IPsec

®
2N EasyRoute
UMTS datová a hlasová brána
Jak na to?
Verze:
IPsec
www.2n.cz
1.
IPsec
IPsec (IP security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a
šifrování každého IP datagramu. V architektuře OSI se jedná o zabezpečení již na
síťové vrstvě, poskytuje proto transparentně bezpečnost jakémukoliv přenosu
(kterékoliv síťové aplikaci). Bezpečnostní mechanismy vyšších vrstev (nad protokoly
TCP/UDP, kde pracují TLS/SSL, SSH apod.) vyžadují podporu aplikací. IPsec je
definován v několika desítkách RFC vydaných IETF, základními jsou 2401 a 2411.
Princip činnosti:
Vytváří logické kanály – Security Associations (SA), které jsou vždy jednosměrné, pro
duplex se používají dvě SA.
Bezpečnostní rozšíření vypadá následovně:


Ověřování – při přijetí paketu může dojít k ověření, zda vyslaný paket odpovídá
odesilateli či zda vůbec existuje.
Šifrování – obě strany se předem dohodnou na formě šifrování paketu. Poté
dojde k zašifrování celého paketu krom IP hlavičky, případně celého paketu a
bude přidána nová IP hlavička.
Základní protokoly (jsou často používány zároveň, protože se vzájemně doplňují):


Authentication Header (AH) – zajišťuje autentizace odesílatele a příjemce,
integritu dat v hlavičce, ale vlastní data nejsou šifrována.
Encapsulating Security Payload (ESP) – přidává šifrování paketů, přičemž vnější
hlavička není nijak chráněna a není zaručena její integrita.
3
Popis nastavení ve 2N® EasyRoute
1.1
1.1 Popis nastavení ve 2N® EasyRoute
IPsec – VPN
V tomto menu se nastavují parametry připojení, které používá racoon daemon.
Viz teorie výše.
Definice
Vybírá jeden z 8mi možných nadefinovaných IPsec tunelů.
Povolit
Povoluje nebo zakazuje zvolený IPsec tunel.
Typ připojení
Určuje, kdy se bude IPsec tunel navazovat. Pokud nechcete navazovat spojení
tunelů přes UMTS, npříklad kvůli rychlosti, použijte pouze WAN port. IP sec tunel
se potom naváže jen v případě, že bude aktivní hlavní nebo záložní spojení
vedené přes WAN port.
Režim výměny
Režim navazování spojení zmiňovaný v popisu. Je možné nastavit Basic, Main
nebo Aggressive.
Identifikátor
Identifikátor, který se bude ověřovat v protistraně. Může se nastavit Adresa,
FQDN nebo USER FQDN. Ověřuje se nastavení v PSK tabulce.
NAT Traversal
4
Popis nastavení ve 2N® EasyRoute
1.1
Zapíná použití NATU – 2N ® EasyRoute si vždycky zjistí celou cestu a použití natů.
Pasivní
Zaškrtávátko uonačuje že tato strana nebude iniciátorem spojení.
Phase 1
Nastavení klíčování fáze1 – pro dojednání podrobností o spojení IP,brány apod…
Phase 2
Fáze 2 je potom nastavení kódování samotného přenosu.
Adresa vzdálené LAN
IP adresa vzdálené stě nebo IP adresa z rozsahu vzdálené sítě.
Maska vzdálené LAN
Maska vzdálené sítě.
Veřejná adresa brány
Veřejná IP adresa protější brány.
IPsec – Manuální
V tomto menu se nastavují parametry spojování podle protokolů AH a ESP. Viz
teorie výše.
Definice
Vybírá jeden z 8mi možných nadefinovaných IPsec tunelů.
5
Popis nastavení ve 2N® EasyRoute
1.1
Povolit
Povoluje nebo zakazuje zvolený IPsec tunel.
Typ připojení
Se u tohoto módu nijak nenastavuje. Vždy se používá aktuální main route do
internetu.
Režim
Režim navazování spojení zmiňovaný v teorii. Je možné nastavit Transportní nebo
Tunelovací.
Protokol
Protokol navazování spojení zmiňovaný v teorii. Je možné nastavit AH nebo ESP.
SPI
(Security Parametr Index). Tj. 32 bitové číslo, které identifikuje SA.
Směr
Určuje v jakém směru budou očekávána šifrovaná data. Tímto parametrem je
možné určit, že šifrovat sse budou jen data odesílaná do tunelu nebo naopak
budou přijímána šifrovaná data a odesílána nešifrována. Třetí možností je potom
šifrovat provoz v obou směrech.
Lokální IP : port
Nastavuje místní adresu vnitřní LAN sítě brány. Portem se specifikuje jeden z IP
portů. Pokud ponecháte nevyplněné budou se šifrovat všechny.
Tip

Specifikováním portu můžete nastavit filtraci. To znamená že v odchozím
nebo příchozím směru, budou šifrována data pouze na tento jeden port.
Tím se ulehčí procesoru, který nemusí šifrovat provoz, mezi zařízeními
v tunelu, na všech portech.
Adresa lokálního tunelu
Jedná se o místní IP adresu brány. Tedy na rozhraní WAN nebo UMTS.
Vzdálená IP : port
Nastavuje adresu vnitřní LAN sítě vzdálené brány (oponent). Portem se specifikuje
jeden z IP portů. Pokud ponecháte nevyplněné budou se šifrovat všechny.
Adresa vzdáleného tunelu
Jedná se o IP adresu protější brány (oponent). Tedy na rozhraní WAN nebo UMTS.
Autentizační algoritmus
Nastavení kódování přenosu autentizačního algoritmu. Protokolu AH
Autentizační klíč
Je klíč, jehož pomocí se společně s autentizačním algoritmem vypočítává
zabezpečení přenosu. Tento parametr musí být na obou stranách přenosu
nastaven stejně. Aby bylo možné dekódovat pokusy o navázání spojení.
6
Popis nastavení ve 2N® EasyRoute
1.1
Šifrovací algoritmus
Nastavení kódování přenosu autentizačního algoritmu. Protokolu AH
Šifrovací klíč
Je klíč, jehož pomocí se společně s autentizačním algoritmem vypočítává
zabezpečení přenosu. Tento parametr musí být na obou stranách přenosu
nastaven stejně. Aby bylo možné dekódovat pokusy o navázání spojení.
IPsec – PSK
V tomto menu se nastavují předsdílené bezpečnostní klíče. Podle nastavení
identifikátorů v menu VPN se hledají příslušné klíče v následující tabulce.
Identifikátor
Je stejný jako v menu VPN. Poté se k němu přiřadí příslušný klíč. Lze zadávat
všechny ASCII znaky. Může se jednat o slovo, IP adresu, e-mailovou adresu nebo
případně shluk náhodných znaků.
Předsdílený klíč
Parametrem se nastavuje bezpečnostní klíč, který bude použit při šifrování paketů
mezi jednotlivými stranami IPsec tunelu.
7
Příklady spojení různých bran
1.2
1.2 Příklady spojení různých bran
Spojení 2N® EasyRoute mezi sebou - FQDN
Zabezpečené spojení budeme navazovat mezi dvěma branami 2N® EasyRoute.
Brána 1 má IP adresu 89.24.1.4 (LAN 192.168.1.1/24)
Brána 2 má IP adresu 160.218.244.117 (LAN 192.168.100.1/24)
Budeme nastavovat IPsec tunel pomocí démona racoon.
Nastavení bran je potom jednoduché. Jděte do menu Nastavení / Služby / IPsec / VPN.
Zvolte si novou volnou definici. Povolte nastavovaný tunel a vyberte typ připojení, ve
kterém se bude IPsec tunel navazovat. V našem případě to bude UMTS. Zvolíme mód
Aggressive. Ten má o něco nižší bezpečnost ale nabízí lepší výkon při navazování
spojení, což je důležité při používání přes UMTS, protože tato síť není tak rychlá a
spolehlivá jako klasická kabelová LAN.
Jako identifier nastavíme FQDN, to znamená, že si zde můžete zvolit jakýkoliv text
jako identifikaci tohoto spojení. NAT-T ponecháme zapnutý. V síti UMTS můžou být
nějaké NATy a proto je lepší nechat výběr protokolu na samotném daemonu. Brána
bude aktivním iniciátorem spojení proto Pasove nebude zaškrtnuto. Fáze 1,2 je
nastavení klíčování 1 – pro dojednání podrobností o spojení IP,brány apod… 2 je
potom nastavení kodování samotného přenosu.
Remote lan adress je adresa ze vzdálené sítě. Může být adresa sítě nebo zařízení
v síti. Remote lan mask je maska vzdálené sítě. Remote Public Gateway je (veřejná)
adresa oponenta v našem případě IP brány 2.
Nyní jděte do menu PSK a zadejte sem Váš identifier a jeho heslo. Nastavení pro
bránu 2 bude naprosto stejné jen se změní IP remote LAN a remote gateway. Viz
obrázky.
Nastavení pro bránu 1 by mělo vypadat takto:
8
Příklady spojení různých bran
1.2
Nastavení pro bránu 2:
Nastavení PSK bude pro obě brány shodné:
9
Příklady spojení různých bran
1.2
Nyní se podíváme do menu report, kde se můžeme podívat na navazování spojení
pomocí systémového logu. Úspěšné navázání spojení vypadá následovně. Toto je
záznam mezi výše uvedenými dvěma branami. Tento LOG je z brány 1. Ten z brány 2
vypadá obdobně.
Jan 24 18:26:12 EasyRoute daemon.info racoon: INFO: caught signal 15
Jan 24 18:26:13 EasyRoute daemon.info racoon: INFO: racoon shutdown
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsectools.sourceforge.net)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: @(#)This product linked OpenSSL 0.9.8e
23 Feb 2007 (http://www.openssl.org/)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: Reading configuration from
"/tmp/racoon.conf"
Jan 24 18:26:17 EasyRoute daemon.info racoon: NOTIFY: NAT-T is enabled, autoconfiguring
ports


V této žluté fázi probíhá zapnutí racoon démona pod kterým ipsec běží.
V předposledním řádku načítá konfiguraci a v posledním spouští autokonfig
NATU o kterém jsem psal výše.
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used as isakmp port
(fd=6)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used for NAT-T
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used as isakmp port
(fd=7)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used for NAT-T
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[500] used as isakmp
port (fd=8)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[500] used for NAT-T
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[4500] used as isakmp
port (fd=9)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[4500] used for NAT-T
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[500] used as isakmp port
(fd=10)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[500] used for NAT-T
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[4500] used as isakmp port
(fd=11)
Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[4500] used for NAT-T


V této fázi se nakonfigurovalo rozhraní pro IP sec a dochází k zahájení
komunikace mezi oběma easyroutami.
V tomto bodě se log na krátkou dobu zdrží a asi po chvilce pokračuje může to
trvat i delší dobu než v tomto logu.
10
Příklady spojení různých bran
1.2
Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: IPsec-SA request for 160.218.244.117
queued due to no phase1 found.
Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: initiate new phase 1 negotiation:
89.24.1.4[500]<=>160.218.244.117[500]
Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: begin Aggressive mode.
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received Vendor ID: RFC 3947
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received broken Microsoft ID:
FRAGMENTATION
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received Vendor ID: DPD
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Selected NAT-T version: RFC 3947
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT-D payload #-1 doesn't match
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT-D payload #0 doesn't match
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT detected: ME PEER
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: KA list add: 89.24.1.4[4500]>160.218.244.117[4500]
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Adding remote and local NAT-D payloads.
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Hashing 160.218.244.117[4500] with algo
#2 (NAT-T forced)
Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Hashing 89.24.1.4[4500] with algo #2
(NAT-T forced)
Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: ISAKMP-SA established 89.24.1.4[4500]160.218.244.117[4500] spi:dfa02e3d2a3a22a4:391af611e6eed562
Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: initiate new phase 2 negotiation:
89.24.1.4[4500]<=>160.218.244.117[4500]
Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: NAT detected -> UDP encapsulation
(ENC_MODE 1->3).
Jan 24 18:30:39 EasyRoute daemon.info racoon: NOTIFY: the packet is retransmitted by
160.218.244.117[500] (2).


V této fázo dochází k vyjednání přístupových údajů obou bran phase 1 druhý
řádek od zhora
Po navázání spojení fází 1 dochází k přepnutí do fáze dva ve které se dojedná
šifrování obou kanálů
Jan 24 18:30:39 EasyRoute daemon.info racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel
Jan 24 18:30:39 EasyRoute daemon.info racoon: INFO: Adjusting peer's encmode UDP-Tunnel(3)>Tunnel(1)
Jan 24 18:30:40 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel
160.218.244.117[0]->89.24.1.4[0] spi=16653500(0xfe1cbc)
Jan 24 18:30:40 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel
89.24.1.4[4500]->160.218.244.117[4500] spi=31603406(0x1e23ace)
11
Příklady spojení různých bran

1.2
Nakonec poslední 4 řádky naznačují úspěšné sestavení obou tunelů jak pro
odesílání, tak pro příjem.
Spojení 2N® EasyRoute mezi sebou - Address
Zabezpečené spojení budeme navazovat mezi dvěma branami 2N® EasyRoute.
Brána 1 má IP adresu 89.24.1.4 (LAN 192.168.1.1/24)
Brána 2 má IP adresu 160.218.244.117 (LAN 192.168.100.1/24)
Jedná se o stejné brány jako výše jen budeme používat jiný typ autorizace address, u které se uplatní xauth (Křížová autorizace)
Upozornění

Nastavte Vaší bránu podle následujících obrázků. Důležité je zapamatovat
si, že u křížové autorizace v modelu Address se používají IP adresy obou
bran a proto je nutné v PSK nadefinovat obě IP adresy a jejich hesla.
Změňte typ identifikátoru z FQDN na Address. Do pole identifier potom zadejte
Veřejnou (WAN) IP adresu brány 1. To je v menu VPN jediná změna. Nyní jděte do
PSK a vytvořte dva řádky s IP adresami WAN portů obou bran a jejich hesly. Viz
obrázky.
Nastavení brány 1:
Nastavení brány 2:
12
Příklady spojení různých bran
1.2
Nastavení PSK je shodné pro obě brány:
Spojení 2N® EasyRoute a Sierra Wireless Raven XE
Sierra Wireless Raven XE je industriální UMTS router podporující IPsec spojení. Pokud
budete nastavovat IPsec tunel mezi tímto přístrojem a 2N® EasyRoute použijte
následující nastavení. Rozhodli jsme se vložit tento návod do tohoto manuálu, protože
se často používá a spojení 2N® EasyRoute se Sierra Raven XE může být docela časté.
Nastavení je velmi podobné tomu z předchozího návodu. Opět použijeme Adderss
identifikaci a křížovou autorizaci.
Adresa 2N® EasyRoute je 160.218.245.102 (LAN 192.168.1.1/24)
Adresa RAVEN XE je 89.24.2.33 (LAN 192.168.13.252/24)
Následující obrázky popisují toto nastavení. Nastavení je v 2N® EasyRoute obdobné
jako výše:
13
Příklady spojení různých bran
1.2
V nastavení RAVEN XE je důležité dodržet několik základních postupů. Samotné
nastavení je obdobné jako v 2N® EasyRoute jen je jejich uspořádání trochu jiné.
V menu LAN je potřeba zapnout DHCP a v menu VPN / Global settings napevno
zapnout podporu NAT-T.
A nyní nastavení samotné VPN.
14
Příklady spojení různých bran
1.2
Ve VPN type zvolte IPsec tunel. Na výběr je také možnost GRE tunelu, který
2N® EasyRoute podporuje také.
VPN Gateway address – je v tomto případě veřejná IP adresa 2N® EasyRoute
PSK1 – to je heslo pro PSK. V tomto případě “radek”. Musí být stejné jako v
protistraně. V tomto je RAVEN XE jednodušší, protože pro xauth se zadává pouze
jednou. V 2N® EasyRoute musíte specifikovat dva klíče.
My identity – vyplněno automaticky – je to IP adresa Sierra modemu
Peer identity – je IP adresa 2N® EasyRoute.
Negotiation mode – nastavte stjně jako v 2N® EasyRoute (Aggressive)
IKE – parametery:
AES-128 je AES ve 2N® EasyRoute
SHA 1 je stejný
DH1 je modp768 v 2N® EasyRoute
Upozornění

SA life time je v 2N® EasyRoute napevno nastaven na 3600.
15
Příklady spojení různých bran
1.2
Dále už je nastavení stejné jako v 2N® EasyRoute
Trace z úspěšného spojení těchto zařízení vypadá následovně:
Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsectools.sourceforge.net)
Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: @(#)This product linked OpenSSL 0.9.8e
23 Feb 2007 (http://www.openssl.org/)
Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: Reading configuration from
"/tmp/racoon.conf"
Jan 26 13:38:22 EasyRoute daemon.info racoon: NOTIFY: NAT-T is enabled, autoconfiguring
ports
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used as isakmp port
(fd=6)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used for NAT-T
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used as isakmp port
(fd=7)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used for NAT-T
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[500] used as isakmp port
(fd=8)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[500] used for NAT-T
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[4500] used as isakmp port
(fd=9)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[4500] used for NAT-T
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[500] used as isakmp
port (fd=10)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[500] used for NAT-T
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[4500] used as isakmp
port (fd=11)
Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[4500] used for NAT-T
Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: respond new phase 1 negotiation:
160.218.245.102[500]<=>89.24.2.33[500]
Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: begin Aggressive mode.
Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: received Vendor ID: draft-ietf-ipsecnat-t-ike-03 Jan 26 13:42:19 EasyRoute daemon.info racoon: NOTIFY: couldn't find the proper
pskey, try to get one by the peer's address.
Jan 26 13:42:20 EasyRoute daemon.info racoon: INFO: ISAKMP-SA established
160.218.245.102[500]-89.24.2.33[500] spi:4b89cab5480c330d:a392c7f07fd9ac3e
Jan 26 13:42:20 EasyRoute daemon.info racoon: INFO: respond new phase 2 negotiation:
160.218.245.102[500]<=>89.24.2.33[500]
Jan 26 13:42:21 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel
89.24.2.33[0]->160.218.245.102[0] spi=80133917(0x4c6bf1d)
Jan 26 13:42:21 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel
160.218.245.102[500]->89.24.2.33[500] spi=3026109827(0xb45ec583)
16
2N TELEKOMUNIKACE a.s.
Modřanská 621, 143 01 Praha 4, Česká Republika
Tel.: +420 261 301 111, Fax: +420 261 301 999
E-mail: [email protected]
Web: www.2n.cz
1570v1.02