VPN aan de KULeuven
Infosessie Systeembeheerders 26 juni 2002
VPN aan de KULeuven
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Doel (1) vertrouwelijke informatie ter beschikking stellen van 'KUL-vreemde' netwerken thuiswerkers mobiele gebruikers externe contracten kotnet
constante factoren : eerder complexe of niet voor de hand liggende taken geen standaard toepassingen SAP, file-share, ... LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Doel is NIET : elementair netwerkgebruik : http -> https telnet -> ssh smtp -> ssmtp pop/imap -> pops/imaps
VPN is géén deus ex machina
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Doel (2) contante problematiek : afluisteren/overnemen netwerkverkeer valse afzenders verlies gegevens verlies vertrouwelijkheid gegevens inbraakgevaar
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Doel (3) het Internet bereiken met een 134.58 adres betalende, externe databases ...
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Middel (1) inpakken van het hele netwerkverkeer in een versleutelde en geauthenticeerde omslag maw. een tunnel van gebruikersmachine naar een vertrouwde omgeving -> Virtual Private Network
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Middel (2)
cisco-kotnet-1
Internet
cisco-access Internet
Kotnet-1
cisco-access
Kotnet-2
cisco-kotnet-2
Kotnet-3
VPN cluster
KULeuvenNet
cisco-kulnet cisco-kotnet-3
LUDIT - KULeuvenNet - Guido Van De Velde
Centrale Firewall cluster
26 juni 2002
VPN aan de KULeuven
Middel (3) VPN : exotische IP protocollen tcp = ip protocol 6 -> http, ftp, telnet, smtp, imap, ... udp = ip protocol 17 -> dns, ntp, isakmp/ike, pptp... gre = ip protocol 47 -> pptp esp = ip protocol 50 -> ipsec ah = ip protocol 51 -> ipsec
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Middel is NIET pptp eenzijdige implementatie povere versleuteling standaard 40 of 56 bits, en uitbreiding ervan vereist specifieke gateway "3DES is ontworpen voor zwaar beveiligde omgevingen in de Verenigde Staten" technologie vs. politiek ...
povere veiligheid gateway bvb. http://www.counterpane.com/pptp.html LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Middel (4) IPSEC gestandaardiseerd standaarden die gerespecteerd worden door meerdere constructeurs hand-shaking op udp/500 (ike/isakmp) tunneling op ip/50 (esp) cq. ip/51 (ah)
HW 1x Nokia CC2500 + 1x CC500 theorie +/- 60 Mbit bandbreedte 128 -> 256 bits versleuteling, 3DES = minimum minimorum... LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Wat is nodig aan client-zijde sw nestelt zich in de MS TCP/IP stack MS TCP/IP stack
IPSEC client software te installeren op de machine die de tunnel zal opbouwen Nokia IPSEC sw
na installatie ' profiel'inladen KULeuvenVPN profiel bestand
verbinding leggen met VPN gateway KULeuvenVPN gebruiker/certificaat LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Hindernis : ADSL - IPSEC (1) ADSL (PPPoE) sw nestelt zich ook in de tcp/ip stack maar incompatibel met de IPSEC sw...
ADSL (PPPoE) en IPSEC zijn niet op 1 machine te installeren oplossing : 2 afzonderlijke machines bvb. ' gateway'pc met vpn-pc erachter adsl modem die PPPoE zelf voor zijn rekening neemt bvb. Bausch ADSL router (+/- € 200)
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Hindernis : ADSL - IPSEC (2) ADSL router/gateway (bvb. Bausch)
Internet VPN client
ADSL gateway
ADSL modem eigen PC LUDIT - KULeuvenNet - Guido Van De Velde
VPN gateway KULeuven 26 juni 2002
VPN aan de KULeuven
Hindernis : ADSL - IPSEC (3) MTU = 1500 levert problemen IPSEC encapsulatie vergroot netwerkpakketten PPPoE vergroot netwerkpakketten IPSEC en PPPoE communiceren niet met elkaar pakketten worden te groot
VPN gateway staat op MTU = 1400 ADSL : Windows registry aanpassen ... (*)
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Hindernis : IP-protocollen Alle componenten op de route van de tunnel moeten esp (en cq. ah) doorlaten veel ' goedkopere'gateways kennen deze protocollen niet dit gat in de markt wordt stillaan opgevuld, echter meestal duurdere oplossing
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Hindernis : NAT opzetten van de tunnel gebeurt oa. via udp/500 (IKE) alle tussenliggende componenten moeten udp verkeer correct behandelen NAT boxen reageren vaak niet goed inkomend IKE verkeer moet doorgestuurd worden naar de VPN client
meerdere VPN clients achter 1 NAT box staat nog niet op punt (*)
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Overzicht opstart Telenet, Kotnet, andere "rechtstreekse" ip aansluitingen Nokia software installeren : http://www.kulnet.kuleuven.ac.be/vpn KUL profiel installeren : http://www.kulnet.kuleuven.ac.be/vpn gebruiker aanvragen : mailto:
[email protected]
ADSL aansluitingen keuze + configuratie ADSL modem/gateway Bausch ADSL router Eicon Diva 2440 ADSL router ... ? MTU rest is zoals boven
SOHO/residential gateways edm. zijn vaak niet bruikbaar LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Overzicht gebruik Nokia software activeren kan automatisch manueel attendeert de gebruiker
profiel aanvaarden gebruiker/paswoord authenticatie wordt gevraagd bij eerste netwerkgebruik kan automatisch paswoord is persoonlijk zal vervangen worden door certificaat
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Overzicht nodige gegevens http://www.kulnet.kuleuven.ac.be/vpn Nokia IPSEC client software Windows 98/2000 KULeuvenVPN profiel documentatie inzake MTU aanpassing deze presentatie verdere documentatie en verwijzingen
mailto:
[email protected] activiatie gebruiker (nà 15/7/2002)
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
VPN aan de KULeuven
Toekomst andere client software, oa. voor andere OS' en ADSL/PPPoE problematiek andere gateways aan clientzijde uitbreiding capaciteit certificaat ipv. paswoord differentiatie in de profielen
LUDIT - KULeuvenNet - Guido Van De Velde
26 juni 2002
