Wykład 5 2012-11-07
Sieci VPN
Zagrożenia w sieciach
Cele stosowania VPN to zapewnienie:
Poufności danych
Integralności danych
Uwierzytelnienia źródła danych
Niezaprzeczalności danych
Rodzaje i topologie sieci VPN
Dwa podstawowe rodzaje sieci VPN
Client – Site – kanał VPN zestawiany między komp PC zdalnego pracownika, a odległa siecią LAN
Site-Site – kanał VPN zestawiany pomiędzy dwoma, odległymi fizycznie sieciami LAN
Topologia Meshed VPN – między wszystkimi urządzeniami VPN zestawiane są tunele
Topologia HUB & Spoke – centralne urządzenie VPN pośredniczy w zestawianiu tuneli pomiędzy innymi urządzeniami
Algorytmy i protokoły VPN
Stosowane algorytmy:
Szyfry symetryczne: DES, #DES, AES, RC2, RC4, itp.,
Szyfry asymetryczne: RSA, DSA, ElGAmal
Algorytm Diffiego - Hellmana
Funkcje skrótu: SHA-1, SHA-256, RIPEMD-160, MD5
Podpisy cyfrowe: RSA, DSA
Certyfikaty cyfrowe: X.509 (jakie dane są w nim zapisane, dla kogo wystawiany , podpis zaufanej 3 strony, kto wystawia, klucz publiczny)
Protokoły w siechach VPN:
IPSec
SSL (Secure Socket Layer)
L2TP(Layer – 2 Tunneling Protocol)
SSH (Secure Shell)
AH – Uwierzytelnianie, integralność
ESP – Uwierzytelnianie, integralność, niezaprzeczalność, poufność i brak duplikacji pakietów,
IPSec
Zagrożenia bezpieczeństwa transmisji danych
Właściwości architektury IPSec
Relacje zabezpieczeń i sposoby kapsułkowania pakietów
Tryby pracy IPSec (tunelowy, transportowy)
Zarządzanie kluczami kryptograficznymi (1…..2,.klucze RSA, 3.certyfikaty cyfrowe – pobierane z serwera kluczy)
IPSec – właściwości
Zbiór zasad łączących mechanizmy i protokoły bezpieczeństwa w celu zabezpieczenia transferu danych
Funkcjonuje w warstwie sieciowej – obojętne jest to co jest w warstwach wyższych
Może być wykorzystywana przez IPv4 i IPv6
Daje systemowi możliwość wyboru protokołu i algorytmów do zabezpieczenia transmisji
Umożliwia utworzenie zabezpieczonego połączenia typu punkt-punkt
Weryfikacja źródła pochodzenia datagramu (eliminacja możliwości zmiany adresu źródłowego pakietu)
Bezpołączeniowa weryfikacja integralności datagramu( zabezpieczenie przed modyfikacją zawartości pakietu)
Zabezpieczenie zawartości pakietu przed odczytaniem (stosowanie różnych metod kryptograficznych)
Zapobieganie wielokrotnemu wysyłaniu pakietu, który wcześniej został przechwycony (unikanie paraliżu usług)
Algorytm wymiany kluczy Diffiego – Hellmana
Infrastruktura klucza publicznego do negocjacji klucza sesji (ustalany w 2 fazie – IPSec – jakim algorytmem będą szyfrowane dane do przesłania)
Symetryczne algorytmy szyfrowania danych, np. DES, 3DES, AES;
Algorytmy generowania skrótów typu MD5 i SHA
Cyfrowe certyfikaty (wymaga serwera certyfikatów dla obu urządzeń końcowych)
Dwa rodzaje nagłówków `AH i ESP – do wyboru
IPSec – nagłówek AH
Zapewnia:
Bezpołączeniową integralność datagramu
Integralność źródła danych
Usługa „anti-replay”
Uwiarygodnienie pola danych pakietu i niezmienionych pól nagłówka (brak poufności).
BUDOWA NAGŁÓWKA AH (znaleźć)
SPI – wynegocjowana 32-bitowa liczba identyfikująca relację zabezpieczeń …
Tryby pracy IPSec
Tryb transportowy:
Wykorzystywany do utworzenia bezpiecznego łącza pomiędzy dwoma hostami;
Nagłówek AH lub ESP jest umieszczany po oryginalnym nagłówku, a przed danymi protokołów warstwy wyższej
Tryb tunelowy:
Stosowany pomiędzy dwoma węzłami, a których przynajmniej jeden funkcjonuje jako bezpieczna brama
Cały oryginalny pakiet IP razem z oryginalnym nagłówkiem jest zapakowany w innym pakiecie IP i może być zaszyfrowany
Relacja zabezpieczeń (SA)
Relacja zabezpieczeń SA określa zależności bezpieczeństwa pomiędzy dwoma lub więcej jednostkami.
Wyjaśnia w jaki sposób jednostki używać będą systemów zabezpieczeń do bezpiecznej komunikacji
Relacja zabezpieczeń jest jednokoierunkowa
Relacja zabezpieczeń jest jednoznacznie definiowana przez losowo wybrany jednoznaczny numer, tzw. Security Parameters Index (SPI), docelowy adres IP obiorcy oraz identyfikator protokołu zabezpieczeń (AH lub ESP)
Parametry relacji zabezpieczeń są negocjowane w trakcie zestawiania bezpiecznego połączenia.
Przykład SA dla różnych trybów pracy
(rysunek)
IPSec – konfiguracja
Crypto ACL – zdefiniowanie ruchu, który ma podlegać szyfrowaniu
Faza I – faza ISAKMP – zapewnienie warunków do wiarygodnego i bezpiecznego przesyłania kluczy szyfrowania. Podstawowy protokół – IKE. Popularna metoda stosowana w IKE – model Diffie – Hellmana
Faza II - faza IPSec (transform-set’y) – ustalenie parametrów szyfrowania i zapewnienia integralność
Stworzenie Crypto-mapy – połączenie wszystkich wcześniej skonfigurowanych elementów
Dodanie Crypto-mapy do konfiguracji interfejsu.
IPSec – konf fazy I
Konf współdzielonego hasła
(config)# crypto isakmp key „cisco” address „ip drugiego końca tunelu”
Konf polityki ISAKMP
(config)#crypto isakmp enable
(config)# isakmp policy priority (1-10000)
1 – największy priorytet, można skonfigurować wiele polityk dla jednego węzła – robi się to w celu zwiększenia pr-stwa dopasowania polityk
(config-isakmp)#authentication (pre-share, rsa-sig, rsa-encr)
(config-isakmp)#encription (des, 3des)
(config-isakmp)#group (1,2,5)
(config-isakmp)#lifetime ….
Weryfikacja
Sh crypto isakmp policy
Faza II
Konf ustawień IPSec
(config)#crypto ipsec transform-set „nazwa” parametry
(cfg-crypto-tran)# mode (tunel, transport)
Weryfikacja
Sh crypto ipsec transform-set “nazwa”
IPSec – konfiguracja Crypto -map
(config)#crypto ipsec security-association lifetime
(config)#crypto map “nazwa” “numer” (ipsec-manual, ipsec-isakmp)
(config-crypto-map)# mach address 110 – to dotyczy ACL
(config-crypto-map)# set per 10.0.0.1
(config-crypto-map)# set pfs group1
(config-crypto-map)#set transform-set “nazwa”
(config-crypto-map)#set security-association lifetime “liczba” (w sekundach)
Polecenia werfikujące
Show crypto map
Show crypto ipsec transform-set
Show crypto ipsec sa
Clear crypto sa – kasuje aktywne tunele
Debug crypto ipsec
Debug crypto isakmp