CISCO VPNs im Einsatz

Transkript

1 CISCO VPNs im Einsatz Technik und Erfahrungen RV-NRW Workshop Netzdienste und Sicherheit 01./02. Juli 2002 Bommerholz W.Anrath Forschungszentrum Jülich / ZAM 27/06/2002 1

2 Definition Virtual Private Networks VPN = Virtual Private Network Virtual Private Networks sind eine Technologie, die Sicherheitsprobleme und Schwachstellen bei der Übertragung von Daten aus dem eigenen Firmennetz über das Internet behebt oder zumindestens reduziert Vertraulichkeit Authentifizierung Autorisierung Integrität die angebotenen VPN-Lösungen zielen auf die Schwachstellen bei Datenübertragung im (unsicheren) Internet 2

3 Sicherheitstechniken in IP-Netzen Application Presentation ssh (scp, sftp), shhtp, s/mime UNIX,Windows Session Transport Network Data Link Physical Secure socket layer (TCP) PPTP, L2PT, IPSEC MPPE UNIX, Windows UNIX, Windows 2000 LINUX-, Windows-PPP 3

4 Umfeld im FZJ / ZAM Zugriff auf (interne) Netzdienste zunehmende Anzahl Mitarbeiter mit Flatrate oder ISP-Zugang Zugriff auf Dienste/Server im Intranet werden gefordert (z.b. Mail- Relay) Modem / ISDN / DSL Mitarbeiter zeitlich befristet bei Kooperationspartnern, Hochschulen.. LAN Tagungen Forderung nach Verschlüsselung der Direkteinwahl Firewall-Konzept in der Realisierung (2001) CISCO PIX nur Dienste mit Verschlüsselung von extern nach intern PIX 535: 2000 VPN-Sessions, 95 Mb/s 3DES Reduzierung und Vereinfachung der Direkteinwahl Benutzerverwaltung DB-gesteuert im ZAM-Dispatch 4

5 Klassifizierung der Einsatzarten Remote Access VPN Internet Service Provider VPN-Server PCs Modem/ISDN Internet Intranet ISP-RAS-Server Firewall PPP Verbindung VPN-Verbindung (PPTP, L2PT, IPSEC) Voluntary Tunnel Model 5

6 PCs Klassifizierung der Einsatzarten Site-to-Site VPN LAN Compulsary Tunnel Router VPN-Verbindung LAN Router Wähl- oder Festverbindung zum Internet Service Provider Intranet 6

7 VPN-Protokolle PPTP PPTP = Point to Point Tunneling Protocol PPP Frames werden in IP Rahmen eingepackt und übertragen RFC 2637 Kontrollverbindung: TCP Port 1723 IP/GRE Tunnel zum Datenaustausch MPPE = Microsoft Point to Point Encryption 7

8 L2PT = Layer 2 Tunneling Protocol VPN-Protokolle L2TP Weiterentwicklung von PPTP und L2F (Layer 2 Forwarding, CISCO) PPP Frames werden in IP/UDP-Rahmen übertragen RFC 2661 Kontroll-Pakete und Daten-Pakete verwenden UDP Port 1701 IPSEC wird zum Verschlüsseln der Payload Information verwendet 8

9 VPN-Protokolle IPSEC IPSEC = Internet Protocol Security unterstützt in IPv6 und IPv4 Windows 2000 AIX, Solaris, Tru64 UNIX, LINUX CISCO VPN Lösungen VPN 3000 Client / Cisco VPN Client Cisco IOS, PIX, VPN Concentrator RFC , RFC 2451 IKE = Internet Key Exchange (UDP PORT 500) SA = security association, diese ist eine unidirektionale Verbindung zwischen zwei IPSEC Systemen Verschlüsselungsalgorithmen, Lebensdauer, Transport- oder Tunnel-Modus IKE SA + Receive SA + Send SA IPSEC-Protokolle AH = Authentication Header (Protocol Number 51) ESP = Encapsulating Security Payload (Protocol Number 50) 9

10 IPSEC ESP Host 1 Host 2 ESP im Transportmodus: Ende-zu-Ende Sicherheit IP Header ESP Header Payload ESP Trailer ESP Auth Original IP-Packet IP Header Payload Host 2 ESP im Tunnelmodus: New IP Header ESP Header IP Header Host 1 Payload Router ESP Trailer Tunnel-Sicherheit ESP Auth Router Tunnel- Sicherheit Host 3 10

11 IPSEC und IKE IKE Aufgabe: automatische Aushandlung von Security Associations Ebene 7 erbringt Dienstleistung für Ebene 3 RFC 2409 Detail: 6 Pakete Main Mode + 3 Pakete Quick Mode automatische Generierung des Schlüsselmaterials wichtig für Skalierung IKE-Varianten (vormals ISAKMP/Oakley genannt) kein IKE, d.h. Manual Keying (vergleichbar mit ssh) pre-shared key Zertifikate Kryptografie RSA Diffie-Hellman Key Exchange DES, 3-DES, MD5, SHA1, RC

12 IPSEC und IKE - Cisco - IKE Cisco Erweiterungen Extended Authentication: Username / Password Mode Configuration: IP-Adresse, DNS, WINS, Tunnel-Policy Vorteil: VPN 3000 Client / Cisco VPN Client (3.x) sehr gute Skalierung in RAS-Szenarien Split Tunneling: VPN und INTERNET Upstream gleichzeitig Aggressive-Mode (Authenticate, Key-Material) PIX, Cisco IOS, VPN Concentrator Extended Authentication Mode Configuration Quick Mode (IPSEC SAs) 12

13 VPN Zugang ins Forschungszentrum Jülich Cisco VPN Client Der Internet Upstream wird weiterhin direkt übertragen. PIX Firewall wingate ISP Intranet Modem, ISDN, GSM, LAN Windows 9x / Me Windows NT / 2000 LINUX (Kernel ) Im VPN-Tunnel werden IP-Pakete für das Intranet übertragen. Für den Tunnel werden Adressen aus dem IP-Pool dynamisch zugeteilt. VPN Radius Server: Authentifizierung der VPN-Benutzer mit BenutzerID und Passwort 13

14 VPN-Zugang ins Forschungszentrum Jülich Cisco VPN Client Software Support weit verbreiteter Betriebssysteme wie Windows und LINUX (x86) einfache Installation komfortable Bedienung der Benutzeroberfläche insgesamt gute Softwarequalität Security Gateway ist derzeit eine Firewall Cisco PIX 535 bis zu 2000 VPN-Sessions 3DES Hardware-Support (95 MBit/s) Logging (Syslog) und Accounting (Radius) Split Tunneling ist zwingend erforderlich in Vorbereitung ist die Installation eines VPN Access Concentrators 3030 Trennung Firewall-Funktion und Tunnelendpunkt Reduzierung der Wechselwirkung bei Software-Updates und Konfigurationsänderungen Funktionalitäten wie NAT-Unterstützung, Komprimierung, Policy Push für Personal Firewalls sind verfügbar 14

15 VPN-Meilensteine im Forschungszentrum Jülich Installation Firewall inkl. VPN-Setup, Test (Frühjahr/Sommer 2001) Technische Kurzinformation zu Cisco VPN Client (FZJ-ZAM-TKI-0371) Testbetrieb mit Benutzern aus dem ZAM Dienst für alle Mitarbeiter freigeben: Oktober 2001 Januar 2002: Cisco VPN Release 3.5 verfügbar Windows 95 Windows XP Support MACOS und Solaris Support Peronal Firewall Integration (ZoneAlarm) Verbesserte NAT-Funktionen (UDP- oder TCP-Transport) Januar 2002: Tunnelendpunkt für Direkteinwahl März 2002: Tunnelendpunkt für WLAN Juni 2002: ca. 240 Benutzer 15

16 Cisco VPN Client für Windows - kurz vorgestellt - 16

17 Cisco VPN Client für Windows - kurz vorgestellt - 17

18 Cisco VPN Client für Windows - kurz vorgestellt - 18

19 Cisco VPN Client für Windows - kurz vorgestellt - 19

20 zam036:~ # vpnclient connect fzj Cisco Systems VPN Client Version Copyright (C) Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux GB #1 Wed May 16 00:37:55 GMT 2001 i686 Enter a group password: Initializing the IPSec link. Contacting the security gateway at Authenticating user. User Authentication for fzj... VPN Client für LINUX (x86) - kurz vorgestellt - The server has requested the following information to complete the user authentication: Username [w.anrath]: Password []: Contacting the security gateway at Negotiating security policies. Securing communication channel. Your link is secure. IPSec tunnel information. Client address: Server address: Encryption: 168-bit 3-DES Authentication: HMAC-MD5 IP Compression: None NAT passthrough is inactive. Linux Kernel zam036:~ # vpnclient disconnect Cisco Systems VPN Client Version Copyright (C) Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux GB #1 Wed May 16 00:37:55 GMT 2001 i686 Disconnecting the IPSEC link. zam036:~ # Your IPSec link has been disconnected. zam036:~ # vpnclient stat Cisco Systems VPN Client Version Copyright (C) Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux GB #1 Wed May 16 00:37:55 GMT 2001 i686 IPSec tunnel information. Client address: Server address: Encryption: 168-bit 3-DES Authentication: HMAC-MD5 IP Compression: None NAT passthrough is inactive. VPN traffic summary. Time connected: 0 day(s), 00:31.04 Bytes out: Bytes in: Packets encrypted: 3689 Packets decrypted: 2289 Packets bypassed: 60 Packets discarded: 1 Configured routes Secured Network Destination Netmask Bytes * *

21 Erfahrungen beim externen Zugang / externe LANs PC Pentium III 850 MHZ 3COM Mini PCI PCI Ethernet 10/100 Compaq DS10 File Transfer binary- Suse LINUX 7.3 Windows 2000 VPN 3000 aktiviert 2304 Kbyte/s 2662 Kbyte/s VPN 3000 deaktiviert Kbyte/s 9478 Kbyte/s PC Pentium III 850 MHZ FE574BT 10/100 - PCMCIA Compaq DS10 File Transfer binary- Suse LINUX 7.3 Windows 2000 VPN 3000 aktiviert 780 Kbyte/s 960 Kbyte/s VPN 3000 deaktiviert 1464 Kbyte/s 1550 Kbyte/s 16 Bit LAN PC Card kein DMA daher hoher Overhead 21

22 Erfahrungen beim externen Zugang / ISDN PC Pentium III 850 MHZ AVM!Fritz-PCMCIA Einwahl über ISDN, optional Softwarekomprimierung File Transfer binary- Windows 2000 Windows 2000 mit Komprimierung MPPC VPN 3000 aktiviert (1x64kb/2x64kb) 7,3 / 14,4 Kbyte/s 7,5 / 14,4 Kbyte/s VPN 3000 deaktiviert (1x64kb/2x64kb) 7,5 / 15,0 Kbyte/s 23,0 / 46,0 Kbyte/s Komprimierung vor dem Verschlüsseln bei ISDN- und Modemverbindungen ist zu empfehlen gleiche Erfahrung bei Secure Shell 22

23 Erfahrungen beim externen Zugang / Client-Plattformen LINUX Ethernet- und Modem-Verbindungen funktionieren problemlos ISDN ippp wird derzeit nicht unterstützt AVM: Anpassung (CAPI plug-in) des Generic-PPP-Stacks (pppd) verwenden Unterstützung neuer Kernel-Versionen mit Verzögerung die Installationsscripts von CISCO sind auf Red Hat LINUX abgestimmt Debug-Programm Windows 9x-XP Ethernet- / Modem- und ISDN funktionieren problemlos Windows 2000 / XP IPSEC-Dienst wird deaktiviert ab Version 3.5 mit Firewall-Funktion Debug-Programm 23

24 VPN Einsatz im WLAN des Forschungszentrums WLAN-Konzept privates Klasse-B-Netz DHCP Zugang nach Authentifizierung der MAC-Adresse (Radius) durch Access Point Registrierung über WEB-Interface durch FZJ-Mitarbeiter Zugriff auf interne Dienste mittels VPN oder ssh/ssl weiterer Tunnelendpunkt auf PIX für WLAN Internet-Zugriff durch NAT-Konfiguration auf der PIX-Firewall Windows 9x-XP Problem: Default Route wird durch Cisco VPN Client gelöscht, falls Tunnelendpunkt und Default Gateway identisch sind Abhilfe: LINUX-System für DHCP / RADIUS temporär als Router eingesetzt 24

25 VPN Einsatz im WLAN des Forschungszentrums PC Pentium III 850 MHZ CISCO AIRONET 340 Compaq DS10 File Transfer binary- VPN 3000 aktiviert VPN 3000 deaktiviert Suse LINUX Kbyte/s 658 Kbyte/s Windows Kbyte/s 610 Kbyte/s Thinkpad X23 mit integriertem WLAN liefert vergleichbare Datenraten 25

26 Cisco VPN Client und PIX-Firewall - Topologie - WireLess LAN PIX-Features VPN Support für PPTP, L2TP und IPSEC Site-to-Site VPN Peers FZJ wlangate G-WiN Kooperationen VPN Client Peers JuNet wingate Internet Einwahl, ISPs, WLAN Alternative nasgate VPN Access Concentrator VPN optional Cisco Router IOS T ISDN/Modem 26

27 Cisco VPN Client und PIX-Firewall - Konfiguration - aaa-server radius-authport.... aaa-server radius-acctport.... aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server fzjauth protocol radius aaa-server fzjauth (highsecure) host.... timeout 5 aaa accounting match acct-list outside fzjauth aaa accounting match acct-list ras fzjauth aaa accounting match acct-list wlan fzjauth ; Radius Accounting Records senden access-list acl-outside permit udp any intranet mask eq isakmp sysopt connection permit ipsec ; IKE frei ins FZJ ; UDP Port 500 ; IPSEC freischalten access-list vpn-list permit ip intranet mask vpnnet mask ; Traffic to protect ; für VPN Clients ip local pool vpn-pool vpnnet-address-pool ; innere IP-Adressen im Tunnel nat (inside) 0 access-list vpn-list vpngroup name address-pool vpn-pool vpngroup name dns-server dns-server-list vpngroup name default-domain dns-domain-name-suffix vpngroup name split-tunnel vpn-list vpngroup name idle-time 7200 vpngroup name password ************** ; allg. VPN-Gruppe für Mitarbeiter 27

28 Cisco VPN Client und PIX-Firewall - Konfiguration - crypto ipsec transform-set vpn-set-1 esp-3des esp-md5-hmac ; Vefahren zum Schutz der Payload crypto ipsec transform-set vpn-set-2 esp-3des esp-sha-hmac crypto ipsec transform-set vpn-set-3 esp-des esp-md5-hmac crypto ipsec transform-set vpn-set-4 esp-des esp-sha-hmac crypto dynamic-map vpn3000-clients 20 set transform-set vpn-set-1 vpn-set-2 vpn-set-3 vpn-set-4 crypto map partner-map 20 ipsec-isakmp dynamic vpn3000-clients crypto map partner-map client configuration address initiate crypto map partner-map client authentication fzjauth ; Verbindung zur Radius-Konfiguration crypto map partner-map interface outside ; IPSEC Definitionen für die Interfaces crypto map partner-map interface ras crypto map partner-map interface wlan isakmp enable outside ; Internet Key Exchange aktivieren isakmp enable ras isakmp enable wlan isakmp policy 19 authentication pre-share ; VPN Client 3.x mit DH Group 2 isakmp policy 19 encryption 3des isakmp policy 19 hash md5 isakmp policy 19 group 2 isakmp policy 19 lifetime isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 1 ; VPN Client 2.5.x mit DH Group 1 28 isakmp policy 20 lifetime 86400

29 Site-to-Site VPN und PIX-Firewall - Konfiguration - isakmp key ******** address peer netmask mask no-xauth no-mode-config crypto map partner-map 19 set peer peer crypto map partner-map 19 set transform-set vpn-set-1 vpn-set-2 vpn-set-3 vpn-set-4 crypto map partner-map 19 match address acl-peer2peer crypto map partner-map 19 ipsec-isakmp access-list acl-peer2peer permit ip subnet subnet-mask host peer ; Tunnel-Filter Windows 2000 Peer: - Start -> Einstellungen -> Systemsteurung -> Verwaltung - -> Lokale Sicherheitsrichtlinie - -> IP-Sicherheitsrichtlinien auf lokalem Computer-> rechte Maustaste -> lokale Sicherheitsrichtlinie erstellen - (Wizard) -> Weiter -> Namen eintragen und Beschreibung (optional) -> Weiter -> Standardantwortregel aktivieren -> Weiter -> Schlüssel angeben -> weiter -> fertig stellen Hinzufügen von Filterregeln: - Im rechten Fenster Doppelklick auf die Sicherheitsrichtlinie - Hinzufügen -> Weiter -> PIX IP-Adresse als Tunnelendpunkt eintragen -> Weiter -> LAN-Verbindung wählen -> weiter -> Schlüssel eintragen -> weiter -> Name der Filterregeln eintragen ( Zum inside Netz ) und Hinzufügen -> weiter -> Quelladresse Eigene IP-Adresse -> weiter -> Ziel-Adresse spezielles IP-Subnetz Adresse und richtige Subnetzmaske eintragen -> weiter -> Protokolltyp beliebig wählen und fertig stellen. 29