Warum noch IPsec benutzen?

Transkript

1 Erlanger Linux User Group OpenVPN Warum noch IPsec benutzen? Klaus Thielking-Riechert 3. Erlanger Linuxtage 15./16. Januar 2005

2 Was ist ein VPN? ein Mechanismus zur sicheren Kommunikation zwischen zwei oder mehreren Standorten nicht notwendigerweise übers Internet! üblicherweise unter Verwendung kryptographischer Methoden logische Nachfolger von direkten WAN- Verbindungen und virtual circuits

3 Ziele und Werkezeuge Ziele Vertraulichkeit Integrität Authentizität Nachweisbarkeit Methoden symmetrische Schlüssel asymmetrische Schlüssel digitale Signaturen message digests

4 Historisches über VPNs 1998: IPSEC / RFC 2401 Security Architecture for the Internet Protocol IKE, AH, ESP IPv6 UDP Absicherung auf Netzwerk-Ebene Probleme Export Kontrolle ungenügender CPU-Leitung für die Implementierung in Routern Komplexität Bruce Schneier/Niels Ferguson: IPsec is too complex to be secure (1999)

5 Ipsec Modi Tunnelmodus primär LAN-to-LAN Transparenter Modus Client-to-Client

6 IPSec und der Kernel Kernel läßt sich in verschiedene Ringe aufteilen Jeder Ring hat unterschiedliche Rechte Ring 0: kernel Prozesse Ring 1: system Prozesse mit Zugriff auf Hardware Ring 3: user processes Prozesse des Rings n können nur über definierte Schnittstellen auf Ressourcen von Prozessen des Rings (n-1) zugreifen Sicherheit!

7 IPsec und Linux Kernel 2.4: FreeS/wan: Patch... IPSEC gräbt sich in den OS-Kernel ein um den Verkehr zu verschlüsseln! ipsec* interfaces Kernel 2.6: IPsec 'onboard' keine ipsec* interfaces netfilter problematik Tunnelmodus Transparenter Modus

8 IPsec ist ok, aber... Komplexität Hersteller (außerhalb Linux und *BSD) kochen eigene Süppchen und sind selten interoperabel ggf. Kernel-Patch...

9 Da war doch was anderes... (viele) kennen SSL (fast) alle nutzen SSL https, ssh, pop3s, ldaps,... (fast) alle vertrauen SSL ;-) sehr weit verbreitet und vielfach untersucht einfach, robust und gut getestet

10 Evolution der sog. SSL-VPNs Zugriff auf interne Ressourcen via Web-basierte Groupware egroupware, inotes,... Mail, Kalender, Dateien,... unhandlich Weiterleitung auf spezifische Ressourcen durch ssh-tunnel oder Proxies, o.ä. unhandlich Transparenter Zugriff durch virtuelle Netzwerk- Interfaces cool

11 Basistechnologie: virtuelle Interfaces Grund-Idee: zwei virtuelle Interfaces auf den Host A und B werden durch eine TCP- oder UDP-Verbindung verknüpft der Verkehr auf dieser Verbindung wird verschlüsselt der Zugriff auf diese virtuellen Interfaces ist identisch zu physikalischen Interfaces (open(), read(), write(),.. es können die gleichen Protokolle verwendet werden

12 Linux virtuelle Interfaces: tun und tap tun stellt sich fürs System wie eine Punkt-zu-Punkt Verbindung dar ein normales (user space) Programm kann das tun device öffnen wie eine Datei und anschließen IP Pakete schreiben bzw. lesen tap das tap interface hat die gleichen Zugriffsmechanismen, allerdings stellt es sich nicht als P-t-P sondern als Ethernet dar

13 Was hilft ein tun interface beim VPN? Ein Beispiel: Angenommen es gibt auf host-a und host-b ein tun-interface und es gibt eine simple Applikation mit zwei Threads: kopiere Bytes vom tun-device zur Applikation (-> socket) kopiere Bytes von der Applikation zum tun-device damit haben wir ein VPN minus Sicherheit!

14 OpenVPN Author: James Yonan Geschichte Ver 1.0 / TLS-based authentication and key exchange Ver 1.2 / Solaris, OpenBSD, MacOSX Ver / IPv6 over tun Version 1.5-beta1 / TCP support via the new proto option Ver 2.0rc6 / mode server, management interface, auth-pam,...

15 OpenVPN und Interoperabilität Linux Windows 2000/XP und was danach kam OpenBSD FreeBSD NetBSD Mac OS X Solaris

16 OpenVPN-Architektur Server erhält Anfrage zum Tunnelaufbau kontrolliert die Anfrage modifiziert ggf. das Routing / Firewall Client startet den Tunnelaufbau schickt Authentisierungsdaten erwartet ggf. Optionen vom Server

17 OpenVPN Key Features UDP / TCP tun / tap Interface vgl. Tunnel-Modus IPsec MTU-size Multi-Client NAT Traversal (!)... re-connect / DDNS

18 OpenVPN Key Features user-space Multithreaded Komprimierung chroot Plugin für Scripts (Client & Server) PAM Firewall pull/push

19 OpenVPN Authentisierung X.509 Zertifikate typischerweise eigene CA 'a weng' aufwendiger Pre-Shared Key (PSK) einfache Methode präferiert für Tests Plugins PAM

20 OpenVPN: Killer-Applikation Proxy-Support & TCP-Support wenn der OpenVPN-Server auf Port 443/tcp konfiguriert ist, dann funktioniert das in sehr vielen Umgebungen! (DAS kann IPsec nicht!)

21 Beispiel I: Roadwarriors / Home Office OpenVPN Server udp / 442 OpenVPN Clients trusted client OpenVPN Clients OpenVPN Server tcp / 443 mode server

22 Beispiel I (Forts.) Live-Demo

23 Beispiel I (Forts.) Roadwarriors: alle am gleichen tun-interface gleiche Policy trusted client: spezifische Policy / Konfiguration mehr Rechte als Roadwarrior

24 Beispiel II: IpV6 Idee Verlängerung eines IPv6 Netzwerks über OpenVPN IPv6-Tunnel und Verschlüsselung durch gleiche Applikation globale Erreichbarkeit z.b. über freenet6 trotz Firewall trotz Proxy

25 Beispiel: IPv6 IPv6 freenet6.net

26 Beispiel I (Forts.) Live-Demo

27 Beispiel: VPN mit dyn. Routing

28 Beispiel: VPN mit dyn. Routing

29 VPN-Concentrator ein Server als zentraler Tunnelkonzentrator sternförmiges Setup keine Vermaschung einfaches Setup Zertifikatmanagement Firewallkonfiguration single-point-of -failure Verbindungen laufen grundsätzlich über den Konzentrator

30 VPN mit dynamischen Routing verteiltes Setup Teilvermaschung dynamisches Routing über die tun-interfaces erforderlich (z.b. quagga) Redundanz Routing in Abhängigkeit der verfügbaren Bandbreite komplexes Setup verteiltes Zertifikatmanagement verteilte Firewallkonfiguration

31 OpenVPN: Leistung Durchsatz: Beispiel: Client: Pentium Mobile Server: PII 266 Mhz Medium: WLAN (11 Mbps) Durchsatz: 5 Mbps Server: OpenVPN 23% CPU Zitate: Viele hundert Tunnel möglich gute Performanz

32 Zusammenfassung OpenVPN portabel interoperabel (Linux, MacOS, *BSD,... und auch Windows) einfache Installation und Konfiguration user-space daemon verwendet OpenSSL und dessen Fähigkeiten (und Fehler) PSK oder TLS-basierten dynamischen Schlüsselaustausch kein Problem mit NAT Tunnel über UDP oder TCP (sogar via Proxy) Authentisierung erweiterbar durch PAM

33 Zusammenfassung OpenVPN (Forts). mit anderen Worten: OpenVPN rocks!