Site-to-Site VPN (Cisco Router) Készítette: (BMF) Site-to-Site VPN/1
Tartalom Site-to-Site VPN VPN megvalósítások a különböző OSI rétegekben Az IPsec folyamat lépései Internet Key Exchange (IKE) Az IKE és az IPSec folyamat működése a Cisco IOS-ben VPN konfigurációs példa Generic routing encapsulation (GRE) GRE Tunnel konfiguráció GRE Tunnel konfigurációs példa A GRE forgalom biztonságának megteremtése GRE IPsec felett konfigurációs példa Site-to-Site VPN/2
VPN megvalósítások a különböző OSI rétegekben Adott rétegben megvalósítás védi a fölötte lévő rétegeket A hálózati rétegben megvalósított VPN média- és alkalmazás-független Az alkalmazás rétegbeli VPN-t minden alkalmazásban külön-külön meg kell valósítani Site-to-Site VPN/3
VPN megvalósítások a különböző OSI rétegekben A 4. OSI rétegben használt megoldások az SSL-lel biztosítják a titkosságot, a felhasználók hitelességét és az adatok sértetlenségét a TCP alkalmazások számára Sikeres alkalmazások az elektronikus kereskedelem (e-commerce) területén Nem elég rugalmas, nehéz megvalósítani, és nem alkalmazás-független A legújabb technológiát a sokkal rugalmasabb Transport Layer Security (TLS) képviseli Site-to-Site VPN/4
VPN megvalósítások a különböző OSI rétegekben Az OSI modell alsóbb rétegeiben különösen az adatkapcsolati rétegben alkalmazott védelem is gyakori volt korábban. Jellemzői: Független a felső protokolloktól Csak egy-egy kapcsolatot véd, így minden egyes összeköttetésre különkülön alkalmazni kell Lehetővé teszi a man-in-the-middle támadást a közbenső állomásokon (forgalomirányítók) Gyakran gyártó függő protokollokat használ A 3. rétegben megvalósított védelem a legnépszerűbb Site-to-Site VPN/5
Az IPsec folyamat lépései 1. Érdemleges forgalom kezdeményezi az IPSec folyamatot. A védeni kívánt forgalom ACL-lel írható le 2. Az Internet Key Exchange (IKE) 1. fázisa hitelesíti az IPSec résztvevőit, és egyezteti az IKE SA-t (Security Association). Biztonságos csatornát épít ki a az IPSec SA kiépítéséhez a IKE 2. fázisában 3. Az IKE 2. fázisában az IKE folyamat egyezteti az IPSec SA paramétereit és létrehozza az SA-kat mindkét oldalon. E paraméterek alapján történi a biztonságos kommunikáció a felek között Site-to-Site VPN/6
Az IPsec folyamat lépései 4. Az adatátviteli fázisban az SA adatbázisban tárolt IPSec paraméterek alapján történik a biztonságos kommunikáció 5. Az IPSec csatorna vagy törlés vagy időtúllépés miatt bomlik le Site-to-Site VPN/7
Internet Key Exchange (IKE) Az IKE (RFC 2409) az IPsec kialakítását könnyíti meg. Az IKE az Internet Security Association and Key Management Protocol (ISAKMP) framework keretei között működik (RFC 2408 ). Az IKE hitelesíti az IPSec folyamatban részt vevő feleket, egyezteti az IPSec kulcsokat, és egyezteti az IPSec security association paramétereket. Az IKE alkalmazásának előnyei: Nem kell kézzel beállítani az IPSec paramétereket mindkét oldalon Megadható az SA élettartama A kulcsok változhatnak az IPSec kapcsolat során Védelmet nyújt a visszajátszás típusú támadással szemben Lehetővé teszi a CA infrastruktúra használatát Lehetővé teszi a felek dinamikus hitelesítését A felek kölcsönös hitelesítésének módjai: Pre-shared kulcs használata RSA encrypted nonces használata RSA aláírás használata Site-to-Site VPN/8
Az IKE és az IPSec folyamat működése a Cisco IOS-ben Site-to-Site VPN/9
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) 2. Az IPSec policy meghatározása (IKE 2. fázis) 3. A konfiguráció ellenőrzése show running-configuration show isakmp policy show crypto map 4. A hálózati működés ellenőrzése titkosítás nélkül ping 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel show access-list Site-to-Site VPN/10
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) Kulcscsere módja Hitelesítés módja IPSec társak (peer) IP-címei és állomásnevei IKE 1. fázis policy Titkosító algoritmus Hash algoritmus IKE SA élettartam Site-to-Site VPN/11
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) ISAKMP alapértelmezett értékek Site-to-Site VPN/12
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) IPSec algoritmusok és paraméterek az optimális biztonság és hatékonyság elérésére Transforms és transform sets meghatározása Az IPSec társak részletes adatainak meghatározása A védeni kívánt állomások IP-címeinek és alkalmazásainak meghatározása Kézi vagy IKE által kezdeményezett SA-k konfigurálása Site-to-Site VPN/13
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Transforms és transform sets meghatározása Site-to-Site VPN/14
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Transforms és transform sets meghatározása Site-to-Site VPN/15
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Az IPSec társak részletes adatainak meghatározása Site-to-Site VPN/16
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) Példa Site-to-Site VPN/17
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 3. A konfiguráció ellenőrzése Site-to-Site VPN/18
Az IKE és az IPSec konfigurálása a Cisco IOS-ben 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel Az alábbi ACL-részlettel ki kell egészíteni a meglévő hozzáférési listákat, hogy ne szűrjük ki az ISAKMP forgalmat Site-to-Site VPN/19
Az IKE és az IPSec konfigurálása a Cisco IOS-ben Az IKE be/kikapcsolása [no] crypto isakmp enable Globálisan engedélyezi vagy tiltja az IKE-t a forgalomirányítón Az IKE alapértelmezetten be van kapcsolva Az IKE globálisan minden interfészen engedélyezve vagy tiltva van Az IKE forgalom ACL-lel tiltható interfészeken Site-to-Site VPN/20
Az IKE és az IPSec konfigurálása a Cisco IOS-ben Ha az IKE-t nem engedélyezzük az IPSec-et manuálisan kell beállítani az IPSec kapcsolat nem törlődik időtúllépés miatt a titkosító kulcs nem változik a kapcsolat ideje alatt a visszajátszás elleni védelem nem működik a CA támogatás nem használható Site-to-Site VPN/21
VPN konfigurációs példa R1 192.168.12.0/24 R2 192.168.23.0/24.1.2.2.3 R3 Fa0/0 Fa0/0 S1/1 S1/1 Loopback0: 172.16.1.1/24 Loopback0: 172.16.3.1/24 IPSec tunnel Site-to-Site VPN/22
Konfiguráció VPN nélkül: R1 VPN konfigurációs példa hostname R1 interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 no shutdown router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary Site-to-Site VPN/23
Konfiguráció VPN nélkül: R2 VPN konfigurációs példa hostname R2 interface FastEthernet0/0 ip address 192.168.12.2 255.255.255.0 no shutdown interface Serial1/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/24
Konfiguráció VPN nélkül: R3 VPN konfigurációs példa hostname R3 interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial1/1 ip address 192.168.23.3 255.255.255.0 no shutdown router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/25
Konfiguráció VPN-nel: R1 VPN konfigurációs példa hostname R1 IKE 1. fázis crypto isakmp policy 10 Prioritás = 10 A prioritás arra való, hogy ha több policy-t adunk meg mindkét oldalon eltérő prioritással, a legnagyobb prioritású, azonos tartalmú policy lesz kiválasztva. A kisebb szám nagyobb prioritást jelent. encr 3des Titkosítás hash md5 Hash algotitmus authentication pre-share Pre-share hitelesítés group 5 Diffie-Hellman group lifetime 3600 Az SA élettartama crypto isakmp key cisco address 192.168.23.3 Pre-shared kulcs + a társ VPN végpont megadása Az ISAKMP konfiguráció ellenőrzése: show crypto isakmp policy Site-to-Site VPN/26
Konfiguráció VPN-nel: VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 1. A transform set konfigurálása a crypto ipsec transform-set paranccsal 2. Az IPSec globális SA élettartamának konfigurálása a crypto ipsec security-association lifetime paranccsal 3. Crypto ACL konfigurálása az access-list paranccsal 4. Crypto map konfigurálása a crypto map paranccsal 5. A Crypto map hozzárendelése a VPN végponthoz az interfész crypto map paranccsal Site-to-Site VPN/27
Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 1. A transform set konfigurálása crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac A transform set a biztonsági protokollok és algoritmusok egy kombinációját írja le. Az IPSec SA egyeztetés (negotiation) során kiválasztanak a megadott transform set-ek közül egyet. Legfeljebb egy AH és 2 ESP adható meg 2. Az IPSec globális SA élettartamának konfigurálása crypto ipsec security-association lifetime seconds 1800 Site-to-Site VPN/28
Konfiguráció VPN-nel: VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása A Crypto ACL leírja, hogy milyen forgalmat kell védenie az IPSec protokollnak Az ACL szintaxisa hasonlít a kiterjesztett ACL-éhez A permit-tel megadott forgalmat védeni kell, a deny-al megadottat nem Site-to-Site VPN/29
Konfiguráció VPN-nel: IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása VPN konfigurációs példa A két végponton az ACL-ek egymás tükörképei legyenek Az ACL a kimenő irányra vonatkozik. Ez alapján dől el, hogy mely forgalmat kell titkosítani A válaszforgalmat is ugyanazzal az ACL-lel kell értelmezni a forrás és a cél megcserélésével Site-to-Site VPN/30
Konfiguráció VPN-nel: VPN konfigurációs példa 4. Crypto map konfigurálása a crypto map paranccsal Ez a parancs rendeli egymáshoz a különböző konfigurációs egységeket: Milyen forgalmat véd az IPSec A társ végpont megadása A helyi cím megadása Az IPSec típusának megadása Az SA létesítésének módja (kézi vagy IKE) Egyéb paraméterek Site-to-Site VPN/31
Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 4. Crypto map konfigurálása crypto map MYMAP 10 ipsec-isakmp Létrehozza a crypto map-et Ugyanazt a nevet használva különböző sorszámokkal megadott crypto map-ek crypto map set-et alkotnak set peer 192.168.23.3 Megadja a társ végpontot set security-association lifetime seconds 900 Felülírja a globális konfigurációt set transform-set 50 Több transform set is megadható set pfs group5 Megadja a D-H group-ot match address 101 Hozzárendeli a crypto ACL-t Site-to-Site VPN/32
Konfiguráció VPN-nel: R1 (folytatás) VPN konfigurációs példa IPSec konfigurálása (IKE 2. fázis) 5. A Crypto map hozzárendelése a VPN végponthoz interface FastEthernet0/0 crypto map MYMAP A crypto map hozzárendelése az interfészhez Site-to-Site VPN/33
VPN konfigurációs példa Az IPSec konfiguráció ellenőrzése Az ISAKMP policy megjelenítése: show crypto isakmp policy A konfigurált transform set-ek megjelenítése: show crypto ipsec transform-set Az IPSec SA-k pillanatnyi állapotának megjelenítése: show crypto ipsec sa A konfigurált crypto map-ek megjelenítése: show crypto map Az ISAKMP folyamat nyomkövetése: debug crypto isakmp Az IPSec folyamat nyomkövetése: debug crypto ipsec Site-to-Site VPN/34
Az IPSec konfiguráció: R1 VPN konfigurációs példa hostname R1 crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.23.3 crypto ipsec security-association lifetime seconds 1800 crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac crypto map MYMAP 10 ipsec-isakmp set peer 192.168.23.3 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101 Site-to-Site VPN/35
Az IPSec konfiguráció: R1 (folytatás) VPN konfigurációs példa interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 crypto map MYMAP no shutdown router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 Site-to-Site VPN/36
Az IPSec konfiguráció: R3 VPN konfigurációs példa hostname R3 crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.12.1 crypto ipsec security-association lifetime seconds 1800 crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac crypto map MYMAP 10 ipsec-isakmp set peer 192.168.12.1 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101 Site-to-Site VPN/37
Az IPSec konfiguráció: R3 (folytatás) VPN konfigurációs példa interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial1/1 ip address 192.168.23.3 255.255.255.0 crypto map MYMAP no shutdown router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 Site-to-Site VPN/38
Generic routing encapsulation (GRE) IP alagút (tunnel) protokoll A Cisco fejlesztette ki RFC 1701 Sokféle protokoll szállítható az IP alagútban (lásd a következő diát) Virtuális pont-pont kapcsolat (alagút) jön létre távoli forgalomirányítók virtuális interfészei között A GRE használatával különféle protokollokat használó alhálózatok kapcsolhatók össze egyetlen, IP gerinchálózat segítségével Az alagúton használt dinamikus forgalomirányító protokollok lehetővé teszik irányítási információk cseréjét a virtuális hálózaton Site-to-Site VPN/39
Generic routing encapsulation (GRE) Protocol Family PTYPE Reserved 0000 SNA 0004 OSI network layer 00FE XNS 0600 IP 0800 RFC 826 ARP 0806 Frame Relay ARP 0808 VINES 0BAD DECnet (Phase IV) 6003 Transparent Ethernet Bridging 6558 Raw Frame Relay 6559 Ethertalk (Appletalk) 809B Novell IPX 8137 RFC 1144 TCP/IP compression 876B IP Autonomous Systems 876C Secure Data 876D Reserved FFFF A GRE alagútban szállítható protokollok (Nem teljes lista) Site-to-Site VPN/40
Generic routing encapsulation (GRE) Lényegében tetszőleges OSI Layer 3 protokollok szállíthatók az alagútban A GRE állapotmentes protokoll (nincs flow control) Nincs biztonsági funkciója (IPSec-et lehet használni) Legalább 24 bájt többletterhelés (IP fejléc: 20 bájt, GRE fejléc: 4 bájt) Az ábra az alapértelmezett GRE fejlécet ábrázolja A GRE alagútjában szállított protokoll az alábbi példában: IP Site-to-Site VPN/41
Generic routing encapsulation (GRE) Opcionális fejléc mezők is használhatók Key: o Hitelesítésre használható (nyílt szöveg, nem sokat ér) o Párhuzamos csatornák megkülönböztetésére is alkalmas Sequence Number: A sorrenden kívül érkező csomagokat eldobja GRE keepalive konfigurálható: Segítségével a forgalomirányító felismeri az alagút másik végének leállását, és ennek alapján megváltoztatja az irányítótábláját Site-to-Site VPN/42
GRE Tunnel konfiguráció Tunnel 0 - Virtuális interfész, az alagút logikai végpontja Tunnel source - Fizikai interfész, amelyen a tényleges forgalom halad Tunnel destination - Az alagút távoli végpontja fizikai interfészének IP-címe Tunnel mode - A szállított protokoll megadása Serial 0/0 Serial 0/0 Site-to-Site VPN/43
GRE Tunnel konfiguráció Működés Ha a forgalomirányító kap egy csomagot, és az irányítótáblából az derül ki, hogy az alagúton kell továbbítani, a forgalomirányító a Tunnel interfész konfigurációjából megállapítja, hogy: o Melyik interfészen kell kiküldeni (tunnel source) o Mi a cél IP-cím (tunnel destination) o Beágyazza a csomagot (IP, GRE) o Beágyazza a csomagot (2. rétegű protokoll) o Kiküldi Serial 0/0 Serial 0/0 Site-to-Site VPN/44
GRE Tunnel konfiguráció Működés (folytatás) Ha a forgalomirányítónak egy tunnel source-ként konfigurált interfészén GRE csomag érkezik, a forráscíméből megállapítja, hogy melyik tunnel interfészhez érkezett o Eltávolítja a külső IP fejlécet és a GRE fejlécet o A beágyazott 3. rétegű protokoll irányítótáblája alapján tovább küldi Serial 0/0 Serial 0/0 Site-to-Site VPN/45
GRE Tunnel konfigurációs példa Az AS 1 autonóm körzet hálózata (pl. az Internet) a hordozó gerinchálózat Az AS 2 autonóm körzet hálózata a virtuális hálózat A példában mindkét hálózaton EIGRP forgalomirányító protokollt kell használni, a két autonóm körzet között nem biztosítunk átjárást Az alagút EIGRP irányítási információt és bármilyen más forgalmat átvisz az AS 2 körzetbe tartozó hálózatok között Az EIGRP 1 irányítótáblájában nincs bejegyzés a 172.16.0.0/16 hálózatról Az EIGRP 2 irányítótáblájában nincs bejegyzés a 192.168.12.0/24 és a 192.168.23.0/24 hálózatról Site-to-Site VPN/46
A GRE forgalom biztonságának megteremtése A GRE jó alagút protokoll. Bármilyen 3. rétegű protokoll szállítására alkalmas Azonban nem rendelkezik biztonsági funkciókkal: titkosítás, adatforrás hitelesítés, integritás védelem Az IPsec rendelkezik mindezekkel a biztonsági funkciókkal Az IPsec viszont nem tökéletes alagút protokoll: o Multicast támogatása nem jó o Csak IP szállítására alkalmas o Forgalomirányító protokoll nem továbbítható A megoldás: GRE IPsec felett Site-to-Site VPN/47
A GRE forgalom biztonságának megteremtése Tipikus alkalmazása: Logikai csillag topológia (Hub and spoke) Site-to-Site VPN/48
GRE IPsec felett konfigurációs példa GRE IPsec felett A beágyazó protokoll: IPsec A beágyazott protokoll: GRE Site-to-Site VPN/49
R1 konfiguráció GRE IPsec felett konfigurációs példa crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.23.3 crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 192.168.23.3 set transform-set mytrans match address 101 interface Tunnel0 ip address 172.16.13.1 255.255.255.0 tunnel source Serial 0/0/0 tunnel destination 192.168.23.3 Site-to-Site VPN/50
GRE IPsec felett konfigurációs példa R1 konfiguráció (folytatás) interface Loopback0 ip address 172.16.1.1 255.255.255.0 interface Serial 0/0/0 ip address 192.168.12.1 255.255.255.0 crypto map mymap no shutdown router eigrp 1 network 192.168.12.0 no auto-summary router eigrp 2 network 172.16.0.0 no auto-summary access-list 101 permit gre host 192.168.12.1 host 192.168.23.3 end Site-to-Site VPN/51
R3 konfiguráció GRE IPsec felett konfigurációs példa crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.12.1 crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 192.168.12.1 set transform-set mytrans match address 101 interface Tunnel0 ip address 172.16.13.3 255.255.255.0 tunnel source Serial 0/0/1 tunnel destination 192.168.12.1 Site-to-Site VPN/52
GRE IPsec felett konfigurációs példa R3 konfiguráció (folytatás) interface Loopback0 ip address 172.16.3.1 255.255.255.0 interface Serial 0/0/1 ip address 192.168.23.3 255.255.255.0 crypto map mymap no shutdown router eigrp 1 network 192.168.23.0 no auto-summary router eigrp 2 network 172.16.0.0 no auto-summary access-list 101 permit gre host 192.168.23.3 host 192.168.12.1 end Site-to-Site VPN/53
R2 konfiguráció GRE IPsec felett konfigurációs példa interface Serial0/0/0 ip address 192.168.12.2 255.255.255.0 no shutdown interface Serial0/0/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary Site-to-Site VPN/54