Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA...
Transcript of Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA...
![Page 1: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/1.jpg)
Road-warrior VPN
Анализ проблемы и обзор доступных в RouterOS решений
![Page 2: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/2.jpg)
Who am I ?
Андрей Сыровенко
• Программист (C/C++, Python, Perl, JS, etc.) • IT Manager (умею руководить сисадминами) • Консультант
☺ Фанат FreeBSD, который полагает, что RouterOS - то немногое, что оправдывает существование Linux.
• E-mail / Hangouts: [email protected] • Skype: andriy_syrovenko
![Page 3: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/3.jpg)
Road Warrior
![Page 4: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/4.jpg)
Road-warrior VPN: требования
• Надежность / защищенность
• Сценарии маршрутизации – Tunnel All – Split-Tunnel
• Split-DNS
![Page 5: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/5.jpg)
Road-warrior VPN: требования
• Server-dictated configuration
• Транспортные протоколы – Качество работы в условиях ненадежного Интернет-соединения
– Firewall – friendliness – NAT – friendliness
• RADIUS
![Page 6: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/6.jpg)
Road-warrior VPN: Security
• Конфиденциальность –Шифрование трафика внутри ВПН-туннеля – Затрудняет пассивное прослушивание / перехват трафика
• Аутентификация клиента – Контроль доступа
• Аутентификация сервера – Защита от MITM-атак
![Page 7: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/7.jpg)
Client Authentication
• Password-based – Простота в использовании и сопровождении – Достаточная надежность – Можно использовать Two-factor / two-phase для большей надежности
• Certificate-based – Считается более защищенной – Требуется создание и поддержка PKI (Public
Key Infrastructure)
![Page 8: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/8.jpg)
Server Authentication
MITM (Man-in-the-middle)
![Page 9: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/9.jpg)
Server Authentication
• Защита от MITM-атак • Shared-secret based – Секрет, который не совсем секрет – Хорошо работает только для небольшого количества пользователей
• Certificate-based – Одинаково хорошо работает при любом количестве пользователей
– Можно обойтись без собственной PKI
![Page 10: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/10.jpg)
Road-warrior VPN: требования
• Надежность / защищенность
• Сценарии маршрутизации – Tunnel All – Split-Tunnel
• Split-DNS
![Page 11: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/11.jpg)
Tunnel All
![Page 12: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/12.jpg)
Split-Tunnel
Частный случай – Proxy ARP
![Page 13: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/13.jpg)
Road-warrior VPN: требования
• Server-dictated configuration
• Транспортные протоколы – Качество работы в условиях ненадежного Интернет-соединения
– Firewall – friendliness – NAT – friendliness
• RADIUS
![Page 14: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/14.jpg)
Server-Dictated Configuration
• Минимально необходимо: – Server-allocated client IP address
• Было бы не плохо: – Адреса DNS и WINS серверов – Domain name – Список туннелируемых сетей (Split-Tunnel)
![Page 15: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/15.jpg)
Транспортные протоколы
• TCP – NAT – friendly
– Firewall – friendly • Особенно при использовании порта 443/tcp
– Практически бесполезен в условиях плохого Интернет-соединения: • TCP-over-TCP “meltdown” problem • VoIP – задержки и высокий джиттер
![Page 16: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/16.jpg)
Транспортные протоколы
• UDP – Как правило NAT – friendly • Исключение – IPsec NAT-T в RouterOS
– Иногда блокируется в сетях гостиниц и гостевых сетях предприятий
– Хорошо работает в том числе и на плохих Интернет-соединениях
![Page 17: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/17.jpg)
Транспортные протоколы
• ESP – Плохо сочетается с NAT
– Иногда блокируется в сетях гостиниц и гостевых сетях предприятий
– Хорошо работает в том числе и на плохих Интернет-соединениях
![Page 18: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/18.jpg)
Поддержка RADIUS
• Единая БД пользователей для нескольких устройств доступа
• Интеграция с существующими системами – ActiveDirectory, LDAP
• Дополнительная функциональность – Two-factor / two-phase authentication – Password expiration – Self-care
![Page 19: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/19.jpg)
RouterOS
• PPP – PPTP – L2TP – L2TP/IPsec – SSTP
• OpenVPN
• IPsec (IKEv1)
![Page 20: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/20.jpg)
PPTP, L2TP (без IPsec)
• Взламываются методом пассивного прослушивания
• https://www.cloudcracker.com/ – $200 – 24 часа
![Page 21: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/21.jpg)
L2TP/IPsec
• Поддержка в клиентских ОС – Windows – встроенный клиент – Mac OS X – встроенный клиент – Android – встроенный клиент – iOS – встроенный клиент
• L2TP/IPsec PSK использует Shared Secret • L2TP/IPsec RSA как правило подразумевает IKEv2 (не поддерживается в RouterOS)
![Page 22: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/22.jpg)
L2TP/IPsecПротокол RouterOS Клиент
Password-base Client Authentication
Certificate-base Client Authentication
RADIUS
Tunnel All
Split-Tunnel
Split-Tunnel (Proxy ARP)
Сервер сообщает адреса DNS/WINS
Сервер сообщает список Split-Tunnel сетей
TCP
UDP
ESP
![Page 23: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/23.jpg)
SSTP
• Поддержка в клиентских ОС –Windows – встроенный клиент – Mac OS X – не поддерживается – Android – не поддерживается – iOS – не поддерживается
• Certificate-based Server Authentication
![Page 24: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/24.jpg)
SSTPПротокол RouterOS Клиент
Password-base Client Authentication
Certificate-base Client Authentication
RADIUS
Tunnel All
Split-Tunnel
Split-Tunnel (Proxy ARP)
Сервер сообщает адреса DNS/WINS
Сервер сообщает список Split-Tunnel сетей
TCP
UDP
![Page 25: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/25.jpg)
OpenVPN
• Клиентское ПО –Windows – доступно бесплатно – Mac OS X – доступно бесплатно – Android – доступно в Play Маркет бесплатно – iOS – доступно в App Store бесплатно
• Certificate-based Server Authentication
![Page 26: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/26.jpg)
OpenVPNПротокол RouterOS Клиент
Password-base Client Authentication
Certificate-base Client Authentication
RADIUS
Tunnel All
Split-Tunnel
Split-Tunnel (Proxy ARP)
Сервер сообщает адреса DNS/WINS
Сервер сообщает список Split-Tunnel сетей
TCP
UDP
![Page 27: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/27.jpg)
IPsec
• Количество возможных вариантов конфигурации невероятно велико
• Далее рассмотрим такие варианты: – IPsec PSK – IPsec PSK + XAuth – IPsec RSA – IPsec RSA + XAuth – IPsec RSA Hybrid
![Page 28: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/28.jpg)
IPsec
• Клиентское ПО –Windows – доступно бесплатно
(Shrew Soft VPN Client)
– Mac OS X – встроенный клиент Также существует неофициальная сборка Shrew Soft VPN Client
– Android – встроенный клиент – iOS – встроенный клиент
![Page 29: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/29.jpg)
IPsecПротокол RouterOS Клиент
RADIUS
Tunnel All
Split-Tunnel
Split-Tunnel (Proxy ARP)
Сервер сообщает адреса DNS/WINS
Сервер сообщает список Split-Tunnel сетей
TCP
UDP
ESP
* Нет полноценной поддержки NAT-T
*
![Page 30: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/30.jpg)
IPsec
• IPsec RSA + XAuth – Не поддерживается RouterOS
• IPsec PSK – Не поддерживает аутентификацию клиента – PSK == Pre-Shared Secret
![Page 31: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/31.jpg)
IPsec PSK + XAuth
• Поддержка клиентским ПО – Shrew Soft VPN Client – Mac OS X IPsec Client – Android IPsec Client – iOS IPsec Client
• PSK == Pre-Shared Secret
![Page 32: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/32.jpg)
IPsec RSA
• Поддержка клиентским ПО – Shrew Soft VPN Client – Mac OS X IPsec Client – Android IPsec Client – iOS IPsec Client
• Certificate-base Client Authentication – Требуется создание PKI
![Page 33: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/33.jpg)
IPsec RSA Hybrid
• Поддержка клиентским ПО – Shrew Soft VPN Client – Mac OS X IPsec Client – Android IPsec Client – iOS IPsec Client
• Certificate-base Server Authentication
• Password-based Client Authentication
![Page 34: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/34.jpg)
Примеры из личного опыта
![Page 35: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/35.jpg)
Пожелания к Mikrotik
• Хотелось бы увидеть в будущих версиях RouterOS:
– Полноценную поддержка IPsec NAT-T – Поддержку RADIUS в IPsec – Поддержку UDP-транспорта в OpenVPN – …
![Page 36: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/36.jpg)
Вопросы и комментарии
![Page 37: Road-warrior VPN final - MikroTikmum.mikrotik.com/presentations/UA15/presentation_3044...IPsec RSA Hybrid • Поддержка клиентским ПО – Shrew Soft VPN Client](https://reader034.fdocuments.in/reader034/viewer/2022052612/5f0af8bb7e708231d42e3ce2/html5/thumbnails/37.jpg)
Благодарю за внимание!