Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Korporacyjne Sieci Bez Granic Corporate Borderless Networks dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń KSBG (v2013) 1

Corporate Borderless Networks Borderless Campus 1.0 Design Guide: Enterprises are making a fundamental shift, with employees no longer confined to physical offices, geographical locations, and time zones. In today s globalized workplace, work can occur anywhere in the world and enterprise information needs to be virtually accessible, on-demand, through every part of the network. These requirements drive the need to build next-generation networks that are: secure (VPN), reliable (core L3), highly available (HSRP). BYOD KSBG (v2013) 2

Plan zajęć część 1 Standardowa topologia sieci: VPN RA VPN L2L Zmodyfikowana topologia sieci: Przełącznik L3 (intervlan routing, agregacja portów). Redundancja bramy: Hot Standby Router Protocol (HSRP) Virtual Router Redundancy Protocol (VRRP) KSBG (v2013) 3

VPN VPN (ang. Virtual Private Network) to wirtualna sieć, zestawiana z wykorzystaniem sieci współdzielonej. Ważnym zadaniem VPN (ale nie koniecznym!) jest zapewnienie bezpieczeństwa danym przez nie przesyłanym poprzez: mechanizmy szyfrowania, uwierzytelniania, weryfikacji integralności danych. KSBG (v2013) 4

VPN klienta, VPN usługodawcy VPN zestawiane przez usługodawcę za ich konfigurację oraz utrzymanie jest odpowiedzialny usługodawca. VPN zestawiane przez klienta za ich konfigurację oraz utrzymanie odpowiedzialny jest klient. KSBG (v2013) 5

Historia VPN Pierwsze sieci VPN to były zwykłe tunele, bez uwierzytelniania i szyfrowania. Przykład: Generic Routing Encapsulation (GRE) jest protokołem do tunelowania opracowanym przez Cisco mogącym enkapsulować szeroki zakres protokołów w tunelu IP. Tunel tworzy wirtualny link typu point-to-point pomiędzy urządzeniami poprzez sieć publiczną (IP). Inne przykłady technologii pseudo VPN (linki point-to-point bez uwierzytelniania i szyfrowania): Frame Relay, ATM PVC, Multiprotocol Label Switching (MPLS). KSBG (v2013) 6

Zalety VPN Poufność bo szyfrowanie, najczęściej to jest kojarzone z sieciami VPN. Obniżanie kosztów poprzez używanie taniego i popularnego Internetu do łączenia zdalnych biur i użytkowników. Bezpieczeństwo wysoki poziom bezpieczeństwa dzięki najlepszym metodom uwierzytelniania oraz szyfrowania. Skalowalność dzięki wykorzystaniu Internetu łatwo dołączać kolejnych użytkowników (nowe lokalizacje) bez konieczności wymiany urządzeń i łączy. Kompatybilność z technologiami szerokopasmowymi to co przesyła IP poradzi sobie także z VPN... A to ważne bo tylko wydajne łącza zapewnią komfortową pracę. KSBG (v2013) 7

Architektury VPN KSBG (v2013) 8

Architektury VPN: Site-to-Site KSBG (v2013) 9

VPN protokoły KSBG (v2013) 10

VPN Przykłady VPN L3: Generic Routing Encapsulation (GRE) opracowany przez Cisco następnie zestandaryzowany (RFC 1701, RFC 1702). MPLS zestandaryzowany przez IETF. MPLS VPN usługa świadczona przez ISP użycie etykiet do enkapsulacji oryginalnych danych. IPsec zestaw protokołów opracowany pod nadzorem IETF aby zapewnić bezpieczną wymianę danych poprzez sieci IP. IPsec pozwala na: uwierzytelnianie, integralność, kontrolę dostępu, poufność. KSBG (v2013) 11

Architektury VPN: Remote Access KSBG (v2013) 12

Architektury VPN: Remote Access KSBG (v2013) 13

VPN RA VPN IPsec RA wymaga dodatkowego soft u na stacji klienta. SSL VPN tylko Web browser: dostęp do stron i usług (pliki, e-mail, aplikacje bazujące na TCP): brak dodatkowego soft, dowolna stacja przyłączona do Internetu. SSL VPN trzy tryby dostępu: clientless, thin, full (thin i full RA musi pobrać applet Java lub ActiveX, który zajmie się przekazywaniem danych (np. TCP) do sieci docelowej). SSL VPN jest dobry dla użytkowników, którzy korzystają z pojedynczej aplikacji albo serwera. SSL VPN full i IPsec VPN pozwala na bezpieczny dostęp do wszystkich zasobów i aplikacji klient-serwer: IPSec connects hosts to entire private networks, while SSL VPNs connect users to services and applications inside those networks. KSBG (v2013) 14

VPN RA KSBG (v2013) 15

VPN RA SSL VPN trzy tryby dostępu: Clientless Thin client (nazywany także TCP port forwarding. Java applet występuje jako TCP proxy na maszynie klienta dla usług skonfigurowanych na bramie SSL VPN). Full client (pełny dostęp do zasobów sieci korporacyjnej poprzez tunel SSL VPN. Java applet jest pobierany przez przeglądarkę aby utworzyć i zarządzać tunelem pomiędzy hostem klienta a bramą SSL VPN. Użytkownik może używać dowolnej sieciowej aplikacji w sieci korporacyjnej). Cisco IOS router pozwala na trzy tryby: clientless, thin client, full client. ASA obsługuje dwa tryby: clientless (zwiera clientless i thin client port forwarding), AnyConnect client (realizuje full tunnel). KSBG (v2013) 16

VPN protokoły KSBG (v2013) 17

Protokoły tunelowania KSBG (v2013) 18

Wybór technologii VPN KSBG (v2013) 19

Tunel jako połączenie punkt-punkt KSBG (v2013) 20

GRE Generic Routing Encapsulation (GRE) jest protokołem do tunelowania zdefiniowanym w RFC 1702 i RFC 2784. Opracowany przez Cisco do tworzenia wirtualnych linków point-to-point pomiędzy routerami Cisco a zdalnymi punktami (poprzez sieci IP). Zaletą GRE jest fakt, iż może zostać użyty do tunelowania ruchu nie-ip poprzez sieć IP. IPsec wspiera wyłącznie ruch unicast, GRE wspiera także ruch multicast i broadcast. GRE nie zapewnia możliwości szyfrowania. Jeśli jest ono potrzebne należy użyć IPsec. KSBG (v2013) 21

GRE KSBG (v2013) 22

Enkapsulacja za pomocą GRE KSBG (v2013) 23

GRE - konfiguracja KSBG (v2013) 24

IPSec KSBG (v2013) 25

Urządzenia Routery i przełączniki (Cisco IOS VPN-enabled). Zapory sieciowe (Cisco ASA 5500 Series Adaptive Security Appliances). Koncentratory VPN (Cisco VPN 3000 Series) Concentrators. Routery SOHO. Inne dedykowane urządzenia (Juniper MAG Series). KSBG (v2013) 26

KSBG (v2013) 27

ASA 5500-X KSBG (v2013) 28

Software Software (klient) do IPsec VPN RA: Certicom client Cisco VPN Client software Cisco Remote Router VPN Client Cisco AnyConnect VPN Client KSBG (v2013) 29

Wydajność Moduły zwiększające wydajność (problem wydajności szyfrowania): AIM - Cisco routers. Cisco IPsec VPN Shared Port Adapter (SPA) - Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers. Cisco PIX VPN Accelerator Card+ (VAC+) - The PIX Firewall VAC+ hardware acceleration DES, 3DES, AES. KSBG (v2013) 30

IPSEC IPsec jest zbiorem standardów IETF (RFC 2401-2412) określających jak VPN może być tworzony poprzez sieci IP. IPsec nie jest związany z konkretnymi metodami szyfrowania, uwierzytelniania, przesyłania klucza. IPsec framework zwiera otwarte standardy określające zasady bezpiecznej komunikacji. IPsec działa na poziomie warstwy L3 (Network Layer), chroniąc i uwierzytelniając pakiety IP pomiędzy węzłami IPsec. IPsec może chronić cały ruch warstw wyższych (L4-L7). KSBG (v2013) 31

IPSEC framework KSBG (v2013) 32

IPSEC framework IPsec framework funkcje bezpieczństwa: Poufność (Confidentiality), Integralność (Integrity), Uwierzytelnianie (Authentication), Wymiana klucza (Secure key excange). KSBG (v2013) 33

Hashed Message Authentication Codes (HMAC) Hashed Message Authentication Codes (HMAC) weryfikacja integralności danych: KSBG (v2013) 34

Secure Key Exchange DH Group 1: 768-bit group: czas generacji klucza x DH Group 2: 1024-bit group: czas generacji klucza 2x DH Group 5: 1536-bit group: czas generacji klucza 6x Group 7 wspiera ECC (Elliptical Curve Cryptography - Kryptografia Krzywych Eliptycznych): redukcja czasu generacji klucza. ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Ocenia się, że bezpieczeństwo klucza RSA o długości 1024 bitów jest równoważne bezpieczeństwu klucza ECC o długości 160 bitów. KSBG (v2013) 35

IPSEC framework IPsec framework otwartych standardów. Bazuje na istniejących rozwiązaniach. Dwa główne protokoły w IPsec framework to: AH i ESP: Authentication Header (AH) (IP protocol 51) Encapsulating Security Payload (ESP) (IP protocol 50) Protokoły IP: http://en.wikipedia.org/wiki/list_of_ip_protocol_numbers KSBG (v2013) 36

IPSec KSBG (v2013) 37

IPSec KSBG (v2013) 38

Tunel vs Transport KSBG (v2013) 39

AH Problemy AH w środowiskach z NAT. KSBG (v2013) 40

AH KSBG (v2013) 41

AH KSBG (v2013) 42

AH Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem AH np.: ESP, TCP, UDP (zależnie od aplikacji). Payload Length: Określa długość AH w 32-bitowych słowach (4- bajtowe jednostki), minus 2. RESERVED: Zarezerwowane na przyszłe potrzeby, obecnie wartość 0. Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu. Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów. Authentication Data: HMAC + padding. Wg RFC 2402 AH wspiera minimum: HMAC-MD5-96 i HMAC-SHA1-96. KSBG (v2013) 43

ESP Detekcja duplikatów pakietów (anti-replay) wspierana przez AH i ESP. KSBG (v2013) 44

ESP KSBG (v2013) 45

ESP KSBG (v2013) 46

ESP Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu. Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów. Protected Data: Różna długość, dane potrzebne do ochrony transmisji np. initialization vector w algorytmach szyfrowania. Padding: Blokowe algorytmy szyfrujące wymagają aby tekst jawny miał określoną długość. Pad Length: Długość paddingu. Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem ESP. Authentication Data: HMAC + padding. KSBG (v2013) 47

SA - Security Association IPsec VPN negocjuje parametry wymiany klucza, ustanawia shared key, uwierzytelnia węzły, negocjuje parametry szyfrowania. Ustalone parametry pomiędzy węzłami są znane jako SA (Security Association). KSBG (v2013) 48

IKE IKE używa UDP i portu 500 do wymiany informacji o metodach kryptograficznych pomiędzy węzłami. IKE jest zdefiniowane w RFC 2409. Jest protokołem hybrydowym łączącym metody wymiany klucza: Internet Security Association and Key Management Protocol (ISAKMP) Oakley and Skeme. ISAKMP określa format wiadomości, protokóły wymiany klucza, proces negocjacji prowadzący do utworzenia/wybrania SA dla IPsec. ISAKMP musi wynegocjować identyczne parametry w obu węzłach. KSBG (v2013) 49

IKE KSBG (v2013) 50

IKE faza 1 Zadania (wymiany) IKE faza 1: First Exchange: Węzły negocjują a następnie akceptują używane do zabezpieczenia komunikacji IKE. Zamiast negocjować każdy protokół osobno, protokoły są grupowane w zbiory nazywane IKE policy sets. IKE policy sets są wymieniane pomiędzy węzłami w pierwszej kolejności. Second Exchange: Wymiana kluczy za pomocą DH i ustanowienie shared secret key poprzez niebezpieczny kanał komunikacyjny. Third Exchange: Każdy węzeł musi uwierzytelnić pozostałe węzły zanim transmisja może zostać uznana za bezpieczną. Metody: PSK, RSA signature, RSA encrypted nonce. KSBG (v2013) 51

IKE faza 2 IKE faza 2 realizuje poniższe funkcje: Negocjuje parametry bezpieczeństwa dla samego Ipsec znane jako IPsec transform sets. Ustanawia SA dla IPsec. Cyklicznie renegocjuje SA dla IPsec aby zwiększyć ochronę. KSBG (v2013) 52

Proces negocjacji dla IPSec KSBG (v2013) 53

KSBG KONIEC KSBG (v2013) 54