Infosessie Systeembeheerders VPN aan de KULeuven
Doel (1) vertrouwelijke informatie ter beschikking stellen van 'KUL-vreemde' netwerken thuiswerkers mobiele gebruikers externe contracten kotnet constante factoren : eerder complexe of niet voor de hand liggende taken geen standaard toepassingen SAP, file-share,...
Doel is NIET : elementair netwerkgebruik : http -> https telnet -> ssh smtp -> ssmtp pop/imap -> pops/imaps VPN is géén deus ex machina
Doel (2) contante problematiek : afluisteren/overnemen netwerkverkeer valse afzenders verlies gegevens verlies vertrouwelijkheid gegevens inbraakgevaar
Doel (3) het Internet bereiken met een 134.58 adres betalende, externe databases...
Middel (1) inpakken van het hele netwerkverkeer in een versleutelde en geauthenticeerde omslag maw. een tunnel van gebruikersmachine naar een vertrouwde omgeving -> Virtual Private Network
Middel (2) Kotnet-1 cisco-kotnet-1 Internet cisco-access Internet cisco-access Kotnet-2 cisco-kotnet-2 VPN cluster KULeuvenNet Kotnet-3 cisco-kotnet-3 Centrale Firewall cluster cisco-kulnet
Middel (3) VPN : exotische IP protocollen tcp = ip protocol 6 -> http, ftp, telnet, smtp, imap,... udp = ip protocol 17 -> dns, ntp, isakmp/ike, pptp... gre = ip protocol 47 -> pptp esp = ip protocol 50 -> ipsec ah = ip protocol 51 -> ipsec
Middel is NIET pptp eenzijdige implementatie povere versleuteling standaard 40 of 56 bits, en uitbreiding ervan vereist specifieke gateway "3DES is ontworpen voor zwaar beveiligde omgevingen in de Verenigde Staten" technologie vs. politiek... povere veiligheid gateway bvb. http://www.counterpane.com/pptp.html
Middel (4) IPSEC gestandaardiseerd standaarden die gerespecteerd worden door meerdere constructeurs hand-shaking op udp/500 (ike/isakmp) tunneling op ip/50 (esp) cq. ip/51 (ah) HW 1x Nokia CC2500 + 1x CC500 theorie +/- 60 Mbit bandbreedte 128 -> 256 bits versleuteling, 3DES = minimum minimorum...
Wat is nodig aan client-zijde sw nestelt zich in de MS TCP/IP stack MS TCP/IP stack IPSEC client software te installeren op de machine die de tunnel zal opbouwen Nokia IPSEC sw na installatie 'profiel'inladen KULeuvenVPN profiel bestand verbinding leggen met VPN gateway KULeuvenVPN gebruiker/certificaat
Hindernis : ADSL - IPSEC (1) ADSL (PPPoE) sw nestelt zich ook in de tcp/ip stack maar incompatibel met de IPSEC sw... ADSL (PPPoE) en IPSEC zijn niet op 1 machine te installeren oplossing : 2 afzonderlijke machines bvb. 'gateway'pc met vpn-pc erachter adsl modem die PPPoE zelf voor zijn rekening neemt bvb. Bausch ADSL router (+/- 200)
Hindernis : ADSL - IPSEC (2) ADSL router/gateway (bvb. Bausch) Internet VPN client ADSL gateway ADSL modem eigen PC VPN gateway KULeuven
Hindernis : ADSL - IPSEC (3) MTU = 1500 levert problemen IPSEC encapsulatie vergroot netwerkpakketten PPPoE vergroot netwerkpakketten IPSEC en PPPoE communiceren niet met elkaar pakketten worden te groot VPN gateway staat op MTU = 1400 ADSL : Windows registry aanpassen... (*)
Hindernis : IP-protocollen Alle componenten op de route van de tunnel moeten esp (en cq. ah) doorlaten veel 'goedkopere'gateways kennen deze protocollen niet dit gat in de markt wordt stillaan opgevuld, echter meestal duurdere oplossing
Hindernis : NAT opzetten van de tunnel gebeurt oa. via udp/500 (IKE) alle tussenliggende componenten moeten udp verkeer correct behandelen NAT boxen reageren vaak niet goed inkomend IKE verkeer moet doorgestuurd worden naar de VPN client meerdere VPN clients achter 1 NAT box staat nog niet op punt (*)
Overzicht opstart Telenet, Kotnet, andere "rechtstreekse" ip aansluitingen Nokia software installeren : http://www.kulnet.kuleuven.ac.be/vpn KUL profiel installeren : http://www.kulnet.kuleuven.ac.be/vpn gebruiker aanvragen : mailto:beveiliging@kulnet.kuleuven.ac.be ADSL aansluitingen keuze + configuratie ADSL modem/gateway Bausch ADSL router Eicon Diva 2440 ADSL router...? MTU rest is zoals boven SOHO/residential gateways edm. zijn vaak niet bruikbaar
Overzicht gebruik Nokia software activeren kan automatisch manueel attendeert de gebruiker profiel aanvaarden gebruiker/paswoord authenticatie wordt gevraagd bij eerste netwerkgebruik kan automatisch paswoord is persoonlijk zal vervangen worden door certificaat
Overzicht nodige gegevens http://www.kulnet.kuleuven.ac.be/vpn Nokia IPSEC client software Windows 98/2000 KULeuvenVPN profiel documentatie inzake MTU aanpassing deze presentatie verdere documentatie en verwijzingen mailto:beveiliging@kulnet.kuleuven.ac.be activiatie gebruiker (nà 15/7/2002)
Toekomst andere client software, oa. voor andere OS'en ADSL/PPPoE problematiek andere gateways aan clientzijde uitbreiding capaciteit certificaat ipv. paswoord differentiatie in de profielen