Reti private virtuali (VPN) con tecnologia IPsec



Documenti analoghi
Reti private virtuali (VPN) con tecnologia IPsec

Sicurezza a livello IP: IPsec e le reti private virtuali

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

StarShell. IPSec. StarShell

Sicurezza a livello IP: IPsec e Linux

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

VPN. Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet)

OpenVPN: un po di teoria e di configurazione

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

OpenVPN: un po di teoria e di configurazione

La sicurezza nelle reti di calcolatori

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Approfondimento di Marco Mulas

IPSEC VPN con LINUX FreeS/WAN

Problemi legati alla sicurezza e soluzioni

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

La sicurezza delle reti

Installazione di una rete privata virtuale (VPN) con Windows 2000

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

PROF. Filippo CAPUANI. Accesso Remoto

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Contesto: Peer to Peer

Indirizzamento privato e NAT

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

Sicurezza nelle reti

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Allegato 3 Sistema per l interscambio dei dati (SID)

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Gestione degli indirizzi

Gestione degli indirizzi

Petra VPN 3.1. Guida Utente

Transmission Control Protocol

Firewall e Abilitazioni porte (Port Forwarding)

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Programmazione in Rete

Reti di Calcolatori. Il software

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da

Sicurezza delle reti e dei calcolatori

Inizializzazione degli Host. BOOTP e DHCP

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Zeroshell: VPN Host-to-Lan. Il sistema operativo multifunzionale. creato da

Software Servizi Web UOGA

Gli indirizzi dell Internet Protocol. IP Address

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Reti di Telecomunicazione Lezione 8

Configurazione Rete in LINUX

Sommario. Oggetto: Istruzioni configurazione client VPN per piattaforma Mac OSX Data: 25/01/2016 Versione: 1.0

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

La firma digitale CHE COSA E'?

Teleassistenza mediante PCHelpware

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto)

Dal protocollo IP ai livelli superiori

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Sicurezza nelle reti

Reti di Telecomunicazione Lezione 7

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Maschere di sottorete a lunghezza variabile

2 Configurazione lato Router

VIRTUAL PRIVATE NETWORK

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

ARP e instradamento IP

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Vlan Relazione di Sistemi e Reti Cenni teorici

Teleassistenza Siemens

NAS 323 Uso del NAS come server VPN

Istruzioni per l uso del servizio VPN su sistemi Linux

Reti di Telecomunicazioni LB Introduzione al corso

Connessione di reti private ad Internet. Fulvio Risso

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

FTP. Appunti a cura del prof. ing. Mario Catalano

Antonio Cianfrani. Extended Access Control List (ACL)

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite Windows 2000 Server

Reti di Telecomunicazione Lezione 6

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

IPSec comunicazione fra LAN remote tramite router Cisco

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

SERVIZIO TELEMATICO ENTRATEL. Applicazione Invia Multifile

NAT NAT NAT NAT NAT NAT. Internet. Internet. router. router. intranet. intranet. Internet. Internet. router. router. intranet. intranet.

Transcript:

Reti private virtuali (VPN) con tecnologia IPsec A.A. 2005/2006 Walter Cerroni Reti private e reti private virtuali Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere in maniera sicura sedi sparse sul territorio e distanti tra loro Soluzione tradizionale: utilizzo di linee dedicate da affittare direttamente presso gli operatori (reti private) soluzione costosa Alternativa più economica: utilizzo di connessioni sicure attraverso reti pubbliche (reti private virtuali - VPN) flussi di pacchetti autenticati e con contenuto informativo criptato attraverso reti tradizionali diverse tecnologie disponibili (ATM, MPLS, IPsec, tunnelling) protocolli di tunnelling livello 2: PPTP, L2TP livello 3: IPsec 2 1

L architettura IPsec (RFC 2401) Realizza VPN a livello network attraverso l uso di tre protocolli IKE (Internet Key Exchange): serve per autenticare l interlocutore e per negoziare ed aggiornare gli algoritmi e le chiavi di crittografia/autenticazione da utilizzare nei dati da trasmettere in VPN (porta UDP sorgente e destinazione = 500) AH (Authentication Header) (campo protocol = 51): fornisce l autenticazione dei pacchetti trasmessi in VPN garantendo integrità ed autenticità dei dati identità del mittente ESP (Encapsulating Security Payload) (campo protocol = 50): oltre a fornire autenticazione come in AH, garantisce anche la riservatezza delle informazioni tramite crittografia modalità trasporto o tunnel 3 IPsec: ESP in modalità trasporto autenticazione terminali VPN DATI IP IKE TRAILER DATI cifratura HEADER aggiorna header IP?????????? HEADER autenticazione AUTH?????????? HEADER IP 4 2

IPsec: ESP in modalità tunnel autenticazione terminali VPN DATI IP IKE TRAILER???? cifratura?? HEADER?????? HEADER genera header IP autenticazione AUTH???????????? HEADER IP 5 Reti private IP LEFTSUBNET RIGHTSUBNET linea dedicata LAN 1 LEFT RIGHT LAN 2 6 3

Reti private virtuali IPsec ESP in modalità trasporto LAN 1 LEFT RIGHT LAN 2 AUTH?????????? HEADER IP ESP in modalità tunnel LAN 1 LEFT RIGHT LAN 2 AUTH???????????? HEADER IP 7 Tipologie di connessione a VPN IPsec NET-TO-NET LAN 1 LAN 2 LEFT RIGHT IP statici HOST-TO-NET LEFT RIGHT DATI IP LAN 2 IP statici 8 4

Tipologie di connessione a VPN IPsec HOST-TO-HOST LEFT IP statici RIGHT ROADWARRIOR LEFT RIGHT DATI IP LAN 2 IP dinamico IP statico 9 Problemi nell attraversamento di NAT La negoziazione IKE potrebbe non andare a buon fine, perché i pacchetti inviati da LEFT arrivano a RIGHT con un indirizzo IP diverso da quello atteso Il NAPT potrebbe cambiare la porta UDP sorgente di LEFT, mentre RIGHT potrebbe rifiutare traffico IKE da porte UDP 500 La scadenza della tabella NAT potrebbe avvenire durante un periodo di silenzio, interrompendo così la connessione sicura Il NAPT non riesce a distinguere pacchetti ESP appartenenti a connessioni IPsec provenienti da LEFT diversi (ESP non usa porte) Nella modalità trasporto, la modifica di un indirizzo IP richiederebbe di aggiornare il checksum TCP o UDP (che fa uso di pseudo-header IP), ma questa è cifrata all interno del payload IP LEFT NAT RIGHT LAN 10 5

Soluzione: IPsec con NAT-Traversal Soluzione da applicare ai peer IPsec non si ha controllo sul NAT I problemi dovuti alla presenza di NAT vengono risolti con: verifica della capacità dei peer di eseguire NAT-Traversal verifica della presenza di NAT tra LEFT e RIGHT (NAT-Discovery) notifica esplicita degli indirizzi IP originali possibilità per IKE di utilizzare porte UDP diverse dalla 500 invio periodico di pacchetti NAT-Keepalive per mantenere attive le connessioni sicure nelle tabelle NAT incapsulamento di ESP in UDP, utilizzando le stesse porte di IKE Il NAPT riesce così a distinguere connessioni diverse AUTH???????????? HEADER UDP IP 11 IPsec su Linux: Openswan Software open source (www.openswan.org) deriva dal progetto originario FreeS/Wan contiene patch per il NAT-Traversal e per l autenticazione tramite certificati (interoperabilità con client Windows) Costituito da due elementi principali KLIPS implementa i protocolli ESP ed AH a livello di kernel è necessario per i kernel 2.2 e 2.4 il kernel 2.6 implementa già funzionalià IPsec PLUTO demone che implementa il protocollo IKE 12 6

Autenticazione a chiave pubblica (RSA) Occorre creare una coppia di chiavi RSA e memorizzarla nel file /etc/ipsec.secrets ipsec newhostkey bits <n_bit> output /etc/ipsec.secrets <n_bit> indica la dimensione della chiave in numero di bit (deve essere maggiore di 512) Nel file /etc/ipsec.conf andranno inserite le chiavi pubbliche dei due terminali VPN, visualizzabili tramite ipsec showhostkey left ipsec showhostkey right sul terminale LEFT sul terminale RIGHT 13 Configurazione Openswan File /etc/ipsec.conf config setup klipsdebug=none plutodebug=all configurazione generale # Add connections here conn net-to-net mantenere l indentazione!!! configurazione delle singole connessioni conn host-to-net 14 7

Connessione Openswan NET-TO-NET File /etc/ipsec.conf (stesso file su entrambi i terminali VPN) conn net-to-net left=137.204.107.60 leftsubnet=10.1.0.0/16 leftnexthop=137.204.107.254 right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 auto=add authby=rsasig leftrsasigkey=0saqpll7oz rightrsasigkey=0saqnbvjo2 nome della connessione tra due sottoreti private parametri dei due terminali LEFT e RIGHT e relative sottoreti private modalità di attivazione della connessione modalità di autenticazione della connessione e relative chiavi 15 Connessione Openswan HOST-TO-NET File /etc/ipsec.conf (stesso file su entrambi i terminali VPN) conn host-to-net left=137.204.107.60 leftnexthop=137.204.107.254 right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 auto=add authby=rsasig leftrsasigkey=0saqpll7oz rightrsasigkey=0saqnbvjo2 nome della connessione tra un host e una sottorete privata parametri dei due terminali LEFT (host singolo con IP statico) e RIGHT (sottorete privata) 16 8

Connessione Openswan ROADWARRIOR conn roadwarrior left=137.204.107.60 leftsubnet=10.1.0.0/16 leftnexthop=137.204.107.254 right=%any File /etc/ipsec.conf del terminale LEFT con IP statico e sottorete privata conn roadwarrior left=%any right=137.204.107.60 rightsubnet=10.1.0.0/16 rightnexthop=137.204.107.254 File /etc/ipsec.conf del terminale mobile RIGHT con IP dinamico 17 NAT-Traversal con Openswan (NET-TO-NET) File /etc/ipsec.conf sul terminale LEFT (interno al NAT) config setup nat_traversal=yes conn net-to-net left=192.168.50.3 leftsubnet=10.1.0.0/16 leftnexthop=192.168.50.254 leftid=@left-peer right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 rightid=@right-peer abilitazione del NAT-Traversal nella configurazione generale identificativi dei due peer da usare in fase di negoziazione IKE al posto degli indirizzi IP 18 9

NAT-Traversal con Openswan (NET-TO-NET) File /etc/ipsec.conf sul terminale RIGHT (esterno al NAT) config setup nat_traversal=yes conn net-to-net left=%any leftsubnet=10.1.0.0/16 leftnexthop=192.168.50.254 leftid=@left-peer right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 rightid=@right-peer abilitazione del NAT-Traversal nella configurazione generale può essere sostituito con l indirizzo pubblico del NAT, se lo si conosce identificativi dei due peer da usare in fase di negoziazione IKE al posto degli indirizzi IP 19 NAT-Traversal con Openswan (HOST-TO-NET) File /etc/ipsec.conf sul terminale LEFT (interno al NAT) config setup nat_traversal=yes si omette leftsubnet conn net-to-net left=192.168.50.3 leftnexthop=192.168.50.254 leftid=@left-peer right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 rightid=@right-peer 20 10

NAT-Traversal con Openswan (HOST-TO-NET) File /etc/ipsec.conf sul terminale RIGHT (esterno al NAT) config setup nat_traversal=yes conn net-to-net left=%any leftsubnetwithin=192.168.50.0/24 leftnexthop=192.168.50.254 leftid=@left-peer right=137.204.57.77 rightsubnet=10.2.0.0/16 rightnexthop=137.204.57.254 rightid=@right-peer occorre specificare la sottorete privata a cui appartiene LEFT, oppure 0.0.0.0/0 per accettare qualsiasi rete 21 Apertura di un tunnel IPsec Attivazione moduli e demone IPsec /etc/init.d/ipsec start Apertura di una connessione specificata in /etc/ipsec.conf ipsec auto up <nome_connessione> Chiusura di una connessione specificata in /etc/ipsec.conf ipsec auto down <nome_connessione> Verifica dello stato delle connessioni IPsec ipsec auto status 22 11

Esercitazioni in laboratorio 1. Realizzare una VPN IPsec tra due sottoreti IP e verificarne la connettività tramite ping. Verificare tramite sniffer che il traffico tra i due peer è cifrato 10.0.0.x/30 10.0.0.y/30 192.168.8.0/24 2. Realizzare una VPN IPsec tra un host e una rete IP attraverso un router e verificare il comportamento di traceroute rispetto al caso di assenza di VPN 3. Realizzare una VPN IPsec tra un host e una rete IP attraverso un NAT e verificare tramite sniffer cosa accade 10.0.0.x/30 10.0.0.y/30 NAT 192.168.8.0/24 23 12

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back