Obiettivi. Al termine del webinar sarete in grado di:

Transcript

1 IPSec VPN Modulo Fortinet Training Services. This training may not be recorded in any medium, disclosed, copied, reproduced or distributed to anyone without prior written consent of an authorized representative of Fortinet.

2 Obiettivi Al termine del webinar sarete in grado di:» Definire le componenti architetturali delle VPN IPSec» Definire i protocolli facenti parte delle VPN IPSec» Identificare le modalità operative» Configurare VPN IPSec in diversi scenari 2

3 IPSec VPN Private network Informazioni confidenziali Informazioni Integre Mittente autenticato 3

4 IPSec VPN IPSec è una suite di protocolli standard (AH e ESP) usati per crittografare i dati così che non possano essere letti durante l attraversamento delle reti insicure Offre:» Autenticazione del mittente» Confidenzialità dei dati» Integrità dei dati 4

5 IPSec VPN IPSec opera a livello network (ISO/OSI layer 3)» Crittografia trasparente per gli strati superiori» Le applicazioni non devono essere progettate per l utilizzo mediante IPSec IPSec protegge anche i livelli superiori (come TCP) ma la complessità ed il carico di CPU aumentano Hardware Enterprise dedicato all encryption offloading (NPU)» FGT-200B e sueriori (non disponibile su VMs)» Modulo opzionale con porte accelerate (FORASM-FB4) 5

6 Internet Key Exchange Internet Key Exchange (IKE) consente ai peers coinvolti in una transazione, di sincronizzare le loro Security Associations Phase 1 autentica i peers coinvolti ed attiva un canale sicuro per lo scambio delle chiavi di cifratura Phase 2 negozia i parametri IPSec per definire il tunnel e determinare le politiche di routing (Quick Selector) 6

7 Definizione Parametri Phase 1 KB IDs: SonicWall Cisco 7

8 Tunnel vs. Interface Mode Tunnel Mode Interface Mode Configurazione più semplice Influenzata dal posizionamento delle policy Minor granularità Necessaria in caso di GRE over IPSec Necessaria se occorre manipolare l IP sorgente dei pacchetti Necessaria se è richiesto routing dinamico over IPSec Maggiore controllo 8

9 9 Definizione Parametri Phase 2

10 Interface Mode Crea un interfaccia virtuale IPSec che applica la crittografia/decrittografia a tutto il traffico che l attraversa» Anche conosciuta come Route-Based Creare due firewall policies tra la interfaccia virtuale IPSec e l interfaccia che si connette alla rete privata interna Azione impostata ad ACCEPT Necessita una rotta statica dedicata ad ogni tunnel VPN Necessaria in caso di utilizzo con routing dinamico o GRE over IPSec 10

11 Tunnel Mode Facile da configurare, unica firewall policy internal external che supporta il traffico bi-direzionale Azione impostata a IPSec Selezione della Phase1 del tunnel Firewall policies IPSec devono essere posizionate in cima alla policy list Vulnerabile agli errori dei quick selectors o delle policies Posizionamento delle policies è molto importante 11

12 Tunnel Mode vs Interface Mode Funzionalità Tunnel mode (Policy-Based) Interface mode (Route-Based) Disponibile in modalità NAT e TP sì solo in NAT mode Supporto L2TP-over-IPSec sì no Supporto GRE-over-IPSec no sì FW Policy tipi e configurazioni Lan > Internet + Action=IPSec (Encrypt) Source e Destination address specificati Lan > Phase1 Virtual Interface + Action=Accept (no NAT) Phase1 Virtual Interface > Lan + Action=Accept (no NAT) Numero di FW Policy per VPN Una, controlla entrambe le direzioni Due, una per direzione 12

13 IPSec Topologies (Site-to-Site) Centro Stella Site-to-site Sede periferica 13

14 IPSec VPN Client-to-Gateway 1. Preshared key 2. Encryption (DES, 3DES, AES 128,192,256 bit) 3. Authentication (MD5, SHA 1,256,384,512) 4. Extended Authentication (X-Auth) 5. Autenticazione a 2 fattori (PIN da FortiToken) 14

15 Autenticazione Username e Password (primo fattore) + FortiToken (secondo fattore) 15

16 FortiClient - Versioni e Funzionalità supportate Versione/Funzionalità VPN-SSL VPN IPSec AntiVirus WebFiltering Application Firewall 2-Fact Auth Vulnerability Scan WAN Optimization Windows (XP o superiori) sì sì sì sì sì sì sì sì Mac OS X (Snow Leopard 10.6 o superiori) sì sì sì sì sì sì sì nd ios Apple - iphone/ipad (5.1 o superiori) sì no nd sì nd sì nd nd Android (4.0 ICS o superiori) sì sì nd nd nd Sì nd nd 16

17 IPSec nativo (versione Android) 17

18 FortiClient IPSec (versione Android) 18

19 FortiClient IPSec (versione Android) 19

20 FortiClient IPSec (versione Android) 20

21 FortiClient IPSec (versione Android) 21

22 FortiClient IPSec (versione Android) 22

23 23 FortiClient IPSec (versione Windows)

24 24 FortiClient IPSec (versione Windows)

25 25 Topologia dell ambiente di laboratorio FCL-to-Gw

26 26 Topologia dell ambiente di laboratorio Smartphone-to-Gw

27 27 Topologia dell ambiente di laboratorio Gw-to-Gw

28 Troubleshooting Abilitare Debug diag debug enable diag vpn ike filter src-addr4 <src_ip> diag debug application ike -1 Disabilitare Debug diag debug reset diag debug disable 28

29 Troubleshooting FGT-60C_LAB # ike 0: comes :879-> :500,ifindex=4... ike 0: IKEv1 exchange=aggressive id=90f6dd40de8116f9/ len=564 ike 0: IKEv1 Aggressive, comes :879-> , peer-id=(null). ike 0:FortiClient_pc: check for IP assignment method... ike 0:FortiClient_pc: no IP assignment method defined ike 0:FortiClient_pc:88: responder: aggressive mode get 1st message... ike 0:FortiClient_pc:88: VID draft-ietf-ipsec-nat-t-ike-02 ike 0:FortiClient_pc:88: VID draft-ietf-ipsra-isakmp-xauth-06.txt DFD6B712 ike 0:FortiClient_pc:88: XAUTHv6 negotiated ike 0:FortiClient_pc:88: VID DPD AFCAD71368A1F1C96B8696FC ike 0:FortiClient_pc:88: DPD negotiated ike 0:FortiClient_pc:88: VID forticlient connect license ike 0:FortiClient_pc:88: enable FortiClient license check ike 0:FortiClient_pc:88: VID Fortinet Endpoint Control ike 0:FortiClient_pc:88: enable FortiClient endpoint compliance check, use ike 0:FortiClient_pc:88: negotiation result ike 0:FortiClient_pc:88: proposal id = 1: ike 0:FortiClient_pc:88: protocol id = ISAKMP: ike 0:FortiClient_pc:88: trans_id = KEY_IKE. ike 0:FortiClient_pc:88: encapsulation = IKE/none ike 0:FortiClient_pc:88: type=oakley_encrypt_alg, val=3des_cbc. ike 0:FortiClient_pc:88: type=oakley_hash_alg, val=sha. ike 0:FortiClient_pc:88: type=auth_method, val=preshared_key. ike 0:FortiClient_pc:88: type=oakley_group, val=1536. ike 0:FortiClient_pc:88: ISKAMP SA lifetime=28800 ike 0:FortiClient_pc:88: selected NAT-T version: RFC 3947 ike 0:FortiClient_pc:88: cookie 90f6dd40de8116f9/ ba063666a ike 0:FortiClient_pc:88: PSK authentication succeeded ike 0:FortiClient_pc:88: authentication OK ike 0:FortiClient_pc:88: NAT detected: ME PEER ike 0:FortiClient_pc:88: port change 879 -> ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/ ba063666a ike 0:FortiClient_pc: adding new dynamic tunnel for :62736 ike 0:FortiClient_pc_: could not create dialup name FCL_pc_0 ike 0: comes :62736-> :4500,ifindex=4... ike 0: IKEv1 exchange=informational id=90f6dd40de8116f9/ ba063666a:c0615af7 len=84 ike 0: in 90F6DD40DE8116F BA063666A C0615AF BD08D6C2D A22B21CAB52F6DD4877E0B B5CF866218F06DFEFBF3D358B4ADF02F0A2A2 C60234CCB15DC887543BE2D00D4266 ike 0: no established IKE SA for exchange-type Informational from : > cookie 90f6dd40de8116f9/ ba063666a, drop id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a packet(proto=17, :62736-> :4500) from wan1." id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="find an existing session, id- 0041e778, original direction" 29

30 Troubleshooting ike 0:FortiClient_pc:88: PSK authentication succeeded ike 0:FortiClient_pc:88: authentication OK ike 0:FortiClient_pc:88: NAT detected: ME PEER ike 0:FortiClient_pc:88: port change 879 -> ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/ ba063666a ike 0:FortiClient_pc: adding new dynamic tunnel for :62736 ike 0:FortiClient_pc_: could not create dialup name FortiClient_pc_0, too long ike 0:FortiClient_pc:88: schedule delete of IKE SA ike 0:FortiClient_pc: connection expiring due to phase1 down ike 0:FortiClient_pc: deleting ike 0:FortiClient_pc: flushing ike 0:FortiClient_pc: sending SNMP tunnel DOWN trap ike 0:FortiClient_pc: flushed ike 0:FortiClient_pc: reset NAT-T ike 0:FortiClient_pc: deleted ike 0: comes :62736-> :4500,ifindex=4... ike 0: IKEv1 exchange=informational id=90f6dd40de8116f9/ ba063666a:c0615af7 len=84 ike 0: in 90F6DD40DE8116F BA063666A C0615AF BD08D6C2D A22B21CAB52F6DD4877E0B B5CF866218F06DFEFBF3D358B4ADF02F0A2A2 C60234CCB15DC887543BE2D00D4266 ike 0: no established IKE SA for exchange-type Informational from : > cookie 90f6dd40de8116f9/ ba063666a, drop id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a packet(proto=17, :62736-> :4500) from wan1." id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="find an existing session, id- 0041e778, original direction" ike 0:to-CentroStella:281:32051: peer proposal is: peer:0: :0, me:0: :0 ike 0:to-CentroStella:281:ph2_to_CS:32051: trying ike 0:to-CentroStella:281:32051: specified selectors mismatch ike 0:to-CentroStella:281:32051: peer: type=7/7, local=0: :0, remote=0: :0 ike 0:to-CentroStella:281:32051: mine: type=7/7, local=0: :0, remote=0: :0 ike 0:to-CentroStella:281:32051: no matching phase2 found ike 0:to-CentroStella:281:32051: failed to get responder proposal ike 0:to-CentroStella:281: error processing quick-mode message from as responder 30

31 URL Utili Area Partner Istituzionale Area Partner Italia Area Privata Istituzionale Area Tecnica Istituzionale Entra nella Community FortiTech Italia #FortinetbySidin 31

32 Prossimi eventi WiFi Controller - 15 febbraio h Scenari Dual Wan - 22 febbraio h

33 Abbiamo Terminato il modulo 2 VPN IPSec!!! Grazie per l attenzione!!! 33