IPsec VPN Soluzioni di interoperabilità fra diverse implementazioni Riccardo Veraldi - INFN sez. Firenze Cosa significa VPN • Virtual Private Network: non è una tecnologia di per sè stessa, ma è un concetto che può essere implementato nella pratica con l’utlizzo di tecnologie diverse fra loro. Alla base vi è la necessità di avere una rete virtuale di calcolatori che possono fare parte fisicamente di reti diverse (distanti fra loro e topologicamente eterogenee) ma appartenere alla stessa rete logica (VPN). L’utilizzo di meccanismi di autenticazione e crittografia rende questa rete privata. La VPN va oltre il concetto di LAN e WAN e le può utilizzare entrambe come mezzo di cui servirsi per raggiugere tutti i suoi nodi. 2 Tipologie di VPN • MPPE/PPTP (Microsoft VPN) - Windows, UNIX/Linux, e Mac clients. • CIPE - Linux clients e Windows (2000 & NT) clients • OpenVPN - UNIX/Linux clients • SSL-wrapped PPP - Linux clients • GRE and IP/IP - Linux clients, Cisco routers • IPSec, tunnel mode, transport mode - Windows (2000 & NT) e UNIX/Linux clients • IPSec/PPTP - Windows (2000 & NT) e UNIX/Linux clients • IPSec/L2TP - Windows (2000 & NT) e UNIX/Linux clients 3 IPsec • Protocol suite che implementa la crittografia a livello di network layer per fornire servizi di autenticazione (non repudiation) e confidenzialità (encryption) tra host che comunicano attraverso una untrusted network consentendo la creazione di VPN • Elementi fondamentali di IPsec – SA: security association. Sta alla base di una VPN IPsec. È un set di proprietà relative alla connessione tra 2 host, è una sorta di tabella che descrive le proprietà specifiche di una VPN IPsec • SPI: numero che identifica il flusso di dati attraverso la VPN IPsec serve per discriminare tra le varie SA relative a una connessione IPsec • AH: data integrity, origin authentication, protezione anti-reply • ESP: confidentiality, data origin authentication, data integrity, protezione anti-reply – IKE: protocollo per la gestione automatica delle chiavi necessarie per tutte le operazioni di security fornite da IPsec 4 IPsec transport mode Attraversando lo stack TCP/IP verso il basso a livello di network layer IPsec rimuove l’header IP originale, cripta i dati realtivi ai layer OSI più alti, aggiunge in testa il security header appropriato (ESP/AH) e riapplica l’header IP originale. Quindi il payload del pacchetto originario viene criptato e viene calcolato l’opportuno autentication protocol header e inserito tra header IP originario e paylod criptato. Questa è la tipica soluzione host-to-host VPN 5 IPsec tunnel mode L’intero pacchetto originario viene incapsulato e criptato e vengono aggiunti in testa un nuovo Header IP e l’authentication protocol header (ESP/AH). A livello di network layer IPsec cripta l’intero pacchetto IP originario comprendente l’header TCP e il relativo payload, viene creato l’header ESP/AH aggiunto in testa al pacchetto criptato, inoltre viene crato un nuovo Header IP che consente al client di inviare il pacchetto originario al gateway VPN appropriato. Soluzione network-to-network VPN 6 AH e ESP (1) 7 AH e ESP (2) 8 AH e ESP (3) 9 IPsec: implementazioni freeware • FreeS/WAN (Linux) – http://www.freeswan.org • KAME (FreeBSD, NetBSD) – http://www.kame.org • ISAKMPD (OpenBSD) – http://www.openbsd.org/faq/faq13.html 10 IPsec: prove di interoperabilità 1. creazione dei certificati 2. configurazione IPsec policies e IKE in FreeBSD 3. configurazione IPsec policies in WindowsXP 11 Certificati X509 1. Crezione della CA • 2. Certificato della CA • 3. openssl genrsa -des3 -out ca.key 1024 openssl req -new -x509 -days 365 -key ca.key -out ca.crt Certificati host (xiexie – hal9000) • • • openssl genrsa -out xiexie.key 1024 openssl req -new -key xiexie.key -out xiexie.csr openssl x509 -req -days 182 -in xiexie.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out xiexie.crt 12 Configurazione di FreeBSD (1) #! /bin/sh # # SPD: security policy database settings # packet will look like this: IPv4 ESP payload # setkey -c <<EOF spdadd 192.84.145.10 192.84.145.18 any -P out ipsec esp/transport/192.84.145.10-192.84.145.18/require; spdadd 192.84.145.18 192.84.145.10 any -P in ipsec esp/transport/192.84.145.18-192.84.145.10/require; EOF 13 Configurazione di FreeBSD (2) # /usr/local/etc/racoon/racoon.conf # path certificate "/usr/local/etc/racoon/certs" ; log debug2; padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 20 sec; # maximum interval to resend. persend 1; # the number of packets per a send. # timer for waiting to complete each phase. phase1 90 sec; phase2 60 sec; } 14 Configurazione di FreeBSD (3) # /usr/local/etc/racoon/racoon.conf (continued) remote anonymous { exchange_mode main,aggressive; #exchange_mode aggressive,main; doi ipsec_doi; situation identity_only; #my_identifier address; my_identifier user_fqdn “[email protected]”; peers_identifier user_fqdn “[email protected]”; certificate_type x509 “hal9000.crt” “hal9000.key”; peers_certfile “xiexie.crt"; nonce_size 16; lifetime time 4 hour; # sec,min,hour initial_contact on; support_mip6 on; proposal_check obey; # obey, strict or clai proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group 2 ; } } 15 Configurazione di FreeBSD (4) # /usr/local/etc/racoon/racoon.conf (continued) sainfo anonymous { pfs_group 1; lifetime time 30 sec; encryption_algorithm 3des,des; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate ; } # end of racoon.conf 16 Configurazione di Windows XP (1) • Importare I certificati della CA e dell’host Windows XP (xiexie) utilizzando mmc 17 Configurazione di Windows XP (2) • Creazione delle policies IPSec 18 Configurazione di Windows XP (3) • IPsec startup 19 Windows XP - FreeBSD VPN 20 Problemi riscontrati • Interfaccia mmc non sempre consistente • Windows XP non crea la VPN se si cerca di inizializzare la connessione IPsec partendo prima da Windows XP, funziona come client ma non come server (almeno per quanto riguarda questa prova di interoperabilità) 21