280 likes | 383 Vues
Soluzioni VPN per Road Warriors. Alessandro Brunengo per il gruppo VPN del Netgroup. Il lavoro e' stato svolto dal sottogruppo VPN del netgroup , costituito da: A. Brunengo E. M. V. Fasanelli E. Mazzoni O. Pinazza C. Soprano R. Veraldi S. Zani. Cosa significa VPN.
E N D
Soluzioni VPN per Road Warriors Alessandro Brunengo per il gruppo VPN del Netgroup
Il lavoro e' stato svolto dal sottogruppo VPN del netgroup, costituito da: A. Brunengo E. M. V. Fasanelli E. Mazzoni O. Pinazza C. Soprano R. Veraldi S. Zani Workshop sul Calcolo INFN
Cosa significa VPN Virtual Private Network: un concetto che può essere implementato con l’utlizzo di tecnologie diverse fra loro. Alla base vi è la necessità di avere una rete virtuale di calcolatori che possono fare parte fisicamente di reti diverse ma appartenere alla stessa rete logica (VPN). L’utilizzo di meccanismi di autenticazione e crittografia rende questa rete privata. La VPN va oltre il concetto di LAN e WAN e le può utilizzare entrambe come mezzo di cui servirsi per raggiugere tutti i suoi nodi. Workshop sul Calcolo INFN
Tecnologie di VPN • PPTP – L2TP (Microsoft VPN) - Windows, UNIX/Linux clients. • CIPE - Linux clients e Windows (2000 & NT) clients • OpenVPN - UNIX/Linux clients • SSL - wrapped PPP - Linux clients • IPSec, tunnel mode, transport mode - Windows (2000 & NT) e UNIX/Linux clients • PPTP/IPSec - Windows (2000 & NT) e UNIX/Linux clients • L2TP/IPSec - Windows (2000 & NT) e UNIX/Linux clients Workshop sul Calcolo INFN
Cosa serve al guerriero? • accesso ai volumi esportati via NFS • accesso ai volumi Windows • accesso al mail relay di sezione • ... in generale un bypass del firewall, cioè un accesso via WAN ai servizi informatici della sezione come se fosse connesso alla sua LAN un accesso tramite VPN Workshop sul Calcolo INFN
Cosa deve offrire la soluzione? Sicurezza • Comunicazione criptata • Autenticazione per l'accesso alla VPN Interoperabilità • Client Windows, Linux, MacOsX (?) • Server ? Workshop sul Calcolo INFN
Cosa deve offrire la soluzione? Applicabilità • Accesso attraverso NAT o firewall Semplicità • Configurazione del servizio • Configurazione del client • Utilizzo del client Workshop sul Calcolo INFN
Test di soluzioni a costo zero • Free S/WAN • Cipe • KAME • Microsoft VPN connection Workshop sul Calcolo INFN
Free S/WAN • Implementazione di IPSec public domain per linux (http://www.freeswan.org) • Autenticazione e criptazione tramite chiavi prefissate, o tramite IKE (via certificati, preshared secrets o RSA private keys) • Compatibile con il protocollo IPSec di altre architetture Workshop sul Calcolo INFN
Free S/WAN (II) • Effettuati test linux-linux e linux-W2K (utilizzando IKE via RSA private keys) • Verificata la funzionalita' della connessione • Complessita' della configurazione (in particolare IPSec su W2K) Workshop sul Calcolo INFN
CIPE • Implementazione VPN su linux (sostanzialmente un tunnel UDP) • Disponibile anche un client per WNT e W2K • Configurazione non particolarmente complessa • Problemi di funzionamento del client per W2K Workshop sul Calcolo INFN
KAME • Implementazione di IPSec su FreeBSD e NetBSD (http://www.kame.org) • Caratteristiche simili a Free S/WAN • Effettuata prova di interoperabilità con WXP con utilizzo di certificati • Complessa la configurazione del sistema • Riscontrati problemi sul funzionamento di WXP come server Workshop sul Calcolo INFN
Microsoft VPN - PPTP • Dispone di meccanismi di autenticazione opzionali via PAP e CHAP senza criptazione, o MS-CHAP(v2) con criptazione, sullo userDB del server • Esiste client per linux (testato) • Configurazione banale del server e del client Windows; piú complessa la configurazione del client linux Workshop sul Calcolo INFN
Microsoft VPN – PPTP (II) • Debolezza nota della criptazione del protocollo PPTP • Verificati problemi di filtraggio del protocollo da parte di alcuni provider nazionali Workshop sul Calcolo INFN
Test su VPN box • Cisco VPN concentrator 3000 series • Netscreen 25 Workshop sul Calcolo INFN
Cisco VPN concentrator 3000modelli disponibili: • modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB RAM • modello 3015: idem, 64 MB RAM, upgradable ai modelli successivi • modello 3030: 1500 connessioni, 50 Mb/s, hardware encr., 128 MB RAM • modello 3060: 5000 connessioni, 100 Mb/s, hw encr., 256 MB RAM • modello 3080: 10000 connessioni, 100 Mb/s, hw encr., 256 MB RAM Workshop sul Calcolo INFN
Cisco VPN concentrator 3005 principali funzionalità: • Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN. • Protocolli supportati: PPTP, L2TP/IPSEC, IPSEC, IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei meccanismi di criptazione e delle regole di tunnelling. • Autenticazione tramite database locale, Radius, NT-Domain (e W2K-Domain con AD), tramite certificati. • Management via seriale, http, https, ssh, telnet, etc. • Client (IPSEC) per W*, Linux, MacOsX, SunOS • Possiblilità di definire filtri sulle interfacce ethernet Workshop sul Calcolo INFN
Cisco VPN concentrator 3005 layout di test: Workshop sul Calcolo INFN
Cisco VPN concentrator 3005prove di throughput: • E’ stato effettuato un test di throughput utilizzando client linux connessi attraverso un link a 10 Mb/s • Throughput con un client: 3.4 Mb/s • Throughput con due client: 2*1.69 Mb/s • In entrambi i casi l’utilizzo della CPU del VPN server va al 100% Workshop sul Calcolo INFN
Cisco VPN concentrator 3005 sommario: sicurezza: varie opzioni sul protocollo da utilizzare e sui meccanismi di criptazione e di autenticazione interoperabilità: PPTP testato con client windows e linux client proprietario disponibile per piattaforme W*, linux, solaris, MacOsX Workshop sul Calcolo INFN
Cisco VPN concentrator 3005 sommario (II): applicabilità: disponibile il protocollo NAT-T per l'incapsulamento su TCP ed UDP flessibilità nella scelta delle porte per l'incapsulamento semplicità: server configurabile tramite interfaccia Web senza grossi problemi client configurabile in modo banale su tutte le piattaforme testate (W*, linux, MacOsX) Workshop sul Calcolo INFN
Cisco VPN concentrator 3005problemi: • PPTP: fallisce l'autenticazione con DB non locali se si richiede la criptazione (ma la documentazione dice che funzona) • Certificati: non è stato possibile fare test con questo meccanismo di autenticazione (da provare) • Layout: non è supportata (ed è sconsigliata) la configurazione con le due interfacce sulla stessa rete IP Workshop sul Calcolo INFN
Netscreen 25 • Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN • Performance dichiarate: fino a 20 Mb/s per VPN con encription, 25 connessioni site-to-site e 100 connessioni tipo client contemporanee Workshop sul Calcolo INFN
Netscreen 25 (II) • Effettuate prove con IPSec utilizzando il client proprietario (a pagamento) • Testata autenticazione tramite user Db locale, e tramite Radius server • Non si e' riusciti ad utilizzare un client non proprietario (ma i produttori sostengono che si possa) Workshop sul Calcolo INFN
Netscreen 25 (III) • Il prodotto nasce come firewall box, ma sa fare anche VPN server • Non sono state effettuate prove di performance sul throughput • Il client e' a pagamento, e solo per piattaforma Windows Workshop sul Calcolo INFN
Test effettuati: tabella comparativa Workshop sul Calcolo INFN
Considerazioni • Il box Cisco mostra grande versatilità nella scelta dei protocolli di cripting e nei meccanismi di autenticazione, semplicità di installazione del client e di attivazione della VPN • Il box Netscreen e' inferiore come flessibilita', sulla carta superiore in performance • Altre soluzioni di semplice configurazione sono disponibili, in particolare per soluzioni su piattaforma omogenea (PPTP per Windows, CIPE o Free S/WAN per linux) Workshop sul Calcolo INFN
Riferimenti Tutti i dettagli ed i risultati dei test, ed informazioni sulle attività del gruppo, sono reperibili sul sito del netgroup, alla URL: http://www.infn.it/netgroup nella sezione dedicata al sottogruppo VPN. Workshop sul Calcolo INFN