2N EasyRoute UMTS datová a hlasová brána

®

2N EasyRoute UMTS datová a hlasová brána

Jak na to? Verze:

IPsec

www.2n.cz

1.

IPsec

IPsec (IP security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a šifrování každého IP datagramu. V architektuře OSI se jedná o zabezpečení již na síťové vrstvě, poskytuje proto transparentně bezpečnost jakémukoliv přenosu (kterékoliv síťové aplikaci). Bezpečnostní mechanismy vyšších vrstev (nad protokoly TCP/UDP, kde pracují TLS/SSL, SSH apod.) vyžadují podporu aplikací. IPsec je definován v několika desítkách RFC vydaných IETF, základními jsou 2401 a 2411. Princip činnosti: Vytváří logické kanály – Security Associations (SA), které jsou vždy jednosměrné, pro duplex se používají dvě SA. Bezpečnostní rozšíření vypadá následovně:  

Ověřování – při přijetí paketu může dojít k ověření, zda vyslaný paket odpovídá odesilateli či zda vůbec existuje. Šifrování – obě strany se předem dohodnou na formě šifrování paketu. Poté dojde k zašifrování celého paketu krom IP hlavičky, případně celého paketu a bude přidána nová IP hlavička.

Základní protokoly (jsou často používány zároveň, protože se vzájemně doplňují):  

Authentication Header (AH) – zajišťuje autentizace odesílatele a příjemce, integritu dat v hlavičce, ale vlastní data nejsou šifrována. Encapsulating Security Payload (ESP) – přidává šifrování paketů, přičemž vnější hlavička není nijak chráněna a není zaručena její integrita.

3

Popis nastavení ve 2N® EasyRoute

1.1

1.1 Popis nastavení ve 2N® EasyRoute IPsec – VPN V tomto menu se nastavují parametry připojení, které používá racoon daemon. Viz teorie výše.

Definice Vybírá jeden z 8mi možných nadefinovaných IPsec tunelů.

Povolit Povoluje nebo zakazuje zvolený IPsec tunel.

Typ připojení Určuje, kdy se bude IPsec tunel navazovat. Pokud nechcete navazovat spojení tunelů přes UMTS, npříklad kvůli rychlosti, použijte pouze WAN port. IP sec tunel se potom naváže jen v případě, že bude aktivní hlavní nebo záložní spojení vedené přes WAN port.

Režim výměny Režim navazování spojení zmiňovaný v popisu. Je možné nastavit Basic, Main nebo Aggressive.

Identifikátor Identifikátor, který se bude ověřovat v protistraně. Může se nastavit Adresa, FQDN nebo USER FQDN. Ověřuje se nastavení v PSK tabulce.

NAT Traversal

4

Popis nastavení ve 2N® EasyRoute

1.1

Zapíná použití NATU – 2N ® EasyRoute si vždycky zjistí celou cestu a použití natů.

Pasivní Zaškrtávátko uonačuje že tato strana nebude iniciátorem spojení.

Phase 1 Nastavení klíčování fáze1 – pro dojednání podrobností o spojení IP,brány apod…

Phase 2 Fáze 2 je potom nastavení kódování samotného přenosu.

Adresa vzdálené LAN IP adresa vzdálené stě nebo IP adresa z rozsahu vzdálené sítě.

Maska vzdálené LAN Maska vzdálené sítě.

Veřejná adresa brány Veřejná IP adresa protější brány.

IPsec – Manuální V tomto menu se nastavují parametry spojování podle protokolů AH a ESP. Viz teorie výše.

Definice Vybírá jeden z 8mi možných nadefinovaných IPsec tunelů.

5

Popis nastavení ve 2N® EasyRoute

1.1

Povolit Povoluje nebo zakazuje zvolený IPsec tunel.

Typ připojení Se u tohoto módu nijak nenastavuje. Vždy se používá aktuální main route do internetu.

Režim Režim navazování spojení zmiňovaný v teorii. Je možné nastavit Transportní nebo Tunelovací.

Protokol Protokol navazování spojení zmiňovaný v teorii. Je možné nastavit AH nebo ESP.

SPI (Security Parametr Index). Tj. 32 bitové číslo, které identifikuje SA.

Směr Určuje v jakém směru budou očekávána šifrovaná data. Tímto parametrem je možné určit, že šifrovat sse budou jen data odesílaná do tunelu nebo naopak budou přijímána šifrovaná data a odesílána nešifrována. Třetí možností je potom šifrovat provoz v obou směrech.

Lokální IP : port Nastavuje místní adresu vnitřní LAN sítě brány. Portem se specifikuje jeden z IP portů. Pokud ponecháte nevyplněné budou se šifrovat všechny.

Tip 

Specifikováním portu můžete nastavit filtraci. To znamená že v odchozím nebo příchozím směru, budou šifrována data pouze na tento jeden port. Tím se ulehčí procesoru, který nemusí šifrovat provoz, mezi zařízeními v tunelu, na všech portech.

Adresa lokálního tunelu Jedná se o místní IP adresu brány. Tedy na rozhraní WAN nebo UMTS.

Vzdálená IP : port Nastavuje adresu vnitřní LAN sítě vzdálené brány (oponent). Portem se specifikuje jeden z IP portů. Pokud ponecháte nevyplněné budou se šifrovat všechny.

Adresa vzdáleného tunelu Jedná se o IP adresu protější brány (oponent). Tedy na rozhraní WAN nebo UMTS.

Autentizační algoritmus Nastavení kódování přenosu autentizačního algoritmu. Protokolu AH

Autentizační klíč Je klíč, jehož pomocí se společně s autentizačním algoritmem vypočítává zabezpečení přenosu. Tento parametr musí být na obou stranách přenosu nastaven stejně. Aby bylo možné dekódovat pokusy o navázání spojení.

6

Popis nastavení ve 2N® EasyRoute

1.1

Šifrovací algoritmus Nastavení kódování přenosu autentizačního algoritmu. Protokolu AH

Šifrovací klíč Je klíč, jehož pomocí se společně s autentizačním algoritmem vypočítává zabezpečení přenosu. Tento parametr musí být na obou stranách přenosu nastaven stejně. Aby bylo možné dekódovat pokusy o navázání spojení.

IPsec – PSK V tomto menu se nastavují předsdílené bezpečnostní klíče. Podle nastavení identifikátorů v menu VPN se hledají příslušné klíče v následující tabulce.

Identifikátor Je stejný jako v menu VPN. Poté se k němu přiřadí příslušný klíč. Lze zadávat všechny ASCII znaky. Může se jednat o slovo, IP adresu, e-mailovou adresu nebo případně shluk náhodných znaků.

Předsdílený klíč Parametrem se nastavuje bezpečnostní klíč, který bude použit při šifrování paketů mezi jednotlivými stranami IPsec tunelu.

7

Příklady spojení různých bran

1.2

1.2 Příklady spojení různých bran Spojení 2N® EasyRoute mezi sebou - FQDN Zabezpečené spojení budeme navazovat mezi dvěma branami 2N® EasyRoute. Brána 1 má IP adresu 89.24.1.4 (LAN 192.168.1.1/24) Brána 2 má IP adresu 160.218.244.117 (LAN 192.168.100.1/24) Budeme nastavovat IPsec tunel pomocí démona racoon. Nastavení bran je potom jednoduché. Jděte do menu Nastavení / Služby / IPsec / VPN. Zvolte si novou volnou definici. Povolte nastavovaný tunel a vyberte typ připojení, ve kterém se bude IPsec tunel navazovat. V našem případě to bude UMTS. Zvolíme mód Aggressive. Ten má o něco nižší bezpečnost ale nabízí lepší výkon při navazování spojení, což je důležité při používání přes UMTS, protože tato síť není tak rychlá a spolehlivá jako klasická kabelová LAN. Jako identifier nastavíme FQDN, to znamená, že si zde můžete zvolit jakýkoliv text jako identifikaci tohoto spojení. NAT-T ponecháme zapnutý. V síti UMTS můžou být nějaké NATy a proto je lepší nechat výběr protokolu na samotném daemonu. Brána bude aktivním iniciátorem spojení proto Pasove nebude zaškrtnuto. Fáze 1,2 je nastavení klíčování 1 – pro dojednání podrobností o spojení IP,brány apod… 2 je potom nastavení kodování samotného přenosu. Remote lan adress je adresa ze vzdálené sítě. Může být adresa sítě nebo zařízení v síti. Remote lan mask je maska vzdálené sítě. Remote Public Gateway je (veřejná) adresa oponenta v našem případě IP brány 2. Nyní jděte do menu PSK a zadejte sem Váš identifier a jeho heslo. Nastavení pro bránu 2 bude naprosto stejné jen se změní IP remote LAN a remote gateway. Viz obrázky. Nastavení pro bránu 1 by mělo vypadat takto:

8

Příklady spojení různých bran

1.2

Nastavení pro bránu 2:

Nastavení PSK bude pro obě brány shodné:

9

Příklady spojení různých bran

1.2

Nyní se podíváme do menu report, kde se můžeme podívat na navazování spojení pomocí systémového logu. Úspěšné navázání spojení vypadá následovně. Toto je záznam mezi výše uvedenými dvěma branami. Tento LOG je z brány 1. Ten z brány 2 vypadá obdobně. Jan 24 18:26:12 EasyRoute daemon.info racoon: INFO: caught signal 15 Jan 24 18:26:13 EasyRoute daemon.info racoon: INFO: racoon shutdown Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsectools.sourceforge.net) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: Reading configuration from "/tmp/racoon.conf" Jan 24 18:26:17 EasyRoute daemon.info racoon: NOTIFY: NAT-T is enabled, autoconfiguring ports

 

V této žluté fázi probíhá zapnutí racoon démona pod kterým ipsec běží. V předposledním řádku načítá konfiguraci a v posledním spouští autokonfig NATU o kterém jsem psal výše.

Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used for NAT-T Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used as isakmp port (fd=7) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used for NAT-T Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[500] used as isakmp port (fd=8) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[500] used for NAT-T Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[4500] used as isakmp port (fd=9) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 192.168.100.252[4500] used for NAT-T Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[500] used as isakmp port (fd=10) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[500] used for NAT-T Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[4500] used as isakmp port (fd=11) Jan 24 18:26:17 EasyRoute daemon.info racoon: INFO: 89.24.1.4[4500] used for NAT-T

 

V této fázi se nakonfigurovalo rozhraní pro IP sec a dochází k zahájení komunikace mezi oběma easyroutami. V tomto bodě se log na krátkou dobu zdrží a asi po chvilce pokračuje může to trvat i delší dobu než v tomto logu.

10

Příklady spojení různých bran

1.2

Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: IPsec-SA request for 160.218.244.117 queued due to no phase1 found. Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: initiate new phase 1 negotiation: 89.24.1.4[500]<=>160.218.244.117[500] Jan 24 18:30:16 EasyRoute daemon.info racoon: INFO: begin Aggressive mode. Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received Vendor ID: RFC 3947 Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received broken Microsoft ID: FRAGMENTATION Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: received Vendor ID: DPD Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Selected NAT-T version: RFC 3947 Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT-D payload #-1 doesn't match Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT-D payload #0 doesn't match Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: NAT detected: ME PEER Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: KA list add: 89.24.1.4[4500]>160.218.244.117[4500] Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Adding remote and local NAT-D payloads. Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Hashing 160.218.244.117[4500] with algo #2 (NAT-T forced) Jan 24 18:30:17 EasyRoute daemon.info racoon: INFO: Hashing 89.24.1.4[4500] with algo #2 (NAT-T forced) Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: ISAKMP-SA established 89.24.1.4[4500]160.218.244.117[4500] spi:dfa02e3d2a3a22a4:391af611e6eed562 Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: initiate new phase 2 negotiation: 89.24.1.4[4500]<=>160.218.244.117[4500] Jan 24 18:30:18 EasyRoute daemon.info racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 1->3). Jan 24 18:30:39 EasyRoute daemon.info racoon: NOTIFY: the packet is retransmitted by 160.218.244.117[500] (2).

 

V této fázo dochází k vyjednání přístupových údajů obou bran phase 1 druhý řádek od zhora Po navázání spojení fází 1 dochází k přepnutí do fáze dva ve které se dojedná šifrování obou kanálů

Jan 24 18:30:39 EasyRoute daemon.info racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel Jan 24 18:30:39 EasyRoute daemon.info racoon: INFO: Adjusting peer's encmode UDP-Tunnel(3)>Tunnel(1) Jan 24 18:30:40 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel 160.218.244.117[0]->89.24.1.4[0] spi=16653500(0xfe1cbc) Jan 24 18:30:40 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel 89.24.1.4[4500]->160.218.244.117[4500] spi=31603406(0x1e23ace)

11

Příklady spojení různých bran



1.2

Nakonec poslední 4 řádky naznačují úspěšné sestavení obou tunelů jak pro odesílání, tak pro příjem.

Spojení 2N® EasyRoute mezi sebou - Address Zabezpečené spojení budeme navazovat mezi dvěma branami 2N® EasyRoute. Brána 1 má IP adresu 89.24.1.4 (LAN 192.168.1.1/24) Brána 2 má IP adresu 160.218.244.117 (LAN 192.168.100.1/24) Jedná se o stejné brány jako výše jen budeme používat jiný typ autorizace address, u které se uplatní xauth (Křížová autorizace)

Upozornění 

Nastavte Vaší bránu podle následujících obrázků. Důležité je zapamatovat si, že u křížové autorizace v modelu Address se používají IP adresy obou bran a proto je nutné v PSK nadefinovat obě IP adresy a jejich hesla.

Změňte typ identifikátoru z FQDN na Address. Do pole identifier potom zadejte Veřejnou (WAN) IP adresu brány 1. To je v menu VPN jediná změna. Nyní jděte do PSK a vytvořte dva řádky s IP adresami WAN portů obou bran a jejich hesly. Viz obrázky. Nastavení brány 1:

Nastavení brány 2:

12

Příklady spojení různých bran

1.2

Nastavení PSK je shodné pro obě brány:

Spojení 2N® EasyRoute a Sierra Wireless Raven XE Sierra Wireless Raven XE je industriální UMTS router podporující IPsec spojení. Pokud budete nastavovat IPsec tunel mezi tímto přístrojem a 2N® EasyRoute použijte následující nastavení. Rozhodli jsme se vložit tento návod do tohoto manuálu, protože se často používá a spojení 2N® EasyRoute se Sierra Raven XE může být docela časté. Nastavení je velmi podobné tomu z předchozího návodu. Opět použijeme Adderss identifikaci a křížovou autorizaci. Adresa 2N® EasyRoute je 160.218.245.102 (LAN 192.168.1.1/24) Adresa RAVEN XE je 89.24.2.33 (LAN 192.168.13.252/24) Následující obrázky popisují toto nastavení. Nastavení je v 2N® EasyRoute obdobné jako výše:

13

Příklady spojení různých bran

1.2

V nastavení RAVEN XE je důležité dodržet několik základních postupů. Samotné nastavení je obdobné jako v 2N® EasyRoute jen je jejich uspořádání trochu jiné. V menu LAN je potřeba zapnout DHCP a v menu VPN / Global settings napevno zapnout podporu NAT-T.

A nyní nastavení samotné VPN.

14

Příklady spojení různých bran

1.2

Ve VPN type zvolte IPsec tunel. Na výběr je také možnost GRE tunelu, který 2N® EasyRoute podporuje také. VPN Gateway address – je v tomto případě veřejná IP adresa 2N® EasyRoute PSK1 – to je heslo pro PSK. V tomto případě “radek”. Musí být stejné jako v protistraně. V tomto je RAVEN XE jednodušší, protože pro xauth se zadává pouze jednou. V 2N® EasyRoute musíte specifikovat dva klíče. My identity – vyplněno automaticky – je to IP adresa Sierra modemu Peer identity – je IP adresa 2N® EasyRoute. Negotiation mode – nastavte stjně jako v 2N® EasyRoute (Aggressive) IKE – parametery:

AES-128 je AES ve 2N® EasyRoute SHA 1 je stejný DH1 je modp768 v 2N® EasyRoute

Upozornění 

SA life time je v 2N® EasyRoute napevno nastaven na 3600.

15

Příklady spojení různých bran

1.2

Dále už je nastavení stejné jako v 2N® EasyRoute Trace z úspěšného spojení těchto zařízení vypadá následovně: Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsectools.sourceforge.net) Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/) Jan 26 13:38:21 EasyRoute daemon.info racoon: INFO: Reading configuration from "/tmp/racoon.conf" Jan 26 13:38:22 EasyRoute daemon.info racoon: NOTIFY: NAT-T is enabled, autoconfiguring ports Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[500] used for NAT-T Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used as isakmp port (fd=7) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 127.0.0.1[4500] used for NAT-T Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=8) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[500] used for NAT-T Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[4500] used as isakmp port (fd=9) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 192.168.1.1[4500] used for NAT-T Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[500] used as isakmp port (fd=10) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[500] used for NAT-T Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[4500] used as isakmp port (fd=11) Jan 26 13:38:22 EasyRoute daemon.info racoon: INFO: 160.218.245.102[4500] used for NAT-T Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: respond new phase 1 negotiation: 160.218.245.102[500]<=>89.24.2.33[500] Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: begin Aggressive mode. Jan 26 13:42:19 EasyRoute daemon.info racoon: INFO: received Vendor ID: draft-ietf-ipsecnat-t-ike-03 Jan 26 13:42:19 EasyRoute daemon.info racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. Jan 26 13:42:20 EasyRoute daemon.info racoon: INFO: ISAKMP-SA established 160.218.245.102[500]-89.24.2.33[500] spi:4b89cab5480c330d:a392c7f07fd9ac3e Jan 26 13:42:20 EasyRoute daemon.info racoon: INFO: respond new phase 2 negotiation: 160.218.245.102[500]<=>89.24.2.33[500] Jan 26 13:42:21 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel 89.24.2.33[0]->160.218.245.102[0] spi=80133917(0x4c6bf1d) Jan 26 13:42:21 EasyRoute daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel 160.218.245.102[500]->89.24.2.33[500] spi=3026109827(0xb45ec583)

16

2N TELEKOMUNIKACE a.s. Modřanská 621, 143 01 Praha 4, Česká Republika Tel.: +420 261 301 111, Fax: +420 261 301 999 E-mail: [email protected] Web: www.2n.cz 1570v1.02