доступны. Spoke – имеет статический туннель постоянный на Hub , как средство принятия решения нужно ли
шифровать используется маршрутизация, весь трафик который попадает по маршрутизации в туннель – шифруется, если трафик направляется на другой spoke используется NHRP для поиска его Public IP и создается динамический туннель.
192.168.10.0/24
Internet
192.168.100.0/24 192.168.110.0/24
SRC_IP:192.168.100.10
DST_IP:192.168.110.10
SRC_IP:195.5.111.10
DST_IP:195.5.110.10Encrypted Data
Tunnel 0172.16.1.2/24Tunnel src: 195.5.111.10Tunnel dst: 195.5.1.1 (NHRP)Encrypt all traffic through tunnel
Tunnel 0172.16.1.3/24Tunnel src: 195.5.110.10Tunnel dst: 195.5.1.1 (NHRP)Encrypt all traffic through tunnel
Tunnel 0172.16.1.1/24Tunnel src: 195.5.111.10Tunnel dst: dynamic (NHRP)Encrypt all traffic through tunnel
195.5.111.10 195.5.110.10
195.5.1.1
Map 172.16.1.2 to 195.5.111.10 Map 172.16.1.3 to 195.5.110.10
Who have 172.16.1.2?
195.5.110.1
Подробнее:http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPDG.html
DMVPN история версий:
DMVPN phase 1: Трафик всегда идет через hub
DMVPN phase 2: Появились Spoke-to-Spoke
Dynamic Tunnels
DMVPN phase 3: Иерархический hub and spoke, spoke-to-spoke tunnels между разными
регионами In phase 2:
In phase 3:
Преимущества и недостатки:
DMVPN Недостатки
Шаблонная настройка Spokes
Высокая масштабируемость
Сложность для понимания
Преимущества
Область применения технологии: Крупные сети Подключение к оператору: Internet Иерархические топологии
Устройства для реализации: Router
Поддержка QoS
Поддержка Multicast
Разные версии требуют разной
настройки Routing
MACSEC (IEEE 802.1AE)– технология шифрования на L2 дающая возможность выполнять шифрование ПК-Коммутатор, Коммутатор – Коммутатор, шифрование выполняется на скорости интерфейса. Шифрование выполняется hop-by-hopeПоддержка MaSec на коммутаторах Cisco: 3650X/3750X при использовании модуля C3KX-SM-10G 45хх при использовании Sup 7-E, Sup 7L-E 65xx при использовании Sup 2T Nexus 7000 при использовании любых Line Card кроме F-SeriesПодробнее: http://www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns1051/product_bulletin_c25-712066.html
Полноценное развертывание MacSec в сети требует наличие ISE/ACS который выступает в роли key server
Пористое развертывание MacSec – подходит если мы планируем шифровать только между коммутаторами, в таком случае ключи и другие настройки задаются на коммутаторе статично:
Примеры задания статических политик: sap mode-list gcm-encrypt gmac no-encap —Шифрование и целостность предпочтительно но не обязательно sap mode-list gcm-encrypt gmac— Шифрование предпочтительно, целостность обязательна sap mode-list gmac—только целостность sap mode-list gcm-encrypt— шифрование требуется
Tg 1/1/1Tg 1/1/2
Left_SW# configure terminalLeft_SW(config)# interface tengigabit 1/1/1 Left_SW(config-if)# cts manual включаем ручной режим MacSecLeft_SW(config-if-cts-manual)# sap pmk 1234abcdef mode-list gcm-encrypt Указываем ключ и метод защиты
Right_SW# configure terminalRight_SW(config)# interface tengigabit 1/1/1 Right_SW(config-if)# cts manual включаем ручной режим MacSecRight_SW(config-if-cts-manual)# sap pmk 1234abcdef mode-list gcm-encrypt Указываем ключ и метод защиты
Область применения технологии: Шифрование на L2 между DCОграничения: В качестве услуги оператора может быть только аренда волокна или волны
Подробнее:http://www.cisco.com/en/US/docs/switches/lan/catalyst3750x_3560x/software/release/15.0_1_se/configuration/guide/swmacsec.pdf
Курс “Настройка” Cisco VPN:Семинар 1:1. VPN общие принципы и вступление в криптографию.2. Настройка IOS CA3. Site-to-Site VPN на сертификатахСеминар 2:4. Virtual Tunnel Interface общая информация5. Настройка Static VTI6. Easy VPN общие принципы7. Настройка Dynamic VTI в IOSСеминар 3:8. DMVPN принцы работы и история версий9. Конфигурирование DMVPN10. Технология GETVPN11. Настройка GETVPN с unicast rekeyСеминар 4:12. Расширенные возможности VPN на Cisco ASA13. Расширенные возможности Easy VPN14. Настройка Client & Client less SSL VPN
Подробнее: http://skillfactory.ru/courses/CiscoVPNСкидка на курс для участников сегодняшнего семинара 10% по коду #ciscovpn
DMVPN demo topology
Internet
Tunnel 0172.16.1.1/24Tunnel src: 195.5.1.10
Tunnel 0172.16.1.3/24Tunnel src: 10.0.3.10
Nat to 195.5.1.1
Tunnel 0172.16.1.3/24Tunnel src: 195.5.2.10
195.5.2.10
195.5.1.10
10.0.3.10
192.168.2.0/24 192.168.3.0/24
192.168.1.0/24
