IPsec im Tunnel-Modus zwischen Windows XP Professional und OpenBSD mit Authentifizierung per X.509v3-Zertifikaten



Ähnliche Dokumente
HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x)

E r s t e l l u n g e i n e s Gateway-Zertifikats

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

How to install freesshd

Apache Webserver with SSL on Windows

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Printserver und die Einrichtung von TCP/IP oder LPR Ports

Erstellen einer PostScript-Datei unter Windows XP

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Netzwerksicherheit Übung 5 Transport Layer Security

Wie installiere ich das CAcert Root-Zertifikat?

Beantragen eines Serverzertifikates. Registrierungsstelle der Ernst Moritz Arndt Universität Greifswald (UG-RA)

etoken mit Thunderbird verwenden

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

Zugang zum WLAN eduroam (Campus Essen)

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Step by Step Webserver unter Windows Server von Christian Bartl

Outlook 2013 Ablauf des Einrichtens in Outlook, um s zu signieren und/ oder verschlüsseln zu können

Einrichtung -Account

Step by Step VPN unter Windows Server von Christian Bartl

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

Netzwerksicherheit Übung 5 Transport Layer Security

SICHERN DER FAVORITEN

Anleitung zur Mailumstellung Entourage

Acrolinx IQ. Sichern der Kommunikation mit Acrolinx IQ Server mit HTTPS

Windows Server 2012 RC2 konfigurieren

Anweisungen zur Installation und Entfernung von Windows PostScript- und PCL-Druckertreibern Version 8

mysoftfolio360 Handbuch

Überprüfung der digital signierten E-Rechnung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

HANDOUT VON: EIGENES SSL-ZERTIFIKAT FÜR DEN WHS. Copyright 2011 by s.winkler all rights reserved!

HostProfis ISP ADSL-Installation Windows XP 1

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Wie halte ich Ordnung auf meiner Festplatte?

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Hinweise bei Problemen mit Makros

Erstellen eines Formulars

NAS 322 NAS mit einem VPN verbinden

unter runtergeladen werden.

OUTLOOK (EXPRESS) KONFIGURATION POP3

Anwendungsbeispiele Buchhaltung

Netzwerk einrichten unter Windows

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Import des persönlichen Zertifikats in Outlook Express

Workaround Wake-On-Lan funktioniert nicht mit Windows 7

Faktura. IT.S FAIR Faktura. Handbuch. Dauner Str.12, D Mönchengladbach, Hotline: 0900/ (1,30 /Min)

Konfiguration von PPTP unter Mac OS X

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Whitepaper. Produkt: combit Relationship Manager / address manager. Dateiabgleich im Netzwerk über Offlinedateien

Dynamisches VPN mit FW V3.64

mmone Internet Installation Windows XP

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Installationsanleitung adsl Privat unter Windows Vista

ICS-Addin. Benutzerhandbuch. Version: 1.0

Um die Installation zu starten, klicken Sie auf den Downloadlink in Ihrer (Zugangsdaten für Ihre Bestellung vom...)

Anleitungen zum Publizieren Ihrer Homepage

1 Schritt: Auf der Seite einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten

Shellfire L2TP-IPSec Setup Windows XP

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Erstellen sicherer ASP.NET- Anwendungen

Urlaubsregel in David

Arbeiten mit UMLed und Delphi

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

Task: Nmap Skripte ausführen

Hex Datei mit Atmel Studio 6 erstellen

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

ViMP 3.0. SSL Einrichtung in Apache 2.2. Verfasser: ViMP GmbH

Import des persönlichen Zertifikats in Outlook 2003

Leichte-Sprache-Bilder

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Diese Kurzanleitung beschreibt die nötigen Einstellungen, um mit pixafe Transfer Bilder auf einem Facebook Konto veröffentlichen zu können.

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

JS-Agentur. Internet - Webdesign - Printmedien s mit Windows Live Mail senden & abholen

Leitfaden Installation des Cisco VPN Clients

Installationsanleitung SSL Zertifikat

Net at Work Mail Gateway 9.2 Anbindung an digiseal server 2.0. enqsig enqsig CS Large File Transfer

Gruppenrichtlinien und Softwareverteilung

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Collax NCP-VPN. Howto

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

WORKSHOP für das Programm XnView

(c) 2003 by Lars Witter

VR-NetWorld Software Einrichtung SEPA-Lastschrift

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

! " # $ " % & Nicki Wruck worldwidewruck

WLAN mit WPA (wpa4fh)

3 Windows als Storage-Zentrale

Die Erstellung eigener Strukturprofile

Transkript:

IPsec im Tunnel-Modus zwischen Windows XP Professional und OpenBSD mit Authentifizierung per X.509v3-Zertifikaten Thomas Walpuski <thomas@koeln.h07.org> 7. Februar 2002 Für das grundlegende Verständnis dieses Papers sind Kenntnisse über IPsec zwar nicht zwingend notwending, aber u.u. trotzdem hilfreich. Als Einführung empfiehlt sich http://www.informatik.uni-bremen.de/grp/ag-sec/seminar/ WS00/ipsec.ps. Das folgende Paper beschreibt im Einzelnen die Konfiguration einer IPsec- Verbindung Host-to-Host zwischen OpenBSD und Windows XP Professional mit Authentifizierung durch X.509v3-Zertifikate. Mit leichten Modifikationen liesse sich damit auch ein VPN realisieren. Die IPsec-Implementierung von Windows XP Professional entspricht in etwa der von Windows 2000 Professional mit High Encryption Pack 1. D.h, wahrscheinlich lassen sich weite Teile des in diesem Paper beschriebene auch in Windows 2000 Professional umsetzen. 1 Vorarbeiten Bevor wir mit der eigentlichen Konfiguration beginnen können, müssen wir zunächst die notwendigen RSA-Keys samt Zertfikaten erzeugen. 1.1 RSA-Key und Zertifikat für die CA Falls keine vorhandene CA benutzt werden kann oder soll, ist der erste Schritt die Erzeugung eines RSA-Keys für die CA. # openssl genrsa -out /etc/ssl/private/ca.key 1024 Generating RSA private key, 1024 bit long modulus...++++++...++++++ e is 65537 (0x10001 Für diesen sollte dann ein CSR 2 erzeugt werden. # openssl req -new -key /etc/ssl/private/ca.key -out \ > /etc/ssl/private/ca.csr Using configuration from /etc/ssl/openssl.cnf You are about to be asked to enter information that will be incorporated 1 Das High Encryption Pack stellt u.u. 3DES zur Verfügung. 2 Certificate Signing Request 1

into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank. ----- Country Name (2 letter code) []:DE State or Province Name (full name) []:Thuringia Locality Name (eg, city) []:Jena Organization Name (eg, company) []:IPsec Labs Organizational Unit Name (eg, section) []:Certification Authority Common Name (eg, fully qualified host name) []:ca.ipseclabs.org Email Address []:ca@ipseclabs.org Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []: Dieser CSR wird anschliessend selbst, d.h mit dem Schlüssel zu dem der CSR erstellt wurde, signiert. # openssl x509 -req -days 365 -in /etc/ssl/private/ca.csr \ > -signkey /etc/ssl/private/ca.key -out /etc/ssl/ca.crt Signature ok subject=/c=de/st=thuringia/l=jena/o=ipsec Labs/OU=Certification Authority/CN=ca. ipseclabs.org/email=ca@ipseclabs.org Getting Private 1.2 RSA-Keys, Zertifikate, etc. für die Hosts Zuerst muss ein RSA-Key erzeugt werden. In unserem Fall muss der RSA-Key zwingend 1024 Bits lang sein, da Windows XP, so weit ich weiß, nur mit solchen umgehen kann. 3 # openssl genrsa -out local.key 1024 Generating RSA private key, 1024 bit long modulus...++++++.++++++ e is 65537 (0x10001) Zu diesem Key erstellen wir einen CSR. Die Felder sollten, wenn möglich, nach einer zuvor vereinbarten Konvention ausgefüllt werden. Dadurch kann man sich etliche Probleme ersparen. # openssl req -new -key local.key -out tyr.csr Using configuration from /etc/ssl/openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank. 3 Die Quelle ist mir leider entfallen. Wenn ich sie wieder finde, werde ich sie hier anführen. 2

----- Country Name (2 letter code) []:DE State or Province Name (full name) []:Thuringia Locality Name (eg, city) []:Jena Organization Name (eg, company) []:IPsec Labs Organizational Unit Name (eg, section) []:Networking Common Name (eg, fully qualified host name) []:tyr.networking.ipseclabs.org Email Address []:root@tyr.networking.ipseclabs.org Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []: Den CSR lassen wir nun von der CA signieren. # openssl x509 -req -days 365 -in tyr.csr -CA \ > /etc/ssl/ca.crt -CAkey /etc/ssl/private/ca.key \ > -CAcreateserial -out tyr.crt Signature ok subject=/c=de/st=thuringia/l=jena/o=ipsec Labs/OU=Networking/CN=tyr.networking.ipse clabs.org/email=root@tyr.networking.ipseclabs.org Getting CA Private Key Da wir auf einer Seite OpenBSD verwenden, müssen wir mit certpatch eine subjectaltname extension an die Zertifikate anfügen. Diese sollte je nach Konfiguration eine IP-Adresse, ein FQDN oder UFQDN sein. In unserem Fall handelt es sich um ein FQDN. # certpatch -t fqdn -i tyr.networking.ipseclabs.org \ > -k /etc/ssl/private/ca.key tyr.crt tyr.crt Reading ssleay created certificate tyr.crt and modify it Creating Signature: PKEY_TYPE = RSA: X509_sign: 128 OKAY Writing new certificate to tyr.crt Für den Windows XP-Host müssen wir außerdem ein PKCS-12-Bundle erzeugen. # openssl pkcs12 -export -in tyr.crt -inkey local.key \ > -certfile ca.crt -out tyr.p12 Enter Export Password: Verifying password - Enter Export Password: Das Prozedere muss nun für noch einmal für die Gegenstelle durchgeführt werden. Für die OpenBSD-Seite ist das Erstellen eines PKCS-12-Bundle nicht nötig. 2 Konfiguration des OpenBSD-Hosts # ls -l /etc/isakmpd/* -rw------- 1 root wheel 1744 Jan 30 18:34 /etc/isakmpd/isakmpd.conf -rw------- 1 root wheel 128 Jan 28 17:14 /etc/isakmpd/isakmpd.policy /etc/isakmpd/ca: 3

total 2 -rw------- 1 root wheel 1001 Jan 28 18:00 ca.crt /etc/isakmpd/certs: total 8 -rw------- 1 root wheel 1119 Jan 28 18:06 heimdal.programming.ipseclabs.org.cr -rw------- 1 root wheel 1094 Jan 28 18:05 tyr.networking.ipseclabs.org.crt /etc/isakmpd/keynote: /etc/isakmpd/private: total 2 -rw------- 1 root wheel 887 Jan 28 18:00 local.key Das Zertifikat des Windows XP-Hosts muss nicht vorhanden sein, da isakmpd es aus einem bestimmten Grund (s.u.) nicht erkennen kann und somit das im Main-Mode von Windows XP übertragene verwendet/verwenden muss. # cat /etc/isakmpd/isakmpd.conf [Phase 1] 10.0.0.3= ISAKMP-peer-tyr [Phase 2] Connections= IPsec-heimdall-tyr [ISAKMP-peer-tyr] Phase= 1 Transport= udp Local-address= 10.0.0.1 Address= 10.0.0.3 ID= FQDN-heimdall # Windows XP schickt, wie auch PGPnet, nicht den # subjectaltname, sondern das "normale" Subject des # Zertifikats. Also kann man Remote-ID hier nicht # verwenden. #Remote-ID= FQDN-tyr Configuration= Default-main-mode [FQDN-heimdall] ID-type= FQDN # Es ist erforderlich, dass das Zertifikat unter genau # diesem Namen (+.crt) in certs/ zu finden ist. Name= heimdal.programming.ipseclabs.org # s.o. #[FQDN-tyr] #ID-type= #Name= FQDN tyr.networking.ipseclabs.org [IPsec-heimdall-tyr] Phase= 2 ISAKMP-peer= ISAKMP-peer-tyr Configuration= Default-quick-mode Local-ID= Host-heimdall 4

Remote-ID= Host-tyr [Host-heimdall] ID-type= IPV4_ADDR Address= 10.0.0.1 [Host-tyr] ID-type= IPV4_ADDR Address= 10.0.0.3 [Default-main-mode] DOI= EXCHANGE_TYPE= Transforms= [Default-quick-mode] DOI= EXCHANGE_TYPE= Suites= [3DES-MD5] ENCRYPTION_ALGORITHM= HASH_ALGORITHM= AUTHENTICATION_METHOD= GROUP_DESCRIPTION= IPSEC ID_PROT 3DES-MD5 IPSEC QUICK_MODE QM-ESP-3DES-MD5-SUITE 3DES_CBC MD5 RSA_SIG MODP_1024 # cat /etc/isakmpd/isakmpd.policy KeyNote-Version: 2 Authorizer: "POLICY" Licensees: "DN:/C=DE/ST=Thuringia/L=Jena/O=IPsec Labs/\ OU=Certification Authority/CN=ca.ipseclabs.org/\ Email=ca@ipseclabs.org" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && mnesp_enc_alg!= "null" && remote_id_type == "ASN1 DN" && remote_id == "/C=DE/ST=Thuringia/L=Jena/\ O=IPsec Labs/OU=Networking/\ CN=tyr.networking.ipseclabs.org/\ Email=root@tyr.networking.ipseclabs.org" -> "true"; 3 Konfiguration des Windows XP-Hosts Die Konfiguration von IPsec und die Verwaltung von Zertifikaten wird in Windows XP über Snap-Ins in der Management-Console (mmc) gehandhabt. Gestartet wird mmc über Start/Ausführen... 5

Über Datein/Snap-In hinzufügen/entfernen... (Strg+M) gelangen wir in eine Oberfläche zur Snap-In-Verwaltung. In dieser fügen wir die Snap-Ins IP-Sicherheitsmonitor 4, IP-Sicherheitsrichtlinienverwaltung für den lokalen Computer und Zertifikate für den lokalen Computer zu der Konsole hinzu. Es empfiehlt sich nun die erstellt Konsole über Datei/Speichern (Strg+S) zu speichern. Ein Klick der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer bring ein Menu, das mögliche Aktionen enthält, zum Vorschein. Aus diesem wählen wir IP-Sicherheitsrichtlinie erstellen... aus. Daraufhin sollte der IP-Sicherheitsrichlinien-Assistent erscheinen. In diesem Assistent wählen wir einen aussagekräftigen Namen für die neue IP-Sicherheitsrichtlinie aus (z.b. IPsec-Verbindung zwischen tyr und heimdal). Die Standartantwortregeln deaktivieren wir. Nach der Fertigstellung des Assistenten bearbeiten wir die Eigenschaften der IP-Sicherheitsrichtlinie. Über Hinzufügen... erstellen wir eine neue IP-Sicherheitsregel. Dazu erstellen wir zunächst über Hinzufügen... einen Filter für gesamten IP-Traffic von unserer 4 Der IP-Sicherheitsmonitor nicht zwingend nötig. Er kann allerdings bei ggf. notwendigem Debugging sehr nützlich sein. 6

IP-Adresse (10.0.0.3) zur Gegenstelle (10.0.0.1). Dieser Filter darf nicht gespiegelt sein, d.h. die Option Diese Filterangabe wird auch auf Pakete mit gegenteiliger Quell- und Zieladresse angewendet muss deaktiviert sein. Dannach legen wir Sicherheit erforderlich als Filteraktion fest. Die Default-Authentifitierungsmethode Kerberos ändern wir über Bearbeiten... in Verwenden eines Zertifikats von dieser Zertifizierungsstelle und wählen das Zertifikat unserer CA aus. 7

Als Tunnelendpunkt konfigurieren wir die IP-Adresse der Gegenstelle (10.0.0.1). Nach dem wir die Erstellung der ersten Regel beendet haben, erstellen wir eine zweite Regel. Bei dieser Regel konfigurieren wir den Filter von der Gegenstelle zu unserer IP-Adresse und geben unsere IP-Adresse als Tunnelendpunkt an. 4 Testen der Konfiguration Auf dem OpenBSD-Host starten wir isakmpd im Debug-Modus mit der Option -L, die isakmpd dazu veranlasst die IKE-Vorgänge nach /var/run/isakmpd. pcap zu schreiben. Mit Hilfe von tcpdump kann man /var/run/isakmpd. pcap in einem für Meschen verständlichen Format darstellen lassen. # isakmpd -d -L Unter Windows XP erscheint nach einem Klick der rechten Maustaste auf unserere IP-Sicherheitsrichtlinie ein Menu. In diesem wählen wir Zuweisen aus. 8

Zum Testen der Verbindung starten wir über über Start/Ausführen... die Eingabeaufforderung (cmd) und führen ein ping zur Gegenstelle aus. Falls keine Probleme aufgetreten sind, kann man nun isakmpd_flags in /etc/ rc.conf auf setzen. 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback