Практические советы
по выбору и настройке
Cisco VPN
                                         ведущий:
                                 Сергей Кучеренко
16 апреля 2013
                        serg.kucherenko@getccna.ru
О	
  чем	
  Мы	
  поговорим:	
  

§  Классификация	
  и	
  принципы	
  построения	
  виртуальных	
  частных	
  сетей	
  

§  Введение	
  в	
  криптографию	
  	
  

§  Логика	
  работы	
  Cisco	
  IOS/ASA	
  OS	
  c	
  Различными	
  VPN	
  технологиями	
  

§  Принципы	
  выбора	
  VPN	
  технологии	
  под	
  специфическую	
  задачу	
  

§  Организация	
  защищенного	
  удаленного	
  доступа	
  при	
  помощи	
  Easy	
  VPN	
  и	
  SSL	
  VPN	
  

§  Построение	
  защищенных	
  распределённых	
  корпоративных	
  сетей	
  при	
  помощи	
  	
  DMVPN	
  

§  Новые	
  подходы	
  и	
  принципы	
  работы	
  FlexVPN	
  

§  Возможности	
  реализации	
  сертифицированного	
  VPN	
  	
  решения	
  на	
  базе	
  модуля	
  NME-­‐RVPN	
  

§  Демонстрация	
  настройки	
  отказоустойчивой	
  DMVP	
  топологии	
  
VPN	
  и	
  их	
  классификация:	
  
VPN	
  (Virtual	
  Private	
  Network)	
  –	
  общее	
  название	
  для	
  группы	
  технологий	
  основной	
  
задачей	
  которых	
  является	
  организация	
  распределенной	
  корпоративной	
  сети	
  через	
  
общую	
  среду	
  передачи	
  данных	
  (ex:	
  Internet),	
  либо	
  же	
  организация	
  защищенного	
  
удаленного	
  доступа	
  



    По	
  степени	
  доверия	
                                             По	
  назначению	
  
                                                    VPN	
  



                     Trusted	
                                               Intranet	
  
                       VPN	
                                                   VPN	
  
                                                                             Extranet	
  
                 Secured	
  VPN	
                                              VPN	
  
                                                                         Remote	
  Access	
  
                                                                             VPN	
  
По	
  степени	
  доверия:	
  

Trusted	
  VPN	
  (Доверенный	
  VPN)	
  –	
  построение	
  VPN	
  без	
  использование	
  технологий	
  защиты	
  
передаваемого	
  трафика	
  (ex:	
  шифрование),	
  Обычно	
  используется	
  при	
  использованием	
  
провайдером	
  технология	
  предполагающих	
  изоляцию	
  заказчиков	
  друг	
  от	
  друга:	
  
	
  
§  MPLS	
  VPN	
  –	
  L3	
  VPN	
  технология	
  применяемая	
  операторами	
  связи,	
  сеть	
  оператора	
  для	
  
     потребителя	
  услуги	
  выглядит	
  как	
  один	
  большой	
  маршрутизатор,	
  при	
  этом	
  потребители	
  
     изолированы	
  друг	
  от	
  друга.	
  




	
  
§  VPLS	
  –	
  L2	
  VPN	
  технология	
  применяемая	
  операторами	
  связи,	
  сеть	
  оператора	
  для	
  потребителя	
  
                        услуги	
  выглядит	
  как	
  один	
  большой	
  коммутатор,	
  	
  
	
  	
  	
  	
  	
  	
  при	
  этом	
  потребители	
  изолированы	
  друг	
  от	
  друга	
  


	
  	
  

	
  
	
  
Secured	
  VPN	
  (Защищенный	
  	
  VPN)	
  –	
  VPN	
  технологии	
  которые	
  предполагает	
  защиту	
  
    передаваемого	
  трафика	
  с	
  помощью	
  различных	
  криптографических	
  методов	
  	
  	
  
                           Bank	
  ABC	
  Moscow	
  Office	
                                                                   Bank	
  ABC	
  Kiev	
  Office	
  
         192.168.101.0/24	
                    195.5.101.1/24	
                                                  195.5.110.1/24	
                      192.168.110.0/24	
  

                                                                                       Internet	
  

                                                                        Ты	
  ли	
  Router	
  в	
  Киевском	
  офисе	
  
                                                  1         Да	
  я,	
  знаю	
  пароль:cisco/У	
  меня	
  есть	
  сертификат	
  

            Host	
  A	
                    DAT         2       !                                                                                                 Host	
  B	
  
                                                                                                                                               Обратные	
  
DAT         SRC_IP:	
       DST_IP:	
       A	
               @2a	
                                                                         преобразования	
  
 A	
           A	
            B	
         3                                                   4
                                          Контро           Контро           !      SRC_IP:	
       DST_IP:	
         SRC_IP:	
         DST_IP:	
  
                                                                                                                                                       DAT       SRC_IP:	
       DST_IP:	
  
                                           льная	
          льная	
  
                                          сумма	
          сумма	
         @2a	
     A	
             B	
           195.5.101.1	
     195.5.101.1	
      A	
        A	
             B	
  

    При	
  таком	
  подходе	
  может	
  происходить	
  (используется	
  один	
  или	
  несколько	
  способов	
  защиты):	
  
    1.  Аутентификация	
  –	
  конечные	
  устройства	
  проверяют	
  принадлежность	
  друг	
  друга	
  к	
  данной	
  VPN	
  
        сети	
  
    2.  Шифрование	
  –	
  передаваемые	
  данные	
  скрываться,	
  только	
  участники	
  VPN	
  сети	
  способны	
  их	
  
        прочитать	
  
    3.  Проверка	
  целостности	
  –	
  проверяется	
  что	
  пакеты	
  были	
  доставлены	
  в	
  неизменённом	
  виде	
  
    4.  Инкапсуляция	
  (Туннелированные)	
  –	
  	
  IP	
  адресация	
  исходных	
  пакетов	
  скрываются	
  за	
  
        адресами	
  конечных	
  точек	
  туннеля	
  	
  
По	
  назначению:	
  
§  Intranet	
  VPN	
  –	
  Организация	
  VPN	
  сети	
  между	
  территориально	
  распределенными	
  
                        подразделениями	
  одной	
  организации.	
  Существует	
  большое	
  
                        количество	
  вариантов	
  организации	
  такого	
  типа	
  VPN	
  сети.	
  
	
  
	
  
	
  
§  Extranet	
  VPN	
  -­‐	
  Организация	
  VPN	
  сети	
  между	
  различными	
  организациями	
  	
  
	
  	
  	
  	
  	
  	
  (Ex:	
  подключение	
  банка	
  к	
  процессинговому	
  центру).При	
  	
  
	
  	
  	
  	
  	
  	
  организации	
  такого	
  типа	
  VPN	
  подключения	
  как	
  правило	
  	
  
	
  	
  	
  	
  	
  	
  используются	
  дополнительные	
  устройства	
  защиты:	
  Firewall/IPS.	
  	
  	
  	
  	
  	
  	
  
	
  
	
  
§  Remote	
  Access	
  VPN	
  –	
  использование	
  VPN	
  технологий	
  для	
  организации	
  защищенного	
  
                        доступа	
  мобильных	
  сотрудников	
  к	
  ресурсам	
  предприятия.	
  
	
  	
  	
  	
  	
  	
  Разделяется	
  на	
  два	
  подвида:	
  
	
  	
  	
  	
  	
  	
  Client	
  VPN	
  -­‐	
  	
  на	
  устройство	
  сотрудника	
  ставится	
  специально	
  
	
  	
  	
  	
  	
  	
  ПО	
  (VPN	
  client),	
  на	
  устройстве	
  создается	
  виртуальный	
  	
  
	
  	
  	
  	
  	
  	
  сетевой	
  адаптер	
  которому	
  присваивается	
  внутренний	
  IP	
  
	
  	
  	
  	
  	
  	
  Кроме	
  того	
  функционал	
  VPN	
  клиента	
  присутствует	
  в	
  Cisco	
  IOS	
  и	
  	
  
	
  	
  	
  	
  	
  	
  ASA.	
  
	
  	
  	
  	
  	
  	
  Clientless	
  –	
  клиент	
  не	
  требуется,	
  доступ	
  к	
  ресурсам	
  	
  
	
  	
  	
  	
  	
  	
  предприятия	
  	
  через	
  браузер	
  
Cisco	
  VPN	
  
По	
  назначению	
  VPN	
  технологии	
  Cisco	
  можно	
  разделить	
  следующим	
  образом:	
  	
  	
  	
  
     Remote	
  Access	
                                                     Intranet	
  
         VPN	
                                                                VPN	
  
                                                                              Extranet	
          Site-­‐to-­‐Site	
  
                                                                                 VPN	
  


                        Easy	
  VPN	
                                                       Crypto	
  Map	
  


                                                                                                (D)VTI	
  
                      Dynamic	
  VTI	
  
                                                                                              Flex	
  VPN	
  
                                                                                              DMVPN	
  
                   Anyconnect	
  (SSL)	
  

                                                                                              GET	
  VPN	
  
                    Clientless	
  (SSL)	
  


                                                         MacSec	
  
Основы	
  криптографии:	
  
Шифрование	
  (encrypqon)	
  –	
  обратимое	
  преобразование	
  информации,	
  при	
  котором	
  
ее	
  исходное	
  состояние	
  могут	
  восстановить	
  только	
  авторизированные	
  пользователи.	
  
	
  
Компоненты	
  шифрования:	
  
	
  
§  Алгоритм	
  –	
  стандарт	
  преобразования	
  информации,	
  принцип	
  работы	
  которого	
  
      как	
  правило	
  обще	
  известен.	
  Алгоритмы	
  разделяться	
  на:	
  
        a)  Симметричные	
  (Symmetric)	
  
        b)  Асимметричные	
  (Asymmetric)	
  
        	
  
§  Ключ	
  (Key)–	
  уникальный	
  параметр	
  известный	
  только	
  авторизированный	
  
      участника	
  позволяющий	
  используя	
  всем	
  известный	
  алгоритм	
  уникально	
  скрывать	
  
      информацию.	
  
a)  Симметричное	
  шифрование:	
  
                                     195.5.101.1/24	
                     195.5.110.1/24	
  
                                                          Internet	
  

                               Encryp‰on/Decryp‰on	
                     Encryp‰on/Decryp‰on	
  
                                      process	
                                 process	
  
        DAT                                                  !                                                  DAT
         A	
                                                @2a	
                                                A	
  




Симметричные	
  алгоритмы	
  шифрования	
  предполагают	
  наличия	
  общего	
  ключа	
  у	
  обоих	
  участников	
  
процесса,	
  этот	
  ключ	
  используется	
  как	
  для	
  шифрования	
  так	
  и	
  для	
  расшифровки	
  информации.	
  К	
  
таким	
  алгоритмам	
  относятся:	
  
§  DES/3DES	
  
§  AES	
  
§  Локальные	
  алгоритмы	
  
Основной	
  проблемой	
  симметричного	
  шифрования	
  является	
  безопасная	
  доставка	
  общего	
  ключа	
  	
  
	
  	
  
b)	
  Асимметричное	
  шифрование:	
  
                                     Moscow	
                                                                 Kiev	
  
                                                  195.5.101.1/24	
                    195.5.110.1/24	
  
                                                                       Internet	
  
                   Kiev	
  	
                                                                                                Moscow	
  
                 Public	
  Key	
                                                                                            Public	
  Key	
  
                                            Encryp‰on	
                                       Decryp‰on	
  
                                             process	
                                         process	
  
             DAT                                                          !                                                            DAT
              A	
                                                        @2a	
                                                          A	
  


     Moscow	
                                                                                                                                   Kiev	
  
    Private	
  Key	
                                                                                                                        Private	
  Key	
  




                                                                                                                                                  Kiev	
  	
  
  Moscow	
                                                                                                                                      Public	
  Key	
  
 Public	
  Key	
  
Ассиметричное	
  шифрование	
  предполагает	
  создание	
  двух	
  ключей:	
  Приватного	
  и	
  Публичного,	
  при	
  этом	
  ключи	
  
связаны	
  между	
  собой	
  –	
  Все	
  что	
  была	
  зашифровано	
  публичным	
  ключом	
  	
  можно	
  расшифровать	
  	
  приватным	
  и	
  на	
  
оборот.	
  
Алгоритмы	
  ассиметричного	
  шифрования:	
  RSA,	
  Diffie–Hellman	
  ….	
  
Note:	
  ассиметричное	
  шифроване	
  ресурсоемкий	
  процесс.	
  Для	
  шифрования	
  данных	
  не	
  используется,	
  
используется	
  в	
  основном	
  для	
  генерации	
  сессионных	
  ключей	
  для	
  симметричных	
  алгоритмов,	
  а	
  так	
  же	
  для	
  
создания	
  цифровых	
  сертификатов.	
  
Хеширование	
  (hashing)	
  	
  –	
  не	
  обратимое	
  преобразование	
  информации,	
  предполагающее	
  
преобразование	
  сообщения	
  переменной	
  длинны	
  в	
  строку	
  постоянной	
  длинны.	
  
В	
  VPN	
  технологиях	
  используется	
  для	
  проверки	
  целостности	
  сообщения	
  (предотвращение	
  его	
  
изменения	
  в	
  пути=контроль	
  целостности)	
  	
  	
  
                                     195.5.101.1/24	
                       195.5.110.1/24	
  
                                                          Internet	
  



       DAT
        A	
  




                                                                                             ?
                                  DAT                                      DAT
                       HASH	
                                   HASH	
                           HASH	
  
                                   A	
                                      A	
  




Если	
  на	
  принимающей	
  стороне	
  рассчитанное	
  и	
  полученное	
  значение	
  совпадут,	
  значит	
  пакет	
  
не	
  менялся	
  на	
  маршруте	
  следования.	
  
Алгоритмы	
  	
  Хеширования:	
  
§  MD5	
  
§  SHA	
  
§  Локальные	
  стандарта	
  
	
  	
  	
  
Цифровая	
  подпись	
  –	
  построенный	
  на	
  алгоритмах	
  асимметричного	
  шифрования	
  способ	
  
однозначной	
  проверки	
  личности	
  отправителя.	
  	
  	
  	
  	
  	
  
                                R1.moscow.corp.com	
                                                              R2.kiev.corp.com	
  
                                              195.5.101.1/24	
                                       195.5.110.1/24	
  
                                                                                   Internet	
  
         Kiev	
  	
                                                                                                                                          Moscow	
  
       Public	
  Key	
                                                                                                                                      Public	
  Key	
  
                                                 Encryp‰on	
                                                  Decryp‰on	
  
                                                  process	
                                                    process	
  
                                                                                                                                                         R1.moscow.corp
                                                                                                                                                              .com	
  

                                                             Data	
  Already	
                                                                                    Kiev	
  
        Moscow	
                                               Encrypted	
  	
                                                                                Private	
  Key	
  
       Private	
  Key	
                                              !                                                    !
                                                      2!3:	
                                                  2!3:	
  
                                                                 @2a	
                                                   @2a	
  
                                                     Digital	
  
                                                   Signature	
  
Использование	
  Digital	
  Signature	
  предполагает	
  следующие	
  этапы:	
  
1.  С	
  использование	
  Private	
  key	
  зашифровывается	
  идентификатор	
  устройства	
  (ex:	
  его	
  FQDN)	
  
2.  Цифровая	
  подпись	
  добавляется	
  к	
  передаваемым	
  данным	
  
3.  Принимающие	
  устройство	
  	
  используя	
  открытый	
  ключ	
  отправителя	
  расшифровывает	
  Digital	
  Signature	
  и	
  
     может	
  прочитать	
  имя	
  отправителя	
  
	
  
Note:	
  	
  Здесь	
  срабатывает	
  правила	
  взаимосвязи	
  между	
  Private	
  и	
  Public	
  key	
  а	
  так	
  же	
  то	
  что	
  Private	
  key	
  никому	
  не	
  
передается	
  а	
  следовательно	
  только	
  отправитель	
  мог	
  зашифровать	
  свое	
  имя.	
  	
  
Сертификаты	
  	
  –	
  способ	
  аутентификации	
  устройствами/пользователями	
  друг	
  друга	
  	
  
базирующийся	
  на	
  PKI	
  
PKI	
  (Public	
  Key	
  Infrastructure)	
  –	
  инфраструктура	
  публичных	
  ключей.	
  
	
  	
  
Данная	
  технология	
  предполагает	
  возможность	
  получения	
  всеми	
  устройствами	
  	
  
цифровых	
  сертификатов	
  –	
  электронный	
  документ	
  который	
  выдаться	
  центром	
  сертификации	
  
(Cer1ficate	
  Authority(CA)-­‐	
  приложение	
  запущенное	
  на	
  сервере	
  или	
  сетевом	
  устройстве)	
  и	
  
подтверждает	
  подлинность	
  устройства/пользователя.	
  
	
  
Технология	
  в	
  VPN	
  применяется	
  для	
  аутентификации	
  точек	
  сети	
  или	
  удаленных	
  пользователей.	
  
Традиционно	
  для	
  аутентификации	
  использовались	
  pre-­‐shared	
  key	
  (ключ	
  известный	
  обоим	
  
устройствам	
  которые	
  создают	
  туннель),	
  	
  
но	
  данный	
  подход	
  имеет	
  проблемы	
  с	
  масштабированием	
  
	
  
При	
  построении	
  Full-­‐mash	
  VPN	
  сети	
  на	
  каждом	
  устройстве	
  
нужно	
  указать	
  n-­‐1	
  pre-­‐shared	
  ключей.	
  
	
  
	
  
	
  
Сертификаты	
  –	
  как	
  это	
  работает?	
                                                      1.	
  МаршрутизаторNY	
  	
  с	
  включенным	
  
                                                                                                                                                                       функционалом	
  	
  	
  CA	
  генерирует	
  свой	
  сертификат	
  -­‐	
  
                                                                                                                  1                                                    это	
  root	
  сертификат	
  и	
  все	
  желающие	
  получить	
  
                                                                                                                                                  NY	
                 сертификат	
  у	
  этого	
  CA	
  должны	
  доверять	
  его	
  
                                                                                                    IOS_CA_NY.corp.com	
  
                                                                                                                                              Private	
  Key	
         сертификату.	
  
                                                         CRL	
  list	
                                                                                                 Сертификат	
  содержит:	
  
                                                                                                                                                                       §  Имя	
  устройства(LDAP	
  X500	
  format)	
  
                                                                                                                                                                       §  Его	
  Публичный	
  ключ(NY	
  public	
  Key)	
  
                                                                                                                                                                       §  Его	
  цифровую	
  подпись	
  (Digital	
  Signature)	
  
                                                                                                                                                  NY	
                 §  Cerqficate	
  life	
  qme	
  
 Router	
  Moscow	
  выполняет:	
  
                                                                                                                                               Public	
  Key	
         §  CDP	
  URL	
  –	
  ссылка	
  на	
  CRL	
  list*	
  
1.	
  Запрос	
  Root	
  Cerqficate,	
  администратор	
  должен	
  	
  	
  	
  	
                                                                                        Кроме	
  того	
  создаться	
  CRL	
  (Cer‰ficate	
  Revoca‰on	
  
подтвердить	
  что	
  он	
  доверяет	
  этому	
  CA	
                                                                                                                  list)	
  –	
  список	
  отозванных	
  сертификатов	
  
                                                                                                                                IOS_CA_NY.corp.co
2.	
  R1	
  посылает	
  запрос	
  на	
  получение	
  сертификата,	
  в	
  котором:	
  
                                                                                                                                       m	
                                                                     *	
  -­‐	
  опционально	
  
§  Router	
  Public	
  Key	
  
§  Router	
  name	
  (LDAP	
  X500	
  format)	
  
	
                                                                                                                                                                                   Router	
  Kiev	
  выполняет:	
  
CA	
  генерирует	
  и	
  возвращает	
  сертификат	
  в	
  котором:	
  
                                                                                                                                                                                       Тот	
  же	
  набор	
  действий	
  что	
  приводит	
  к	
  
§  Router	
  Public	
  Key	
                                                                                                                                                          получению	
  сертификата	
  	
  
§  Cerqficate	
  life	
  qme	
  
§  Router	
  name	
  (LDAP	
  X500	
  format)	
  
§  CA	
  Name(LDAP	
  X500	
  format)	
  
§  CA	
  Digital	
  Signature	
  
                                R1.corp.com	
                                                                                                                                                                R2.corp.com	
  
                                                                                              1            2                                                                                                                                                             Kiev	
  
    Moscow	
                                                                                                                                                          R2.corp.com	
  
                                                                                              R1.corp.com	
                                                                                                                                                          Private	
  Key	
  
   Private	
  Key	
  
                         R	
  Moscow	
  public	
  key	
  	
                                                                                                                                              R	
  Kiev	
  public	
  key	
  	
  
                                                                                       Moscow	
                                    Internet	
                                             Kiev	
                    R2	
  name	
  encrypted	
  
                                      R1	
  name	
  encrypted	
  
                                                                                                                                                                                                                    by	
  	
  R2	
  	
  private	
  key	
  	
  	
  
                                      by	
  R1	
  	
  	
  private	
  key	
  	
  	
  

                                                                                            Check	
  CA	
  Signature	
                                         Check	
  CA	
  Signature	
  
                                                                                            Check	
  Peer	
  Signature	
      Authen‰ca‰on	
  –	
             Check	
  Peer	
  Signature	
                                                                              Kiev	
  	
  
     Moscow	
                                                                               Check	
  CRL	
  List	
           Cer‰ficate	
  Exchange	
                   Check	
  CRL	
  List	
                                                                         Public	
  Key	
  
    Public	
  Key	
                                                                         Cer‰ficate	
  Life‰me	
                                              Cer‰ficate	
  Life‰me	
  
Набор	
  протоколов	
  IPsec:	
  
    Исторически	
  сложилось	
  так	
  что	
  протокол	
  IP	
  не	
  имел	
  никаких	
  встроенных	
  средств	
  защиты	
  передаваемых	
  
    данных,	
  для	
  этих	
  целей	
  существует	
  расширение	
  IPsec.	
  
    	
  
    IPsec	
  (IP	
  security)	
  –	
  набор	
  стандартов	
  задачей	
  которых	
  является	
  обеспечить	
  (может	
  быть	
  обеспечено	
  все	
  или	
  
    некоторые	
  части):	
  
    §  Согласование	
  параметров	
  защиты	
  между	
  устройствами(Nego‰a‰on	
  Protocols)	
  
    §  Защищённая	
  генерация	
  сессионных	
  ключей	
  для	
  симметричного	
  шифрования	
  	
  (Session	
  key	
  genera‰on)	
  	
  
    §  Инкапсуляцию	
  трафика	
  (Encapsula‰on	
  methods)	
  	
  
    §  Шифрование	
  передаваемого	
  трафика	
  (Encryp‰on	
  protocols)	
  
    §  Проверку	
  целостности	
  предаваемого	
  трафика(Hashing	
  Protocols)	
  

                                                                                    IPsec	
  




                                                                                                             §    DES	
  
              §  IKEv1,2	
                              §     DH1	
                                                                      §        MD5	
  
                                                                                                             §    3DES	
  
              	
  	
  	
  	
  	
  	
  (ISAKMP)	
         §     DH2	
              §  AH	
                                    Hashing	
   §        SHA	
  
                                                                                                             §    AES	
  	
  
              §  Manual	
  
Nego‰a‰on	
                                              § 
                                           Session	
  key	
  
                                                                DH5	
              §  ESP	
   Encryp‰on	
   §    Local	
   protocols	
  §         Local	
  
protocols	
                                              §     DH7	
     Encapsula‰on	
       protocols	
         standards	
                       standard
                                           genera‰on	
                                                                                               s	
  
Crypto	
  ISAKMP	
  profile	
  –	
  VPN	
  Gatekeeper	
  in	
  Cisco	
  IOS	
  
Crypto	
  ISAKMP	
  Profile	
  –	
  компонент	
  в	
  конфигурации	
  IOS	
  VPN	
  который	
  дает	
  возможность	
  гибко	
  применять	
  VPN	
  
политики	
  для	
  различных	
  Peer.	
  
	
  
По	
  логике	
  работы	
  	
  VPN	
  в	
  Cisco	
  IOS	
  ещё	
  до	
  начала	
  	
  согласования	
  IKE,	
  для	
  каждого	
  входящего	
  соединения	
  
выполняется	
  поиск	
  соответствующего	
  ему	
  ISAKMP	
  Profile	
  
Если	
  про	
  файлов	
  нет	
  или	
  	
  соответствие	
  не	
  найдено	
  идет	
  проверка	
  IKE	
  policy	
  

                           Crypto	
  ISAKMP	
  Profile	
  Match	
  –	
  поиск	
  соответствующего	
  peer	
  profile	
  проходит	
  по	
  IKE	
  ID,	
  
                           этот	
  параметр	
  всегда	
  присутствует	
  в	
  IKE	
  Proposal	
  пакете.	
  	
  IKE	
  ID	
  зависит	
  от	
  типа	
  VPN	
  и	
  
                           настроек	
  удаленной	
  стороны.	
  Match	
  доступен	
  по:	
  
                           §  Group	
  name	
  –	
  имя	
  VPN	
  group	
  настроенной	
  на	
  клиенте	
  или	
  значение	
  поля	
  OU	
  в	
  
                               цифровом	
  сертификате	
  peer	
  
                           §  IP	
  address	
  –	
  ip	
  address	
  или	
  адрес	
  сети	
  в	
  которой	
  находится	
  peer	
  
                           §  Host	
  {FQDN|domain}	
  –	
  FQDN	
  имя	
  peer,	
  или	
  domain	
  в	
  этом	
  имени	
  
                           §  User	
  {FQDN|domain}	
  –	
  FQDN	
  имя	
  пользователя,	
  или	
  domain	
  в	
  этом	
  имени	
  
                           Наиболее	
  часто	
  для	
  Iden‰ty	
  Match	
  используются	
  Group	
  name	
  	
  &	
  IP	
  address	
  	
  


Случаи	
  использования	
  Crypto	
  ISAKMP	
  Profile:	
  
	
  
§  Требуются	
  различные	
  IKE	
  phase	
  1	
  параметры	
  для	
  разных	
  peer	
  –	
  например	
  мы	
  хотим	
  использовать	
  для	
  
     различных	
  Peer	
  различные	
  Trustpoints	
  
§  На	
  маршрутизаторе	
  настроен	
  VRF	
  –	
  IKE	
  profile	
  обязательный	
  компонент	
  VRF-­‐aware	
  IPsec	
  
§  Использование	
  различных	
  типов	
  VPN	
  на	
  одном	
  устройстве	
  –	
  на	
  пример	
  на	
  одном	
  маршрутизаторе	
  мы	
  
     принимаем	
  как	
  Site-­‐to-­‐Site	
  так	
  и	
  Remote	
  Access	
  VPN	
  подключения	
  	
  	
  
IKE	
  	
  (Internet	
  Key	
  Exchange)–	
  этот	
  набор	
  протоколов	
  позволяющий	
  двум	
  участникам	
  VPN	
  соединения	
  
согласовать	
  	
  параметры	
  защиты,	
  аутентифицировать	
  друг	
  друга	
  а	
  так	
  же	
  создать	
  ключи	
  для	
  симметричного	
  
шифрования	
  трафика	
  данных.	
  	
  
	
  
Процесс	
  работы	
  IKE	
  состоит	
  из	
  двух	
  этапов*:	
  
1.  IKE	
  phase	
  1–	
  согласование	
  параметров	
  контрольного	
  соединения	
  и	
  защищенная	
  аутентификация	
  
            участников.	
  В	
  процессе	
  работы	
  согласовываем:	
  
             §  Control	
  Connec‰on	
  Encryp‰on	
  (Варианты:	
  DES/3DES/AES/Local	
  Standards)	
  
             §  Control	
  Connec‰on	
  Hashing	
  (Варианты:	
  MD5/SHA-­‐HMAC/Local	
  Standards)	
  
             §  Authen‰ca‰on	
  Type	
  (Варианты:	
  Pre-­‐shared	
  key/Cer‰ficate)	
  
             §  Session	
  key	
  genera‰on	
  type	
  (Варианты:	
  DH1/DH2…)	
  
             Note:	
  	
  В	
  результате	
  участники	
  должны	
  выбрать	
  одинаковые	
  параметры,	
  установить	
  защищённое	
  
             соединение	
  и	
  аутентифицировать	
  друг	
  друга.	
  	
  
                                                                         *	
  -­‐	
  существует	
  фаза	
  IKE	
  1.5	
  
                                                                         Используется	
  для	
  Remote	
  Access	
  VPN	
  	
  
                                                                                            IKE	
  phase	
  1	
  может	
  работать	
  в	
  двух	
  режимах:	
  
                                                                                            Main	
  Mode:	
  
                                                                                            Main	
  Mode	
  –	
  процесс	
  согласования	
  состоит	
  из	
  
                                                                    Согласование	
  
                                                                     параметров	
           шести	
  сообщений	
  (приведен	
  на	
  рисунке).	
  	
  
                                                                                            Этот	
  тип	
  согласования	
  является	
  более	
  
                                                                    Генерация	
  
                                                                сессионных	
  ключей	
  
                                                                                            безопасным.	
  
                                                                                            Aggressive	
  Mode	
  –	
  обмен	
  тремя	
  
                                                                  Аутентификация	
          сообщениями,	
  соединение	
  устанавливается	
  
                                                                                            быстрее,	
  менее	
  безопасный	
  режим	
  
2.	
  	
  	
  IKE	
  phase	
  1,5	
  –	
  расширение	
  к	
  стандарту	
  IKE,	
  является	
  не	
  обязательным	
  этапом.	
  Этот	
  этап	
  используется	
  при	
  
установки	
  	
  Remote	
  access	
  IPsec	
  соединения.	
  
	
  
На	
  этом	
  этапе	
  выполняется	
  два	
  основных	
  действия:	
  
	
  
§  Xauth	
  	
  (Extended	
  Authenqcaqon)	
  –	
  аутентификация	
  и	
  авторизация	
  подключаемого	
  пользователя	
  




§    Push	
  	
  Configuraqon	
  –	
  в	
  зависимости	
  от	
  	
  результата	
  аутентификации/авторизации	
  клиенту	
  возвращается	
  
      целый	
  ряд	
  настроек:	
  
        a)  IP	
  address	
  
        b)  DNS/WINS	
  server	
  IP	
  
        c)  Domain	
  name	
  
        d)  Split	
  Tunnel	
  Network	
  List	
  
        e)  Split	
  DNS	
  domain	
  list	
  
        f)  И	
  другие	
  
3.	
  IKE	
  phase	
  2–	
  согласование	
  параметров	
  защиты	
  передаваемых	
  данных,	
  задача	
  фазы	
  установить	
  шифрованный	
  
туннель	
  для	
  передачи	
  данных	
  	
  
В	
  процессе	
  работы	
  согласовываем:	
  
             §  Encapsula‰on	
  method	
  and	
  his	
  mode	
  (Варианты:	
  AH	
  transport/AH	
  tunnel/ESP	
  transport/ESP	
  tunnel)	
  
             §  Интересный	
  трафик	
  	
  -­‐	
  сети	
  при	
  обмене	
  данными	
  между	
  которыми	
  требуется	
  шифрование*	
  
             	
  	
  	
  	
  	
  	
  	
  	
  *	
  -­‐	
  относится	
  только	
  к	
  традиционным	
  VPN	
  на	
  crypto	
  map,	
  для	
  всех	
  остальных	
  более	
  современных	
  	
  	
  	
  
                                               	
  типов	
  VPN	
  в	
  качестве	
  указания	
  что	
  шифровать	
  используется	
  таблица	
  маршрутизации	
  
             §  Data	
  Connec‰on	
  Encryp‰on	
  (Варианты:	
  DES/3DES/AES)	
  
             §  Data	
  Hashing	
  (Варианты:	
  MD5/SHA-­‐HMAC)	
  
             	
  
IKE	
  использует	
  UDP	
  des‰na‰on	
  port	
  500,	
  всегда	
  нужно	
  убедиться	
  что	
  этот	
  порт	
  не	
  блокируется	
  нигде	
  на	
  транзите	
  
	
  
IKE	
  Phase	
  2	
  завершается	
  установкой	
  двух	
  зашифрованных	
  соединений	
  (одно	
  на	
  прием	
  другое	
  на	
  передачу	
  на	
  
каждом	
  устройстве)	
  –	
  каждое	
  такое	
  соединение	
  называется	
  Security	
  Associaqon	
  
Security	
  Associaqon	
  –	
  уникально	
  идентифицирует	
  каждое	
  VPN	
  соединение,	
  для	
  того	
  чтоб	
  устройство	
  могло	
  
понять	
  к	
  какому	
  VPN	
  	
  соединению	
  относится	
  данный	
  пакет	
  существует	
  специальная	
  метка	
  SPI	
  (security	
  
parameter	
  index)	
  
Encapsulaqon	
  methods	
  and	
  their	
  modes-­‐	
  существует	
  два	
  метода	
  инкапсуляции	
  пакетов:	
  
	
  
AH	
  (Authenqcaqon	
  header)	
  -­‐	
  	
  	
  более	
  старый	
  способ	
  инкапсуляции,	
  при	
  его	
  использовании	
  доступен	
  только	
  
контроль	
  целостности	
  передаваемых	
  пакетов.	
  
Использует	
  IP	
  protocol	
  51	
  
Может	
  работать	
  в	
  двух	
  режимах:	
  
1.  AH	
  transport	
  mode	
  –	
  сокрытие	
  адресов	
  источника	
  и	
  получателя	
  не	
  происходит	
  




2.    AH	
  tunnel	
  mode	
  –	
  происходит	
  сокрытие	
  адресов	
  источника	
  и	
  получателя	
           Note:	
  из	
  за	
  того	
  что	
  пакет	
  
                                                                                                                 аутентифицируется	
  целиком	
  
                                                                                                                 VPN	
  построенный	
  на	
  AH	
  не	
  
                                                                                                                 может	
  пройти	
  через	
  NAT	
  	
  
ESP	
  (Encapsulated	
  security	
  payload)	
  -­‐	
  	
  	
  более	
  новый	
  способ	
  инкапсуляции,	
  при	
  его	
  использовании	
  доступна	
  как	
  
проверка	
  целостности	
  так	
  и	
  шифрование	
  пакетов.	
  
Использует	
  IP	
  protocol	
  50	
  
Может	
  работать	
  в	
  двух	
  режимах:	
                                               Note:	
  В	
  отличии	
  от	
  AH	
  ESP	
  способен	
  проходить	
  
1.  ESP	
  transport	
  mode	
                                                             через	
  NAT	
  за	
  счет	
  того	
  что	
  IP	
  header	
  не	
  
2.  ESP	
  tunnel	
  mode	
                                                                аутентифицируется	
  .	
  
                                                                                           В	
  случи	
  со	
  sta‰c	
  NAT	
  никаких	
  проблем	
  вообще	
  не	
  
                                                                                           возникает.	
  
                                                                                           В	
  случае	
  присутствия	
  на	
  транзите	
  устройств	
  
                                                                                           выполняющих	
  Dynamic	
  NAT	
  для	
  их	
  успешного	
  
                                                                                           преодоления	
  используется:	
  
                                                                                           NAT-­‐T	
  (NAT	
  traversal)	
  –	
  технология	
  позволяющая	
  
                                                                                           преодолевать	
  ESP	
  пакетам	
  Dynamic	
  PAT.	
  Как	
  это	
  
                                                                                           работает:	
  
                                                                                           1.	
  На	
  этапе	
  IKE	
  согласования	
  устройства	
  выявляют	
  
                                                                                           NAT	
  на	
  транзите	
  (Детектирование	
  происходит	
  за	
  
                                                                                           счет	
  помещения	
  в	
  пакет	
  hash	
  IP	
  header)	
  
                                                                                           2.	
  Для	
  передачи	
  данных	
  начинают	
  использовать	
  
                                                                                           des‰na‰on	
  UDP	
  port	
  4500	
  
Работа	
  Cisco	
  c	
  различными	
  VPN	
  технологиями	
  
Условно	
  по	
  логике	
  работы	
  все	
  Secured	
  VPN	
  технологии	
  реализованные	
  на	
  оборудовании	
  
компании	
  Cisco	
  можно	
  разделить	
  на	
  несколько	
  групп.	
  Каждая	
  группа	
  характеризуется	
  своим	
  
уникальным	
  набором	
  функций	
  понимание	
  которого	
  крайне	
  важно	
  при	
  выборе	
  технологии	
  ее	
  
внедрении	
  и	
  последующем	
  поиске	
  и	
  устранении	
  не	
  исправностей.	
  	
  	
  	
  	
  



                                                              Cisco	
  VPN	
  


   VPN	
  on	
                       Dedicated	
                Tunnel	
  Less	
  
                                                                                     L2	
  VPN	
            SSL	
  VPN	
  
 Crypto	
  Maps	
                 Tunnel	
  Interface	
            VPN	
  
       L2L	
  Crypto	
  map	
            Staqc	
  VTI	
              GETVPN	
           MacSec	
               Clientless	
  

         Easy	
  VPN	
                   Dynamic	
  VTI	
                                                      Client	
  

                                         DMVPN	
  

                                         Flex	
  VPN	
  
Логика	
  работы	
  VPN	
  (Crypto	
  Map)	
  
                                                                                                                                                               R2.corp.com	
  
                                                                                                                                                                         192.168.110.0/24	
  
  1.	
  IKE	
  phase	
  1	
                                                                                                                       195.5.110.1/24	
  
                           R1.corp.com	
  
          192.168.101.0/24	
                                                                                                                                    F0/0	
  
                                                                                                                                                                         Rouqng	
  Table	
  
                                                                                                                                                                                                         1
                                     195.5.101.1/24	
                                                                                                                                                                    Packet	
  to	
  
                                                                                                                    Internet	
                                          S*	
  0.0.0.0/0	
  f0/1	
                     192.168.101.100	
  
                                                                  F0/0	
  

                                       ISAKMP	
  profile	
  	
                                                     IKE	
  phase	
  1	
       2     ISAKMP	
  
      Tunnel	
  Group	
                                                                                                                                              IF	
  traffic	
  go	
  	
   F0/0	
  Crypto	
  map	
  	
  
                                           Search	
                                                                политики	
                      profile	
                                       Sequence	
  
                                                                                                                                                                     FROM	
                      Number	
  100	
  
                                                                        3                                                                                            (192.168.110.0/24)	
  	
  
 No	
  Match	
                                                                                                                                                       TO	
                                                          Seq	
  
                                     ISAKMP	
  policy	
  10	
  
  Drop	
                                                                                                                                                             (192.168.101.0/24)	
                                      	
  	
  200	
  
                                          Check	
                                                                                               IF	
  Specified	
                                                                                     Seq	
  
                                                                                                                                                                     THEN	
  
                                                 .
Connecqon	
  
                                                 .
                                                                                                                                                                                                                                                 	
  	
  300	
  
                                                                                                                                                                     Encrypt	
  

                No	
  Match	
  
                                                 .                                                                                                                   AND	
  
                                                                                                                                                                     Send	
  to	
  195.5.101.1	
  
                                        ISAKMP	
  policy	
                                                         IKE	
  phase	
  1	
  
                 Drop	
                  65535	
  Check	
                                                           политики	
  
               Connecqon	
                                                           4
                                                                                                               DH	
  key	
  generaqon	
  
                                                                                                                       NAT-­‐T	
  
                                                                                      5
                                                                                                               DH	
  key	
  generaqon	
  
                                        Key	
  Ring	
  from	
                                                          NAT-­‐T	
  
      Tunnel	
  Group	
  
                                       ISAKMP	
  Profile	
  
                                                                                      6                              Kiev	
  pre-­‐
                                                                                                                  shared	
  key	
  or	
  
                No	
  Match	
                                                Tunnel	
  Secured	
  by	
              Cerqficate	
                                             Authen‰ca‰on	
                         No	
  Match	
  
                                       Authen‰ca‰on	
  
                 Drop	
                                                      IKE	
  phase	
  1	
  policy	
        Moscow	
  pre-­‐
                                                                                                                  shared	
  key	
  or	
                                                                        Drop	
  Connecqon	
  
               Connecqon	
  
                                                                                                                    Cerqficate	
  


                                          Match	
                                                                                                                             Match	
  
                                  Go	
  to	
  IKE	
  Phase	
  2	
                                                                                                     Go	
  to	
  IKE	
  Phase	
  2	
  
R_kiev.corp.com	
  
                                                                                                                                                                          192.168.110.0/24	
  
2.	
  IKE	
  phase	
  2	
                                                                                                                         195.5.110.1/24	
  
                         R_moscow.corp.com	
  
            192.168.101.0/24	
                                                                                                                             F0/0	
  
                                     195.5.101.1/24	
  
                                                                                                      Internet	
  
                                                            F0/0	
  

                                           Search	
  Peer	
  	
  
                                 IP	
  (195.5.110.1)	
  in	
  crypto	
  
                                   map	
  on	
  F0/0	
  interface	
  

                                                                           1                                                                                На	
  стороне	
  Kiev	
  Crypto	
  Map	
  
                                 Crypto-­‐Map	
  VPN	
  seq	
  100	
                                                                                       была	
  найдена	
  при	
  обработке	
  
                                                                                                                                                                   исходящего	
  пакета	
  
              No	
  Match	
  
                                       Crypto-­‐Map	
  VPN	
  	
                                                                                                 Crypto-­‐Map	
  VPN	
  seq	
  65535	
  
               Drop	
                     seq	
  65535	
  
                                                                                     Tunnel	
  Secured	
  by	
  IKE	
  phase	
  1	
  policy	
  
                                                                                                                                                                                                               No	
  
             Connecqon	
  
                                                   Mach	
                      Методы	
  защиты	
  Phase	
  2/Proxy	
  Idenqty	
  (Crypto	
  ACL)/        3                                                   Match	
  
                                                                                   DH	
  для	
  генерации	
  ключей	
  защиты	
  данных	
                              Parameters	
  Match	
  
                         Извлечь	
  из	
  Crypto	
  map:	
             2                                                                                                                                     Drop	
  
                         §  Transform	
  set	
  –	
  какими	
                                                                                                                                             Connecqon	
  
                              алгоритмами	
  защищать	
  данные	
              Методы	
  защиты	
  Phase	
  2/Proxy	
  Idenqty	
  (Crypto	
  ACL)/
                         §  Crypto	
  ACL	
  –	
  трафик	
  между	
               DH	
  для	
  генерации	
  ключей	
  защиты	
  данных	
  
                              какими	
  сетями	
  шифровать	
  	
  
              No	
  Match	
  
                                    Parameters	
  Match	
                          Прием	
                                           Передача	
  
                Drop	
  
              Connecqon	
                                                        Передача	
                                           Прием	
  

Отличия	
  в	
  случае	
  Easy	
  VPN:	
  
1.	
  Инициатор	
  подключения	
  (Client)	
  в	
  место	
  crypto	
  map	
  использует	
  IPSEC	
  Client	
  Profile	
  (Описание	
  как	
  выполнить	
  подключение	
  к	
  Server)	
  
2.	
  На	
  стороне	
  сервера	
  приходит	
  аутентификация/авторизация	
  -­‐	
  	
  	
  
a)	
  ASA	
  –	
  правила	
  AAA	
  извлекаются	
  из	
  tunnel-­‐group	
     	
    	
  b)	
  Router	
  –	
  правила	
  AAA	
  извлекаются	
  из	
  Crypto-­‐map	
  or	
  ISAKMP	
  	
  Profile	
  	
  
3.	
  Выполняется	
  Push	
  конфигурации	
  на	
  клиента	
  
а)	
  ASA	
  –	
  конфигурация	
  извлекается	
  из	
  Group-­‐policy         	
    	
  b)	
  Router	
  –	
  конфигурация	
  извлекается	
  из	
  ISAKMP	
  Client	
  Group	
  or	
  Radius	
  
Логика	
  работы	
  VPN	
  (Dedicated	
  Tunnel	
  Interface)	
  
                                                                                                                                                                                        192.168.110.0/24	
  
1.	
  IKE	
  phase	
  1/2	
                                                                                                                   195.5.110.1/24	
  
                         R1.corp.com	
  
        192.168.101.0/24	
                                                                                                                                F0/0	
  
                                                                                                                                                            Rouqng	
  Table	
  
                                                                                                                                                                                                1
                                   195.5.101.1/24	
                                                                                                                                                       Packet	
  to	
  
                                                                                                  Internet	
                                      S	
  192.168.101.0/24	
  Tunnel	
  0	
               192.168.101.100	
  
                                                          F0/0	
  
                                  Rouqng	
  Table	
                                                                                                      Tunnel	
  0	
  
                        S	
  192.168.110.0/24	
  Tunnel	
  0	
                                                                                           172.16.1.1/24	
  
                                                                                                IKE	
  phase	
  1	
                                      Tunnel	
  src:	
  195.5.110.1	
  
                             Tunnel	
  0	
  
                                                                                                Nego‰a‰on	
                                              Tunnel	
  dst:	
  195.5.101.1	
  
                             172.16.1.2/24	
  
                             Tunnel	
  src:	
  195.5.101.1	
                                                                                             IKE	
  Phase	
  2	
  security	
  Policy	
  
                             Tunnel	
  dst:	
  195.5.110.1	
                                                                                             (IPsec	
  Profile)	
  
                             IKE	
  Phase	
  2	
  security	
  Policy	
                          IKE	
  phase	
  1	
  
                             (IPsec	
  Profile)	
                                               Authen‰ca‰on	
  


                                                                                                                                                                                                          No	
  Match	
  
    No	
  Match	
                                                                            IKE	
  phase	
  2	
  Policy	
  
                                Parameters	
  Match	
                                                                                                              Parameters	
  Match	
  
                                                                                          Proxy	
  Iden‰ty	
  0.0.0.0/0	
                                                                                  Drop	
  
    Drop	
                                                                                                                                                                                               Connecqon	
  
  Connecqon	
  

                                                                            Прием	
                                            Передача	
  
                                                                           Передача	
                                           Прием	
  

  Отличия	
  в	
  случае	
  DVTI:	
  
  1.	
  Инициатор	
  подключения	
  (Client)	
  в	
  место	
  Tunnel	
  Interface	
  использует	
  IPSEC	
  Client	
  Profile	
  
  2.	
  На	
  сервере	
  и	
  клиенте*	
  туннельные	
  интерфейсы	
  создаются	
  динамически	
  	
  
  2.	
  На	
  стороне	
  сервера	
  приходит	
  аутентификация/авторизация	
  -­‐	
  	
  Router	
  –	
  правила	
  AAA	
  извлекаются	
  из	
  ISAKMP	
  Profile 	
  	
  
  3.	
  Выполняется	
  Push	
  конфигурации	
  на	
  клиента	
  -­‐	
  Router	
  –	
  конфигурация	
  извлекается	
  из	
  ISAKMP	
  Client	
  Group	
  or	
  Radius	
  
  Отличия	
  в	
  случае	
  DMVPN:	
  
  1.	
  Использование	
  протокола	
  NHRP	
  для	
  динамического	
  определения	
  Tunnel	
  Des‰na‰on	
  
  *-­‐в	
  случаи	
  использования	
  Hardware	
  Client	
  
Логика	
  работы	
  VPN	
  (Tunnel	
  Less	
  VPN)	
  
                                                                                                            192.168.10.0/24	
  
                                         KS	
  primary	
                                             GOOP	
  Protected	
  by	
  IKE	
  phase	
  1	
  
                                                                                                                                                                                    KS	
  secondary	
  
                                         encrypt	
  192.168.0.0/16	
                                            GM	
                         GM	
                                   encrypt	
  192.168.0.0/16	
  
                                         to	
  192.168.0.0/16	
                                                                                                                     to	
  192.168.0.0/16	
  



                        GDOI	
  Protected	
  by	
  IKE	
                                                                                                                                 GDOI	
  Protected	
  by	
  IKE	
  
                                 phase	
  1	
                                                                                                                                                     phase	
  1	
  

                                                                                                                         MPLS	
  
                                                                                                                         VPN	
  
                                                                                                       PE1	
                             PE2	
  
                                                       Rouqng	
  Table	
                                                                                                  Rouqng	
  Table	
  
               GM	
                                                                                                                                              O	
  192.168.100.0/24	
  via	
  PE2	
                        GM	
  
                                              O	
  192.168.110.0/24	
  via	
  PE1	
  
                                              Прием	
  From	
  Any	
                                                                                                         Прием	
  From	
  Any	
  
                                              Передача	
  	
  To	
  Any	
                                                                                                    Передача	
  	
  To	
  Any	
  

                192.168.100.0/24	
                                                                                     SRC_IP:	
               DST_IP:	
  
                                                                                                                                                                                                             192.168.110.0/24	
  
                                                                                        Encrypted	
  Data	
  
                                                                                                                    192.168.100.10	
        192.168.110.10	
  
   SRC_IP:	
                DST_IP:	
  
192.168.100.10	
         192.168.110.10	
  



    GETVPN	
  	
  –	
  технология	
  без	
  туннельного	
  шифрования	
  (сокрытие	
  исходных	
  IP	
  адресов	
  не	
  происходит).	
  
    Маршрутизаторы	
  в	
  этой	
  технологии	
  разделятся	
  на	
  	
  два	
  типа:	
  
    §  Key	
  server	
  (KS)–	
  маршрутизатор	
  отвечающей	
  за	
  регистрацию	
  всех	
  других	
  Routers	
  в	
  группе,	
  
                                периодическую	
  генерацию	
  ключа	
  для	
  защиты	
  данных	
  и	
  безопасную	
  доставку	
  этого	
  ключа	
  всем	
  
                                участникам	
  группы.	
  
    	
  	
  	
  	
  	
  	
  	
  Кроме	
  того	
  сообщает	
  всем	
  –	
  какой	
  именно	
  трафик	
  они	
  должны	
  шифровать.	
  
    §  Group	
  Member	
  (GM)	
  –	
  должен	
  зарегистрироваться	
  на	
  своем	
  Key	
  server(s)	
  и	
  получать	
  с	
  него	
  всю	
  
                                необходимую	
  информацию,	
  при	
  наличии	
  интересного	
  трафика	
  выполнять	
  его	
  защиту.	
  	
  
    COOP	
  (Co-­‐operaqve	
  Key	
  Server)	
  -­‐	
  	
  	
  технология	
  резервирования	
  Key	
  Server	
  
Логика	
  работы	
  L2	
  	
  VPN	
  (MacSec)	
  
MACSEC	
  	
  (IEEE	
  802.1AE)–	
  технология	
  шифрования	
  на	
  L2	
  дающая	
  возможность	
  выполнять	
  шифрование	
  ПК-­‐
Коммутатор,	
  Коммутатор	
  –	
  Коммутатор,	
  шифрование	
  выполняется	
  на	
  скорости	
  интерфейса.	
  Процес	
  
шифрования	
  выполняется	
  hop-­‐by-­‐hop	
  	
  
                                                                                                        MacSec	
  Enabled	
  SW:	
  
1.	
  End	
  Staqon-­‐Switch	
  encrypqon	
                                §    3750/3560-­‐X	
  with	
  C3KX-­‐SM-­‐10G	
                                                                         802.1X-­‐REV	
  Enabled	
  AAA	
  
                                                                           §    45хх	
  with	
  Sup	
  7-­‐E,	
  Sup	
  7L-­‐E	
  and	
  WS-­‐X47XX	
  line	
  cards	
                                         Server:	
  
                       §  MacSec	
  Enabled	
  NIC	
                      §    65xx	
  with	
  Sup	
  2T	
  and	
  6900	
  series	
  line	
  cards	
                                            §  Cisco	
  ACS	
  
                       §  Cisco	
  Anyconnect	
                           §    Nexus	
  7000	
  all	
  line	
  cards	
  except	
  F-­‐Series	
                                                  §  Cisco	
  ISE	
  
                                                                                                                                                                  Corporate	
  
                                                                                                                                                                   Network	
  



                                                                                            802.1X	
  Using	
  EAP-­‐TLS	
  or	
  EAP-­‐FAST	
  

               connec‰vity	
                                                                                                                                                                        connec‰vity	
  
           associa‰on	
  key	
  (CAK)	
              MaCsec	
  Key	
  Agreement	
  (MKA)	
                                                                                                      associa‰on	
  key	
  (CAK)	
  
                                                       Session	
  Key	
  Genera‰on	
                                                                Radius	
  Access	
  Accept	
  
                                                                                                          connec‰vity	
                                   AVP:CAC	
  
                                                          MacSec	
  Protected	
                       associa‰on	
  key	
  (CAK)	
  



2.	
  Switch	
  to	
  Switch	
  	
  encrypqon	
                                                           Seed	
  Device	
  
                                                                                                                                                                Corporate	
  
                                                                                                                                                                 Network	
  


                                                Network	
  Device	
  Admission	
  Control	
                                              Network	
  Device	
  Admission	
  Control	
  
                                              (NDAC)	
  provide	
  802.1x	
  using	
  EAP-­‐FAST	
                                     (NDAC)	
  provide	
  802.1x	
  using	
  EAP-­‐FAST	
  
                                                Security	
  Associa‰on	
  Protocol	
  (SAP)	
  
                                                     Session	
  Key	
  Genera‰on	
  
                                                           MacSec	
  Protected	
  
Принципы	
  выбора	
  VPN	
  технологии	
  под	
  
                             специфическую	
  задачу	
  
1.	
  Способ	
  реализации	
  
 §  Remote	
  Access	
  VPN	
                                       §  Site-­‐to-­‐Site	
  VPN	
  



                                                        VS	
  

2.	
  Уровень	
  модели	
  OSI	
  на	
  котором	
  будет	
  происходить	
  туннелированные	
  
	
  
§  Transport	
  Layer	
  –	
  единственная	
  технология	
  SSL	
  VPN,	
  возможно	
  как	
  клиентская	
  так	
  и	
  без	
  
       клиентская	
  реализация	
  
§  Network	
  Layer	
  -­‐	
  	
  	
  все	
  другие	
  технологии	
  кроме	
  MacSec	
  
§  Data	
  link	
  Layer	
  –	
  технология	
  MacSec,	
  организация	
  защищенного	
  L2	
  соединения	
  между	
  
       площадками	
  
	
  
3.	
  Наличие	
  требования	
  локальных	
  регуляторов	
  
NME-­‐RVPN	
  
2.	
  VPN	
  топология	
  (site-­‐to-­‐site	
  only)	
  
       §  Hub	
  and	
  spoke/hierarchical	
  hub	
  and	
                         §  Full	
  mash/parqal	
  mash	
  
           spoke/Centralized	
  Hub	
  and	
  spoke	
  	
  


                                                                     VS	
  

3.	
  Реализация	
  отказоустойчивых	
  подключений	
  	
  
                      §  Dynamic	
  rouqng	
                                                 §  IOS	
  IP	
  SLA	
  


                                     Dynamic	
  
                                     rou‰ng	
  
                                                                     VS	
  
                                     protocol	
  


                      Провайдер	
  1	
          Провайдер	
  2	
                     Провайдер	
  1	
      Провайдер	
  2	
  



                                                                              Ping	
  
3.	
  Тип	
  транспорта	
  
§  Internet	
  
§  WAN:	
  
	
  	
  	
  	
  	
  	
  Услуга	
  от	
  оператора:	
  
                          a)  VPN	
  MPLS	
  
                          b)  VPLS	
  
                          c)  Предоставление	
  волокна/предоставление	
  λ	
  в	
  волокне	
  	
  	
  	
  	
  	
  	
  	
  




4.	
  Требуется	
  шифрование	
  mulqcast	
  traffic	
  –	
  
Не	
  все	
  VPN	
  технологии	
  поддерживают	
  передачу	
  через	
  	
  
туннели	
  mul‰cast	
  traffic	
  	
  	
  	
  

5.	
  Размеры	
  сети–	
  
Количество	
  узлов	
  сейчас,	
  планируемый	
  рост	
  	
  	
  	
  
Что	
  получается:	
  
                        Способ	
               Уровень	
  модели	
            Топология	
                   Отказоустойчивость	
                         Транспорт	
       Поддержка	
                 Применение	
  
                      реализации	
                   OSI	
                                                                                                                  Mulqcast	
  

L2L	
  Crypto	
         Site-­‐to-­‐Site	
          Network	
           Hub	
  and	
  Spoke	
         SLA/IKE	
  Dead	
  pear	
                     Internet/	
          нет	
                    Не	
  большие	
  
map	
                                                                                                 Detec‰on/	
  State	
  full	
  	
  IPSEC	
     WAN	
                                         филиальные	
  сети	
  

Easy	
  VPN	
        Remote	
  Access	
             Network	
           Hub	
  and	
  Spoke	
         SLA/IKE	
  Dead	
  pear	
                     Internet	
           нет	
                    Просто	
  уделенный	
  
                                                                        (Client	
  to	
  Site)	
      Detec‰on/	
  State	
  full	
  	
  IPSEC	
                                                   доступ	
  

Staqc	
  VTI	
          Site-­‐to-­‐Site	
          Network	
           Hub	
  and	
  Spoke	
         Dynamic	
  Rou‰ng	
                           Internet/	
          да	
  через	
  hub	
     Не	
  большие	
  
                                	
                                                                                                                  WAN	
                                         филиальные	
  сети	
  с	
  
                                                                                                                                                                                                  поддержкой	
  
                                                                                                                                                                                                  Dynamic	
  Rouqng	
  

Dynamic	
            Remote	
  Access	
             Network	
           Hub	
  and	
  Spoke	
         SLA/IKE	
  Dead	
  pear	
  Detec‰on	
         Internet	
           да	
  через	
  hub	
     Удаленный	
  доступ	
  с	
  
VTI	
                                                                   (Client	
  to	
  Site)	
                                                                                                  гибким	
  QoS	
  

DMVPN	
                 Site-­‐to-­‐Site	
          Network	
           Hub	
  and	
  Spoke/	
        Dynamic	
  Rou‰ng	
                           Internet/	
          да	
  через	
  hub	
     Крупные	
  
                                                                        Spoke	
  to	
  Spoke	
                                                      WAN	
                                         распределенные	
  
                                                                                                                                                                                                  сети	
  

Flex	
  VPN	
         Site-­‐to-­‐Site/	
           Network	
           Hub	
  and	
  Spoke	
         SLA/IKE	
  Dead	
  pear	
                     Internet/	
          да	
  через	
  hub	
     Единое	
  решение	
  
                     Remote	
  Access	
                                 (Client	
  to	
  Site)/	
     Detec‰on/	
  	
                               WAN	
                	
                       для	
  поддержки	
  
                                                                        Hub	
  and	
  Spoke/	
        Dynamic	
  Rou‰ng	
                           	
                                            Remote	
  Access	
  &	
  
                                                                        Spoke	
  to	
  Spoke	
                                                                                                    Site-­‐to-­‐Site	
  

GETVPN	
                Site-­‐to-­‐Site	
          Network	
           Any-­‐to-­‐Any	
              KS:COOP	
                                     WAN:	
               Да	
                     Крупные	
  
                                                                                                      GM:Dynamic	
  Rou‰ng	
                        MPLS	
  VPN	
                                 распределенные	
  
                                                                                                                                                    VPLS	
                                        сети	
  имеющий	
  WAN	
  

MacSec	
            Device-­‐to-­‐Device	
         Data	
  Link	
       Any-­‐to-­‐any	
              EtherChannel	
                                LAN	
                Да	
                     Шифрование	
  L2	
  
                                                                                                      Virtual	
  Port	
  Channel	
                  Dark	
  Fiber	
  

Clientless	
         Remote	
  Access	
            Transport	
          Hub	
  and	
  Spoke	
         Failover	
                                    Internet	
           Нет	
                    Удаленный	
  доступ	
  
SSL	
  VPN	
              	
                                            (Client	
  to	
  Site)	
                                                                                                  через	
  WEB	
  Браузер	
  

Client	
  SSL	
      Remote	
  Access	
         Transport	
  with	
     Hub	
  and	
  Spoke	
         Failover	
                                    Internet	
           Нет	
                    Гибкий	
  уделенный	
  
VPN	
                     	
                       Network	
            (Client	
  to	
  Site)	
                                                                                                  доступ	
  
                                                 encapsulated	
  
Организация	
  защищенного	
  удаленного	
  доступа	
  
Cisco	
  Easy	
  VPN	
  –	
  технология	
  защищенного	
  удаленного	
  доступа	
  использующая	
  в	
  качестве	
  транспорта	
  набор	
  
протоколов	
  	
  IPSEC.	
  По	
  логике	
  технологии	
  участники	
  построение	
  VPN	
  сети	
  делятся	
  на	
  два	
  типа:	
  
	
  
§  Server	
  –	
  устройство	
  которое	
  принимает	
  подключения	
  от	
  удаленных	
  клиентов,	
  проводит	
  их	
  
                            аутентификацию	
  и	
  настройку	
  (Выдает	
  IP	
  адрес	
  в	
  корпоративной	
  сети,	
  сообщает	
  трафик	
  для	
  каких	
  сетей	
  
                            следует	
  отправлять	
  в	
  туннель,	
  а	
  так	
  же	
  выдает	
  дополнительные	
  настройки)	
  
	
  	
  	
  	
  	
  	
  	
  Роль	
  Easy	
  VPN	
  Server	
  доступна	
  на	
  Cisco	
  IOS,	
  Cisco	
  ASA.	
  
	
  
§  Client–	
  осуществляет	
  подключение	
  к	
  определенному	
  	
  серверу,	
  на	
  клиенте	
  описаны	
  все	
  возможные	
  
                            варианты	
  политик	
  защиты	
  данных,	
  клиент	
  посылает	
  все	
  эти	
  политики	
  на	
  сервер,	
  и	
  сервер	
  выбирает	
  из	
  
                            них	
  наиболее	
  подходящую.	
  
	
  
Роль	
  Client	
  Может	
  выполнять:	
  

§  Cisco	
  Easy	
  VPN	
  Client	
  –	
  ПО	
  устанавливаемое	
  на	
  	
  ПК	
  пользователя	
  
§  Hardware	
  IPsec	
  Client	
  –	
  функционал	
  	
  Router	
  &	
  ASA	
  
	
  
На	
  клиенте	
  выполняются	
  	
  базовые	
  настройки:	
  
§  Указывается	
  IP/Name	
  VPN	
  Server	
  
§  Задается	
  имя	
  Group	
  (Указывается	
  в	
  ручную,	
  или	
  используется	
  	
  
	
  	
  	
  	
  	
  	
  	
  OU	
  field	
  из	
  сертификата)	
  
§  Настройки	
  необходимый	
  для	
  XAUTH	
  
§  В	
  случае	
  Hardware	
  Client	
  –	
  причина	
  инициализации	
  туннеля	
  
DAP	
  
                                                                                                                                                                                   (Dynamic	
  Access	
  Policy)*	
  



                                                                                                                                                                                      Authoriza‰on:	
  
                                                                                     Username/Password/Cer‰ficate	
                                     Authen‰ca‰on:	
                ASA	
  -­‐	
  Group-­‐Policy:	
  Local/Radius/Policy	
  name	
  
                                                                                                                                                     LOCAL/RADIUS/LDAP	
              from	
  AD	
  group	
  name	
  
                                                                                                                                                                                      Router	
  –	
  ISAKMP	
  Client	
  Profile:	
  Local/Radius	
  

                                                                                      Проверить	
  включен	
  ли	
  Firewall	
  

                                                                                        Configura‰on	
  (IP/DNS/WINS)	
  

                                 192.168.151.10/24	
                                   	
  Расширенная	
  конфигурация	
  
                                     Route	
  to:	
                                                                                                            Client	
  ACL	
  
                                     0.0.0.0/0	
                         Original	
  IP	
         IPSec	
       SRC_IP:	
            DST_IP:	
                 and	
  other	
  
                                                                          Packet	
               Header	
     195.5.111.10	
       195.5.110.1	
  
                                                                                                                                                                                                                    Proxy	
  
                                                                                                                                                                                                                    Server	
  
                                                                                                                                 195.5.110.1/24	
  
   SRC_IP:	
                DST_IP:	
                                                                Internet	
                                                                                           192.168.110.0/24	
  
192.168.151.10	
         192.168.110.10	
  

                                                  195.5.111.10/24	
  
                                                                                                                                                                                                                    Host	
  B	
  
Cisco	
  Easy	
  VPN	
  Hardware	
  Client,	
  как	
  это	
  работает	
  
a)  Client	
  Mode	
  	
  	
  
                                                                                              Username/Password/Cer‰ficate	
  

                                                                                               Configura‰on	
  (IP/DNS/WINS)	
  

                          192.168.100.0/24	
                            195.5.111.10/24	
                                         195.5.110.1/24	
  
                                                                                                         Internet	
                                                                    192.168.110.0/24	
  
                                                         Dynamic	
  PAT	
  
       SRC_IP:	
                DST_IP:	
                                                                                                                                     SRC_IP:	
                DST_IP:	
  
    192.168.100.10	
         192.168.110.10	
       192.168.151.10/24	
                                                                                                    192.168.151.10	
         192.168.110.10	
  

                                                   SA	
  for	
  Interes‰ng	
  Traff	
  
b)  Network	
  Extension	
  Mode	
  	
  	
  
                                                       Username/Password/Cer‰ficate	
  
                                                    My	
  local	
  network	
  –	
  192.168.100.0/24	
         Sta‰c	
  route	
  to:	
  
                                                                                                              192.168.100.0/24	
  
                        192.168.100.0/24	
     195.5.111.10/24	
                         195.5.110.1/24	
  
                                                                     Internet	
                                                        192.168.110.0/24	
  

      SRC_IP:	
             DST_IP:	
                                                                                         SRC_IP:	
            DST_IP:	
  
   192.168.100.10	
      192.168.110.10	
                                                                                  192.168.100.10	
     192.168.110.10	
  




b)  Network	
  Extension	
  Mode	
  Plus	
  –	
  отличие	
  от	
  предыдущего	
  в	
  том	
  что	
  Router	
  Client	
  получает	
  
    IP	
  из	
  корпоративного	
  адресного	
  пространства	
  для	
  управления	
  	
  	
  	
  


Область	
  применения	
  технологии:	
  
§  Организация	
  простого	
  удаленного	
  доступа	
  для	
  сотрудников	
  
§  Организация	
  VPN	
  сети	
  с	
  не	
  большими	
  подразделениями,	
  имеющими	
  собственный	
  выход	
  в	
  
     интернет,	
  и	
  не	
  большими	
  требованиями	
  по	
  доступу	
  к	
  ресурсам	
  центрального	
  офиса	
  
§  Организация	
  технологических	
  сетей	
  (сети	
  банкоматов,	
  терминалы	
  самообслуживания)	
  	
  
	
  
Организация	
  защищенного	
  удаленного	
  доступа	
  
Cisco	
  SSL	
  VPN	
  –	
  технология	
  предполагающая	
  использование	
  в	
  качестве	
  транспортного	
  протокола	
  SSL,	
  
существуют	
  две	
  реализации:	
  
	
  
Client	
  SSL	
  VPN	
  –Как	
  и	
  при	
  использовании	
  	
  IPSEC	
  	
  для	
  удаленного	
  доступа	
  клиенту	
  требуется	
  установить	
  
специальное	
  ПО	
  –	
  VPN	
  клиент	
  (Cisco	
  AnyConnect),	
  при	
  установке	
  которого	
  создаться	
  виртуальный	
  сетевой	
  
адаптер	
  на	
  который	
  будет	
  назначаться	
  IP	
  address	
  из	
  корпоративной	
  сети	
  и	
  через	
  него	
  будет	
  осуществляется	
  
защищенный	
  обмен	
  информацией.	
  
ПО	
  устанавливается	
  с	
  ASA/Router,	
  либо	
  в	
  ручную	
  	
  
	
  
Технология	
  имеет	
  ряд	
  дополнительных	
  функций:	
  
§  Возможность	
  установки	
  клиента	
  на	
  мобильные	
  устройства	
  
§  Оценка	
  состояния	
  рабочей	
  станции	
  (Host	
  Scan)	
  
§  Start	
  Before	
  Login	
  –	
  запуск	
  VPN	
  требуется	
  для	
  входа	
  в	
  систему	
  
§  Always	
  ON	
  VPN	
  –	
  автоматически	
  запускать	
  клиента	
  при	
  входе	
  в	
  систему	
  
§  Перенаправление	
  h¦p/h¦ps/§p	
  трафика	
  на	
  Cisco	
  Web	
  Security	
  Appliance	
  
§  Сам	
  клиент	
  имеет	
  модульную	
  структуру	
  которая	
  дает	
  целый	
  ряд	
  дополнительных	
  возможностей	
  не	
  
         имеющих	
  прямого	
  отношения	
  к	
  VPN:	
  
           a)  Менеджер	
  проводных	
  и	
  беспроводных	
  подключений	
  
           b)  Клиент	
  Cisco	
  ScanSafe	
  
	
  	
  
Cisco	
  Client	
  SSL	
  ,	
  как	
  это	
  работает	
  +	
  дополнительные	
  функции	
  	
  	
  

                                                                Аутентификация	
  на	
  WEB	
  портале	
  
                                                                 Client	
  Download	
  

                                                                 Сбор	
  информации	
  о	
  состоянии	
  системы*	
                                                                       DAP	
  
                                                                                                                                                                              (Dynamic	
  Access	
  Policy)*	
  
                                                                 OS	
  Version/An‰virus	
  type/Firewall	
  type	
  ...*	
  

                                                                Username/Password/Group	
  
                                                                                                                                                                                  Authoriza‰on:	
  
                                                                                                                                                    Authen‰ca‰on:	
               ASA	
  -­‐	
  Group-­‐Policy:	
  Local/Radius/Policy	
  name	
  
                                                                                                                                                  LOCAL/RADIUS/LDAP	
             from	
  AD	
  group	
  name	
  
                                                                                                                                                                                  Router	
  –	
  ISAKMP	
  Client	
  Profile:	
  Local/Radius	
  

                                                                                                     Se¨ngs	
  
   SRC_IP:	
                       DST_IP:	
  
192.168.151.10	
                  Facebook	
  

                                                  195.5.111.10/24	
  
                                                                                                                        195.5.110.1/24	
  
   SRC_IP:	
                      DST_IP:	
                                                       Internet	
                                                                                                               192.168.110.0/24	
  
192.168.151.10	
               192.168.110.10	
  


                                                                             Original	
  IP	
           SSL	
         SRC_IP:	
          DST_IP:	
  
                                                                              Packet	
                 Header	
     195.5.111.10	
     195.5.110.1	
  

                                                 192.168.151.10/24	
  
                                                     Route	
  to:	
                                                                                                          SRC_IP:	
                 DST_IP:	
  
                                                     0.0.0.0/0	
                                                                                                          192.168.151.10	
          192.168.110.10	
  


 *	
  -­‐	
  ASA	
  only	
  
Cisco	
  Clientless	
  SSL	
  ,	
  как	
  это	
  работает	
  +	
  дополнительные	
  функции	
  
В	
  самом	
  простом	
  случае	
  на	
  портале	
  может	
  осуществляется	
  публикация	
  	
  	
  h¦p/h¦ps/cifs	
  ресурсов	
  
При	
  использовании	
  browser	
  plugin	
  (java	
  applet)	
  добавляются:	
  
§  RDP	
  
§  Telnet/SSH	
  
§  VNC	
  
Плагины	
  нужно	
  загрузить	
  на	
  ASA,	
  после	
  этого	
  появляется	
  доступ	
  к	
  таким	
  ресурсам	
  через	
  портал	
  	
  




                                    IT	
  user	
  
                                                                  Аутентификация	
  на	
  WEB	
  портале	
  

                                                                                             195.5.110.1/24	
  
                                                                           Internet	
  

                                                                  Аутентификация	
  на	
  WEB	
  портале	
  
                                    Finance	
  	
  
                                      	
  user	
  
Область	
  применения	
  технологии:	
  
§  Удаленный	
  доступ	
  с	
  мобильных	
  устройств	
  
§  Clientless	
  доступ	
  
§  Проверка	
  “здоровья”	
  подключающейся	
  рабочей	
  станции	
  
§  Защита	
  Web	
  доступа	
  сотрудников	
  

Следует	
  быть	
  внимательным	
  при	
  выборе	
  лицензии	
  




Кроме	
  того	
  некоторые	
  функции	
  требуют	
  дополнительных	
  лицензий:	
  проверка	
  рабочей	
  станции,	
  Доступ	
  с	
  
мобильных	
  устройств,	
  фильтрация	
  Web	
  трафикa	
  
h¦p://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html	
  
DMVPN	
  	
  –	
  технология	
  использующая	
  как	
  основу	
  VTI	
  но	
  при	
  этом	
  des‰na‰on	
  IP	
  для	
  туннеля	
  узнается	
  
динамически,	
  с	
  использованием	
  специального	
  протокола	
  	
  NHRP	
  (Next	
  Hop	
  Resoluqon	
  Protocol)	
  
	
  
NHRP	
  –	
  В	
  технологии	
  DMVPN	
  используется	
  для	
  поиска	
  по	
  Tunnel	
  interface	
  IP	
  Address	
  NBMA	
  address	
  
интересного	
  нам	
  peer	
  (NBMA	
  address	
  	
  в	
  логике	
  DMVPN	
  –	
  IP	
  address	
  физического	
  интерфейса	
  который	
  
используется	
  для	
  установки	
  туннеля)	
  
	
  
По	
  логике	
  DMVPN	
  маршрутизаторы	
  делятся	
  на	
  два	
  типа:	
  
	
  
§  Hub	
  -­‐	
  	
  	
  маршрутизатор	
  к	
  которому	
  подключатся	
  Spoke	
  	
  и	
  регистрируют	
  свои	
  соответствия	
  NHRP	
  Address	
  to	
  
      Tunnel	
  Address.	
  В	
  последствии	
  Hub	
  отвечает	
  на	
  запросы	
  spoke	
  об	
  этих	
  соответствиях	
  
	
  
§  	
  Spoke	
  –	
  имеет	
  статический	
  туннель	
  на	
  Hub	
  .	
  Как	
  средство	
  принятия	
  решения	
  нужно	
  ли	
  шифровать	
  
      используется	
  маршрутизация,	
  весь	
  трафик	
  который	
  попадает	
  по	
  	
  маршрутизации	
  в	
  туннель	
  –	
  шифруется,	
  
      если	
  трафик	
  направляется	
  	
  на	
  другой	
  spoke	
  используется	
  NHRP	
  для	
  поиска	
  его	
  Public	
  IP	
  	
  и	
  создается	
  
      динамический	
  туннель.	
  
DMVPN	
  Как	
  это	
  работает	
  	
  	
  


                                               IKE	
  Phase	
  1	
                             Tunnel	
  0	
                                                                   IKE	
  Phase	
  1	
  
                                          IKE	
  Phase	
  2	
  tunnels	
                       172.16.1.1/24	
                                                              IKE	
  Phase	
  2	
  tunnels	
  
                           NHRP	
  Map	
  172.16.1.2(192.168.100.0/24)	
  	
                   Tunnel	
  src:	
  195.5.1.11	
                                  NHRP	
  Map	
  172.16.1.2(192.168.100.0/24)	
  	
  
                           to	
  195.5.111.10	
                                                Rouqng	
  tuning	
                                              to	
  195.5.111.10	
  
                                                                                               NHRP	
  Base	
  Setup	
  
                                    Dynamic	
  Rouqng	
  Protocol	
                                                                                                    Dynamic	
  Rouqng	
  Protocol	
  
                                                                                               NHRP	
  Setup	
  in	
  HUB	
  Style	
  
                                                                                               IPsec	
  Profile	
  
                            Who	
  have	
  	
  172.16.1.2	
  and	
  192.168.110.0?	
  

                                                  195.5.110.10	
                                                                                                                                                     Tunnel	
  0	
  
    Tunnel	
  0	
  
                                                                                                                                                                                                                     172.16.1.3/24	
  




                                                                                                                                    192.168.1.0/24	
  
    172.16.1.2/24	
  
    Tunnel	
  src:	
  195.5.111.10	
                                                                                                                                                                                 Tunnel	
  src:	
  195.5.110.10	
  
    NHRP	
  Base	
  Setup	
                                                                                                                                                                                          NHRP	
  Base	
  Setup	
  
    NHRP	
  Setup	
  in	
  SPOKE	
  Style	
                                                                                                                                                                          NHRP	
  Setup	
  in	
  SPOKE	
  Style	
  
    (where	
  find	
  HUB)	
                                                                  195.5.1.1	
                                                                                                             (where	
  find	
  HUB)	
  
    IPsec	
  Profile	
                         Rouqng	
  Table	
                                                                                                                           Rouqng	
  Table	
          IPsec	
  Profile	
  
                              D	
  192.168.1.0/24	
  Tunnel	
  0	
                                       Internet	
                                                            D	
  192.168.1.0/24	
  Tunnel	
  0	
  
                              D	
  192.168.110.0/24	
  Tunnel	
  0	
                                                                                                           D	
  192.168.100.0/24	
  Tunnel	
  0	
  
                     195.5.111.10	
                                                                                                                                                                  195.5.110.10	
  
                                                                                                         IKE	
  Phase	
  1	
  
                                                                                                 IKE	
  Phase	
  2	
  tunnels	
  

 192.168.100.0/24	
                                                                                              SRC_IP:	
                                 DST_IP:	
                                                 192.168.110.0/24	
  
                                                                                 Encrypted	
  Data	
  
                                                                                                               195.5.111.10	
                            195.5.110.10	
  
   SRC_IP:	
            DST_IP:	
  
192.168.100.10	
     192.168.110.10	
  
DMVPN	
  история	
  версий:	
  

                DMVPN	
  phase	
  1:	
                                             DMVPN	
  phase	
  2:	
  
                §  Трафик	
  всегда	
  идет	
  через	
  hub	
                     §  Появились	
  Spoke-­‐to-­‐Spoke	
  
                                                                                       Dynamic	
  Tunnels	
  




                  DMVPN	
  phase	
  3:	
  
                  §  Иерархический	
  hub	
  and	
  spoke,	
  spoke-­‐to-­‐spoke	
  tunnels	
  между	
  разными	
  
                      регионами	
  	
  
                       	
     	
           	
  In	
  phase	
  2: 	
   	
   	
   	
      	
  In	
  phase	
  3:	
  
Новые	
  подходы	
  и	
  принципы	
  работы	
  FlexVPN	
  
Flex	
  VPN	
  –	
  новый	
  подход	
  к	
  настройки	
  различных	
  видов	
  VPN	
  использующих	
  в	
  качестве	
  основы	
  VTI.	
  Данный	
  
подход	
  предполагает	
  унификацию	
  настроек	
  всех	
  	
  VPN	
  технологий.	
  
Использование	
  этого	
  подхода	
  дает	
  возможность	
  очень	
  гибко	
  применять	
  политики	
  для	
  каждого	
  
подключающегося	
  устройства/пользователя.	
  
	
  
Технология	
  Flex	
  VPN	
  базируется	
  на	
  использовании	
  стандарта	
  IKEv2	
  имеющего	
  целый	
  ряд	
  новых	
  функций	
  и	
  
возможностей:	
  
	
                                                                                                              Radius	
  Server	
  
§  4-­‐6	
  сообщений	
  для	
  установки	
  IPsec	
  SA	
  	
  
	
  	
  	
  	
  	
  	
  	
  (в	
  случае	
  выполнения	
  рекомендаций)	
  
§  Настройка	
  двух	
  сторонней	
  аутентификации:	
  
	
  	
  	
  	
  	
  	
  	
  authen1ca1on	
  local|authen1ca1on	
  remote	
  
	
  	
  	
  	
  	
  	
  	
  При	
  этом	
  на	
  направлениях	
  можно	
  	
  
	
  	
  	
  	
  	
  	
  	
  использовать	
  разные	
  типы	
  аутентификации	
  
§  Аутентификация	
  IKE	
  phase	
  1.5	
  –	
  EAP	
  
§  Защита	
  от	
  DoS	
  за	
  счет	
  использования	
  cookies	
  
§  IKE	
  Rou‰ng	
  –	
  Push	
  и	
  установка	
  маршрутов	
  в	
  	
  
	
  	
  	
  	
  	
  	
  	
  Rou‰ng	
  Table	
  без	
  использования	
  протоколов	
  	
  
	
  	
  	
  	
  	
  	
  	
  динамической	
  маршрутизации	
  
	
  
Для	
  настройки	
  важно	
  понимание	
  логики	
  работы	
  
ISAKMP	
  Profile	
  
	
  	
  	
  	
  	
  	
  	
  	
  
Компоненты	
  используемые	
  для	
  настройки	
  в	
  IOS:	
  
	
  	
  	
  	
  	
  	
  	
  	
  
	
  
§  AAA	
  Framework	
  –	
  используем	
  для:	
  
a)  Authenqcaqon	
  login	
  –	
  Radius	
  only.	
  Для	
  проведения	
  IKE	
  1.5	
  EAP	
  Authen‰ca‰on	
  
b)  Authorizaqon	
  Network	
  –	
  для	
  назначение	
  настроек	
  на	
  	
  Ini‰ator	
  (Local	
  Or	
  Radius)	
  
§  IKEv2	
  общие	
  настройки:	
  
a)  IKEv2	
  Proposal	
  –	
  наборы	
  правил	
  защиты	
  
b)  IKEv2	
  Policy	
  –	
  связка	
  Proposal	
  c	
  VRF	
  на	
  локальном	
  устройстве	
  или	
  с	
  конкретным	
  интерфейсом	
  
c)  IKEv2	
  Key	
  Ring	
  –	
  используется	
  в	
  случае	
  pre-­‐shared	
  authen‰ca‰on.	
  Задаем	
  Peer	
  IP/Name	
  и	
  Key	
  для	
  него.	
  	
  
                                 Кроме	
  того	
  задаем	
  Iden‰ty	
  –	
  как	
  представимcя	
  peer	
  а	
  так	
  же	
  собственный	
  ключ.	
  
§  IKEv2	
  расширенные	
  настройки:	
  
a)  IKEv2	
  Profile	
  –	
  Match/Set	
  элемент:	
  
	
                                                                          Match	
  (Peer)	
             Set	
  
	
                                                                          IP/FQDN/Domain…	
             AAA	
  eap	
  authen‰ca‰on	
  
	
                                                                          “OU”/Cer‰ficate	
  Map	
  	
   AAA	
  authoriza‰on	
  IF:	
  
	
                                                                                                        Local	
  with	
  IKEv2	
  authoriza‰on	
  
	
                                                                                                        Radius	
  with	
  ikev2	
  name-­‐mangler	
  
	
                                                                          email	
                       Key	
  Ring	
  
	
                                                                                                        PKI	
  trustpoint	
  
	
                                                                                                        …..	
  
	
  
c)  IKEv2	
  name-­‐mangler	
  –	
  извлекает	
  указанную	
  администратором	
  часть	
  из	
  IKE	
  Iden‰ty	
  для	
  авторизации	
  
d)  IKEv2	
  authorizaqon	
  policy	
  –	
  набор	
  настроек	
  который	
  будет	
  помещена	
  на	
  Ini‰ator	
  в	
  случаи	
  локальной	
  
                                 авторизации	
  	
  	
  	
  
                                  	
  
Сертифицированные	
  VPN	
  	
  решения	
  Cisco	
  	
  
В	
  чем	
  актуальность	
  сертифицированных	
  VPN	
  решений:	
  
	
  
§  Ограничения	
  на	
  ввоз	
  крипто	
  средств	
  на	
  территорию	
  Таможенного	
  союза	
  	
  	
  
§  Требования	
  локальных	
  нормативных	
  актов	
  использовать	
  отечественные	
  стандарты	
  
	
  
Компоненты	
  сертифицированного	
  VPN:	
  




NME-­‐RVPN	
  (МСМ)	
  с	
  ПО	
  CSP	
  VPN	
  Gate	
  –	
             Решение	
  CSP	
  VPN	
  Gate	
  на	
  платформе	
  
Модуль	
  в	
  ISR	
  G1/G2	
  (2811…/2911…)	
                          Cisco	
  UCS	
  C-­‐200	
  –	
  Высоко	
  производительное	
  решение	
  для	
  
Согласование	
  VPN	
  сессий:IKE	
                                     организации	
  подключения	
  большого	
  количества	
  филиалов	
  
Аутентификация:	
  Pre-­‐Shared/Cer‰ficate	
                             или	
  связи	
  между	
  ЦОД	
  
Шифрование:	
  ГОСТ	
  28147-­‐89/DES/3DES/AES	
  
Целостность:	
  ГОСТ	
  Р	
  34.11-­‐94/SHA/MD5	
  
Цифровая	
  подпись:ГОСТ	
  Р	
  34.10-­‐94/ГОСТ	
  Р	
  34.10-­‐2001	
  
Интерфейсы:	
  2	
  *1G	
  (внешний	
  и	
  внутренний)	
  
К	
  USB	
  может	
  быть	
  подключен	
  GSM/CDMA/WiMAX	
  
Возможные	
  варианты	
  внедрения	
  решений:	
  
  	
  
  Простой	
  Site-­‐to-­‐Site	
  (Модуль	
  за	
  маршрутизатором)	
  –	
  
  	
  
  	
                        R1_RVPN	
                                                                                                                        R2_RVPN	
  
                                                              R1	
                                                                   R2	
  
  	
  
                                                 .1	
                    195.5.111.10/24	
                195.5.110.1/24	
                     .1	
  
  	
                                      .2	
                                               Internet	
                                               .2	
  
  	
   192.168.101.0/24	
                                            Sta‰c	
  PAT	
                                 Sta‰c	
  PAT	
                                          192.168.110.0/24	
  
                                      172.16.1.0/24	
                                                                                   172.16.2.0/24	
  
  	
                                                                  UDP	
  500	
                                   UDP	
  500	
  
                                                                     UDP	
  4500	
                                  UDP	
  4500	
  
  	
  
  	
  
  Отказоустойчивость	
  в	
  центральном	
  офисе(Reverse	
  route	
  injecqon)	
  –	
  	
                                                                         10.0.0.0/24	
   Rou‰ng	
  table	
  
  	
                                                                                                                                                      RVPN_1	
             D	
  192.168.101.0/24	
  via	
  .2	
  
                                                                                                                                                                     .2	
      D	
  192.168.101.0/24	
  via	
  .3	
  
  	
                   R1_RVPN	
                      R1	
                                                                    R2	
               .2	
  

  	
                                     .1	
                    195.5.111.10/24	
                   195.5.110.1/24	
                   .1	
  
                                                                                        Internet	
  
  	
                              .2	
  
                                                                                                                                                .3	
  
                                                                                                                                                        RVPN_2	
  
                                                                                                                                                                     .3	
  
  	
  
192.168.101.0/24	
           172.16.1.0/24	
  
                                                             Sta‰c	
  PAT	
                                  Sta‰c	
  PAT	
                                                               192.168.110.0/24	
  
                                                              UDP	
  500	
                                    UDP	
  500	
           172.16.2.0/24	
  
  	
                                                         UDP	
  4500	
                                   UDP	
  4500	
  
  	
                                                                                                                                                             Dynamic	
  Rou‰ng	
  

  	
  
  Использование	
  в	
  качестве	
  транспорта	
  DMVPN	
  –	
  	
  
  В	
  такой	
  реализации	
  технология	
  DMVPN	
  используется	
  без	
  шифрования.	
  Информация	
  о	
  сетях	
  Internal	
  
  (Внутренний	
  интерфейс	
  модуля)	
  помещается	
  в	
  процес	
  маршрутизации	
  туннельных	
  интерфейсов.	
  Это	
  дает	
  
  возможность	
  VPN	
  устройствам	
  во	
  всей	
  сети	
  обменятся	
  информацией	
  о	
  Internal	
  Networks.	
  
DMVPN	
  demo	
  topology	
  



                                                                           R1	
  
                      R4	
                                        Easy	
  VPN	
  Server	
  
192.168.4.0/24	
                                                 DMVPN	
  HUB	
  Primary	
  
                                           195.5.5.0/24	
  
                               .4	
  
                                                                   .1	
                        .1	
  

                                                                                R2	
  
                                            Internet	
                      DMVPN	
  HUB	
              192.168.1.0/24	
  
                                                                             Secondary	
  

                      R3	
  
                                                                   .2	
                        .2	
  
192.168.3.0/24	
  
                                  .3	
  


                                                      .100	
  
Слушателям	
  сегодняшнего	
  вебинара	
  предоставляется	
  скидка	
  на	
  ближайший	
  курс	
  
CCNA	
  Security:	
  	
  
                              h¦p://skillfactory.ru/courses/ccna_security	
  
                                                            	
  
                             Промо	
  код	
  для	
  получения	
  скидки	
  -­‐	
  #SECFW	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
                                                            	
  
 Запись	
  семинара	
  а	
  также	
  ссылка	
  на	
  презентацию	
  будут	
  доступны	
  на	
  нашем	
  канале	
  
                                                     в	
  YouTube	
  
                          h¦p://www.youtube.com/user/SkillFactoryVideo	
  
                                         Спасибо	
  за	
  внимание!	
  	
  

Практические советы по выбору и настройке Cisco VPN

  • 1.
    Практические советы по выборуи настройке Cisco VPN ведущий: Сергей Кучеренко 16 апреля 2013 serg.kucherenko@getccna.ru
  • 2.
    О  чем  Мы  поговорим:   §  Классификация  и  принципы  построения  виртуальных  частных  сетей   §  Введение  в  криптографию     §  Логика  работы  Cisco  IOS/ASA  OS  c  Различными  VPN  технологиями   §  Принципы  выбора  VPN  технологии  под  специфическую  задачу   §  Организация  защищенного  удаленного  доступа  при  помощи  Easy  VPN  и  SSL  VPN   §  Построение  защищенных  распределённых  корпоративных  сетей  при  помощи    DMVPN   §  Новые  подходы  и  принципы  работы  FlexVPN   §  Возможности  реализации  сертифицированного  VPN    решения  на  базе  модуля  NME-­‐RVPN   §  Демонстрация  настройки  отказоустойчивой  DMVP  топологии  
  • 3.
    VPN  и  их  классификация:   VPN  (Virtual  Private  Network)  –  общее  название  для  группы  технологий  основной   задачей  которых  является  организация  распределенной  корпоративной  сети  через   общую  среду  передачи  данных  (ex:  Internet),  либо  же  организация  защищенного   удаленного  доступа   По  степени  доверия   По  назначению   VPN   Trusted   Intranet   VPN   VPN   Extranet   Secured  VPN   VPN   Remote  Access   VPN  
  • 4.
    По  степени  доверия:   Trusted  VPN  (Доверенный  VPN)  –  построение  VPN  без  использование  технологий  защиты   передаваемого  трафика  (ex:  шифрование),  Обычно  используется  при  использованием   провайдером  технология  предполагающих  изоляцию  заказчиков  друг  от  друга:     §  MPLS  VPN  –  L3  VPN  технология  применяемая  операторами  связи,  сеть  оператора  для   потребителя  услуги  выглядит  как  один  большой  маршрутизатор,  при  этом  потребители   изолированы  друг  от  друга.     §  VPLS  –  L2  VPN  технология  применяемая  операторами  связи,  сеть  оператора  для  потребителя   услуги  выглядит  как  один  большой  коммутатор,                при  этом  потребители  изолированы  друг  от  друга          
  • 5.
    Secured  VPN  (Защищенный    VPN)  –  VPN  технологии  которые  предполагает  защиту   передаваемого  трафика  с  помощью  различных  криптографических  методов       Bank  ABC  Moscow  Office   Bank  ABC  Kiev  Office   192.168.101.0/24   195.5.101.1/24   195.5.110.1/24   192.168.110.0/24   Internet   Ты  ли  Router  в  Киевском  офисе   1 Да  я,  знаю  пароль:cisco/У  меня  есть  сертификат   Host  A   DAT 2 ! Host  B   Обратные   DAT SRC_IP:   DST_IP:   A   @2a   преобразования   A   A   B   3 4 Контро Контро ! SRC_IP:   DST_IP:   SRC_IP:   DST_IP:   DAT SRC_IP:   DST_IP:   льная   льная   сумма   сумма   @2a   A   B   195.5.101.1   195.5.101.1   A   A   B   При  таком  подходе  может  происходить  (используется  один  или  несколько  способов  защиты):   1.  Аутентификация  –  конечные  устройства  проверяют  принадлежность  друг  друга  к  данной  VPN   сети   2.  Шифрование  –  передаваемые  данные  скрываться,  только  участники  VPN  сети  способны  их   прочитать   3.  Проверка  целостности  –  проверяется  что  пакеты  были  доставлены  в  неизменённом  виде   4.  Инкапсуляция  (Туннелированные)  –    IP  адресация  исходных  пакетов  скрываются  за   адресами  конечных  точек  туннеля    
  • 6.
    По  назначению:   § Intranet  VPN  –  Организация  VPN  сети  между  территориально  распределенными   подразделениями  одной  организации.  Существует  большое   количество  вариантов  организации  такого  типа  VPN  сети.         §  Extranet  VPN  -­‐  Организация  VPN  сети  между  различными  организациями                (Ex:  подключение  банка  к  процессинговому  центру).При                организации  такого  типа  VPN  подключения  как  правило                используются  дополнительные  устройства  защиты:  Firewall/IPS.                   §  Remote  Access  VPN  –  использование  VPN  технологий  для  организации  защищенного   доступа  мобильных  сотрудников  к  ресурсам  предприятия.              Разделяется  на  два  подвида:              Client  VPN  -­‐    на  устройство  сотрудника  ставится  специально              ПО  (VPN  client),  на  устройстве  создается  виртуальный                сетевой  адаптер  которому  присваивается  внутренний  IP              Кроме  того  функционал  VPN  клиента  присутствует  в  Cisco  IOS  и                ASA.              Clientless  –  клиент  не  требуется,  доступ  к  ресурсам                предприятия    через  браузер  
  • 7.
    Cisco  VPN   По  назначению  VPN  технологии  Cisco  можно  разделить  следующим  образом:         Remote  Access   Intranet   VPN   VPN   Extranet   Site-­‐to-­‐Site   VPN   Easy  VPN   Crypto  Map   (D)VTI   Dynamic  VTI   Flex  VPN   DMVPN   Anyconnect  (SSL)   GET  VPN   Clientless  (SSL)   MacSec  
  • 8.
    Основы  криптографии:   Шифрование  (encrypqon)  –  обратимое  преобразование  информации,  при  котором   ее  исходное  состояние  могут  восстановить  только  авторизированные  пользователи.     Компоненты  шифрования:     §  Алгоритм  –  стандарт  преобразования  информации,  принцип  работы  которого   как  правило  обще  известен.  Алгоритмы  разделяться  на:   a)  Симметричные  (Symmetric)   b)  Асимметричные  (Asymmetric)     §  Ключ  (Key)–  уникальный  параметр  известный  только  авторизированный   участника  позволяющий  используя  всем  известный  алгоритм  уникально  скрывать   информацию.  
  • 9.
    a)  Симметричное  шифрование:   195.5.101.1/24   195.5.110.1/24   Internet   Encryp‰on/Decryp‰on   Encryp‰on/Decryp‰on   process   process   DAT ! DAT A   @2a   A   Симметричные  алгоритмы  шифрования  предполагают  наличия  общего  ключа  у  обоих  участников   процесса,  этот  ключ  используется  как  для  шифрования  так  и  для  расшифровки  информации.  К   таким  алгоритмам  относятся:   §  DES/3DES   §  AES   §  Локальные  алгоритмы   Основной  проблемой  симметричного  шифрования  является  безопасная  доставка  общего  ключа        
  • 10.
    b)  Асимметричное  шифрование:   Moscow   Kiev   195.5.101.1/24   195.5.110.1/24   Internet   Kiev     Moscow   Public  Key   Public  Key   Encryp‰on   Decryp‰on   process   process   DAT ! DAT A   @2a   A   Moscow   Kiev   Private  Key   Private  Key   Kiev     Moscow   Public  Key   Public  Key   Ассиметричное  шифрование  предполагает  создание  двух  ключей:  Приватного  и  Публичного,  при  этом  ключи   связаны  между  собой  –  Все  что  была  зашифровано  публичным  ключом    можно  расшифровать    приватным  и  на   оборот.   Алгоритмы  ассиметричного  шифрования:  RSA,  Diffie–Hellman  ….   Note:  ассиметричное  шифроване  ресурсоемкий  процесс.  Для  шифрования  данных  не  используется,   используется  в  основном  для  генерации  сессионных  ключей  для  симметричных  алгоритмов,  а  так  же  для   создания  цифровых  сертификатов.  
  • 11.
    Хеширование  (hashing)    –  не  обратимое  преобразование  информации,  предполагающее   преобразование  сообщения  переменной  длинны  в  строку  постоянной  длинны.   В  VPN  технологиях  используется  для  проверки  целостности  сообщения  (предотвращение  его   изменения  в  пути=контроль  целостности)       195.5.101.1/24   195.5.110.1/24   Internet   DAT A   ? DAT DAT HASH   HASH   HASH   A   A   Если  на  принимающей  стороне  рассчитанное  и  полученное  значение  совпадут,  значит  пакет   не  менялся  на  маршруте  следования.   Алгоритмы    Хеширования:   §  MD5   §  SHA   §  Локальные  стандарта        
  • 12.
    Цифровая  подпись  –  построенный  на  алгоритмах  асимметричного  шифрования  способ   однозначной  проверки  личности  отправителя.             R1.moscow.corp.com   R2.kiev.corp.com   195.5.101.1/24   195.5.110.1/24   Internet   Kiev     Moscow   Public  Key   Public  Key   Encryp‰on   Decryp‰on   process   process   R1.moscow.corp .com   Data  Already   Kiev   Moscow   Encrypted     Private  Key   Private  Key   ! ! 2!3:   2!3:   @2a   @2a   Digital   Signature   Использование  Digital  Signature  предполагает  следующие  этапы:   1.  С  использование  Private  key  зашифровывается  идентификатор  устройства  (ex:  его  FQDN)   2.  Цифровая  подпись  добавляется  к  передаваемым  данным   3.  Принимающие  устройство    используя  открытый  ключ  отправителя  расшифровывает  Digital  Signature  и   может  прочитать  имя  отправителя     Note:    Здесь  срабатывает  правила  взаимосвязи  между  Private  и  Public  key  а  так  же  то  что  Private  key  никому  не   передается  а  следовательно  только  отправитель  мог  зашифровать  свое  имя.    
  • 13.
    Сертификаты    –  способ  аутентификации  устройствами/пользователями  друг  друга     базирующийся  на  PKI   PKI  (Public  Key  Infrastructure)  –  инфраструктура  публичных  ключей.       Данная  технология  предполагает  возможность  получения  всеми  устройствами     цифровых  сертификатов  –  электронный  документ  который  выдаться  центром  сертификации   (Cer1ficate  Authority(CA)-­‐  приложение  запущенное  на  сервере  или  сетевом  устройстве)  и   подтверждает  подлинность  устройства/пользователя.     Технология  в  VPN  применяется  для  аутентификации  точек  сети  или  удаленных  пользователей.   Традиционно  для  аутентификации  использовались  pre-­‐shared  key  (ключ  известный  обоим   устройствам  которые  создают  туннель),     но  данный  подход  имеет  проблемы  с  масштабированием     При  построении  Full-­‐mash  VPN  сети  на  каждом  устройстве   нужно  указать  n-­‐1  pre-­‐shared  ключей.        
  • 14.
    Сертификаты  –  как  это  работает?   1.  МаршрутизаторNY    с  включенным   функционалом      CA  генерирует  свой  сертификат  -­‐   1 это  root  сертификат  и  все  желающие  получить   NY   сертификат  у  этого  CA  должны  доверять  его   IOS_CA_NY.corp.com   Private  Key   сертификату.   CRL  list   Сертификат  содержит:   §  Имя  устройства(LDAP  X500  format)   §  Его  Публичный  ключ(NY  public  Key)   §  Его  цифровую  подпись  (Digital  Signature)   NY   §  Cerqficate  life  qme   Router  Moscow  выполняет:   Public  Key   §  CDP  URL  –  ссылка  на  CRL  list*   1.  Запрос  Root  Cerqficate,  администратор  должен           Кроме  того  создаться  CRL  (Cer‰ficate  Revoca‰on   подтвердить  что  он  доверяет  этому  CA   list)  –  список  отозванных  сертификатов   IOS_CA_NY.corp.co 2.  R1  посылает  запрос  на  получение  сертификата,  в  котором:   m   *  -­‐  опционально   §  Router  Public  Key   §  Router  name  (LDAP  X500  format)     Router  Kiev  выполняет:   CA  генерирует  и  возвращает  сертификат  в  котором:   Тот  же  набор  действий  что  приводит  к   §  Router  Public  Key   получению  сертификата     §  Cerqficate  life  qme   §  Router  name  (LDAP  X500  format)   §  CA  Name(LDAP  X500  format)   §  CA  Digital  Signature   R1.corp.com   R2.corp.com   1 2 Kiev   Moscow   R2.corp.com   R1.corp.com   Private  Key   Private  Key   R  Moscow  public  key     R  Kiev  public  key     Moscow   Internet   Kiev   R2  name  encrypted   R1  name  encrypted   by    R2    private  key       by  R1      private  key       Check  CA  Signature   Check  CA  Signature   Check  Peer  Signature   Authen‰ca‰on  –   Check  Peer  Signature   Kiev     Moscow   Check  CRL  List   Cer‰ficate  Exchange   Check  CRL  List   Public  Key   Public  Key   Cer‰ficate  Life‰me   Cer‰ficate  Life‰me  
  • 15.
    Набор  протоколов  IPsec:   Исторически  сложилось  так  что  протокол  IP  не  имел  никаких  встроенных  средств  защиты  передаваемых   данных,  для  этих  целей  существует  расширение  IPsec.     IPsec  (IP  security)  –  набор  стандартов  задачей  которых  является  обеспечить  (может  быть  обеспечено  все  или   некоторые  части):   §  Согласование  параметров  защиты  между  устройствами(Nego‰a‰on  Protocols)   §  Защищённая  генерация  сессионных  ключей  для  симметричного  шифрования    (Session  key  genera‰on)     §  Инкапсуляцию  трафика  (Encapsula‰on  methods)     §  Шифрование  передаваемого  трафика  (Encryp‰on  protocols)   §  Проверку  целостности  предаваемого  трафика(Hashing  Protocols)   IPsec   §  DES   §  IKEv1,2   §  DH1   §  MD5   §  3DES              (ISAKMP)   §  DH2   §  AH   Hashing   §  SHA   §  AES     §  Manual   Nego‰a‰on   §  Session  key   DH5   §  ESP   Encryp‰on   §  Local   protocols  §  Local   protocols   §  DH7   Encapsula‰on   protocols   standards   standard genera‰on   s  
  • 16.
    Crypto  ISAKMP  profile  –  VPN  Gatekeeper  in  Cisco  IOS   Crypto  ISAKMP  Profile  –  компонент  в  конфигурации  IOS  VPN  который  дает  возможность  гибко  применять  VPN   политики  для  различных  Peer.     По  логике  работы    VPN  в  Cisco  IOS  ещё  до  начала    согласования  IKE,  для  каждого  входящего  соединения   выполняется  поиск  соответствующего  ему  ISAKMP  Profile   Если  про  файлов  нет  или    соответствие  не  найдено  идет  проверка  IKE  policy   Crypto  ISAKMP  Profile  Match  –  поиск  соответствующего  peer  profile  проходит  по  IKE  ID,   этот  параметр  всегда  присутствует  в  IKE  Proposal  пакете.    IKE  ID  зависит  от  типа  VPN  и   настроек  удаленной  стороны.  Match  доступен  по:   §  Group  name  –  имя  VPN  group  настроенной  на  клиенте  или  значение  поля  OU  в   цифровом  сертификате  peer   §  IP  address  –  ip  address  или  адрес  сети  в  которой  находится  peer   §  Host  {FQDN|domain}  –  FQDN  имя  peer,  или  domain  в  этом  имени   §  User  {FQDN|domain}  –  FQDN  имя  пользователя,  или  domain  в  этом  имени   Наиболее  часто  для  Iden‰ty  Match  используются  Group  name    &  IP  address     Случаи  использования  Crypto  ISAKMP  Profile:     §  Требуются  различные  IKE  phase  1  параметры  для  разных  peer  –  например  мы  хотим  использовать  для   различных  Peer  различные  Trustpoints   §  На  маршрутизаторе  настроен  VRF  –  IKE  profile  обязательный  компонент  VRF-­‐aware  IPsec   §  Использование  различных  типов  VPN  на  одном  устройстве  –  на  пример  на  одном  маршрутизаторе  мы   принимаем  как  Site-­‐to-­‐Site  так  и  Remote  Access  VPN  подключения      
  • 17.
    IKE    (Internet  Key  Exchange)–  этот  набор  протоколов  позволяющий  двум  участникам  VPN  соединения   согласовать    параметры  защиты,  аутентифицировать  друг  друга  а  так  же  создать  ключи  для  симметричного   шифрования  трафика  данных.       Процесс  работы  IKE  состоит  из  двух  этапов*:   1.  IKE  phase  1–  согласование  параметров  контрольного  соединения  и  защищенная  аутентификация   участников.  В  процессе  работы  согласовываем:   §  Control  Connec‰on  Encryp‰on  (Варианты:  DES/3DES/AES/Local  Standards)   §  Control  Connec‰on  Hashing  (Варианты:  MD5/SHA-­‐HMAC/Local  Standards)   §  Authen‰ca‰on  Type  (Варианты:  Pre-­‐shared  key/Cer‰ficate)   §  Session  key  genera‰on  type  (Варианты:  DH1/DH2…)   Note:    В  результате  участники  должны  выбрать  одинаковые  параметры,  установить  защищённое   соединение  и  аутентифицировать  друг  друга.     *  -­‐  существует  фаза  IKE  1.5   Используется  для  Remote  Access  VPN     IKE  phase  1  может  работать  в  двух  режимах:   Main  Mode:   Main  Mode  –  процесс  согласования  состоит  из   Согласование   параметров   шести  сообщений  (приведен  на  рисунке).     Этот  тип  согласования  является  более   Генерация   сессионных  ключей   безопасным.   Aggressive  Mode  –  обмен  тремя   Аутентификация   сообщениями,  соединение  устанавливается   быстрее,  менее  безопасный  режим  
  • 18.
    2.      IKE  phase  1,5  –  расширение  к  стандарту  IKE,  является  не  обязательным  этапом.  Этот  этап  используется  при   установки    Remote  access  IPsec  соединения.     На  этом  этапе  выполняется  два  основных  действия:     §  Xauth    (Extended  Authenqcaqon)  –  аутентификация  и  авторизация  подключаемого  пользователя   §  Push    Configuraqon  –  в  зависимости  от    результата  аутентификации/авторизации  клиенту  возвращается   целый  ряд  настроек:   a)  IP  address   b)  DNS/WINS  server  IP   c)  Domain  name   d)  Split  Tunnel  Network  List   e)  Split  DNS  domain  list   f)  И  другие  
  • 19.
    3.  IKE  phase  2–  согласование  параметров  защиты  передаваемых  данных,  задача  фазы  установить  шифрованный   туннель  для  передачи  данных     В  процессе  работы  согласовываем:   §  Encapsula‰on  method  and  his  mode  (Варианты:  AH  transport/AH  tunnel/ESP  transport/ESP  tunnel)   §  Интересный  трафик    -­‐  сети  при  обмене  данными  между  которыми  требуется  шифрование*                  *  -­‐  относится  только  к  традиционным  VPN  на  crypto  map,  для  всех  остальных  более  современных          типов  VPN  в  качестве  указания  что  шифровать  используется  таблица  маршрутизации   §  Data  Connec‰on  Encryp‰on  (Варианты:  DES/3DES/AES)   §  Data  Hashing  (Варианты:  MD5/SHA-­‐HMAC)     IKE  использует  UDP  des‰na‰on  port  500,  всегда  нужно  убедиться  что  этот  порт  не  блокируется  нигде  на  транзите     IKE  Phase  2  завершается  установкой  двух  зашифрованных  соединений  (одно  на  прием  другое  на  передачу  на   каждом  устройстве)  –  каждое  такое  соединение  называется  Security  Associaqon   Security  Associaqon  –  уникально  идентифицирует  каждое  VPN  соединение,  для  того  чтоб  устройство  могло   понять  к  какому  VPN    соединению  относится  данный  пакет  существует  специальная  метка  SPI  (security   parameter  index)  
  • 20.
    Encapsulaqon  methods  and  their  modes-­‐  существует  два  метода  инкапсуляции  пакетов:     AH  (Authenqcaqon  header)  -­‐      более  старый  способ  инкапсуляции,  при  его  использовании  доступен  только   контроль  целостности  передаваемых  пакетов.   Использует  IP  protocol  51   Может  работать  в  двух  режимах:   1.  AH  transport  mode  –  сокрытие  адресов  источника  и  получателя  не  происходит   2.  AH  tunnel  mode  –  происходит  сокрытие  адресов  источника  и  получателя   Note:  из  за  того  что  пакет   аутентифицируется  целиком   VPN  построенный  на  AH  не   может  пройти  через  NAT    
  • 21.
    ESP  (Encapsulated  security  payload)  -­‐      более  новый  способ  инкапсуляции,  при  его  использовании  доступна  как   проверка  целостности  так  и  шифрование  пакетов.   Использует  IP  protocol  50   Может  работать  в  двух  режимах:   Note:  В  отличии  от  AH  ESP  способен  проходить   1.  ESP  transport  mode   через  NAT  за  счет  того  что  IP  header  не   2.  ESP  tunnel  mode   аутентифицируется  .   В  случи  со  sta‰c  NAT  никаких  проблем  вообще  не   возникает.   В  случае  присутствия  на  транзите  устройств   выполняющих  Dynamic  NAT  для  их  успешного   преодоления  используется:   NAT-­‐T  (NAT  traversal)  –  технология  позволяющая   преодолевать  ESP  пакетам  Dynamic  PAT.  Как  это   работает:   1.  На  этапе  IKE  согласования  устройства  выявляют   NAT  на  транзите  (Детектирование  происходит  за   счет  помещения  в  пакет  hash  IP  header)   2.  Для  передачи  данных  начинают  использовать   des‰na‰on  UDP  port  4500  
  • 22.
    Работа  Cisco  c  различными  VPN  технологиями   Условно  по  логике  работы  все  Secured  VPN  технологии  реализованные  на  оборудовании   компании  Cisco  можно  разделить  на  несколько  групп.  Каждая  группа  характеризуется  своим   уникальным  набором  функций  понимание  которого  крайне  важно  при  выборе  технологии  ее   внедрении  и  последующем  поиске  и  устранении  не  исправностей.           Cisco  VPN   VPN  on   Dedicated   Tunnel  Less   L2  VPN   SSL  VPN   Crypto  Maps   Tunnel  Interface   VPN   L2L  Crypto  map   Staqc  VTI   GETVPN   MacSec   Clientless   Easy  VPN   Dynamic  VTI   Client   DMVPN   Flex  VPN  
  • 23.
    Логика  работы  VPN  (Crypto  Map)   R2.corp.com   192.168.110.0/24   1.  IKE  phase  1   195.5.110.1/24   R1.corp.com   192.168.101.0/24   F0/0   Rouqng  Table   1 195.5.101.1/24   Packet  to   Internet   S*  0.0.0.0/0  f0/1   192.168.101.100   F0/0   ISAKMP  profile     IKE  phase  1   2 ISAKMP   Tunnel  Group   IF  traffic  go     F0/0  Crypto  map     Search   политики   profile   Sequence   FROM   Number  100   3 (192.168.110.0/24)     No  Match   TO   Seq   ISAKMP  policy  10   Drop   (192.168.101.0/24)      200   Check   IF  Specified   Seq   THEN   . Connecqon   .    300   Encrypt   No  Match   . AND   Send  to  195.5.101.1   ISAKMP  policy   IKE  phase  1   Drop   65535  Check   политики   Connecqon   4 DH  key  generaqon   NAT-­‐T   5 DH  key  generaqon   Key  Ring  from   NAT-­‐T   Tunnel  Group   ISAKMP  Profile   6 Kiev  pre-­‐ shared  key  or   No  Match   Tunnel  Secured  by   Cerqficate   Authen‰ca‰on   No  Match   Authen‰ca‰on   Drop   IKE  phase  1  policy   Moscow  pre-­‐ shared  key  or   Drop  Connecqon   Connecqon   Cerqficate   Match   Match   Go  to  IKE  Phase  2   Go  to  IKE  Phase  2  
  • 24.
    R_kiev.corp.com   192.168.110.0/24   2.  IKE  phase  2   195.5.110.1/24   R_moscow.corp.com   192.168.101.0/24   F0/0   195.5.101.1/24   Internet   F0/0   Search  Peer     IP  (195.5.110.1)  in  crypto   map  on  F0/0  interface   1 На  стороне  Kiev  Crypto  Map   Crypto-­‐Map  VPN  seq  100   была  найдена  при  обработке   исходящего  пакета   No  Match   Crypto-­‐Map  VPN     Crypto-­‐Map  VPN  seq  65535   Drop   seq  65535   Tunnel  Secured  by  IKE  phase  1  policy   No   Connecqon   Mach   Методы  защиты  Phase  2/Proxy  Idenqty  (Crypto  ACL)/ 3 Match   DH  для  генерации  ключей  защиты  данных   Parameters  Match   Извлечь  из  Crypto  map:   2 Drop   §  Transform  set  –  какими   Connecqon   алгоритмами  защищать  данные   Методы  защиты  Phase  2/Proxy  Idenqty  (Crypto  ACL)/ §  Crypto  ACL  –  трафик  между   DH  для  генерации  ключей  защиты  данных   какими  сетями  шифровать     No  Match   Parameters  Match   Прием   Передача   Drop   Connecqon   Передача   Прием   Отличия  в  случае  Easy  VPN:   1.  Инициатор  подключения  (Client)  в  место  crypto  map  использует  IPSEC  Client  Profile  (Описание  как  выполнить  подключение  к  Server)   2.  На  стороне  сервера  приходит  аутентификация/авторизация  -­‐       a)  ASA  –  правила  AAA  извлекаются  из  tunnel-­‐group      b)  Router  –  правила  AAA  извлекаются  из  Crypto-­‐map  or  ISAKMP    Profile     3.  Выполняется  Push  конфигурации  на  клиента   а)  ASA  –  конфигурация  извлекается  из  Group-­‐policy    b)  Router  –  конфигурация  извлекается  из  ISAKMP  Client  Group  or  Radius  
  • 25.
    Логика  работы  VPN  (Dedicated  Tunnel  Interface)   192.168.110.0/24   1.  IKE  phase  1/2   195.5.110.1/24   R1.corp.com   192.168.101.0/24   F0/0   Rouqng  Table   1 195.5.101.1/24   Packet  to   Internet   S  192.168.101.0/24  Tunnel  0   192.168.101.100   F0/0   Rouqng  Table   Tunnel  0   S  192.168.110.0/24  Tunnel  0   172.16.1.1/24   IKE  phase  1   Tunnel  src:  195.5.110.1   Tunnel  0   Nego‰a‰on   Tunnel  dst:  195.5.101.1   172.16.1.2/24   Tunnel  src:  195.5.101.1   IKE  Phase  2  security  Policy   Tunnel  dst:  195.5.110.1   (IPsec  Profile)   IKE  Phase  2  security  Policy   IKE  phase  1   (IPsec  Profile)   Authen‰ca‰on   No  Match   No  Match   IKE  phase  2  Policy   Parameters  Match   Parameters  Match   Proxy  Iden‰ty  0.0.0.0/0   Drop   Drop   Connecqon   Connecqon   Прием   Передача   Передача   Прием   Отличия  в  случае  DVTI:   1.  Инициатор  подключения  (Client)  в  место  Tunnel  Interface  использует  IPSEC  Client  Profile   2.  На  сервере  и  клиенте*  туннельные  интерфейсы  создаются  динамически     2.  На  стороне  сервера  приходит  аутентификация/авторизация  -­‐    Router  –  правила  AAA  извлекаются  из  ISAKMP  Profile     3.  Выполняется  Push  конфигурации  на  клиента  -­‐  Router  –  конфигурация  извлекается  из  ISAKMP  Client  Group  or  Radius   Отличия  в  случае  DMVPN:   1.  Использование  протокола  NHRP  для  динамического  определения  Tunnel  Des‰na‰on   *-­‐в  случаи  использования  Hardware  Client  
  • 26.
    Логика  работы  VPN  (Tunnel  Less  VPN)   192.168.10.0/24   KS  primary   GOOP  Protected  by  IKE  phase  1   KS  secondary   encrypt  192.168.0.0/16   GM   GM   encrypt  192.168.0.0/16   to  192.168.0.0/16   to  192.168.0.0/16   GDOI  Protected  by  IKE   GDOI  Protected  by  IKE   phase  1   phase  1   MPLS   VPN   PE1   PE2   Rouqng  Table   Rouqng  Table   GM   O  192.168.100.0/24  via  PE2   GM   O  192.168.110.0/24  via  PE1   Прием  From  Any   Прием  From  Any   Передача    To  Any   Передача    To  Any   192.168.100.0/24   SRC_IP:   DST_IP:   192.168.110.0/24   Encrypted  Data   192.168.100.10   192.168.110.10   SRC_IP:   DST_IP:   192.168.100.10   192.168.110.10   GETVPN    –  технология  без  туннельного  шифрования  (сокрытие  исходных  IP  адресов  не  происходит).   Маршрутизаторы  в  этой  технологии  разделятся  на    два  типа:   §  Key  server  (KS)–  маршрутизатор  отвечающей  за  регистрацию  всех  других  Routers  в  группе,   периодическую  генерацию  ключа  для  защиты  данных  и  безопасную  доставку  этого  ключа  всем   участникам  группы.                Кроме  того  сообщает  всем  –  какой  именно  трафик  они  должны  шифровать.   §  Group  Member  (GM)  –  должен  зарегистрироваться  на  своем  Key  server(s)  и  получать  с  него  всю   необходимую  информацию,  при  наличии  интересного  трафика  выполнять  его  защиту.     COOP  (Co-­‐operaqve  Key  Server)  -­‐      технология  резервирования  Key  Server  
  • 27.
    Логика  работы  L2    VPN  (MacSec)   MACSEC    (IEEE  802.1AE)–  технология  шифрования  на  L2  дающая  возможность  выполнять  шифрование  ПК-­‐ Коммутатор,  Коммутатор  –  Коммутатор,  шифрование  выполняется  на  скорости  интерфейса.  Процес   шифрования  выполняется  hop-­‐by-­‐hop     MacSec  Enabled  SW:   1.  End  Staqon-­‐Switch  encrypqon   §  3750/3560-­‐X  with  C3KX-­‐SM-­‐10G   802.1X-­‐REV  Enabled  AAA   §  45хх  with  Sup  7-­‐E,  Sup  7L-­‐E  and  WS-­‐X47XX  line  cards   Server:   §  MacSec  Enabled  NIC   §  65xx  with  Sup  2T  and  6900  series  line  cards   §  Cisco  ACS   §  Cisco  Anyconnect   §  Nexus  7000  all  line  cards  except  F-­‐Series   §  Cisco  ISE   Corporate   Network   802.1X  Using  EAP-­‐TLS  or  EAP-­‐FAST   connec‰vity   connec‰vity   associa‰on  key  (CAK)   MaCsec  Key  Agreement  (MKA)   associa‰on  key  (CAK)   Session  Key  Genera‰on   Radius  Access  Accept   connec‰vity   AVP:CAC   MacSec  Protected   associa‰on  key  (CAK)   2.  Switch  to  Switch    encrypqon   Seed  Device   Corporate   Network   Network  Device  Admission  Control   Network  Device  Admission  Control   (NDAC)  provide  802.1x  using  EAP-­‐FAST   (NDAC)  provide  802.1x  using  EAP-­‐FAST   Security  Associa‰on  Protocol  (SAP)   Session  Key  Genera‰on   MacSec  Protected  
  • 28.
    Принципы  выбора  VPN  технологии  под   специфическую  задачу   1.  Способ  реализации   §  Remote  Access  VPN   §  Site-­‐to-­‐Site  VPN   VS   2.  Уровень  модели  OSI  на  котором  будет  происходить  туннелированные     §  Transport  Layer  –  единственная  технология  SSL  VPN,  возможно  как  клиентская  так  и  без   клиентская  реализация   §  Network  Layer  -­‐      все  другие  технологии  кроме  MacSec   §  Data  link  Layer  –  технология  MacSec,  организация  защищенного  L2  соединения  между   площадками     3.  Наличие  требования  локальных  регуляторов   NME-­‐RVPN  
  • 29.
    2.  VPN  топология  (site-­‐to-­‐site  only)   §  Hub  and  spoke/hierarchical  hub  and   §  Full  mash/parqal  mash   spoke/Centralized  Hub  and  spoke     VS   3.  Реализация  отказоустойчивых  подключений     §  Dynamic  rouqng   §  IOS  IP  SLA   Dynamic   rou‰ng   VS   protocol   Провайдер  1   Провайдер  2   Провайдер  1   Провайдер  2   Ping  
  • 30.
    3.  Тип  транспорта   §  Internet   §  WAN:              Услуга  от  оператора:   a)  VPN  MPLS   b)  VPLS   c)  Предоставление  волокна/предоставление  λ  в  волокне                 4.  Требуется  шифрование  mulqcast  traffic  –   Не  все  VPN  технологии  поддерживают  передачу  через     туннели  mul‰cast  traffic         5.  Размеры  сети–   Количество  узлов  сейчас,  планируемый  рост        
  • 31.
    Что  получается:   Способ   Уровень  модели   Топология   Отказоустойчивость   Транспорт   Поддержка   Применение   реализации   OSI   Mulqcast   L2L  Crypto   Site-­‐to-­‐Site   Network   Hub  and  Spoke   SLA/IKE  Dead  pear   Internet/   нет   Не  большие   map   Detec‰on/  State  full    IPSEC   WAN   филиальные  сети   Easy  VPN   Remote  Access   Network   Hub  and  Spoke   SLA/IKE  Dead  pear   Internet   нет   Просто  уделенный   (Client  to  Site)   Detec‰on/  State  full    IPSEC   доступ   Staqc  VTI   Site-­‐to-­‐Site   Network   Hub  and  Spoke   Dynamic  Rou‰ng   Internet/   да  через  hub   Не  большие     WAN   филиальные  сети  с   поддержкой   Dynamic  Rouqng   Dynamic   Remote  Access   Network   Hub  and  Spoke   SLA/IKE  Dead  pear  Detec‰on   Internet   да  через  hub   Удаленный  доступ  с   VTI   (Client  to  Site)   гибким  QoS   DMVPN   Site-­‐to-­‐Site   Network   Hub  and  Spoke/   Dynamic  Rou‰ng   Internet/   да  через  hub   Крупные   Spoke  to  Spoke   WAN   распределенные   сети   Flex  VPN   Site-­‐to-­‐Site/   Network   Hub  and  Spoke   SLA/IKE  Dead  pear   Internet/   да  через  hub   Единое  решение   Remote  Access   (Client  to  Site)/   Detec‰on/     WAN     для  поддержки   Hub  and  Spoke/   Dynamic  Rou‰ng     Remote  Access  &   Spoke  to  Spoke   Site-­‐to-­‐Site   GETVPN   Site-­‐to-­‐Site   Network   Any-­‐to-­‐Any   KS:COOP   WAN:   Да   Крупные   GM:Dynamic  Rou‰ng   MPLS  VPN   распределенные   VPLS   сети  имеющий  WAN   MacSec   Device-­‐to-­‐Device   Data  Link   Any-­‐to-­‐any   EtherChannel   LAN   Да   Шифрование  L2   Virtual  Port  Channel   Dark  Fiber   Clientless   Remote  Access   Transport   Hub  and  Spoke   Failover   Internet   Нет   Удаленный  доступ   SSL  VPN     (Client  to  Site)   через  WEB  Браузер   Client  SSL   Remote  Access   Transport  with   Hub  and  Spoke   Failover   Internet   Нет   Гибкий  уделенный   VPN     Network   (Client  to  Site)   доступ   encapsulated  
  • 32.
    Организация  защищенного  удаленного  доступа   Cisco  Easy  VPN  –  технология  защищенного  удаленного  доступа  использующая  в  качестве  транспорта  набор   протоколов    IPSEC.  По  логике  технологии  участники  построение  VPN  сети  делятся  на  два  типа:     §  Server  –  устройство  которое  принимает  подключения  от  удаленных  клиентов,  проводит  их   аутентификацию  и  настройку  (Выдает  IP  адрес  в  корпоративной  сети,  сообщает  трафик  для  каких  сетей   следует  отправлять  в  туннель,  а  так  же  выдает  дополнительные  настройки)                Роль  Easy  VPN  Server  доступна  на  Cisco  IOS,  Cisco  ASA.     §  Client–  осуществляет  подключение  к  определенному    серверу,  на  клиенте  описаны  все  возможные   варианты  политик  защиты  данных,  клиент  посылает  все  эти  политики  на  сервер,  и  сервер  выбирает  из   них  наиболее  подходящую.     Роль  Client  Может  выполнять:   §  Cisco  Easy  VPN  Client  –  ПО  устанавливаемое  на    ПК  пользователя   §  Hardware  IPsec  Client  –  функционал    Router  &  ASA     На  клиенте  выполняются    базовые  настройки:   §  Указывается  IP/Name  VPN  Server   §  Задается  имя  Group  (Указывается  в  ручную,  или  используется                  OU  field  из  сертификата)   §  Настройки  необходимый  для  XAUTH   §  В  случае  Hardware  Client  –  причина  инициализации  туннеля  
  • 33.
    DAP   (Dynamic  Access  Policy)*   Authoriza‰on:   Username/Password/Cer‰ficate   Authen‰ca‰on:   ASA  -­‐  Group-­‐Policy:  Local/Radius/Policy  name   LOCAL/RADIUS/LDAP   from  AD  group  name   Router  –  ISAKMP  Client  Profile:  Local/Radius   Проверить  включен  ли  Firewall   Configura‰on  (IP/DNS/WINS)   192.168.151.10/24    Расширенная  конфигурация   Route  to:   Client  ACL   0.0.0.0/0   Original  IP   IPSec   SRC_IP:   DST_IP:   and  other   Packet   Header   195.5.111.10   195.5.110.1   Proxy   Server   195.5.110.1/24   SRC_IP:   DST_IP:   Internet   192.168.110.0/24   192.168.151.10   192.168.110.10   195.5.111.10/24   Host  B   Cisco  Easy  VPN  Hardware  Client,  как  это  работает   a)  Client  Mode       Username/Password/Cer‰ficate   Configura‰on  (IP/DNS/WINS)   192.168.100.0/24   195.5.111.10/24   195.5.110.1/24   Internet   192.168.110.0/24   Dynamic  PAT   SRC_IP:   DST_IP:   SRC_IP:   DST_IP:   192.168.100.10   192.168.110.10   192.168.151.10/24   192.168.151.10   192.168.110.10   SA  for  Interes‰ng  Traff  
  • 34.
    b)  Network  Extension  Mode       Username/Password/Cer‰ficate   My  local  network  –  192.168.100.0/24   Sta‰c  route  to:   192.168.100.0/24   192.168.100.0/24   195.5.111.10/24   195.5.110.1/24   Internet   192.168.110.0/24   SRC_IP:   DST_IP:   SRC_IP:   DST_IP:   192.168.100.10   192.168.110.10   192.168.100.10   192.168.110.10   b)  Network  Extension  Mode  Plus  –  отличие  от  предыдущего  в  том  что  Router  Client  получает   IP  из  корпоративного  адресного  пространства  для  управления         Область  применения  технологии:   §  Организация  простого  удаленного  доступа  для  сотрудников   §  Организация  VPN  сети  с  не  большими  подразделениями,  имеющими  собственный  выход  в   интернет,  и  не  большими  требованиями  по  доступу  к  ресурсам  центрального  офиса   §  Организация  технологических  сетей  (сети  банкоматов,  терминалы  самообслуживания)      
  • 35.
    Организация  защищенного  удаленного  доступа   Cisco  SSL  VPN  –  технология  предполагающая  использование  в  качестве  транспортного  протокола  SSL,   существуют  две  реализации:     Client  SSL  VPN  –Как  и  при  использовании    IPSEC    для  удаленного  доступа  клиенту  требуется  установить   специальное  ПО  –  VPN  клиент  (Cisco  AnyConnect),  при  установке  которого  создаться  виртуальный  сетевой   адаптер  на  который  будет  назначаться  IP  address  из  корпоративной  сети  и  через  него  будет  осуществляется   защищенный  обмен  информацией.   ПО  устанавливается  с  ASA/Router,  либо  в  ручную       Технология  имеет  ряд  дополнительных  функций:   §  Возможность  установки  клиента  на  мобильные  устройства   §  Оценка  состояния  рабочей  станции  (Host  Scan)   §  Start  Before  Login  –  запуск  VPN  требуется  для  входа  в  систему   §  Always  ON  VPN  –  автоматически  запускать  клиента  при  входе  в  систему   §  Перенаправление  h¦p/h¦ps/§p  трафика  на  Cisco  Web  Security  Appliance   §  Сам  клиент  имеет  модульную  структуру  которая  дает  целый  ряд  дополнительных  возможностей  не   имеющих  прямого  отношения  к  VPN:   a)  Менеджер  проводных  и  беспроводных  подключений   b)  Клиент  Cisco  ScanSafe      
  • 36.
    Cisco  Client  SSL  ,  как  это  работает  +  дополнительные  функции       Аутентификация  на  WEB  портале   Client  Download   Сбор  информации  о  состоянии  системы*   DAP   (Dynamic  Access  Policy)*   OS  Version/An‰virus  type/Firewall  type  ...*   Username/Password/Group   Authoriza‰on:   Authen‰ca‰on:   ASA  -­‐  Group-­‐Policy:  Local/Radius/Policy  name   LOCAL/RADIUS/LDAP   from  AD  group  name   Router  –  ISAKMP  Client  Profile:  Local/Radius   Se¨ngs   SRC_IP:   DST_IP:   192.168.151.10   Facebook   195.5.111.10/24   195.5.110.1/24   SRC_IP:   DST_IP:   Internet   192.168.110.0/24   192.168.151.10   192.168.110.10   Original  IP   SSL   SRC_IP:   DST_IP:   Packet   Header   195.5.111.10   195.5.110.1   192.168.151.10/24   Route  to:   SRC_IP:   DST_IP:   0.0.0.0/0   192.168.151.10   192.168.110.10   *  -­‐  ASA  only  
  • 37.
    Cisco  Clientless  SSL  ,  как  это  работает  +  дополнительные  функции   В  самом  простом  случае  на  портале  может  осуществляется  публикация      h¦p/h¦ps/cifs  ресурсов   При  использовании  browser  plugin  (java  applet)  добавляются:   §  RDP   §  Telnet/SSH   §  VNC   Плагины  нужно  загрузить  на  ASA,  после  этого  появляется  доступ  к  таким  ресурсам  через  портал     IT  user   Аутентификация  на  WEB  портале   195.5.110.1/24   Internet   Аутентификация  на  WEB  портале   Finance      user  
  • 38.
    Область  применения  технологии:   §  Удаленный  доступ  с  мобильных  устройств   §  Clientless  доступ   §  Проверка  “здоровья”  подключающейся  рабочей  станции   §  Защита  Web  доступа  сотрудников   Следует  быть  внимательным  при  выборе  лицензии   Кроме  того  некоторые  функции  требуют  дополнительных  лицензий:  проверка  рабочей  станции,  Доступ  с   мобильных  устройств,  фильтрация  Web  трафикa   h¦p://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html  
  • 39.
    DMVPN    –  технология  использующая  как  основу  VTI  но  при  этом  des‰na‰on  IP  для  туннеля  узнается   динамически,  с  использованием  специального  протокола    NHRP  (Next  Hop  Resoluqon  Protocol)     NHRP  –  В  технологии  DMVPN  используется  для  поиска  по  Tunnel  interface  IP  Address  NBMA  address   интересного  нам  peer  (NBMA  address    в  логике  DMVPN  –  IP  address  физического  интерфейса  который   используется  для  установки  туннеля)     По  логике  DMVPN  маршрутизаторы  делятся  на  два  типа:     §  Hub  -­‐      маршрутизатор  к  которому  подключатся  Spoke    и  регистрируют  свои  соответствия  NHRP  Address  to   Tunnel  Address.  В  последствии  Hub  отвечает  на  запросы  spoke  об  этих  соответствиях     §   Spoke  –  имеет  статический  туннель  на  Hub  .  Как  средство  принятия  решения  нужно  ли  шифровать   используется  маршрутизация,  весь  трафик  который  попадает  по    маршрутизации  в  туннель  –  шифруется,   если  трафик  направляется    на  другой  spoke  используется  NHRP  для  поиска  его  Public  IP    и  создается   динамический  туннель.  
  • 40.
    DMVPN  Как  это  работает       IKE  Phase  1   Tunnel  0   IKE  Phase  1   IKE  Phase  2  tunnels   172.16.1.1/24   IKE  Phase  2  tunnels   NHRP  Map  172.16.1.2(192.168.100.0/24)     Tunnel  src:  195.5.1.11   NHRP  Map  172.16.1.2(192.168.100.0/24)     to  195.5.111.10   Rouqng  tuning   to  195.5.111.10   NHRP  Base  Setup   Dynamic  Rouqng  Protocol   Dynamic  Rouqng  Protocol   NHRP  Setup  in  HUB  Style   IPsec  Profile   Who  have    172.16.1.2  and  192.168.110.0?   195.5.110.10   Tunnel  0   Tunnel  0   172.16.1.3/24   192.168.1.0/24   172.16.1.2/24   Tunnel  src:  195.5.111.10   Tunnel  src:  195.5.110.10   NHRP  Base  Setup   NHRP  Base  Setup   NHRP  Setup  in  SPOKE  Style   NHRP  Setup  in  SPOKE  Style   (where  find  HUB)   195.5.1.1   (where  find  HUB)   IPsec  Profile   Rouqng  Table   Rouqng  Table   IPsec  Profile   D  192.168.1.0/24  Tunnel  0   Internet   D  192.168.1.0/24  Tunnel  0   D  192.168.110.0/24  Tunnel  0   D  192.168.100.0/24  Tunnel  0   195.5.111.10   195.5.110.10   IKE  Phase  1   IKE  Phase  2  tunnels   192.168.100.0/24   SRC_IP:   DST_IP:   192.168.110.0/24   Encrypted  Data   195.5.111.10   195.5.110.10   SRC_IP:   DST_IP:   192.168.100.10   192.168.110.10  
  • 41.
    DMVPN  история  версий:   DMVPN  phase  1:   DMVPN  phase  2:   §  Трафик  всегда  идет  через  hub   §  Появились  Spoke-­‐to-­‐Spoke   Dynamic  Tunnels   DMVPN  phase  3:   §  Иерархический  hub  and  spoke,  spoke-­‐to-­‐spoke  tunnels  между  разными   регионами          In  phase  2:          In  phase  3:  
  • 42.
    Новые  подходы  и  принципы  работы  FlexVPN   Flex  VPN  –  новый  подход  к  настройки  различных  видов  VPN  использующих  в  качестве  основы  VTI.  Данный   подход  предполагает  унификацию  настроек  всех    VPN  технологий.   Использование  этого  подхода  дает  возможность  очень  гибко  применять  политики  для  каждого   подключающегося  устройства/пользователя.     Технология  Flex  VPN  базируется  на  использовании  стандарта  IKEv2  имеющего  целый  ряд  новых  функций  и   возможностей:     Radius  Server   §  4-­‐6  сообщений  для  установки  IPsec  SA                  (в  случае  выполнения  рекомендаций)   §  Настройка  двух  сторонней  аутентификации:                authen1ca1on  local|authen1ca1on  remote                При  этом  на  направлениях  можно                  использовать  разные  типы  аутентификации   §  Аутентификация  IKE  phase  1.5  –  EAP   §  Защита  от  DoS  за  счет  использования  cookies   §  IKE  Rou‰ng  –  Push  и  установка  маршрутов  в                  Rou‰ng  Table  без  использования  протоколов                  динамической  маршрутизации     Для  настройки  важно  понимание  логики  работы   ISAKMP  Profile                  
  • 43.
    Компоненты  используемые  для  настройки  в  IOS:                     §  AAA  Framework  –  используем  для:   a)  Authenqcaqon  login  –  Radius  only.  Для  проведения  IKE  1.5  EAP  Authen‰ca‰on   b)  Authorizaqon  Network  –  для  назначение  настроек  на    Ini‰ator  (Local  Or  Radius)   §  IKEv2  общие  настройки:   a)  IKEv2  Proposal  –  наборы  правил  защиты   b)  IKEv2  Policy  –  связка  Proposal  c  VRF  на  локальном  устройстве  или  с  конкретным  интерфейсом   c)  IKEv2  Key  Ring  –  используется  в  случае  pre-­‐shared  authen‰ca‰on.  Задаем  Peer  IP/Name  и  Key  для  него.     Кроме  того  задаем  Iden‰ty  –  как  представимcя  peer  а  так  же  собственный  ключ.   §  IKEv2  расширенные  настройки:   a)  IKEv2  Profile  –  Match/Set  элемент:     Match  (Peer)   Set     IP/FQDN/Domain…   AAA  eap  authen‰ca‰on     “OU”/Cer‰ficate  Map     AAA  authoriza‰on  IF:     Local  with  IKEv2  authoriza‰on     Radius  with  ikev2  name-­‐mangler     email   Key  Ring     PKI  trustpoint     …..     c)  IKEv2  name-­‐mangler  –  извлекает  указанную  администратором  часть  из  IKE  Iden‰ty  для  авторизации   d)  IKEv2  authorizaqon  policy  –  набор  настроек  который  будет  помещена  на  Ini‰ator  в  случаи  локальной   авторизации          
  • 44.
    Сертифицированные  VPN    решения  Cisco     В  чем  актуальность  сертифицированных  VPN  решений:     §  Ограничения  на  ввоз  крипто  средств  на  территорию  Таможенного  союза       §  Требования  локальных  нормативных  актов  использовать  отечественные  стандарты     Компоненты  сертифицированного  VPN:   NME-­‐RVPN  (МСМ)  с  ПО  CSP  VPN  Gate  –   Решение  CSP  VPN  Gate  на  платформе   Модуль  в  ISR  G1/G2  (2811…/2911…)   Cisco  UCS  C-­‐200  –  Высоко  производительное  решение  для   Согласование  VPN  сессий:IKE   организации  подключения  большого  количества  филиалов   Аутентификация:  Pre-­‐Shared/Cer‰ficate   или  связи  между  ЦОД   Шифрование:  ГОСТ  28147-­‐89/DES/3DES/AES   Целостность:  ГОСТ  Р  34.11-­‐94/SHA/MD5   Цифровая  подпись:ГОСТ  Р  34.10-­‐94/ГОСТ  Р  34.10-­‐2001   Интерфейсы:  2  *1G  (внешний  и  внутренний)   К  USB  может  быть  подключен  GSM/CDMA/WiMAX  
  • 45.
    Возможные  варианты  внедрения  решений:     Простой  Site-­‐to-­‐Site  (Модуль  за  маршрутизатором)  –       R1_RVPN   R2_RVPN   R1   R2     .1   195.5.111.10/24   195.5.110.1/24   .1     .2   Internet   .2     192.168.101.0/24   Sta‰c  PAT   Sta‰c  PAT   192.168.110.0/24   172.16.1.0/24   172.16.2.0/24     UDP  500   UDP  500   UDP  4500   UDP  4500       Отказоустойчивость  в  центральном  офисе(Reverse  route  injecqon)  –     10.0.0.0/24   Rou‰ng  table     RVPN_1   D  192.168.101.0/24  via  .2   .2   D  192.168.101.0/24  via  .3     R1_RVPN   R1   R2   .2     .1   195.5.111.10/24   195.5.110.1/24   .1   Internet     .2   .3   RVPN_2   .3     192.168.101.0/24   172.16.1.0/24   Sta‰c  PAT   Sta‰c  PAT   192.168.110.0/24   UDP  500   UDP  500   172.16.2.0/24     UDP  4500   UDP  4500     Dynamic  Rou‰ng     Использование  в  качестве  транспорта  DMVPN  –     В  такой  реализации  технология  DMVPN  используется  без  шифрования.  Информация  о  сетях  Internal   (Внутренний  интерфейс  модуля)  помещается  в  процес  маршрутизации  туннельных  интерфейсов.  Это  дает   возможность  VPN  устройствам  во  всей  сети  обменятся  информацией  о  Internal  Networks.  
  • 46.
    DMVPN  demo  topology   R1   R4   Easy  VPN  Server   192.168.4.0/24   DMVPN  HUB  Primary   195.5.5.0/24   .4   .1   .1   R2   Internet   DMVPN  HUB   192.168.1.0/24   Secondary   R3   .2   .2   192.168.3.0/24   .3   .100  
  • 47.
    Слушателям  сегодняшнего  вебинара  предоставляется  скидка  на  ближайший  курс   CCNA  Security:     h¦p://skillfactory.ru/courses/ccna_security     Промо  код  для  получения  скидки  -­‐  #SECFW                       Запись  семинара  а  также  ссылка  на  презентацию  будут  доступны  на  нашем  канале   в  YouTube   h¦p://www.youtube.com/user/SkillFactoryVideo   Спасибо  за  внимание!