Post on 25-Apr-2019
1
Korporacyjne Sieci Bez GranicCorporate Borderless Networks
dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/
KSBG (v2015)
Corporate Borderless Networks
Borderless Campus 1.0 Design Guide:
„Enterprises are making a fundamental shift, with employees no longer confined to physical offices, geographical locations, and time zones. In today’s globalized workplace, work can occur anywhere in the world and enterprise information needs to be virtually accessible, on-demand, through every part of the network. These requirements drive the need to build next-generation networks that are:
secure
reliable
highly available”
KSBG (v2015) 2
VPN
VPN (ang. Virtual Private Network) to wirtualna sieć, zestawiana z wykorzystaniem sieci współdzielonej.
Ważnym zadaniem VPN (ale nie koniecznym!)
jest zapewnienie bezpieczeństwa danym przez nie przesyłanym poprzez:
mechanizmy szyfrowania,
uwierzytelniania,
weryfikacji integralności danych.
KSBG (v2015) 3
VPN klienta, VPN usługodawcy
VPN zestawiane przez usługodawcę –za ich konfigurację oraz utrzymanie jest odpowiedzialny usługodawca.
VPN zestawiane przez klienta –za ich konfigurację oraz utrzymanie odpowiedzialny jest klient.
KSBG (v2015) 4
Historia VPN
Pierwsze sieci VPN to były zwykłe tunele, bez uwierzytelniania i szyfrowania.
Przykład: Generic Routing Encapsulation (GRE) jest protokołem do tunelowania opracowanym przez Cisco mogącym enkapsulować szeroki zakres protokołów w tunelu IP.
Tunel tworzy wirtualny link typu point-to-point pomiędzy urządzeniami poprzez sieć publiczną (IP).
Inne przykłady technologii pseudo VPN (linki point-to-point bez uwierzytelniania i szyfrowania): Frame Relay, ATM PVC,Multiprotocol Label Switching (MPLS).
KSBG (v2015) 5
Zalety VPN
Poufność – bo szyfrowanie, najczęściej to jest kojarzone z sieciami VPN.
Obniżanie kosztów – poprzez używanie taniego i popularnego Internetu do łączenia zdalnych biur i użytkowników.
Bezpieczeństwo – wysoki poziom bezpieczeństwa dzięki najlepszym metodom uwierzytelniania oraz szyfrowania.
Skalowalność – dzięki wykorzystaniu Internetu łatwo dołączać kolejnych użytkowników (nowe lokalizacje) bez konieczności wymiany urządzeń i łączy.
Kompatybilność z technologiami szerokopasmowymi – to co przesyła IP poradzi sobie także z VPN... A to ważne bo tylko wydajne łącza zapewnią komfortową pracę.
KSBG (v2015) 6
KSBG (v2015) 7
Architektury VPN
KSBG (v2015) 8
Architektury VPN: Site-to-Site
KSBG (v2015) 9
VPN – protokoły
VPN
Przykłady VPN L3: Generic Routing Encapsulation (GRE) opracowany
przez Cisco następnie zestandaryzowany (RFC 1701, RFC 1702).
MPLS zestandaryzowany przez IETF. MPLS VPN usługa świadczona przez ISP – użycie etykiet do enkapsulacji oryginalnych danych.
IPsec zestaw protokołów opracowany pod nadzorem IETF aby zapewnić bezpieczną wymianę danych poprzez sieci IP. IPsec pozwala na: uwierzytelnianie, integralność, kontrolę dostępu, poufność.
KSBG (v2015) 10
KSBG (v2015) 11
Architektury VPN: Remote Access
KSBG (v2015) 12
Architektury VPN: Remote Access
VPN RA
VPN IPsec RA – wymaga dodatkowego soft’u na stacji klienta.
SSL VPN – tylko Web browser: dostęp do stron i usług (pliki, e-mail, aplikacje bazujące na TCP):
brak dodatkowego soft,
dowolna stacja przyłączona do Internetu.
SSL VPN trzy tryby dostępu: clientless, thin, full
(thin i full RA musi pobrać applet Java lub ActiveX, który zajmie się przekazywaniem danych (np. TCP) do sieci docelowej).
SSL VPN jest dobry dla użytkowników, którzy korzystają z pojedynczej aplikacji albo serwera.
SSL VPN full i IPsec VPN pozwala na bezpieczny dostęp do wszystkich zasobów i aplikacji klient-serwer: „IPSec connects hosts to entire private networks, while SSL VPNs connect users to services and applications inside those networks”.
KSBG (v2015) 13
VPN RA
KSBG (v2015) 14
VPN RA
SSL VPN trzy tryby dostępu: Clientless
Thin client (nazywany także TCP port forwarding. Java applet występuje jako TCP proxy na maszynie klienta dla usług skonfigurowanych na bramie SSL VPN).
Full client (pełny dostęp do zasobów sieci korporacyjnej poprzez tunel SSL VPN. Java applet jest pobierany przez przeglądarkę aby utworzyć i zarządzać tunelem pomiędzy hostem klienta a bramą SSL VPN. Użytkownik może używać dowolnej sieciowej aplikacji w sieci korporacyjnej).
Cisco IOS router pozwala na trzy tryby: clientless,
thin client,
full client.
ASA obsługuje dwa tryby: clientless (zwiera clientless i thin client port forwarding),
AnyConnect client (realizuje full tunnel).
KSBG (v2015) 15
KSBG (v2015) 16
VPN – protokoły
KSBG (v2015) 17
Protokoły tunelowania
KSBG (v2015) 18
Wybór technologii VPN
KSBG (v2015) 19
Tunel jako połączenie punkt-punkt
GRE
Generic Routing Encapsulation (GRE) jest protokołem do tunelowania zdefiniowanym w RFC 1702 i RFC 2784. Opracowany przez Cisco do tworzenia wirtualnych linków point-to-point pomiędzy routerami Cisco a zdalnymi punktami (poprzez sieci IP).
Zaletą GRE jest fakt, iż może zostać użyty do tunelowania ruchu nie-IP poprzez sieć IP.
IPsec wspiera wyłącznie ruch unicast, GRE wspiera także ruch multicast i broadcast.
GRE nie zapewnia możliwości szyfrowania. Jeśli jest ono potrzebne należy użyć IPsec.
KSBG (v2015) 20
GRE
KSBG (v2015) 21
Enkapsulacja za pomocą GRE
KSBG (v2015) 22
GRE - konfiguracja
KSBG (v2015) 23
KSBG (v2015) 24
IPSec
Urządzenia
Routery i przełączniki
Zapory sieciowe
Koncentratory VPN
Routery SOHO
Inne dedykowane urządzenia
KSBG (v2015) 25
ASA 5500-X
KSBG (v2015) 26
Firewall – SRX
Small Office/Branch Office Data Center
KSBG (v2015) 27
Firewall – Data Center SRX
KSBG (v2015) 28
3U, 4+3 CFM, 8+4 GE, 1+1 PS,
30/8/8G, 2.5M sess, 150kcps
5U, 6+6 CFM, 8+4 GE,
2+2 PS, 55/15/15G, 6M sess,
150kcps
8U, 6 slot, 1+1 SCB,
2+2 PS, 100/50/75G,
60M sess, 300kcps
16U, 12 slot, 2+1 SCB,
2+2 AC, 3+1 DC, 200/110/150G,
100M sess, 450kcps
3U, 3 CFM, 12GE or 3XGE+9GE , 1+1
PS, 10/3/4G, 1.5M sess, 70kcps
SRX3600
SRX5600
SRX3400
SRX1400
SRX Security Gateways
Scalable PerformanceRich Standard Services
• Firewall
• VPN
• IPS
• Routing
• QoS
• AppSecure
• More to come…
•Extensible Security Services
Integrated Networking Services
Branch SRX
SRX54005U, 3 open slots, 2+2 PS,
60/25/40G, 28M sess, 460kcps
SRX5800
Firewall – BRANCH SRX
KSBG (v2015) 29
KSBG (v2015) 30
FEATURES SRX100 (110)
SRX210E SRX220 SRX240 SRX550 SRX650
On-board Ethernet 8 x FE2 x GE + 6 x
FE8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 2 GB / 2 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 802.3at)
None 4 ports,
50 W total8 ports GE,
120 W16 ports GE,
150 W40 Port GE, 250
W or 500 W48 ports GE,
250 W or 500 W
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4
x GPIM8 x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*
Routing YES YES YES YES YES YES
Content Security Acceleration (IPS, ExpressAV)
No YES YES YES YES YES
Firewall performance (Large Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps
Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall + Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps
IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions (512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 128K / 256K 375K 512 K
Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P
A/A or A/P,Hot swap GPIMs,
Dual power
A/A or A/P,Hot swap GPIMs,
Dual power
Software
Dedykowany software (klient) do IPsecVPN RA.
KSBG (v2015) 31
Wydajność
Moduły zwiększające wydajność (problem wydajności szyfrowania).
KSBG (v2015) 32
IPSEC
IPsec jest zbiorem standardów IETF (RFC 2401-2412) określających jak VPN może być tworzony poprzez sieci IP.
IPsec nie jest związany z konkretnymi metodami szyfrowania, uwierzytelniania, przesyłania klucza.
IPsec framework zwiera otwarte standardy określające zasady bezpiecznej komunikacji.
IPsec działa na poziomie warstwy L3 (Network Layer), chroniąc i uwierzytelniając pakiety IP pomiędzy węzłami IPsec.
IPsec może chronić cały ruch warstw wyższych (L4-L7).
KSBG (v2015) 33
IPSEC framework
KSBG (v2015) 34
IPSEC framework
IPsec framework – funkcje bezpieczeństwa:
Poufność (Confidentiality),
Integralność (Integrity),
Uwierzytelnianie (Authentication),
Wymiana klucza (Secure key exchange).
KSBG (v2015) 35
Hashed Message Authentication Codes (HMAC)
Hashed Message Authentication Codes (HMAC) – weryfikacja integralności danych:
KSBG (v2015) 36
Secure Key Exchange
DH Group 1: 768-bit group: czas generacji klucza x
DH Group 2: 1024-bit group: czas generacji klucza 2x
DH Group 5: 1536-bit group: czas generacji klucza 6x
ECC (Elliptical Curve Cryptography - Kryptografia Krzywych Eliptycznych): redukcja czasu generacji klucza.
ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Ocenia się, że bezpieczeństwo klucza RSA o długości 1024 bitów jest równoważne bezpieczeństwu klucza ECC o długości 160 bitów.
KSBG (v2015) 37
Secure Key Exchange -bezpieczeństwo
Diffie-Hellman group 1 - 768 bit modulus – AVOID
Diffie-Hellman group 2 - 1024 bit modulus – AVOID
Diffie-Hellman group 5 - 1536 bit modulus – AVOID
Diffie-Hellman group 14 - 2048 bit modulus – MINIMUM ACCEPTABLE
Diffie-Hellman group 19 - 256 bit elliptic curve – ACCEPTABLE
Diffie-Hellman group 20 - 384 bit elliptic curve – Next Generation Encryption
Diffie-Hellman group 21 - 521 bit elliptic curve – Next Generation Encryption
Diffie-Hellman group 24 - modular exponentiation group with a 2048-bit modulusand 256-bit prime order subgroup – Next Generation Encryption
KSBG (v2015) 38
Algorytm Diffie-Hellman'a
Alicja i Bob wyznaczają dwie liczby: p będącą liczbą pierwsza oraz g (zwany generatorem) mniejsze od p (z następującymi właściwościami: dla każdego n pomiędzy 1 i p-1 włącznie, istnieje potęga takiego k od g że n = gk mod p).
Protokół ten zakłada że jest niewykonalne obliczenie K, jedynie na podstawie wartości publicznych Alicji i Boba jeżeli p jest dostatecznie duże.
KSBG (v2015) 39
http://www.algorytm.org/inne/algorytm-diffie-hellmana.html
IPSEC framework
IPsec framework otwartych standardów.
Bazuje na istniejących rozwiązaniach.
Dwa główne protokoły w IPsec framework to:AH i ESP:
Authentication Header (AH) – (IP protocol 51)
Encapsulating Security Payload (ESP) – (IP protocol 50)
Protokoły IP:
http://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
KSBG (v2015) 40
KSBG (v2015) 41
IPSec
KSBG (v2015) 42
IPSec
KSBG (v2015) 43
Tunel vs Transport
AH
Problemy AH w środowiskach z NAT.
KSBG (v2015) 44
KSBG (v2015) 45
AH
KSBG (v2015) 46
AH
AH
Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem AH np.: ESP, TCP, UDP (zależnie od aplikacji).
Payload Length: Określa długość AH w 32-bitowych słowach (4-bajtowe jednostki), minus 2.
RESERVED: Zarezerwowane na przyszłe potrzeby, obecnie wartość 0.
Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu.
Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów.
Authentication Data: HMAC + padding. Wg RFC 2402 AH wspiera minimum: HMAC-MD5-96 i HMAC-SHA1-96.
KSBG (v2015) 47
ESP
Detekcja duplikatów pakietów (anti-replay) wspierana przez AH i ESP.
KSBG (v2015) 48
KSBG (v2015) 49
ESP
KSBG (v2015) 50
ESP
ESP
Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu.
Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów.
Protected Data: Różna długość, dane potrzebne do ochrony transmisji np. initialization vector w algorytmach szyfrowania.
Padding: Blokowe algorytmy szyfrujące wymagają aby tekst jawny miał określoną długość.
Pad Length: Długość paddingu.
Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem ESP.
Authentication Data: HMAC + padding.
KSBG (v2015) 51
KSBG (v2015) 52
SA - Security Association
IPsec VPN negocjuje parametry wymiany klucza, ustanawia shared key, uwierzytelnia węzły, negocjuje parametry szyfrowania. Ustalone parametry pomiędzy węzłami są znane jako SA (Security Association).
IKE
IKE używa UDP i portu 500 do wymiany informacji o metodach kryptograficznych pomiędzy węzłami.
IKE jest zdefiniowane w RFC 2409. Jest protokołem hybrydowym łączącym metody wymiany klucza: Internet Security Association and Key Management Protocol (ISAKMP)
Oakley and Skeme.
ISAKMP określa format wiadomości, protokóły wymiany klucza, proces negocjacji prowadzący do utworzenia/wybrania SA dla IPsec.
ISAKMP musi wynegocjować identyczne parametry w obu węzłach.
KSBG (v2015) 53
IKE
KSBG (v2015) 54
IKE faza 1
Zadania (wymiany) IKE faza 1: First Exchange: Węzły negocjują a następnie akceptują
używane do zabezpieczenia komunikacji IKE. Zamiast negocjować każdy protokół osobno, protokoły są grupowane w zbiory nazywane IKE policy sets. IKE policy sets są wymieniane pomiędzy węzłami w pierwszej kolejności.
Second Exchange: Wymiana kluczy za pomocą DH i ustanowienie shared secret key poprzez niebezpieczny kanał komunikacyjny.
Third Exchange: Każdy węzeł musi uwierzytelnić pozostałe węzły zanim transmisja może zostać uznana za bezpieczną. Metody: PSK, RSA signature, RSA encrypted nonce.
KSBG (v2015) 55
IKE faza 2
IKE faza 2 realizuje poniższe funkcje:
Negocjuje parametry bezpieczeństwa dla samego IPsec znane jako IPsec transform sets.
Ustanawia SA dla IPsec.
Cyklicznie renegocjuje SA dla IPsec aby zwiększyć ochronę.
KSBG (v2015) 56
KSBG (v2015) 57
Proces negocjacji dla IPSec
58
KONIEC
KSBG
KSBG (v2015)