Embed Size (px)
DESCRIPTION
Сергей Кучеренко – инструктор онлайн-школы SkillFactory, CCIE Security и международный эксперт по информационной безопасности – о Cisco VPN: очень многообразной и сложной технологии, разобраться в которой бывает непросто даже опытным специалистам.
Citation preview
Практические советы по выбору и настройке Cisco VPN
Сергей Кучеренко 16 апреля 2013
ведущий:
О чем Мы поговорим:
§ Классификация и принципы построения виртуальных частных сетей
§ Введение в криптографию
§ Логика работы Cisco IOS/ASA OS c Различными VPN технологиями
§ Принципы выбора VPN технологии под специфическую задачу
§ Организация защищенного удаленного доступа при помощи Easy VPN и SSL VPN
§ Построение защищенных распределённых корпоративных сетей при помощи DMVPN
§ Новые подходы и принципы работы FlexVPN
§ Возможности реализации сертифицированного VPN решения на базе модуля NME-‐RVPN
§ Демонстрация настройки отказоустойчивой DMVP топологии
VPN и их классификация:
VPN (Virtual Private Network) – общее название для группы технологий основной задачей которых является организация распределенной корпоративной сети через общую среду передачи данных (ex: Internet), либо же организация защищенного удаленного доступа
VPN По степени доверия По назначению
Secured VPN
Trusted VPN
Intranet VPN
Extranet VPN
Remote Access VPN
Trusted VPN (Доверенный VPN) – построение VPN без использование технологий защиты передаваемого трафика (ex: шифрование), Обычно используется при использованием провайдером технология предполагающих изоляцию заказчиков друг от друга: § MPLS VPN – L3 VPN технология применяемая операторами связи, сеть оператора для
потребителя услуги выглядит как один большой маршрутизатор, при этом потребители изолированы друг от друга.
§ VPLS – L2 VPN технология применяемая операторами связи, сеть оператора для потребителя
услуги выглядит как один большой коммутатор, при этом потребители изолированы друг от друга
По степени доверия:
Secured VPN (Защищенный VPN) – VPN технологии которые предполагает защиту передаваемого трафика с помощью различных криптографических методов
При таком подходе может происходить (используется один или несколько способов защиты): 1. Аутентификация – конечные устройства проверяют принадлежность друг друга к данной VPN
сети 2. Шифрование – передаваемые данные скрываться, только участники VPN сети способны их
прочитать 3. Проверка целостности – проверяется что пакеты были доставлены в неизменённом виде 4. Инкапсуляция (Туннелированные) – IP адресация исходных пакетов скрываются за
адресами конечных точек туннеля
Internet
Bank ABC Moscow Office Bank ABC Kiev Office
195.5.101.1/24 192.168.101.0/24 195.5.110.1/24 192.168.110.0/24
Host A Host B DST_IP:
B SRC_IP:
A DATA
Да я, знаю пароль:cisco/У меня есть сертификат
Ты ли Router в Киевском офисе 1
Контрольная сумма
3Контрольная сумма
DATA
!@2a
2
!@2a
DST_IP: B
SRC_IP: A
4SRC_IP:
195.5.101.1 DST_IP:
195.5.101.1
DST_IP: B
SRC_IP: A
DATA
Обратные преобразования
По назначению:
§ Intranet VPN – Организация VPN сети между территориально распределенными подразделениями одной организации. Существует большое количество вариантов организации такого типа VPN сети.
§ Extranet VPN -‐ Организация VPN сети между различными организациями (Ex: подключение банка к процессинговому центру).При организации такого типа VPN подключения как правило используются дополнительные устройства защиты: Firewall/IPS. § Remote Access VPN – использование VPN технологий для организации защищенного
доступа мобильных сотрудников к ресурсам предприятия. Разделяется на два подвида: Client VPN -‐ на устройство сотрудника ставится специально ПО (VPN client), на устройстве создается виртуальный сетевой адаптер которому присваивается внутренний IP Кроме того функционал VPN клиента присутствует в Cisco IOS и ASA. Clientless – клиент не требуется, доступ к ресурсам предприятия через браузер
Cisco VPN
По назначению VPN технологии Cisco можно разделить следующим образом:
Intranet VPN Extranet VPN
Remote Access VPN
Easy VPN
Anyconnect (SSL)
Crypto Map
MacSec
(D)VTI
DMVPN
Dynamic VTI
GET VPN
Flex VPN
Site-‐to-‐Site
Clientless (SSL)
Основы криптографии:
Шифрование (encrypqon) – обратимое преобразование информации, при котором ее исходное состояние могут восстановить только авторизированные пользователи. Компоненты шифрования: § Алгоритм – стандарт преобразования информации, принцип работы которого
как правило обще известен. Алгоритмы разделяться на: a) Симметричные (Symmetric) b) Асимметричные (Asymmetric)
§ Ключ (Key)– уникальный параметр известный только авторизированный участника позволяющий используя всем известный алгоритм уникально скрывать информацию.
a) Симметричное шифрование:
Internet
195.5.101.1/24 195.5.110.1/24
DATA
DATA
!@2a
Симметричные алгоритмы шифрования предполагают наличия общего ключа у обоих участников процесса, этот ключ используется как для шифрования так и для расшифровки информации. К таким алгоритмам относятся: § DES/3DES § AES § Локальные алгоритмы Основной проблемой симметричного шифрования является безопасная доставка общего ключа
Encryp�on/Decryp�on process
Encryp�on/Decryp�on process
b) Асимметричное шифрование:
Internet
195.5.101.1/24 195.5.110.1/24
DATA
Encryp�on process
Decryp�on process
Moscow Kiev
Kiev Private Key
Moscow Public Key
Kiev Public Key
Moscow Public Key
Kiev Public Key
!@2a
DATA
Ассиметричное шифрование предполагает создание двух ключей: Приватного и Публичного, при этом ключи связаны между собой – Все что была зашифровано публичным ключом можно расшифровать приватным и на оборот. Алгоритмы ассиметричного шифрования: RSA, Diffie–Hellman …. Note: ассиметричное шифроване ресурсоемкий процесс. Для шифрования данных не используется, используется в основном для генерации сессионных ключей для симметричных алгоритмов, а так же для создания цифровых сертификатов.
Moscow Private Key
Хеширование (hashing) – не обратимое преобразование информации, предполагающее преобразование сообщения переменной длинны в строку постоянной длинны. В VPN технологиях используется для проверки целостности сообщения (предотвращение его изменения в пути=контроль целостности)
Internet
195.5.101.1/24 195.5.110.1/24
DATA
HASH DATA
HASH DATA
HASH ?
Если на принимающей стороне рассчитанное и полученное значение совпадут, значит пакет не менялся на маршруте следования. Алгоритмы Хеширования: § MD5 § SHA § Локальные стандарта
Цифровая подпись – построенный на алгоритмах асимметричного шифрования способ однозначной проверки личности отправителя.
Internet
195.5.101.1/24 195.5.110.1/24
Encryp�on process
Decryp�on process
R1.moscow.corp.com R2.kiev.corp.com
Kiev Private Key
Moscow Public Key
Kiev Public Key
Moscow Private Key !
@2a
Data Already Encrypted
2!3:
Digital Signature
!@2a 2!3:
R1.moscow.corp.com
Использование Digital Signature предполагает следующие этапы: 1. С использование Private key зашифровывается идентификатор устройства (ex: его FQDN) 2. Цифровая подпись добавляется к передаваемым данным 3. Принимающие устройство используя открытый ключ отправителя расшифровывает Digital Signature и
может прочитать имя отправителя Note: Здесь срабатывает правила взаимосвязи между Private и Public key а так же то что Private key никому не передается а следовательно только отправитель мог зашифровать свое имя.
Сертификаты – способ аутентификации устройствами/пользователями друг друга базирующийся на PKI PKI (Public Key Infrastructure) – инфраструктура публичных ключей. Данная технология предполагает возможность получения всеми устройствами цифровых сертификатов – электронный документ который выдаться центром сертификации (Cer1ficate Authority(CA)-‐ приложение запущенное на сервере или сетевом устройстве) и подтверждает подлинность устройства/пользователя. Технология в VPN применяется для аутентификации точек сети или удаленных пользователей. Традиционно для аутентификации использовались pre-‐shared key (ключ известный обоим устройствам которые создают туннель), но данный подход имеет проблемы с масштабированием При построении Full-‐mash VPN сети на каждом устройстве нужно указать n-‐1 pre-‐shared ключей.
Сертификаты – как это работает?
R1.corp.com R2.corp.com Moscow Private Key
Moscow Public Key
Kiev Public Key
Kiev Private Key
IOS_CA_NY.corp.com
NY Private Key
NY Public Key
1. МаршрутизаторNY с включенным функционалом CA генерирует свой сертификат -‐ это root сертификат и все желающие получить сертификат у этого CA должны доверять его сертификату. Сертификат содержит: § Имя устройства(LDAP X500 format) § Его Публичный ключ(NY public Key) § Его цифровую подпись (Digital Signature) § Cerqficate life qme § CDP URL – ссылка на CRL list* Кроме того создаться CRL (Cer�ficate Revoca�on list) – список отозванных сертификатов
1. Запрос Root Cerqficate, администратор должен подтвердить что он доверяет этому CA
Router Moscow выполняет:
2. R1 посылает запрос на получение сертификата, в котором: § Router Public Key § Router name (LDAP X500 format) CA генерирует и возвращает сертификат в котором: § Router Public Key § Cerqficate life qme § Router name (LDAP X500 format) § CA Name(LDAP X500 format) § CA Digital Signature
R1.corp.com
R Moscow public key
R1 name encrypted by R1 private key
Router Kiev выполняет:
Тот же набор действий что приводит к получению сертификата
R2.corp.com
R Kiev public key
R2 name encrypted by R2 private key
Internet Moscow Kiev
CRL list
IOS_CA_NY.corp.com
1
1 2
Check CA Signature Check Peer Signature Check CRL List Cer�ficate Life�me
Check CA Signature Check Peer Signature
Check CRL List Cer�ficate Life�me
Authen�ca�on – Cer�ficate Exchange
* -‐ опционально
Набор протоколов IPsec: Исторически сложилось так что протокол IP не имел никаких встроенных средств защиты передаваемых данных, для этих целей существует расширение IPsec. IPsec (IP security) – набор стандартов задачей которых является обеспечить (может быть обеспечено все или некоторые части): § Согласование параметров защиты между устройствами(Nego�a�on Protocols) § Защищённая генерация сессионных ключей для симметричного шифрования (Session key genera�on) § Инкапсуляцию трафика (Encapsula�on methods) § Шифрование передаваемого трафика (Encryp�on protocols) § Проверку целостности предаваемого трафика(Hashing Protocols)
IPsec
Nego�a�on protocols
§ IKEv1,2 (ISAKMP) § Manual
Encapsula�on
§ AH § ESP Encryp�on
protocols
§ DES § 3DES § AES § Local
standards Session key genera�on
§ DH1 § DH2 § DH5 § DH7
Hashing protocols
§ MD5 § SHA § Local
standards
Crypto ISAKMP Profile – компонент в конфигурации IOS VPN который дает возможность гибко применять VPN политики для различных Peer. По логике работы VPN в Cisco IOS ещё до начала согласования IKE, для каждого входящего соединения выполняется поиск соответствующего ему ISAKMP Profile Если про файлов нет или соответствие не найдено идет проверка IKE policy
Crypto ISAKMP Profile Match – поиск соответствующего peer profile проходит по IKE ID, этот параметр всегда присутствует в IKE Proposal пакете. IKE ID зависит от типа VPN и настроек удаленной стороны. Match доступен по: § Group name – имя VPN group настроенной на клиенте или значение поля OU в
цифровом сертификате peer § IP address – ip address или адрес сети в которой находится peer § Host {FQDN|domain} – FQDN имя peer, или domain в этом имени § User {FQDN|domain} – FQDN имя пользователя, или domain в этом имени Наиболее часто для Iden�ty Match используются Group name & IP address
Crypto ISAKMP profile – VPN Gatekeeper in Cisco IOS
Случаи использования Crypto ISAKMP Profile: § Требуются различные IKE phase 1 параметры для разных peer – например мы хотим использовать для
различных Peer различные Trustpoints § На маршрутизаторе настроен VRF – IKE profile обязательный компонент VRF-‐aware IPsec § Использование различных типов VPN на одном устройстве – на пример на одном маршрутизаторе мы
принимаем как Site-‐to-‐Site так и Remote Access VPN подключения
IKE (Internet Key Exchange)– этот набор протоколов позволяющий двум участникам VPN соединения согласовать параметры защиты, аутентифицировать друг друга а так же создать ключи для симметричного шифрования трафика данных. Процесс работы IKE состоит из двух этапов*: 1. IKE phase 1– согласование параметров контрольного соединения и защищенная аутентификация
участников. В процессе работы согласовываем: § Control Connec�on Encryp�on (Варианты: DES/3DES/AES/Local Standards) § Control Connec�on Hashing (Варианты: MD5/SHA-‐HMAC/Local Standards) § Authen�ca�on Type (Варианты: Pre-‐shared key/Cer�ficate) § Session key genera�on type (Варианты: DH1/DH2…) Note: В результате участники должны выбрать одинаковые параметры, установить защищённое соединение и аутентифицировать друг друга.
Согласование параметров
Генерация сессионных ключей
Аутентификация
* -‐ существует фаза IKE 1.5 Используется для Remote Access VPN
IKE phase 1 может работать в двух режимах: Main Mode: Main Mode – процесс согласования состоит из шести сообщений (приведен на рисунке). Этот тип согласования является более безопасным. Aggressive Mode – обмен тремя сообщениями, соединение устанавливается быстрее, менее безопасный режим
2. IKE phase 1,5 – расширение к стандарту IKE, является не обязательным этапом. Этот этап используется при установки Remote access IPsec соединения. На этом этапе выполняется два основных действия: § Xauth (Extended Authenqcaqon) – аутентификация и авторизация подключаемого пользователя
§ Push Configuraqon – в зависимости от результата аутентификации/авторизации клиенту возвращается целый ряд настроек: a) IP address b) DNS/WINS server IP c) Domain name d) Split Tunnel Network List e) Split DNS domain list f) И другие
3. IKE phase 2– согласование параметров защиты передаваемых данных, задача фазы установить шифрованный туннель для передачи данных В процессе работы согласовываем:
§ Encapsula�on method and his mode (Варианты: AH transport/AH tunnel/ESP transport/ESP tunnel) § Интересный трафик -‐ сети при обмене данными между которыми требуется шифрование* * -‐ относится только к традиционным VPN на crypto map, для всех остальных более современных
типов VPN в качестве указания что шифровать используется таблица маршрутизации § Data Connec�on Encryp�on (Варианты: DES/3DES/AES) § Data Hashing (Варианты: MD5/SHA-‐HMAC)
IKE использует UDP des�na�on port 500, всегда нужно убедиться что этот порт не блокируется нигде на транзите IKE Phase 2 завершается установкой двух зашифрованных соединений (одно на прием другое на передачу на каждом устройстве) – каждое такое соединение называется Security Associaqon Security Associaqon – уникально идентифицирует каждое VPN соединение, для того чтоб устройство могло понять к какому VPN соединению относится данный пакет существует специальная метка SPI (security parameter index)
Encapsulaqon methods and their modes-‐ существует два метода инкапсуляции пакетов: AH (Authenqcaqon header) -‐ более старый способ инкапсуляции, при его использовании доступен только контроль целостности передаваемых пакетов. Использует IP protocol 51 Может работать в двух режимах: 1. AH transport mode – сокрытие адресов источника и получателя не происходит
2. AH tunnel mode – происходит сокрытие адресов источника и получателя Note: из за того что пакет аутентифицируется целиком VPN построенный на AH не может пройти через NAT
ESP (Encapsulated security payload) -‐ более новый способ инкапсуляции, при его использовании доступна как проверка целостности так и шифрование пакетов. Использует IP protocol 50 Может работать в двух режимах: 1. ESP transport mode 2. ESP tunnel mode
Note: В отличии от AH ESP способен проходить через NAT за счет того что IP header не аутентифицируется . В случи со sta�c NAT никаких проблем вообще не возникает. В случае присутствия на транзите устройств выполняющих Dynamic NAT для их успешного преодоления используется: NAT-‐T (NAT traversal) – технология позволяющая преодолевать ESP пакетам Dynamic PAT. Как это работает: 1. На этапе IKE согласования устройства выявляют NAT на транзите (Детектирование происходит за счет помещения в пакет hash IP header) 2. Для передачи данных начинают использовать des�na�on UDP port 4500
Работа Cisco c различными VPN технологиями
Условно по логике работы все Secured VPN технологии реализованные на оборудовании компании Cisco можно разделить на несколько групп. Каждая группа характеризуется своим уникальным набором функций понимание которого крайне важно при выборе технологии ее внедрении и последующем поиске и устранении не исправностей.
VPN on Crypto Maps
Dedicated Tunnel Interface
Tunnel Less VPN L2 VPN SSL VPN
Cisco VPN
L2L Crypto map
Easy VPN
Staqc VTI
Dynamic VTI
DMVPN
Flex VPN
GETVPN MacSec Clientless
Client
Логика работы VPN (Crypto Map)
195.5.101.1/24 192.168.101.0/24
195.5.110.1/24 192.168.110.0/24
1. IKE phase 1
IKE phase 1 политики
ISAKMP profile Search
ISAKMP policy 10 Check
...ISAKMP policy 65535 Check
DH key generaqon NAT-‐T
DH key generaqon NAT-‐T
IKE phase 1 политики
Moscow pre-‐shared key or Cerqficate
R1.corp.com
R2.corp.com
Kiev pre-‐shared key or Cerqficate Tunnel Secured by
IKE phase 1 policy Authen�ca�on
No Match Drop
Connecqon
No Match Drop
Connecqon
Match Go to IKE Phase 2
Rouqng Table S* 0.0.0.0/0 f0/1 Internet
Packet to 192.168.101.100
F0/0
F0/0
Authen�ca�on No Match
Drop Connecqon
Match Go to IKE Phase 2
IF traffic go FROM (192.168.110.0/24) TO (192.168.101.0/24) THEN Encrypt AND Send to 195.5.101.1
F0/0 Crypto map Sequence
Number 100
Seq 200
Seq 300
1
2
3
4
5
6
ISAKMP profile
IF Specified
Tunnel Group
No Match Drop
Connecqon
Tunnel Group Key Ring from ISAKMP Profile
2. IKE phase 2
195.5.101.1/24 192.168.101.0/24
195.5.110.1/24 192.168.110.0/24
R_moscow.corp.com
R_kiev.corp.com
Internet
F0/0
F0/0
Search Peer IP (195.5.110.1) in crypto map on F0/0 interface
Crypto-‐Map VPN seq 100
No Match
Drop Connecqon
Crypto-‐Map VPN seq 65535
Mach
Crypto-‐Map VPN seq 65535
Извлечь из Crypto map: § Transform set – какими
алгоритмами защищать данные § Crypto ACL – трафик между
какими сетями шифровать
Tunnel Secured by IKE phase 1 policy
Методы защиты Phase 2/Proxy Idenqty (Crypto ACL)/DH для генерации ключей защиты данных
Методы защиты Phase 2/Proxy Idenqty (Crypto ACL)/DH для генерации ключей защиты данных
На стороне Kiev Crypto Map была найдена при обработке
исходящего пакета
Parameters Match
No Match Drop
Connecqon
Parameters Match No Match
Drop Connecqon
Передача Прием Передача Прием
1
23
Отличия в случае Easy VPN: 1. Инициатор подключения (Client) в место crypto map использует IPSEC Client Profile (Описание как выполнить подключение к Server) 2. На стороне сервера приходит аутентификация/авторизация -‐ a) ASA – правила AAA извлекаются из tunnel-‐group b) Router – правила AAA извлекаются из Crypto-‐map or ISAKMP Profile 3. Выполняется Push конфигурации на клиента а) ASA – конфигурация извлекается из Group-‐policy b) Router – конфигурация извлекается из ISAKMP Client Group or Radius
Логика работы VPN (Dedicated Tunnel Interface)
195.5.101.1/24 192.168.101.0/24
195.5.110.1/24 192.168.110.0/24 1. IKE phase 1/2
R1.corp.com
Rouqng Table S 192.168.101.0/24 Tunnel 0 Internet
Packet to 192.168.101.100
F0/0
F0/0
1
Tunnel 0 172.16.1.1/24 Tunnel src: 195.5.110.1 Tunnel dst: 195.5.101.1 IKE Phase 2 security Policy (IPsec Profile)
Tunnel 0 172.16.1.2/24 Tunnel src: 195.5.101.1 Tunnel dst: 195.5.110.1 IKE Phase 2 security Policy (IPsec Profile)
Rouqng Table S 192.168.110.0/24 Tunnel 0
IKE phase 1 Nego�a�on
IKE phase 1 Authen�ca�on
IKE phase 2 Policy Proxy Iden�ty 0.0.0.0/0
No Match
Drop Connecqon
Parameters Match Parameters Match No Match
Drop Connecqon
Передача Прием Передача Прием
Отличия в случае DVTI: 1. Инициатор подключения (Client) в место Tunnel Interface использует IPSEC Client Profile 2. На сервере и клиенте* туннельные интерфейсы создаются динамически 2. На стороне сервера приходит аутентификация/авторизация -‐ Router – правила AAA извлекаются из ISAKMP Profile 3. Выполняется Push конфигурации на клиента -‐ Router – конфигурация извлекается из ISAKMP Client Group or Radius Отличия в случае DMVPN: 1. Использование протокола NHRP для динамического определения Tunnel Des�na�on *-‐в случаи использования Hardware Client
GDOI Protected by IKE phase 1
GDOI Protected by IKE phase 1
Логика работы VPN (Tunnel Less VPN) 192.168.10.0/24
KS primary encrypt 192.168.0.0/16 to 192.168.0.0/16
KS secondary encrypt 192.168.0.0/16 to 192.168.0.0/16
MPLS VPN
192.168.100.0/24 192.168.110.0/24
SRC_IP: 192.168.100.10
DST_IP: 192.168.110.10
SRC_IP: 192.168.100.10
DST_IP: 192.168.110.10 Encrypted Data
GETVPN – технология без туннельного шифрования (сокрытие исходных IP адресов не происходит). Маршрутизаторы в этой технологии разделятся на два типа: § Key server (KS)– маршрутизатор отвечающей за регистрацию всех других Routers в группе,
периодическую генерацию ключа для защиты данных и безопасную доставку этого ключа всем участникам группы.
Кроме того сообщает всем – какой именно трафик они должны шифровать. § Group Member (GM) – должен зарегистрироваться на своем Key server(s) и получать с него всю
необходимую информацию, при наличии интересного трафика выполнять его защиту. COOP (Co-‐operaqve Key Server) -‐ технология резервирования Key Server
GM GM
GM GM
PE1 PE2
Прием From Any Передача To Any
Прием From Any Передача To Any
Rouqng Table O 192.168.110.0/24 via PE1
Rouqng Table O 192.168.100.0/24 via PE2
GOOP Protected by IKE phase 1
Логика работы L2 VPN (MacSec)
MACSEC (IEEE 802.1AE)– технология шифрования на L2 дающая возможность выполнять шифрование ПК-‐Коммутатор, Коммутатор – Коммутатор, шифрование выполняется на скорости интерфейса. Процес шифрования выполняется hop-‐by-‐hop 1. End Staqon-‐Switch encrypqon
Corporate Network
MacSec Enabled SW: § 3750/3560-‐X with C3KX-‐SM-‐10G § 45хх with Sup 7-‐E, Sup 7L-‐E and WS-‐X47XX line cards § 65xx with Sup 2T and 6900 series line cards § Nexus 7000 all line cards except F-‐Series
802.1X-‐REV Enabled AAA Server:
§ Cisco ACS § Cisco ISE
§ MacSec Enabled NIC § Cisco Anyconnect
802.1X Using EAP-‐TLS or EAP-‐FAST
connec�vity associa�on key (CAK)
connec�vity associa�on key (CAK)
Radius Access Accept AVP:CAC connec�vity
associa�on key (CAK)
MaCsec Key Agreement (MKA) Session Key Genera�on
MacSec Protected
2. Switch to Switch encrypqon Corporate Network
Seed Device
Network Device Admission Control (NDAC) provide 802.1x using EAP-‐FAST
Network Device Admission Control (NDAC) provide 802.1x using EAP-‐FAST
Security Associa�on Protocol (SAP) Session Key Genera�on
MacSec Protected
1. Способ реализации
VS
§ Remote Access VPN § Site-‐to-‐Site VPN
2. Уровень модели OSI на котором будет происходить туннелированные § Transport Layer – единственная технология SSL VPN, возможно как клиентская так и без
клиентская реализация § Network Layer -‐ все другие технологии кроме MacSec § Data link Layer – технология MacSec, организация защищенного L2 соединения между
площадками 3. Наличие требования локальных регуляторов NME-‐RVPN
Принципы выбора VPN технологии под специфическую задачу
3. Реализация отказоустойчивых подключений
§ Dynamic rouqng § IOS IP SLA
Провайдер 1 Провайдер 2
Dynamic rou�ng protocol
Провайдер 1 Провайдер 2
Ping
2. VPN топология (site-‐to-‐site only)
§ Hub and spoke/hierarchical hub and spoke/Centralized Hub and spoke
§ Full mash/parqal mash
VS
VS
4. Требуется шифрование mulqcast traffic – Не все VPN технологии поддерживают передачу через туннели mul�cast traffic
3. Тип транспорта § Internet § WAN: Услуга от оператора:
a) VPN MPLS b) VPLS c) Предоставление волокна/предоставление λ в волокне
5. Размеры сети– Количество узлов сейчас, планируемый рост
Что получается:
Способ реализации
Уровень модели OSI
Топология Отказоустойчивость Транспорт Поддержка Mulqcast
Применение
L2L Crypto map
Site-‐to-‐Site Network Hub and Spoke SLA/IKE Dead pear Detec�on/ State full IPSEC
Internet/ WAN
нет Не большие филиальные сети
Easy VPN Remote Access Network Hub and Spoke (Client to Site)
SLA/IKE Dead pear Detec�on/ State full IPSEC
Internet нет Просто уделенный доступ
Staqc VTI Site-‐to-‐Site
Network Hub and Spoke Dynamic Rou�ng Internet/ WAN
да через hub Не большие филиальные сети с поддержкой Dynamic Rouqng
Dynamic VTI
Remote Access Network Hub and Spoke (Client to Site)
SLA/IKE Dead pear Detec�on Internet да через hub Удаленный доступ с гибким QoS
DMVPN Site-‐to-‐Site Network Hub and Spoke/ Spoke to Spoke
Dynamic Rou�ng Internet/ WAN
да через hub Крупные распределенные сети
Flex VPN Site-‐to-‐Site/ Remote Access
Network Hub and Spoke (Client to Site)/ Hub and Spoke/ Spoke to Spoke
SLA/IKE Dead pear Detec�on/ Dynamic Rou�ng
Internet/ WAN
да через hub
Единое решение для поддержки Remote Access & Site-‐to-‐Site
GETVPN Site-‐to-‐Site Network Any-‐to-‐Any KS:COOP GM:Dynamic Rou�ng
WAN: MPLS VPN VPLS
Да Крупные распределенные сети имеющий WAN
MacSec Device-‐to-‐Device Data Link Any-‐to-‐any EtherChannel Virtual Port Channel
LAN Dark Fiber
Да Шифрование L2
Clientless SSL VPN
Remote Access
Transport Hub and Spoke (Client to Site)
Failover Internet Нет Удаленный доступ через WEB Браузер
Client SSL VPN
Remote Access
Transport with Network
encapsulated
Hub and Spoke (Client to Site)
Failover Internet Нет Гибкий уделенный доступ
Организация защищенного удаленного доступа
Cisco Easy VPN – технология защищенного удаленного доступа использующая в качестве транспорта набор протоколов IPSEC. По логике технологии участники построение VPN сети делятся на два типа: § Server – устройство которое принимает подключения от удаленных клиентов, проводит их
аутентификацию и настройку (Выдает IP адрес в корпоративной сети, сообщает трафик для каких сетей следует отправлять в туннель, а так же выдает дополнительные настройки)
Роль Easy VPN Server доступна на Cisco IOS, Cisco ASA. § Client– осуществляет подключение к определенному серверу, на клиенте описаны все возможные
варианты политик защиты данных, клиент посылает все эти политики на сервер, и сервер выбирает из них наиболее подходящую.
Роль Client Может выполнять:
§ Cisco Easy VPN Client – ПО устанавливаемое на ПК пользователя § Hardware IPsec Client – функционал Router & ASA На клиенте выполняются базовые настройки: § Указывается IP/Name VPN Server § Задается имя Group (Указывается в ручную, или используется OU field из сертификата) § Настройки необходимый для XAUTH § В случае Hardware Client – причина инициализации туннеля
Host B
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24 Route to: 0.0.0.0/0
Username/Password/Cer�ficate
Configura�on (IP/DNS/WINS)
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
Original IP Packet
SRC_IP: 195.5.111.10
DST_IP: 195.5.110.1
IPSec Header
Проверить включен ли Firewall
Расширенная конфигурация
Internet
Proxy Server
Cisco Easy VPN Hardware Client, как это работает a) Client Mode
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
192.168.151.10/24 SA for Interes�ng Traff
Dynamic PAT SRC_IP:
192.168.100.10 DST_IP:
192.168.110.10 SRC_IP:
192.168.151.10 DST_IP:
192.168.110.10
Username/Password/Cer�ficate
Configura�on (IP/DNS/WINS)
Authen�ca�on: LOCAL/RADIUS/LDAP
Authoriza�on: ASA -‐ Group-‐Policy: Local/Radius/Policy name from AD group name Router – ISAKMP Client Profile: Local/Radius
Client ACL and other
DAP (Dynamic Access Policy)*
b) Network Extension Mode
195.5.110.1/24
Internet
195.5.111.10/24
192.168.110.0/24
192.168.100.0/24
SRC_IP: 192.168.100.10
DST_IP: 192.168.110.10
SRC_IP: 192.168.100.10
DST_IP: 192.168.110.10
Username/Password/Cer�ficate
My local network – 192.168.100.0/24 Sta�c route to: 192.168.100.0/24
b) Network Extension Mode Plus – отличие от предыдущего в том что Router Client получает IP из корпоративного адресного пространства для управления
Область применения технологии: § Организация простого удаленного доступа для сотрудников § Организация VPN сети с не большими подразделениями, имеющими собственный выход в
интернет, и не большими требованиями по доступу к ресурсам центрального офиса § Организация технологических сетей (сети банкоматов, терминалы самообслуживания)
Организация защищенного удаленного доступа
Cisco SSL VPN – технология предполагающая использование в качестве транспортного протокола SSL, существуют две реализации: Client SSL VPN –Как и при использовании IPSEC для удаленного доступа клиенту требуется установить специальное ПО – VPN клиент (Cisco AnyConnect), при установке которого создаться виртуальный сетевой адаптер на который будет назначаться IP address из корпоративной сети и через него будет осуществляется защищенный обмен информацией. ПО устанавливается с ASA/Router, либо в ручную Технология имеет ряд дополнительных функций: § Возможность установки клиента на мобильные устройства § Оценка состояния рабочей станции (Host Scan) § Start Before Login – запуск VPN требуется для входа в систему § Always ON VPN – автоматически запускать клиента при входе в систему § Перенаправление h¦p/h¦ps/§p трафика на Cisco Web Security Appliance § Сам клиент имеет модульную структуру которая дает целый ряд дополнительных возможностей не
имеющих прямого отношения к VPN: a) Менеджер проводных и беспроводных подключений b) Клиент Cisco ScanSafe
Cisco Client SSL , как это работает + дополнительные функции
Internet
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24 Route to: 0.0.0.0/0
Аутентификация на WEB портале
Client Download
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
Original IP Packet
SRC_IP: 195.5.111.10
DST_IP: 195.5.110.1
SSL Header
Сбор информации о состоянии системы*
OS Version/An�virus type/Firewall type ...*
Username/Password/Group
Se¨ngs
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
SRC_IP: 192.168.151.10
DST_IP: Facebook
Authen�ca�on: LOCAL/RADIUS/LDAP
DAP (Dynamic Access Policy)*
Authoriza�on: ASA -‐ Group-‐Policy: Local/Radius/Policy name from AD group name Router – ISAKMP Client Profile: Local/Radius
* -‐ ASA only
Cisco Clientless SSL , как это работает + дополнительные функции В самом простом случае на портале может осуществляется публикация h¦p/h¦ps/cifs ресурсов При использовании browser plugin (java applet) добавляются: § RDP § Telnet/SSH § VNC Плагины нужно загрузить на ASA, после этого появляется доступ к таким ресурсам через портал
Internet 195.5.110.1/24
Аутентификация на WEB портале
Аутентификация на WEB портале
IT user
Finance user
Область применения технологии: § Удаленный доступ с мобильных устройств § Clientless доступ § Проверка “здоровья” подключающейся рабочей станции § Защита Web доступа сотрудников
Следует быть внимательным при выборе лицензии
Кроме того некоторые функции требуют дополнительных лицензий: проверка рабочей станции, Доступ с мобильных устройств, фильтрация Web трафикa h¦p://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html
DMVPN – технология использующая как основу VTI но при этом des�na�on IP для туннеля узнается динамически, с использованием специального протокола NHRP (Next Hop Resoluqon Protocol) NHRP – В технологии DMVPN используется для поиска по Tunnel interface IP Address NBMA address интересного нам peer (NBMA address в логике DMVPN – IP address физического интерфейса который используется для установки туннеля) По логике DMVPN маршрутизаторы делятся на два типа: § Hub -‐ маршрутизатор к которому подключатся Spoke и регистрируют свои соответствия NHRP Address to
Tunnel Address. В последствии Hub отвечает на запросы spoke об этих соответствиях § Spoke – имеет статический туннель на Hub . Как средство принятия решения нужно ли шифровать
используется маршрутизация, весь трафик который попадает по маршрутизации в туннель – шифруется, если трафик направляется на другой spoke используется NHRP для поиска его Public IP и создается динамический туннель.
IKE Phase 2 tunnels
Internet
192.168.100.0/24 192.168.110.0/24
SRC_IP: 192.168.100.10
DST_IP: 192.168.110.10
SRC_IP: 195.5.111.10
DST_IP: 195.5.110.10 Encrypted Data
Tunnel 0 172.16.1.2/24 Tunnel src: 195.5.111.10 NHRP Base Setup NHRP Setup in SPOKE Style (where find HUB) IPsec Profile
Tunnel 0 172.16.1.3/24 Tunnel src: 195.5.110.10 NHRP Base Setup NHRP Setup in SPOKE Style (where find HUB) IPsec Profile
Tunnel 0 172.16.1.1/24 Tunnel src: 195.5.1.11 Rouqng tuning NHRP Base Setup NHRP Setup in HUB Style IPsec Profile
195.5.111.10 195.5.110.10
195.5.1.1
IKE Phase 1 IKE Phase 1
NHRP Map 172.16.1.2(192.168.100.0/24) to 195.5.111.10
Map 172.16.1.3 to 195.5.110.10
Who have 172.16.1.2 and 192.168.110.0?
195.5.110.10
DMVPN Как это работает
192.168.1.0/24
Dynamic Rouqng Protocol
Rouqng Table D 192.168.1.0/24 Tunnel 0 D 192.168.110.0/24 Tunnel 0
Rouqng Table D 192.168.1.0/24 Tunnel 0 D 192.168.100.0/24 Tunnel 0
IKE Phase 1
IKE Phase 2 tunnels
IKE Phase 2 tunnels NHRP Map 172.16.1.2(192.168.100.0/24) to 195.5.111.10
Dynamic Rouqng Protocol
DMVPN история версий:
DMVPN phase 1: § Трафик всегда идет через hub
DMVPN phase 2: § Появились Spoke-‐to-‐Spoke
Dynamic Tunnels
DMVPN phase 3: § Иерархический hub and spoke, spoke-‐to-‐spoke tunnels между разными
регионами In phase 2: In phase 3:
Новые подходы и принципы работы FlexVPN
Radius Server
Flex VPN – новый подход к настройки различных видов VPN использующих в качестве основы VTI. Данный подход предполагает унификацию настроек всех VPN технологий. Использование этого подхода дает возможность очень гибко применять политики для каждого подключающегося устройства/пользователя. Технология Flex VPN базируется на использовании стандарта IKEv2 имеющего целый ряд новых функций и возможностей: § 4-‐6 сообщений для установки IPsec SA (в случае выполнения рекомендаций) § Настройка двух сторонней аутентификации: authen1ca1on local|authen1ca1on remote При этом на направлениях можно использовать разные типы аутентификации § Аутентификация IKE phase 1.5 – EAP § Защита от DoS за счет использования cookies § IKE Rou�ng – Push и установка маршрутов в Rou�ng Table без использования протоколов динамической маршрутизации Для настройки важно понимание логики работы ISAKMP Profile
Компоненты используемые для настройки в IOS: § AAA Framework – используем для: a) Authenqcaqon login – Radius only. Для проведения IKE 1.5 EAP Authen�ca�on b) Authorizaqon Network – для назначение настроек на Ini�ator (Local Or Radius) § IKEv2 общие настройки: a) IKEv2 Proposal – наборы правил защиты b) IKEv2 Policy – связка Proposal c VRF на локальном устройстве или с конкретным интерфейсом c) IKEv2 Key Ring – используется в случае pre-‐shared authen�ca�on. Задаем Peer IP/Name и Key для него.
Кроме того задаем Iden�ty – как представимcя peer а так же собственный ключ. § IKEv2 расширенные настройки: a) IKEv2 Profile – Match/Set элемент: c) IKEv2 name-‐mangler – извлекает указанную администратором часть из IKE Iden�ty для авторизации d) IKEv2 authorizaqon policy – набор настроек который будет помещена на Ini�ator в случаи локальной
авторизации
Match (Peer) Set
IP/FQDN/Domain… AAA eap authen�ca�on
“OU”/Cer�ficate Map AAA authoriza�on IF: Local with IKEv2 authoriza�on Radius with ikev2 name-‐mangler
email Key Ring
PKI trustpoint
…..
Сертифицированные VPN решения Cisco
В чем актуальность сертифицированных VPN решений: § Ограничения на ввоз крипто средств на территорию Таможенного союза § Требования локальных нормативных актов использовать отечественные стандарты Компоненты сертифицированного VPN:
NME-‐RVPN (МСМ) с ПО CSP VPN Gate – Модуль в ISR G1/G2 (2811…/2911…) Согласование VPN сессий:IKE Аутентификация: Pre-‐Shared/Cer�ficate Шифрование: ГОСТ 28147-‐89/DES/3DES/AES Целостность: ГОСТ Р 34.11-‐94/SHA/MD5 Цифровая подпись:ГОСТ Р 34.10-‐94/ГОСТ Р 34.10-‐2001 Интерфейсы: 2 *1G (внешний и внутренний) К USB может быть подключен GSM/CDMA/WiMAX
Решение CSP VPN Gate на платформе Cisco UCS C-‐200 – Высоко производительное решение для организации подключения большого количества филиалов или связи между ЦОД
Возможные варианты внедрения решений: Простой Site-‐to-‐Site (Модуль за маршрутизатором) – Отказоустойчивость в центральном офисе(Reverse route injecqon) – Использование в качестве транспорта DMVPN – В такой реализации технология DMVPN используется без шифрования. Информация о сетях Internal (Внутренний интерфейс модуля) помещается в процес маршрутизации туннельных интерфейсов. Это дает возможность VPN устройствам во всей сети обменятся информацией о Internal Networks.
195.5.110.1/24 Internet 195.5.111.10/24
R1 R2 R2_RVPN R1_RVPN
172.16.1.0/24 172.16.2.0/24
.1 .2
.1 .2
192.168.101.0/24 192.168.110.0/24
195.5.110.1/24 Internet 195.5.111.10/24
R1 R2
RVPN_1 R1_RVPN
172.16.1.0/24 172.16.2.0/24
.1 .2
.1
.2
192.168.101.0/24 192.168.110.0/24 .3
RVPN_2
10.0.0.0/24
.2
.3
Sta�c PAT UDP 500 UDP 4500
Sta�c PAT UDP 500 UDP 4500
Sta�c PAT UDP 500 UDP 4500
Sta�c PAT UDP 500 UDP 4500
Dynamic Rou�ng
Rou�ng table D 192.168.101.0/24 via .2 D 192.168.101.0/24 via .3
DMVPN demo topology
R1 Easy VPN Server
DMVPN HUB Primary
192.168.1.0/24
R4
R3
Internet R2
DMVPN HUB Secondary
.2 .2
.1 .1
195.5.5.0/24
.3
.4
192.168.4.0/24
192.168.3.0/24
.100
Слушателям сегодняшнего вебинара предоставляется скидка на ближайший курс CCNA Security:
h¦p://skillfactory.ru/courses/ccna_security
Промо код для получения скидки -‐ #SECFW
Запись семинара а также ссылка на презентацию будут доступны на нашем канале в YouTube
h¦p://www.youtube.com/user/SkillFactoryVideo Спасибо за внимание!
