VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
Prof. Dr. Andreas Steffen
Institute for Internet Technologies and Applications
HSR Hochschule für Technik Rapperswil
18.10.2011, dfn_berlin_2011.pptx 2
Wo um Himmels Willen liegt Rapperswil?
Berlin
18.10.2011, dfn_berlin_2011.pptx 3
HSR - Hochschule für Technik Rapperswil
• Fachhochschule mit ca. 1500 Studierenden
• Abteilung für Informatik (400 Studierende)
• Bachelorstudium (3 Jahre), Masterstudium (+1.5 Jahre)
VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
strongSwan die VPN Open Source Lösung
18.10.2011, dfn_berlin_2011.pptx 5
10.3.0.2
strongSwan Einsatzszenarien
Internet
Hauptsitz Aussen- stelle
Remote Access
VPN Tunnel
VPN Tunnel
VPN Gateway 11.22.33.44
VPN Gateway 55.66.77.88
VPN Client
10.1.0.0/16 10.2.0.0/16
10.1.0.5 10.2.0.3
55.66.x.x
• strongSwan ist ein Internet Key Exchange Dämon, der für den automatischen Verbindungsaufbau von IPsec-basierten VPN Verbindungen zuständig ist.
18.10.2011, dfn_berlin_2011.pptx 6
Der FreeS/WAN Stammbaum
Super FreeS/WAN
2003
X.509 2.x Patch
FreeS/WAN 2.x
1999 FreeS/WAN 1.x
X.509 1.x Patch 2000
Openswan 1.x
2004
2004
strongSwan 2.x Openswan 2.x
2005
ITA IKEv2 Projekt
2006
strongSwan 4.x
2007 IKEv1 & IKEv2
IKEv1 & minimales IKEv2
IKEv2 RFC 4306
Neue Architektur, gleiche Konfig.
18.10.2011, dfn_berlin_2011.pptx 7
IKEv2 Interoperability Workshops
• strongSwan funktionierte einwandfrei mit IKEv2 Produkten von Alcatel-Lucent, Certicom, CheckPoint, Cisco, Furukawa, IBM, Ixia, Juniper, Microsoft, Nokia, SafeNet, Secure Computing, SonicWall, und dem IPv6 TAHI Projekt.
Frühling 2007 in Orlando, Florida Frühling 2008 in San Antonio, Texas
18.10.2011, dfn_berlin_2011.pptx 8
strongSwan Schlüsselkunden
• Alcatel-Lucent, Clavister, Ericsson, Nokia Siemens Networks, Ubiquisys
• Femtocells/Security Gateways für GSM/UMTS/LTE Mobilfunknetze
• Astaro, Karlsruhe
• Astaro Security Gateway
• Secunet, Dresden
• SINA Box für Hochsicherheitsanwendungen (BSI, Auswärtiges Amt)
• U.S. Regierung (NSA)
• Open Source IKEv2/IPsec Referenz- und Test-System für Suite B Elliptische-Kurven-Kryptografie
18.10.2011, dfn_berlin_2011.pptx 9
Unterstützte Plattformen
• Betriebsysteme • Linux 2.6 / 3.x
• Android 2.x
• FreeBSD 7.x / 8.x
• Mac OS X 10.5 … 10.7
• Hardware Plattformen (32/64 bit) • Intel, Via, AMD
• ARM, MIPS (z.B. Freescale, Marvell, 16-Core Cavium Octeon)
• PowerPC
• Netzwerk Stacks • IPv4
• IPv6 (SuSE Linux Enterprise mit strongSwan zertifiziert 2008 durch DoD)
• Portabler Quellcode • 100% in C geschrieben, aber mit einem object-orientierten,
modularen Ansatz
• IKE Durchsatz skalierbar durch Verwendung von Multi-Threading
18.10.2011, dfn_berlin_2011.pptx 10
Wie steht es mit Windows?
18.10.2011, dfn_berlin_2011.pptx 11
Windows 7 VPN mit Maschinenzertifikaten
• Microsoft testete die IKEv2 Interoperabilität unter Verwendung von strongSwan bis zum endgültigen Windows 7 Release.
18.10.2011, dfn_berlin_2011.pptx 12
Windows 7 VPN mit EAP Authentisierung
• Verwendung von IKEv2 EAP-MSCHAPv2 oder IKEv2 EAP-TLS mit Chipkarten
18.10.2011, dfn_berlin_2011.pptx 13
strongSwan Applet für den Linux Desktop
• D-Bus basierte Kommunikation zwischen NetworkManager und strongSwan IKEv2 Dämon.
18.10.2011, dfn_berlin_2011.pptx 14
strongSwan in heterogener VPN Umgebung
Corporate
Network
strongSwan Linux Client
Windows 7 Agile VPN Client
Linux FreeRadius Server
Windows Active Directory Server
Internet
High-Availability strongSwan
VPN Gateway
strongswan.hsr.ch vpn-mopo.vpn.uni-freiburg.de strongswan.hsr.ch
18.10.2011, dfn_berlin_2011.pptx 15
strongSwan IKEv2 Authentisierungsmethoden
• Basierend auf Public Keys
• X.509 Zertifikate mit RSA or ECDSA Schlüssel
• PKCS#11 Chipkarten-Schnittstelle
• CRLs von HTTP/LDAP Server und/oder Einsatz von OCSP
• Basierend auf Pre-Shared Keys (PSK)
• Beliebige PSK Länge, Vorsicht bei schwachen Passwörtern!
• Based auf dem Extended Authentication Protokoll (EAP)
• EAP-MD5, EAP-MSCHAPv2, EAP-GTC
• EAP-SIM, EAP-AKA (GSM/UMTS/CDMA2000)
• EAP-TLS, EAP-TTLS, EAP-PEAPv0, EAP-TNC (Trusted Network Connect)
• Schnittstelle zu AAA Server
• EAP-RADIUS
• EAP und TNC Methoden als Plugins implementiert
• Der strongSwan IKEv2 Dämon lädt die Plugins dynamisch beim Starten
VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
strongSwan unter Android
18.10.2011, dfn_berlin_2011.pptx 17
Android VPN Konfiguration
18.10.2011, dfn_berlin_2011.pptx 18
Android VPN Verbindungsaufbau
18.10.2011, dfn_berlin_2011.pptx 19
Android VPN Status
• Android IPsec Erweiterung
• Damit strongSwan unter Android läuft, muss der Android Kernel um einige IPsec Kernel Module ergänzt werden.
• Dies bedingt das „Rooten“ des Android Geräts.
• Android strongSwan Build
• Der strongSwan IKEv2 Dämon und die zugehörigen Libraries müssen mit dem Android Emulator gebaut und anschliessend auf das Gerät raufgeladen werden.
18.10.2011, dfn_berlin_2011.pptx 20
strongSwan Roadmap
• Portierung auf neue Android Versionen
• Android 3.x für Tablet PCs (Samsung Galaxy Tab 10.1)
• Android 4.0 für Tablet PCs und Smartphones (Google Nexus Prime)
• strongSwan VPN App für Mac OS X
• Einfaches GUI für die Konfiguration und Starten des strongSwan IKEv2 Dämons (MacBook Air)
• Apple iPhone and iPad
• Leider sind diese Plattformen völlig geschlossen, so dass die Benutzer mit dem unsäglichen IKEv1 Cisco VPN Client vorlieb nehmen müssen.
• TCG Trusted Network Connect (TNC)
• IF-MAP 2.0 Interface für die Überwachung von strongSwan Gateways.
• TCG Platform Trust Service (PTS)
• Überprüfung von Trusted Boot Vorgängen und Messen von Dateien und Anwendungen via TNC (Masterthesis an der HSR)
18.10.2011, dfn_berlin_2011.pptx 21
Danke für Ihre Aufmerksamkeit!
Fragen?
www.strongswan.org
Top Related