1

Korporacyjne Sieci Bez GranicCorporate Borderless Networks

dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

KSBG (v2015)

Corporate Borderless Networks

Borderless Campus 1.0 Design Guide:

„Enterprises are making a fundamental shift, with employees no longer confined to physical offices, geographical locations, and time zones. In today’s globalized workplace, work can occur anywhere in the world and enterprise information needs to be virtually accessible, on-demand, through every part of the network. These requirements drive the need to build next-generation networks that are:

secure

reliable

highly available”

KSBG (v2015) 2

VPN

VPN (ang. Virtual Private Network) to wirtualna sieć, zestawiana z wykorzystaniem sieci współdzielonej.

Ważnym zadaniem VPN (ale nie koniecznym!)

jest zapewnienie bezpieczeństwa danym przez nie przesyłanym poprzez:

mechanizmy szyfrowania,

uwierzytelniania,

weryfikacji integralności danych.

KSBG (v2015) 3

VPN klienta, VPN usługodawcy

VPN zestawiane przez usługodawcę –za ich konfigurację oraz utrzymanie jest odpowiedzialny usługodawca.

VPN zestawiane przez klienta –za ich konfigurację oraz utrzymanie odpowiedzialny jest klient.

KSBG (v2015) 4

Historia VPN

Pierwsze sieci VPN to były zwykłe tunele, bez uwierzytelniania i szyfrowania.

Przykład: Generic Routing Encapsulation (GRE) jest protokołem do tunelowania opracowanym przez Cisco mogącym enkapsulować szeroki zakres protokołów w tunelu IP.

Tunel tworzy wirtualny link typu point-to-point pomiędzy urządzeniami poprzez sieć publiczną (IP).

Inne przykłady technologii pseudo VPN (linki point-to-point bez uwierzytelniania i szyfrowania): Frame Relay, ATM PVC,Multiprotocol Label Switching (MPLS).

KSBG (v2015) 5

Zalety VPN

Poufność – bo szyfrowanie, najczęściej to jest kojarzone z sieciami VPN.

Obniżanie kosztów – poprzez używanie taniego i popularnego Internetu do łączenia zdalnych biur i użytkowników.

Bezpieczeństwo – wysoki poziom bezpieczeństwa dzięki najlepszym metodom uwierzytelniania oraz szyfrowania.

Skalowalność – dzięki wykorzystaniu Internetu łatwo dołączać kolejnych użytkowników (nowe lokalizacje) bez konieczności wymiany urządzeń i łączy.

Kompatybilność z technologiami szerokopasmowymi – to co przesyła IP poradzi sobie także z VPN... A to ważne bo tylko wydajne łącza zapewnią komfortową pracę.

KSBG (v2015) 6

KSBG (v2015) 7

Architektury VPN

KSBG (v2015) 8

Architektury VPN: Site-to-Site

KSBG (v2015) 9

VPN – protokoły

VPN

Przykłady VPN L3: Generic Routing Encapsulation (GRE) opracowany

przez Cisco następnie zestandaryzowany (RFC 1701, RFC 1702).

MPLS zestandaryzowany przez IETF. MPLS VPN usługa świadczona przez ISP – użycie etykiet do enkapsulacji oryginalnych danych.

IPsec zestaw protokołów opracowany pod nadzorem IETF aby zapewnić bezpieczną wymianę danych poprzez sieci IP. IPsec pozwala na: uwierzytelnianie, integralność, kontrolę dostępu, poufność.

KSBG (v2015) 10

KSBG (v2015) 11

Architektury VPN: Remote Access

KSBG (v2015) 12

Architektury VPN: Remote Access

VPN RA

VPN IPsec RA – wymaga dodatkowego soft’u na stacji klienta.

SSL VPN – tylko Web browser: dostęp do stron i usług (pliki, e-mail, aplikacje bazujące na TCP):

brak dodatkowego soft,

dowolna stacja przyłączona do Internetu.

SSL VPN trzy tryby dostępu: clientless, thin, full

(thin i full RA musi pobrać applet Java lub ActiveX, który zajmie się przekazywaniem danych (np. TCP) do sieci docelowej).

SSL VPN jest dobry dla użytkowników, którzy korzystają z pojedynczej aplikacji albo serwera.

SSL VPN full i IPsec VPN pozwala na bezpieczny dostęp do wszystkich zasobów i aplikacji klient-serwer: „IPSec connects hosts to entire private networks, while SSL VPNs connect users to services and applications inside those networks”.

KSBG (v2015) 13

VPN RA

KSBG (v2015) 14

VPN RA

SSL VPN trzy tryby dostępu: Clientless

Thin client (nazywany także TCP port forwarding. Java applet występuje jako TCP proxy na maszynie klienta dla usług skonfigurowanych na bramie SSL VPN).

Full client (pełny dostęp do zasobów sieci korporacyjnej poprzez tunel SSL VPN. Java applet jest pobierany przez przeglądarkę aby utworzyć i zarządzać tunelem pomiędzy hostem klienta a bramą SSL VPN. Użytkownik może używać dowolnej sieciowej aplikacji w sieci korporacyjnej).

Cisco IOS router pozwala na trzy tryby: clientless,

thin client,

full client.

ASA obsługuje dwa tryby: clientless (zwiera clientless i thin client port forwarding),

AnyConnect client (realizuje full tunnel).

KSBG (v2015) 15

KSBG (v2015) 16

VPN – protokoły

KSBG (v2015) 17

Protokoły tunelowania

KSBG (v2015) 18

Wybór technologii VPN

KSBG (v2015) 19

Tunel jako połączenie punkt-punkt

GRE

Generic Routing Encapsulation (GRE) jest protokołem do tunelowania zdefiniowanym w RFC 1702 i RFC 2784. Opracowany przez Cisco do tworzenia wirtualnych linków point-to-point pomiędzy routerami Cisco a zdalnymi punktami (poprzez sieci IP).

Zaletą GRE jest fakt, iż może zostać użyty do tunelowania ruchu nie-IP poprzez sieć IP.

IPsec wspiera wyłącznie ruch unicast, GRE wspiera także ruch multicast i broadcast.

GRE nie zapewnia możliwości szyfrowania. Jeśli jest ono potrzebne należy użyć IPsec.

KSBG (v2015) 20

GRE

KSBG (v2015) 21

Enkapsulacja za pomocą GRE

KSBG (v2015) 22

GRE - konfiguracja

KSBG (v2015) 23

KSBG (v2015) 24

IPSec

Urządzenia

Routery i przełączniki

Zapory sieciowe

Koncentratory VPN

Routery SOHO

Inne dedykowane urządzenia

KSBG (v2015) 25

ASA 5500-X

KSBG (v2015) 26

Firewall – SRX

Small Office/Branch Office Data Center

KSBG (v2015) 27

Firewall – Data Center SRX

KSBG (v2015) 28

3U, 4+3 CFM, 8+4 GE, 1+1 PS,

30/8/8G, 2.5M sess, 150kcps

5U, 6+6 CFM, 8+4 GE,

2+2 PS, 55/15/15G, 6M sess,

150kcps

8U, 6 slot, 1+1 SCB,

2+2 PS, 100/50/75G,

60M sess, 300kcps

16U, 12 slot, 2+1 SCB,

2+2 AC, 3+1 DC, 200/110/150G,

100M sess, 450kcps

3U, 3 CFM, 12GE or 3XGE+9GE , 1+1

PS, 10/3/4G, 1.5M sess, 70kcps

SRX3600

SRX5600

SRX3400

SRX1400

SRX Security Gateways

Scalable PerformanceRich Standard Services

• Firewall

• VPN

• IPS

• Routing

• QoS

• AppSecure

• More to come…

•Extensible Security Services

Integrated Networking Services

Branch SRX

SRX54005U, 3 open slots, 2+2 PS,

60/25/40G, 28M sess, 460kcps

SRX5800

Firewall – BRANCH SRX

KSBG (v2015) 29

KSBG (v2015) 30

FEATURES SRX100 (110)

SRX210E SRX220 SRX240 SRX550 SRX650

On-board Ethernet 8 x FE2 x GE + 6 x

FE8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE

Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 2 GB / 2 GB 2 GB* / 2 GB 2 GB / 2 GB

Power over Ethernet (802.3af, 802.3at)

None 4 ports,

50 W total8 ports GE,

120 W16 ports GE,

150 W40 Port GE, 250

W or 500 W48 ports GE,

250 W or 500 W

WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4

x GPIM8 x GPIM

USB ports (flash) 1 (2) 2 2 2 2 2 per processor

JUNOS Software version support

JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*

Routing YES YES YES YES YES YES

Content Security Acceleration (IPS, ExpressAV)

No YES YES YES YES YES

Firewall performance (Large Packets)

700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps

Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps

Firewall performance (Firewall + Routing PPS 64byte)

70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps

IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps

Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps

Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K

Maximum Concurrent Sessions (512MB/1GB RAM)

16 K / 32K 32K / 64K 96K 128K / 256K 375K 512 K

Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps

High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P

A/A or A/P,Hot swap GPIMs,

Dual power

A/A or A/P,Hot swap GPIMs,

Dual power

Software

Dedykowany software (klient) do IPsecVPN RA.

KSBG (v2015) 31

Wydajność

Moduły zwiększające wydajność (problem wydajności szyfrowania).

KSBG (v2015) 32

IPSEC

IPsec jest zbiorem standardów IETF (RFC 2401-2412) określających jak VPN może być tworzony poprzez sieci IP.

IPsec nie jest związany z konkretnymi metodami szyfrowania, uwierzytelniania, przesyłania klucza.

IPsec framework zwiera otwarte standardy określające zasady bezpiecznej komunikacji.

IPsec działa na poziomie warstwy L3 (Network Layer), chroniąc i uwierzytelniając pakiety IP pomiędzy węzłami IPsec.

IPsec może chronić cały ruch warstw wyższych (L4-L7).

KSBG (v2015) 33

IPSEC framework

KSBG (v2015) 34

IPSEC framework

IPsec framework – funkcje bezpieczeństwa:

Poufność (Confidentiality),

Integralność (Integrity),

Uwierzytelnianie (Authentication),

Wymiana klucza (Secure key exchange).

KSBG (v2015) 35

Hashed Message Authentication Codes (HMAC)

Hashed Message Authentication Codes (HMAC) – weryfikacja integralności danych:

KSBG (v2015) 36

Secure Key Exchange

DH Group 1: 768-bit group: czas generacji klucza x

DH Group 2: 1024-bit group: czas generacji klucza 2x

DH Group 5: 1536-bit group: czas generacji klucza 6x

ECC (Elliptical Curve Cryptography - Kryptografia Krzywych Eliptycznych): redukcja czasu generacji klucza.

ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Ocenia się, że bezpieczeństwo klucza RSA o długości 1024 bitów jest równoważne bezpieczeństwu klucza ECC o długości 160 bitów.

KSBG (v2015) 37

Secure Key Exchange -bezpieczeństwo

Diffie-Hellman group 1 - 768 bit modulus – AVOID

Diffie-Hellman group 2 - 1024 bit modulus – AVOID

Diffie-Hellman group 5 - 1536 bit modulus – AVOID

Diffie-Hellman group 14 - 2048 bit modulus – MINIMUM ACCEPTABLE

Diffie-Hellman group 19 - 256 bit elliptic curve – ACCEPTABLE

Diffie-Hellman group 20 - 384 bit elliptic curve – Next Generation Encryption

Diffie-Hellman group 21 - 521 bit elliptic curve – Next Generation Encryption

Diffie-Hellman group 24 - modular exponentiation group with a 2048-bit modulusand 256-bit prime order subgroup – Next Generation Encryption

KSBG (v2015) 38

Algorytm Diffie-Hellman'a

Alicja i Bob wyznaczają dwie liczby: p będącą liczbą pierwsza oraz g (zwany generatorem) mniejsze od p (z następującymi właściwościami: dla każdego n pomiędzy 1 i p-1 włącznie, istnieje potęga takiego k od g że n = gk mod p).

Protokół ten zakłada że jest niewykonalne obliczenie K, jedynie na podstawie wartości publicznych Alicji i Boba jeżeli p jest dostatecznie duże.

KSBG (v2015) 39

http://www.algorytm.org/inne/algorytm-diffie-hellmana.html

IPSEC framework

IPsec framework otwartych standardów.

Bazuje na istniejących rozwiązaniach.

Dwa główne protokoły w IPsec framework to:AH i ESP:

Authentication Header (AH) – (IP protocol 51)

Encapsulating Security Payload (ESP) – (IP protocol 50)

Protokoły IP:

http://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

KSBG (v2015) 40

KSBG (v2015) 41

IPSec

KSBG (v2015) 42

IPSec

KSBG (v2015) 43

Tunel vs Transport

AH

Problemy AH w środowiskach z NAT.

KSBG (v2015) 44

KSBG (v2015) 45

AH

KSBG (v2015) 46

AH

AH

Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem AH np.: ESP, TCP, UDP (zależnie od aplikacji).

Payload Length: Określa długość AH w 32-bitowych słowach (4-bajtowe jednostki), minus 2.

RESERVED: Zarezerwowane na przyszłe potrzeby, obecnie wartość 0.

Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu.

Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów.

Authentication Data: HMAC + padding. Wg RFC 2402 AH wspiera minimum: HMAC-MD5-96 i HMAC-SHA1-96.

KSBG (v2015) 47

ESP

Detekcja duplikatów pakietów (anti-replay) wspierana przez AH i ESP.

KSBG (v2015) 48

KSBG (v2015) 49

ESP

KSBG (v2015) 50

ESP

ESP

Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu.

Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów.

Protected Data: Różna długość, dane potrzebne do ochrony transmisji np. initialization vector w algorytmach szyfrowania.

Padding: Blokowe algorytmy szyfrujące wymagają aby tekst jawny miał określoną długość.

Pad Length: Długość paddingu.

Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem ESP.

Authentication Data: HMAC + padding.

KSBG (v2015) 51

KSBG (v2015) 52

SA - Security Association

IPsec VPN negocjuje parametry wymiany klucza, ustanawia shared key, uwierzytelnia węzły, negocjuje parametry szyfrowania. Ustalone parametry pomiędzy węzłami są znane jako SA (Security Association).

IKE

IKE używa UDP i portu 500 do wymiany informacji o metodach kryptograficznych pomiędzy węzłami.

IKE jest zdefiniowane w RFC 2409. Jest protokołem hybrydowym łączącym metody wymiany klucza: Internet Security Association and Key Management Protocol (ISAKMP)

Oakley and Skeme.

ISAKMP określa format wiadomości, protokóły wymiany klucza, proces negocjacji prowadzący do utworzenia/wybrania SA dla IPsec.

ISAKMP musi wynegocjować identyczne parametry w obu węzłach.

KSBG (v2015) 53

IKE

KSBG (v2015) 54

IKE faza 1

Zadania (wymiany) IKE faza 1: First Exchange: Węzły negocjują a następnie akceptują

używane do zabezpieczenia komunikacji IKE. Zamiast negocjować każdy protokół osobno, protokoły są grupowane w zbiory nazywane IKE policy sets. IKE policy sets są wymieniane pomiędzy węzłami w pierwszej kolejności.

Second Exchange: Wymiana kluczy za pomocą DH i ustanowienie shared secret key poprzez niebezpieczny kanał komunikacyjny.

Third Exchange: Każdy węzeł musi uwierzytelnić pozostałe węzły zanim transmisja może zostać uznana za bezpieczną. Metody: PSK, RSA signature, RSA encrypted nonce.

KSBG (v2015) 55

IKE faza 2

IKE faza 2 realizuje poniższe funkcje:

Negocjuje parametry bezpieczeństwa dla samego IPsec znane jako IPsec transform sets.

Ustanawia SA dla IPsec.

Cyklicznie renegocjuje SA dla IPsec aby zwiększyć ochronę.

KSBG (v2015) 56

KSBG (v2015) 57

Proces negocjacji dla IPSec

58

KONIEC

KSBG

KSBG (v2015)