IPSEC z Mikrotik zero to hero Piotr Wasyk

Podobne dokumenty
Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Protokół IPsec. Patryk Czarnik

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Konfiguracja aplikacji ZyXEL Remote Security Client:

Bezpieczeństwo systemów komputerowych

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Marcin Szeliga Sieć

IPsec bezpieczeństwo sieci komputerowych

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Bezpieczeństwo Systemów Sieciowych

8. Tunele wirtualne VPN

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Badanie bezpieczeństwa IPv6

Sieci wirtualne VLAN cz. I

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Tworzenie połączeń VPN.

Laboratorium nr 6 VPN i PKI

Bezpieczne protokoły Materiały pomocnicze do wykładu

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

ZiMSK. Konsola, TELNET, SSH 1

Implementacje IPsec - Linuks

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Protokół IPX (Internetwork Packet Exchange)

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

12. Wirtualne sieci prywatne (VPN)

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Systemy bezpieczeństwa sieciowego

Metody zabezpieczania transmisji w sieci Ethernet

Połączenie VPN LAN-LAN PPTP

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

BRINET Sp. z o. o.

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Laboratorium nr 4 Sieci VPN

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Laboratorium nr 5 Sieci VPN

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

Vigor 2900 Vigor 3300 konfiguracja połączenia LAN-LAN (IPSec)

BRINET Sp. z o. o.

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Router Vigor jako serwer/gateway VPN

Metody uwierzytelniania klientów WLAN

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

tdc 477 Wirtualne sieci prywatne

MBUM #2 MikroTik Beer User Meeting

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Bezpieczeństwo systemów informatycznych

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

SSL (Secure Socket Layer)

Połączenie VPN Host-LAN PPTP z przypisaniem IP. 1. Konfiguracja serwera VPN 1.1. Metoda 1 (nowsze urządzenia) 1.2. Metoda 2 (starsze urządzenia)

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Bezpieczne protokoły Główne zagadnienia wykładu

KAM-TECH sklep internetowy Utworzono : 28 kwiecień 2017

Wirtualne sieci prywatne

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

2. Przykładowy scenariusz routingu IP

Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

ADRESY PRYWATNE W IPv4

KONCEPCJA APLIKACJI VoIP WYKORZYSTUJĄCEJ MECHANIZMY IPSec

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Zasady działania i praktyczne implementacje sieci VPN na bazie protokołów IPSec/IKE

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Bezpieczeństwo systemów informatycznych

Bezpieczny system telefonii VoIP opartej na protokole SIP

Bezpieczeństwo systemów komputerowych. Laboratorium 1

4. Podstawowa konfiguracja

Konfiguracja komputerów mobilnych

Adresy w sieciach komputerowych

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

VPN i Dostęp zdalny opis ogólny

Vigor 2900 Nortel VPN router (tunel IPSec) I. WPROWADZENIE

Oddział Główny. Jakie mamy podstawowe problemy? 1. Jak połączyć oddziały? 2. Jak optymalnie ustawić trasy komunikacji?

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

CEPiK 2 dostęp VPN v.1.7

Instytut Teleinformatyki

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Transkrypt:

IPSEC z Mikrotik zero to hero Piotr Wasyk piotr@mwtc.pl MBUM #3 25/01/2019 Kraków Mikrotik Beer User Meeting

O mnie W IT od ponad 13 lat. Absolwent Politechniki Warszawskiej oraz studiów podyplomowych z zakresu zarządzania projektami IT. Na co dzień zajmuje się administracją i zarządzaniem: infrastrukturą serwerową, centralami VoIP, sieciami WLAN (Mikrotik i Ubiquiti), siecią LAN, tunelami VPN, QoS, monitorowaniem usług Współwłaściciel największego centrum szkoleniowego Mikrotik w Polsce - MikroTik Warsaw Training Center piotr@mwtc.pl 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 2

Największe centrum szkoleniowe Mikrotik w Polsce Ul. Ogrodowa 58, Warszawa Centrum Warszawy Bliskość dworca kolejowego Komfortowe klimatyzowane sale szkoleniowe 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 3

Agenda Czym jest IPSEC, czy naprawdę jest tak skomplikowany? IPSEC, a firewall Połączenie site-site IPSEC IPIP + IPSEC Użytkownicy mobilni L2TP+IPSEC IPSEC XAuth 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 4

IPSec IPSec Internet Protocol Security, to zestaw protokołów wspierających bezpieczną komunikację w warstwie IP W założeniu powstał dla IPv6. W związku z wolną implementacją IPv6, został także zaadoptowany do użycia z IPv4 Zapewnia szyfrowanie i integralność danych w warstwie IP Integralność suma kontrolna zabezpieczona kryptograficznie. Poufność poprzez szyfrowanie z wykorzystaniem jednego z algorytmów blokowych np. DES, 3DES, AES

IPSec Możliwe jest zastosowanie kilku podejść do wykorzystania IPSec AH Authentication Header ESP Encapsulating Security Payload AH + ESP Obecnie najczęściej stosowanym podejściem jest ESP Tunele IPSec można ustanowić w dwóch trybach Transport Tunnel

Tryb transportowy nagłówek IPsec jest wstawiany pomiędzy oryginalny nagłowek IP, a nagłówek warstwy transportowej. Zwykle wykorzystywany do połączenia dwóch hostów z wykorzystaniem IPSec. Pierwotny nagłówek IP TCP/UDP Dane użytkownika Nagłówek IP Nagłówek IPSec TCP/UDP Dane użytkownika Zaszyfrowane Tryb tunelowy cały pierwotny pakiet IP jest enkapsulowany wewnątrz nagłówka IPSec. Jest stosowany do połączeń site-site. Pierwotny nagłówek IP TCP/UDP Dane użytkownika Nowy nagłówek IP Nagłówek IPSec Pierwotny nagłówek IP TCP/UDP Dane użytkownika Zaszyfrowane 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 7

Firewall Packet Flow TTL-1 FORWARD 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 8

IPSec Packet flow 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 9

IP -> Firewall -> Filter Potrzebne dla IKE /ip firewall filter add action=accept chain=input dst-port=500 protocol=udp add action=accept chain=input dst-port=4500 protocol=udp add action=accept chain=input protocol=ipsec-esp Jeśli korzystamy w NAT-Traversal Alternatywnie i/lub AH. Zalecanej jest wykorzystywanie jedynie ESP 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 10

IKE - Internet Key Exchange Odpowiedzialny za automatyczną negocjację parametrów połączenia: Uwierzytelnienie Utworzenie kanału ISAKMP Ustalenie relacji SA Uzgadnianie kluczy kryptograficznych Składa się z dwóch faz: ISAKMP (Internet Security Association and Key Management Protocol) odpowiada za uwierzytelnienie, utworzenie kanału ISAKMP (jeden dwukierunkowy kanał), zarządzanie kanałem ISAKMP Oakley odpowiedzialna za ustanawianie SA (jednokierunkowe kanały wykorzystywane do transmisji zaszyfrowanych danych. (Security Association). Jest zabezpieczona poprzez wynik działania fazy 1. 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 11

ISAKMP Faza 1 ISAKMP (Internet Security Association and Key Management Protocol) odpowiada za uwierzytelnienie utworzenie kanału ISAKMP(jeden dwukierunkowy kanał) zarządzanie kanałem ISAKMP Peer(y) wymieniają ze sobą informacje o: Wspieranych algorytmach szyfrowania Wpieranych algorytmach dla uwierzytelnienia Wspieranych DH-group Współdzielony klucz Uwierzytelnienie może być realizowane za pomocą: Współdzielonego hasła Podpis RSA X.509 Kerberos 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 12

ISAKMP Faza 1 Tryb normalny (main mode) Wymienianych jest 6 komunikatów Wolniejszy Bardziej bezpieczny, można stosować bez względu na metodę uwierzytelniania ISAKMP Header, SA Proposal ISAKMP Header, Key, Nonce ISAKMP Header, Idii, Hash_I ISAKMP Header, Chosen Proposal ISAKMP Header, Key, Nonce ISAKMP Header, ldir, Hash_R Tryb agresywny (aggresive mode) Wymieniane są 3 komunikaty Szybszy Z racji, że część informacji jest wymieniana zanim ustanowiony zostanie bezpieczny kanał, możliwe jest podsłuchanie skrótu PSK i przeprowadzenie ataku słownikowego. Złamanie PSK pozwoli na podszycie się pod użytkownika. Nie zalecane: dla zdalnych połączeń z nieznanych adresów IP Przy stosowaniu PSK IKE SA Established ISAKMP Header, SA, Key, Nonce, IDii ISAKMP Header, Hash_I ISAKMP Header, SA, Key, Nonce, Idir, Hash_R IKE SA Established 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 13

Oakley faza 2 Faza 2 następuje po poprawnym zakończeniu fazy 1 i jest przez nią zabepieczona. W związku z tym nie ma konieczności przeprowadzenia uwierzytelnienia, a dane przesyłane w jej trakcie są bezpieczne. Jej zadaniem jest: Uzgadnianie kluczy wg algorytmu DH Uzgadnianie IPsec SA Podczas fazy 2 uczestnicy przesyłają analogicznie jak w fazie 1 informacje dotyczące wymagań bezpieczeństwa dla tworzonych kanałów SA. AH / ESP / AH+ESP Zawsze przebiega w trybie Aggressive 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 14

IPsec Security Association (SA) To jednokierunkowy kanał do przesyłania danych pomiędzy nadawcą i odbiorcą. Baza SAD Security Association Database Baza przechowywana przez każdą ze stron o nawiązanych SA. Zawiera informacje o nawiązanych Security Association Baza SPD - Security Policy Database Jest wykorzystywana do pakietów wychodzących System sprawdza, czy dla ruchu do określonego hosta ma korzystać z IPsec - jeśli tak, to przeglądana jest SAD w poszukiwaniu odpowiedniego SA 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 15

PFS Perfect Forward Secrecy Mechanizm PFS zapewnia, że materiał klucza głównego jest wykorzystywany tylko raz, do generacji klucza sesji. Za każdym razem, gdy należy wygenerować klucz sesji, przed tym procesem jest przeprowadzana wymiana kluczy (z wykorzystaniem algorytmu Diffiego-Hellmana) celem ustanowienia nowego materiału klucza głównego. zwiększa bezpieczeństwo podnosi zużycie CPU nie każde urządzenie wspiera PFS 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 16

IPSEC a NAT AH Brak wsparcia dla NAT cały nagłówek jest zabezpieczony ESP Wsparcie dla NAT jest możliwe. Dopuszczalna jest zmiana źródłowego adresu IP. Występuje problem, gdy na tym samym NAT połączy się więcej niż jeden klient IPSEC. Rozwiązaniem jest wykorzystanie NAT-Traversal. Polega on na enkapsulacji ESP w UDP (domyślnie port 4500) 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 17

Połączenia site-site IPIP + IPsec GRE + IPsec EoIP + IPsec IPsec 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 18

Zdalni użytkownicy (road warrior) 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 19

Jakie opcje (nie tylko IPSEC) PPP (Point to Point Protocols) PPTP (tcp, gre, niezalecane ze względów bezpieczeństwa) SSTP (tcp, słabe wspacie natywne poza systemami Microsoft) L2TP (udp, szerokie wsparcie na praktycznie wszystkich OS) OVPN (upd/tcp, niepełna implementacja serwera na Mikrotik - m.in. tylko tcp, brak push config, brak kompresji lzo) IPSEC Xauth mode-config szerokie wspacie na OS nie jest oparty na tcp częste wsparcie sprzętowe dla IPSEC PSK, certyfikaty i dwuskładnikowe push config (DNS, trasy routingu) IKE2 to już nie dziś 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 20

DEMO 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 21

25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 22

Alternatywnie GRE Site to site - IPIP+IPSec 192.168.10.0/24 Router A 67.23.12.111 INTERNET 54.65.77.15 Router B 10.10.33.0/24 172.16.1.1/30 172.16.1.2/30 Adresacja interface u IPIP IPSec Pomogą nam kreatory 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 23

Utworzenie interfejsu dla zakończenia tunelu IPIP Local Address : publiczny adres naszego koncentratora Remote Address : publiczny adres zakończenia tunelu IPsec Secret : PSK dla IPsec (a la kreator) Jeśli ruch ma zostać zaszyfrowany konieczne jest odznaczenie Allow Fast Path 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 24

Site to site - IPSec 192.168.10.0/24 Router A 67.23.12.111 54.65.77.15 INTERNET Router B 10.10.33.0/24 IPSec 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 25

Określa jaki ruch ma zostać obsłużony z IPsec, określa jakie są parametry szyfrowania (faza 2) Określa zakończenia tunelu oraz parametry dla fazy 1 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 26

Użytkownicy mobilni L2TP+IPSec NAT Router VPN INTERNET 54.65.77.15 10.0.0.9/24 192.168.10.55/24 172.16.10.2 Adresacja połączeniowa 172.16.10.1 VPN 192.168.10.23/24 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 27

Wymagana jest zainstalowana i włączona paczka PPP 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 28

Użytkownicy mobilni IPSec Xauth mode-config NAT Router VPN INTERNET 54.65.77.15 10.0.0.9/24 172.16.20.2 VPN 192.168.10.55/24 192.168.10.23/24 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 29

IPSEC Xauth mode-config peer profile 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 30

IPSEC Xauth mode-config szablony Policy 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 31

IPSEC Xauth mode-config push config Należy utworzyć pulę dla użytkowników łączących się do naszego koncentratora (analogicznie jak na co dzień robimy na potrzeby DHCP czy profili PPP) Responder = YES (nasz Mikrotik będzie koncentratorem IPSEC) Split Include trasy przesyłane do Klienta 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 32

IPSEC Xauth mode-config peer config 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 33

IPSEC Xauth mode-config użytkownicy Przypisanie statycznie adresu IP dla Klienta, jeśli puste zostanie wybrany z puli 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 34

IPSEC Xauth mode-config App Client dla MS Windows ShrewClient VPN https://www.shrew.net/download 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 35

IPSEC Xauth mode-config App Client dla MS Windows 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 36

25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 37

Dynamicznie utworzone Policy 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 38

25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 39

Widza w Internecie http://mikrotikacademy.pl https://www.facebook.com/groups/151322025329859/ Ponad 2500 osób!!! https://wiki.mikrotik.com 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 40

Zapraszamy na : Szkolenia certyfikowane Mikrotik Autorskie warsztaty https://mwtc.pl 25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 41

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres