Bölüm 8: Virtual Private Network (VPN) Uygulamaları
CCNA Security
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
1
Chapter 8 8.1 VPNs 8.2 GRE VPNs 8.3 IPsec VPN Bileşenleri ve İşlemleri 8.4 Site-to-Site VPN’i CLI ile Uygulama 8.5 Remote-Access VPN Uygulama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
2
8.1 VPN
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
3
VPN Genel Bakış
Virtual Private Networks Bir Virtual Private Network (VPN), herkese açık bir ağdan (internet gibi) tünelleme yapmadır. VPN bazı faydalara sahiptir:
Presentation_ID
•
Geniş band teknolojisi ile uyumludur
•
Maliyet kazancı sağlarCost savings
•
Güvenlik
•
Ölçeklenebilirlik
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
4
VPN Genel Bakış
VPN Türleri Basit ifadeyle VPN iki uç noktayı birbirine bağlar; iki uzak ofis genel bir ağ üzerinden mantıksal bir bağlantı ile bağlanır. Mantıksal bağlantı OSI Layer 2 veya Layer 3’de yapılabilir. Yaygın kullanılan Layer 3 VPN türleri: • Generic Routing Encapsulation (GRE) • Multiprotocol Label Switching (MPLS) • Internet Protocol Security (IPsec)
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
5
VPN Topolojileri
Site-to-Site VPN VPN yapılan cihazların ikisi de uzakta olduğu zaman kullanılır. VPN static olarak kalıcıdır ve iç ağdaki hostlar VPN olduğundan haberdar olmazlar.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
6
VPN Topolojileri
Site-to-Site VPN WAN networkünün uzantısıdır. Uzak ağları birbirine bağlar. Bir site-to-site VPN, bir firmanın şubesini merkezine bağlar. Kiralık hat veya Frame Relay bağlı ağların VPN kullanarak geniş band internete taşınmasını sağlar.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
7
VPN Topolojileri
Remote-Access VPN •
Bağlantı bilgilerinin dinamik olarak değişimine imkan sağlar ve gerektiğinde devreye alınıp devre dışı bırakılabilir.
•
Örneğin uzak çalışan bilgisayarı VPN bağlantısı kurabilir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
8
VPN Topolojileri
Remote-Access VPN Devre anahtarlamanın evrimi sonucu ortaya çıkmıştır. Client/server mimariyi destekler. Bir VPN clientı (uzak bilgisayar) firma ağına güvenli erişim ihtiyacı duyarsa bu topolojiyi kullanır
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
9
VPN Topolojileri
VPN Client Yazılımı İşlemleri
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
10
VPN Topolojileri
Cisco IOS SSL VPN Cisco IOS SSL VPN, internet erişimi olan herhangi bir yerden bir web browser ve SSL kullanarak uzak erişim bağlantısı sağlayan teknolojidir. SSL VPN üç modda erişim kurar: • Clientless • Thin client • Full client
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
11
VPN Çözümleri
Cisco VPN Ürünleri
Presentation_ID
Product Choice
Remote-Access VPN
Site-to-Site VPN
Cisco VPN-Enabled Routers and Switches
Secondary role
Primary role
Cisco PIX 500 Series Security Appliances (Legacy)
Secondary role
Primary role
Cisco ASA 5500 Adaptive Security Appliances
Primary role
Secondary role
Cisco VPN 3000 Series Concentrators
Primary role
Secondary role
SOHO Routers (Cisco 850 Series ISR and Linksys)
Primary role
Secondary role
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
12
VPN Çözümleri
Cisco ASA VPN Servisleri
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
13
VPN Çözümleri
Cisco IPsec Client Seçenekleri Cisco remote-access VPN, üç tür IPsec client kullanabilir: • Cisco VPN Client software – PC veya dizüstü bilgisayara yüklenebilir. • Cisco Remote Router VPN Client – VPN Client olarak konfigüre edilmiş bir uzak router küçük ofisleri veya ev ofisleri bağlar. • Cisco AnyConnect Secure Mobility Client – Yeni nesil VPN clientıdır. Uzak kullanıcıları Cisco ASA’ya bağlar.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
14
8.2 GRE VPN
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
15
Site-to-Site GRE Tünel Konfigürasyonu
GRE Tüneli İki popüler site-to-site tünelleme protokolü vardır: • •
GRE IPsec
GRE veya IPsec ne zaman kullanılmalı? Kullanıcı Trafiği
Sadece IP mi?
Evet
Hayır
Hayır GRE Kullan
Presentation_ID
Sadece Unicast mi?
© 2008 Cisco Systems, Inc. All rights reserved.
Evet IPsec VPN Kullan
Cisco Confidential
16
Site-to-Site GRE Tünel Konfigürasyonu
GRE Tüneli GRE hemen hemen tüm diğer paket türlerini enkapsüle edebilir. • • • •
Presentation_ID
IP kullanarak cisco routerlar arasında sanal point-to-point linkler oluşturabilir Çoklu protokol desteğine (IP, CLNS, …) ve IP multicast tünelleme desteğine sahiptir. Bu yüzden routing protokol paketlerini de tünelleyebilir Site-to-site multiprotocol VPN’ler için en uygun yöntemdir. RFC 1702 ve RFC 2784 ile tanımlanmıştır
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
17
Site-to-Site GRE Tünel Konfigürasyonu
GRE Başlığı
GRE tüm orijinal IP başlığını, IP başlığı ve GRE başlığı ile enkapsüle eder. GRE tünel başlığı en az 2 byte zorunlu alan içerir: • •
GRE flag Protocol type
Taşınan yükün protokol türünü belirler. IPv4 ise 0x800 kullanılır Opsiyonel başlık bilgisi bulunup bulunmadığını belirler
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
18
Site-to-Site GRE Tünel Konfigürasyonu
GRE Başlığı
GRE kriptolama sağlamaz , protokol analizörü ile görüntülenebilir. GRE ve Ipsec birlikte kullanıldığında, IPsec multicast/broadcast trafiğini desteklemez. Bu yüzden routing protokol paketlerini taşımaz. Ancak Ipsec, GRE ile enkapsüle edilirse routing protokol paketleri de taşınır. Buna GRE over IPSec denir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
19
Site-to-Site GRE Tünel Konfigürasyonu
GRE Konfigürasyonu 1. Bir tünel interface’i oluşturulur: interface tunnel 0 2. Tünele bir IP adresi atanır. 3. Kaynak tünel interface’i belirlenir: tunnel source 4. Tünel hedefi tanımlanır: tunnel destination 5. (Opsiyonel) GRE içinde enkapsüle edilecek protokol belirlenir: tunnel mode gre ip Varsayılan olarak , GRE IP paketlerini tüneller.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
20
Site-to-Site GRE Tünel Konfigürasyonu
GRE Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
21
Site-to-Site GRE Tünel Konfigürasyonu
GRE Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
22
Site-to-Site GRE Tünel Konfigürasyonu
GRE Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
23
Site-to-Site GRE Tünel Konfigürasyonu
GRE Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
24
Site-to-Site GRE Tünel Konfigürasyonu
IPsec ile GRE GRE’nin avantajlarından biri IP dışındaki trafikleri de taşımasıdır. Sadece unicast trafik taşıyan IPsec’in aksine , multicast ve broadcast trafiği de taşır. Ancak GRE kriptolamayı desteklemez, gerekiyorsa Ipsec konfigüre edilmelidir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
25
8.3 IPSec VPN Bileşenleri ve İşlemleri
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
26
IPsec Genel Bakış
IPsec, IETF Standardı Olarak IETF tarafından network katmanında çalışacak güvenli bir tünel çerçeve çalışması ortaya kondu • •
IETF güvenli haberleşmenin kurallarını detaylarıyla ortaya koydu RFC 2401 - RFC 2412 dökümanları ile.
IPsec network katmanında çalışıp, IP paketlerinin cihazlar veya çiftler arasında korunmasını ve kimlik doğrulamayı sağlar. IPsec herhengi bir özel kriptolama, anahtarlama veya güvenlik algoritmasına bağlı değildir. IPsec en iyi ve en iyi algoritmalarla yamanarak kullanılabilir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
27
IPsec Genel Bakış
IPsec, IETF Standardı Olarak
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
28
IPsec Genel Bakış
IPsec, IETF Standardı Olarak IPsec iskeleti beş blok içerir. Ağ yöneticisi uygulayacağı güvenlik servisine göre bu yapıdan seçim yapar..
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
29
IPsec Genel Bakış
IPsec, IETF Standardı Olarak IPsec frameworkü kullanılarak yandaki fonksiyonlar seçilebilir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
30
IPsec Genel Bakış
Gizlilik Gizlilik kriptolama ile sağlanır
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
31
IPsec Genel Bakış
IPsec, IETF Standardı Olarak VPN’de kullanılan kriptolama algoritmaları ve anahtar uzunlukları: •
DES
•
3DES
•
AES
•
SoftwareOptimized Encryption Algorithm (SEAL)
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
32
IPsec Genel Bakış
Bütünlük Bütünlük içeriğin değiştirilmediğinin garanti edilmesidir. Bir bütünlük algoritması bu garantiyi verebilir. Hashed Message Authentication Code (HMAC) bunlardan biridir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
33
IPsec Genel Bakış
Bütünlük Yaygın kullanılan iki HMAC algoritması: •
HMAC-Message Digest 5 (HMACMD5)
•
HMAC-Secure Hash Algorithm 1 (HMACSHA-1)
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
34
IPsec Genel Bakış
Kimlik Doğrulama Diğer uçtaki cihaz haberleşmeye başlamadan önce kimlik doğrulamaya zorlanır İki esas yöntemden biri kullanılır: • Pre-shared Keys (PSKs) • RSA signatures
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
35
IPsec Genel Bakış
Kimlik Doğrulama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
36
IPsec Genel Bakış
Kimlik Doğrulama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
37
IPsec Genel Bakış
Güvenli Anahtar Değiştirme Kriptolama algoritmaları ve hashing algoritmaları (DES, 3DES, AES, MD5,SHA-1) simetrik güvenli anahtara ihtiyaç duyarlar. Kriptolama veya çözme cihazları bu güvenli anahtarları nasıl sağlar? Diffie-Hellman (DH) anahtar değiştirmr metodu ile.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
38
IPsec Security Protokolleri
IPsec Framework Protokolleri IPsec iki esas protokol kullanarak güvenlik iskeletini oluşturur. : •
AH: Authentication Header
•
ESP: Encapsulating Security Payload
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
39
IPsec Security Protokolleri
AH AH kimlik doğrulama ve opsiyonel yeniden dedekte servisi sağlar. •
Veri göndericinin kimliğini doğrular.
•
HMAC-MD5 ve HMAC-SHA-1 algoritmalarını destekler.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
40
IPsec Security Protokolleri
AH AH, veri gizliliği (kriptolama) sağlamaz. • Veri gizliliği önemli olmayan durumlar için uygundur. • Tüm veri kriptolanmadan gönderilir. Sadece verinin başlangıçtan itibaren değiştirilmediğini doğrular. AH protokolü tek başına kullanılırsa zayıf koruma sağlar. NAT kullanılması durumunda AH’nin problemleri vardır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
41
IPsec Security Protokolleri
AH AH işlemleri şu sırada gerçekleşir: 1. IP başlığı ve taşınan veri yükü paylaşılmış gizli anahtar kullanılarak hashlenir. 2. Hash işlemi yeni bir AH başlığı oluşturur ve orijinal paketin içine yerleştirilir. 3. Yeni paket IPsec karşı routerına gönderilir. 4. Karşı router IP başlığı ve protokol veri yükünü aynı gizli anahtarla hashler, aldığı paketin AH başlığını açar ve iki değeri karşılaştırır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
42
IPsec Security Protokolleri
ESP ESP, AH ile aynı kimlik doğrulama ve veri bütünlüğü servislerini sağlar. Ek olarak kriptolama servisi de sağlar. •
Veriyi korumak için enkapsüle eder.
•
50 protokol numarası üzerinde çalışır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
43
IPsec Security Protokolleri
ESP •
1. Veri yükü DES, 3DES, AES veya SEAL kullanılarak kriptolanır.
•
2. Kriptolanmış veri kimlik doğrulama ve veri bütünlüğü için HMAC-MD5 veya HMAC-SHA-1 kullanılarak hashlenir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
44
IPsec Security Protokolleri
Transport ve Tünel Modları ESP ve AH, IP paketlerine iki farklı modda uygulanabilir. Transport modu ve Tunnel modu.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
45
IPsec Security Protokolleri
Transport ve Tünel Modları Güvenlik sadece Transport katmanı ve üstünde sağlanır. Bu yöntem veriyi korur ancak orijinal IP adresi plaintext kalır. ESP transport mod, hostlar arasında kullanılır. Transport mod, GRE ile iyi çalışır. Çünkü GRE, kendi IP’sini ekleyerek hostun IP adresini gizler.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
46
IPsec Security Protokolleri
Transport ve Tünel Modları Tunnel mod tüm IP paketi için güvenlik sağlar. Orijinal IP paketi kriptolanır ve bir başka IP paketi içine enkapsüle edilir. (IP-in-IP encryption). ESP tunnel modu, remote access ve site-to-site uygulamalarında kullanılır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
47
Internet Key Exchange
Güvenlik İşbirlikleri IPsec VPN çözümleri • • • •
Anahtar değiştirme parametreleri üzerinde anlaşılır (Internet Key Exchange-IKE). Paylaşılmış anahtar oluşturulur (DH). Kimlik doğrulanır (karşı uç ile). Kriptolama parametreleri üzerinde anlaşılır.
İki cihaz tarafından parametreler üzerinde anlaşma işlemine güvenlik işbirliği (security association-SA) denir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
48
Internet Key Exchange
Güvenlik İşbirlikleri SA, IPsec’in temel inşa noktasıdır. Güvenlik işbirlikleri bir SA veritabanında (SADB) saklanır ve bu veritabanı her bir cihazda bulunur. VPN, SA kayıtlarına sahiptir. SA’lar iki uç cihaz arasındaki anlaşmayı gösterir ve cihazların network trafiğini korumak için IPsec’i nasıl kullanacağını gösterir. SA’lar gerekli tüm güvenlik parametrelerini tanımlar.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
49
Internet Key Exchange
Güvenlik İşbirlikleri
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
50
Internet Key Exchange
Güvenlik İşbirlikleri IKE, uzak iki cihaz arasında Ipsec kriptografik anahtarlarının değişimine yardımcı olur. IKE, ISAKMP ve Oakley Key Exchange Protokollerinin kombinasyonudur. Anahtar yönetimi IKE (ISAKMP) veya manuel olarak önceden ayarlanabilir. IKE ve ISAKMP sıklıkla birbirlerinin yerine kullanılabilir. IKE tüneli SA bildirimlerini de korur.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
51
Internet Key Exchange
IKE Phase 1 ve Phase 2 Her IKE bildiriminde iki faz vardır: • •
Phase 1 (Authentication) Phase 2 (Key Exchange)
IKE bildirimleri iki modda yapılabilir: • •
Main mode Aggressive mode
İkisi arasındaki fark; main mod değişim için 6 mesaj kullanırken aggressive mod 3 mesaj kullanır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
52
Internet Key Exchange
IKE Phase 1 and Phase 2 IKE Phase 1: • • • • •
Bir IKE koruma suiti bildirilir Anahtarlama materyalleri IKE oturumunu korumak için değiştirilir. Kimlik doğrulama yapılır. IKE SA’sı kurulur. Main mod kullanılıyorsa 6 mesaj, aggressive mod kullanılıyorsa 3 mesaj gönderilir.
IKE Phase 2: •
Ipsec güvenlik parametreleri bildirilir, bunlar Ipsec transform setleri olarak bilinir. • IPsec SA’ları kurulur. • Periyodik olarak Ipsec SA’ları yeniden bildirilir. • Opsiyonel olarak ek bir DH değişimi uygulanabilir. Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
53
Internet Key Exchange
IKE Phase 1 ve Phase 2
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
54
8.4 Site-to-Site IPsec VPN Uygulaması (CLI ile)
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
67
Configuring a Site-to-Site IPsec VPN
IPsec VPN Negotiation VPN, public bir ağ üzerinden haberleşen iki uç cihaz arasında mantıksal bir bağlantı oluşturmak için kullanılır. IPsec VPN bildirimleri birkaç adımdan oluşur. 1. Host A, Host B’ye önemli trafik gönderir
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
68
Configuring a Site-to-Site IPsec VPN
IPsec VPN Negotiation
2. R1 ve R2 routerları IKE faz 1 oturumu için anlaşırlar
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
69
Configuring a Site-to-Site IPsec VPN
IPsec VPN Negotiation
3. R1 ve R2 routerları IKE faz 2 oturumu için anlaşır
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
70
Configuring a Site-to-Site IPsec VPN
IPsec VPN Negotiation
4. Veri transferi IPsec tüneli üzerinden yapılır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
71
Configuring a Site-to-Site IPsec VPN
IPsec VPN Negotiation 5. Ipsec tüneli sonlandırılır
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
72
Configuring a Site-to-Site IPsec VPN
IPsec Konfigürasyon Adımları Site-to-site IPsec VPN için aşağıdaki adımlar uygulanır. 1. Ipsec ile uyumlu ACL konfigürasyonlarının interfaceler üzerinde yapılmış olduğundan emin olunur. 2. ISAKMP (IKE) politikası oluşturulur. 3. IPsec transform seti oluşturulur. 4. Bir kripto ACL’i oluşturulur. 5. Bir kripto haritası oluşturulur ve uygulanır..
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
73
Adım 1 – Uygun ACL Oluşturma
Protocol 50, 51 ve UDP Port 500 ACL’lerin oluşturulduğundan emin olunur böylece ISAKMP, ESP ve AH protokollerine ait trafiğin bloklanmaması sağlanır.
Presentation_ID
•
ESP, IP protokol 50’ye atanır.
•
AH, IP protokol 51’e atanır.
•
ISAKMP, UDP port 500’ü kullanır.
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
74
Adım 1 – Uygun ACL Oluşturma
ACL Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
75
Adım 2 – IKE Konfigürasyonu
ACL Konfigürasyonu İkinci ana görev IKE politikası içindeki parametrelerin tanımlanmasıdır Çoklu ISAKMP politikaları Ipsec’e katılan her uçta konfigüre edilebilir
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
77
Adım 2 – IKE Konfigürasyonu
ACL Konfigürasyonu crypto isakmp policy komutu ile ISAKMP parametreleri ayarlanabilir
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
78
Adım 2 – IKE Konfigürasyonu
ISAKMP Politika Bildirimleri İki karşılıklı uç SA üzerinde anlaşmadan önce ISAKMP politikalarını bildirmek zorundadır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
79
Adım 2 – IKE Konfigürasyonu
ISAKMP Politika Bildirimleri
Politika numaraları sadece yerel olarak önemlidir, iki uç arasında numaralar uyuşmak zorunda değildir. Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
80
Adım 2 – IKE Konfigürasyonu
Pre-Shared Keys Anahtar cisco123 uyuşuyor Adres kimliklendirme metodu özelleştirildi ISAKMP politikası uygun Varsayılan değerler konfigüre edilmek zorunda değildir
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
81
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Tanımlama Dönüşüm seti bireysel Ipsec güvenlik politikaları trafiği için oluşturulur. Router(config)# crypto ipsec transform-set transform-set-name ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth esp-null ESP transform w/o cipher
Not: • esp-md5-hmac ve esp-sha-hmac daha fazla veri bütünlüğü sağlar. • Bunlar NAT/PAT ile uyumludur ve ah-md5-hmac ve ah-sha-hmac den daha sık kullanılırlar. Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
82
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Konfigürasyonu Transform setleri IKE faz 2 esnasında bildirilir. R1, ALPHA, BETA veCHARLIE adıyla konfigüre edilmiş transform setine sahipken R2 RED, BLUE ve YELLOW olarak yapılandırılmıştır. R1’in her bir transform seti R2’nin setleriyle eşleşme bulununcaya kadar karşılaştırılır.
R1
Presentation_ID
R2
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
83
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Konfigürasyonu R1
Presentation_ID
R2
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
84
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Konfigürasyonu R1
Presentation_ID
R2
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
85
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Konfigürasyonu R1
Presentation_ID
R2
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
86
Adım 3 – Dönüşüm Setleri Konfigürasyonu
Transform Setleri Konfigürasyonu
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
87
Adım 4 – Kripto ACL’leri Konfigürasyonus
Kripto ACL’leri Tanımlama Kripto ACL’leri trafik akışını korur. Outbound kripto ACL’leri Ipsec çıkış trafiğini seçer. Plaintext gönderilmiş trafik seçilmez. İstenirse inbound ACL’ler Ipsec tarafından korunan trafiği filtrelemek ve gözardı etmek için kullanılabilir.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
88
Adım 4 – Kripto ACL’leri Konfigürasyonus
Kripto ACL Syntaksı
Outbound kripto ACL’leri önemli trafiği kriptolamak için tanımlanır. Diğer tüm trafik kriptolanmadan çıkartılır.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
89
Adım 4 – Kripto ACL’leri Konfigürasyonus
Simetrik Kripto ACL Syntaksı Simetrik kripto ACL’ler Ipsec kullanılarak konfigüre edilmek zorundadır.
RouterA#(config) access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouterB#(config) access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
90
Adım 5 – Kripto Haritası
Kripto Haritası Tanımlama Kripto haritaları şunları tanımlar: • • • • • • •
Presentation_ID
Kripto ACL kullanarak trafiği korumayı SA setleri ile akışı korumayı Ipsec çiftleri kimlerdir Ipsec için kullanılan lokal adres Hangi tür Ipsec güvenliği bu trafiğe uygulanır Anahtar yönetim metodu SA ömürleri
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
91
Adım 5 – Kripto Haritası
Kripto Haritası Syntaksı
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
92
Adım 5 – Kripto Haritası
Kripto Haritası Tanımlama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
93
Adım 5 – Kripto Haritası
Kripto Haritası Tanımlama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
94
IPsec Konfigürasyonunu Doğrulama
Kripto Haritaları
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
95
IPsec Konfigürasyonunu Doğrulama
IPsec Show Komutları
R1# show crypto map Crypto Map “MYMAP" 10 ipsec-isakmp Peer = 172.30.2.2 Extended IP access list 102 access-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MINE, }
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
96
IPsec Konfigürasyonunu Doğrulama
IPsec Show Komutları
R1# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
97
IPsec Konfigürasyonunu Doğrulama
IPsec Show Komutları
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
98
IPsec Konfigürasyonunu Doğrulama
Güvenlik İlişkilerini Doğrulama
R1# show crypto isakmp sa dst 172.30.2.2
Presentation_ID
src 172.30.1.2
state QM_IDLE
conn-id 47
© 2008 Cisco Systems, Inc. All rights reserved.
slot 5
Cisco Confidential
99
IPsec Konfigürasyonunu Doğrulama
VPN Bağlanılabilirliği Doğrulama Main Mode hata mesajı örneği Main Mode hatası Faz 1 politikalarının iki tarafta eşleşmediğini öneriyor R1# debug crypto isakmp 1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h: ISAKMP (0:1); no offers accepted! 1d00h: ISAKMP (0:1): SA not acceptable! 1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with peer at 150.150.150.1
Tüm politikaların eşleştiğinden emin olunmalıdır: • • • •
Presentation_ID
Encryption: DES or 3DES Hash: MD5 or SHA Diffie-Hellman: Group 1 or 2 Authentication: rsa-sig, rsa-encr or pre-share
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
100
8.5 Remote-Access VPN Uygulama
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
101
Shift to Telecommuting
Advantages of Telecommuting Organizational benefits: •
Continuity of operations
•
Increased responsiveness
•
Secure, reliable, and manageable access to information
•
Cost-effective integration of data, voice, video, and applications
•
Increased employee productivity, satisfaction, and retention.
Social benefits: •
Increased employment opportunities for marginalized groups
•
Less travel and commuter related issues.
Environmental benefits: •
Presentation_ID
Reduced carbon footprints, both for individual workers and organizations © 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
102
Shift to Telecommuting
Benefits of Telecommuting Telecommuting offers organizational, social, and environmental benefits. Studies have shown that telecommuting improves employee lifestyles by decreasing job-related stresses. There may be some drawbacks. Example - telecommuters working from home can experience distractions that they would not have at work.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
103
Introducing Remote Access VPNs
Remote-Access VPN Options There are two primary methods for deploying remote-access VPNs, as shown in the figure: 1. IPsec 2. SSL
IPsec Remote Access VPN
Presentation_ID
Any Application
Anywhere Access
© 2008 Cisco Systems, Inc. All rights reserved.
SSL-Based VPN
Cisco Confidential
104
Introducing Remote Access VPNs
Access Requirements Determine Remote-Access VPNs IPsec exceeds SSL in many significant ways: •
Number of applications that are supported
•
Strength of encryption
•
Strength of authentication
•
Overall security
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
105
SSL VPNs
Cisco IOS SSL VPN Technology Cisco SSL VPN deliver many remote-access connectivity features and benefits: •
Web-based clientless access and full network access without preinstalled desktop software.
•
Protection against viruses, worms, spyware, and hackers on a VPN connection by integrating network and endpoint security in the Cisco SSL VPN platform.
•
Simple, flexible, and cost-effective licensing. SSL uses a single license.
•
Single device for both SSL VPN and IPsec VPN.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
106
SSL VPNs
Types of SSL VPN Access SSL VPNs provide different types of access: •
Clientless
•
Thin client
•
Full client
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
107
SSL VPNs
Steps to Establishing SSL VPN
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
108
SSL VPNs
SSL VPN Design SSL VPN design considerations: •
User connectivity
•
Router feature
•
Router hardware
•
Infrastructure planning
•
Implementation scope
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
109
Cisco Easy VPN
Cisco Easy VPN Cisco Easy VPN consists of three components: •
Cisco Easy VPN Server - A Cisco IOS router or Cisco ASA Firewall acting as the VPN head-end device in site-to-site or remote-access VPNs.
•
Cisco Easy VPN Remote - A Cisco IOS router or Cisco ASA Firewall acting as a remote VPN client.
•
Cisco VPN Client - An application supported on a PC used to access a Cisco VPN server.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
110
Cisco Easy VPN
Cisco Easy VPN Cont.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
111
Cisco Easy VPN
Cisco Easy VPN Endpoints
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
112
Cisco Easy VPN
Cisco Easy VPN Connection Steps
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
113
Configuring a VPN Server with CCP
CCP Tasks for Cisco Easy VPN Server Configuring Cisco Easy VPN Server functionality using CCP consists of two major tasks: Task 1. Configure prerequisites, such as AAA, privileged users, and the enable secret password, based on the chosen VPN design. Task 2. Configure the Cisco Easy VPN Server.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
114
Configuring a VPN Server with CCP
CCP Tasks for Cisco Easy VPN Server On the CCP main window, click Configure, click the Security folder, click the VPN subfolder, and then select the Easy VPN Server option.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
115
Configuring a VPN Server with CCP
Initial Easy VPN Server Steps Specify the router interface where the VPN connection will terminate and the authentication method (e.g., pre-shared keys, digital certificates, or both). Click Next to display the IKE Proposals window.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
116
Configuring a VPN Server with CCP
Initial Easy VPN Server Steps Cont. When configuring IKE proposals, use the default policy that is predefined by CCP or add a custom IKE Policy.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
117
Configuring a VPN Server with CCP
Selecting the Transform Set
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
118
Configuring a VPN Server with CCP
Group Authorization & Group Policy Lookup Easy VPN group policies can be stored: • Local - All groups are in the router configuration in NVRAM. • RADIUS - The router uses the RADIUS server for group authorization. • RADIUS and Local - The router can look up policies stored in an AAA server database that can be reached via RADIUS.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
119
Configuring a VPN Server with CCP
Group Authorization & Group Policy Lookup Cont. Configure the Group Authorization parameters
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
120
Configuring a VPN Server with CCP
Easy VPN Server Summary After all the steps are completed, the Easy VPN Server wizard displays a summary of the configured parameters.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
121
Configuring a VPN Server with CCP
Easy VPN Server Summary Cont.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
122
Configuring a VPN Server with CCP
Easy VPN Server Summary Cont.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
123
Connecting with a VPN Client
Cisco VPN Client The Cisco VPN Client is simple to deploy and operate. It allows organizations to establish end-to-end, encrypted VPN tunnels for secure connectivity for mobile employees or telecommuters.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
124
Connecting with a VPN Client
Connection Status When the Cisco VPN client is installed, open the Cisco VPN client window to start an IPsec VPN connection on a PC. The application lists the available preconfigured sites.
Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
125
