IPsec and SSL VPN Design

From Teknologisk videncenter
Revision as of 23:43, 28 August 2012 by Rael (talk | contribs) (QoS Traffic profiles)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Kapitel 9 fra CCDP ARCH bogen.

Kate.png This article is under development....

IPsec VPN

Behandlet i CCNP 3 ISCW omhandlende

  • Site-to-Site IPsec VPN
  • Cisco VPN Client

SSL VPN

Problemer med certifikatet

SSL - Secure Socket Layer - er en teknologi udviklet af Netscape for at kryptere kommunikationen mellem en WEB-browser og en WEB-Server. SSL anvender asymetriske nøgler.

  1. En klient ønsker at sende fortrolige data til WEB-serveren.
  2. Browseren henter serverens sikkerheds-certifikat som indeholder den offentlige nøgle
  3. Browseren checker om certifikatet er udstedt af en CA (Certificate authority) som der stoles på og checker certifikatet.

Tynd SSL Client

Giver adgang gennem en Client program på PC'en som port-forwarder det usikre program Det usikre programs data Port-forwarders internt på PC'en gennem den tynde-klient som krypterer dataene og sender dem krypteret videre til VPN-appliance i den anden ende som dekrypterer og afleverer dataene til Serveren.

Thin Client (Port forwarding)

Tyk klient

Den tykke klient laver et virtuelt netkort som al kommunikation kan gå igennem.

Thick Client (Port forwarding)

VPN Arkitektur

I eksemplet nedenfor er der VPN adgang for både ansatte og forretnings partnere. De ansatte benytter sig af IPsec og forretnings partnerne benytter sig af SSL. Alle opkoblinger - både IPsec og SSl - Authenticates på AAA serveren.

Eksempel på VPN arkitektur

Site-to-Site VPN's

Site-to-Site VPN kan anvendes mellem en virsomheds filialer i stedet for andre WAN-services (MPLS) for at reducere omkostningerne, eller kan anvendes som Redundans hvis den primære WAN går ned.

Cisco Router performance

Cisco Router performance med IPsec VPN's
Cisco Router performance

Cisco ASA 5500 serie performance

Cisco ASA 500 serie performance

Typiske VPN løsninger

Typiske VPN løsninger
Anvendelse model
Teleworkers Cisco 850 og 870
Small Office/Home Office (SOHO) Cisco 850, 870 or ASA 5505
Small branch Cisco 1800 or ASA 5510
Medium branch Cisco 2800 or ASA 5520
Enterprise branch Cisco 3800 or ASA 5540 / 5550
Enterprise Edge Cisco 7200 and 7301
Enterprise headquarters or Data Center Catalyst 6500, Cisco 7600 or ASA 5550

VPN device placement design

Parallel to firewall

  • Fordele
    • Simpel implementering da firewall opsætning ikke skal ændres
    • Stor skalerbarhed da flere VPN enheder kan placeres parallelt med Firewallen
  • Ulemper
    • IPsec dekrypteret trafik inspiceres ikke af firewallen
    • Inget central logning eller inspektion af data/brugere finder sted.
VPN device placement: Parallel to firewall

På firewall DMZ zone

  • Fordele
    • Firewallen kan inspicere dekrypterede data.
    • Forholdsvis god skalabilitet da der kan tilsluttes flere VPN enheder
  • Ulemper
    • Konfigurationen bliver kompliceret da Firewallen skal supportere flere interfaces. Firewallen skal supportere Policy-Routing for at kende forskel på VPN-trafik og almindelig trafik.
    • Firewallens kapacitet.
VPN device placement: DMZ-zone on firewall

Integreret Firewall og VPN

  • Fordele
    • Firewallen kan inspicere dekrypteret trafik
    • Designet er nemmere at vedligeholde og der er mindre antal enheder
  • Ulemper
    • Manglende skalerbarhed da en enkelt enhed har flere ansvar.
    • Kompleks konfiguration da der er samlet flere funktioner i enheden.
VPN device placement: DMZ-zone on firewall

IPsec VPN teknologier

  • Cisco Easy VPN
  • GRE tunneling
  • Dynamic multipoint VPN (DMVPN)
  • Virtual Tunnel Interfaces (VTIs)
  • Group Encrypted Transport VPN (GET VPN)

Easy VPN

Til fjernopkoblede medarbejdere og kontorer.

Easy VPN server Wizard på Cisco SDM

Easy VPN Server Wizard på SDM
Easy VPN Remote Wizard på SDM

GRE over IPsec

IPsec kan kun transportere IP unicast trafik, og er derfor ikke velegnet som VPN mellem sites hvor der for eksempel skal udveksles trafik mellem Routnings protokoller.

GRE over IPsec tunnel

Anbefalinger

  • Op til 500 peers for Cisco 7200VXR routere med Network Engine G1 (NPE-G1)
  • Op til 600 peers for Cisco 7200VXR routere med Network Engine G2 (NPE-G2)
  • Op til 1000 peers for Cisco 7600 Routere og Catalyst 6500 serie switche med Supervisor Engine 720
GRE over IPsec

DMVPN

Normal Hub and Spoke konfiguration skalerer ikke så godt hvis der er mere end 10 sites. Al trafik mellem Spokes skal igennem Hubben. DMVPN kan lave dynamiske tunneller mellem Spokes når der er brug for det. DMVPN er en kombination mellem IPsec, GRE og Next Hop Resolution Protocol (NHRP)

  • Fordele
    • Antallet af tunneller er meget mindre end et fuldt MESH, som skalerer dårligt.
    • Hvis der tilføjes en ny Spoke skal de andre Spokes ikke omkonfigureres. Sker dynamisk fra Hubben.
Eksempel på DMVPN topologi

http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008075ea98.pdf

Virtual Tunnel Interface

Group Encrypted Transport VPN

Er en krypteret facilitet der uden tunneller tilbyder End-to-End sikkerhed for Voice, Video og data i Native mode til et Full-Meshed netværk i et privat WAN. Det benytter sig af det private WAN's muligheder for at replikere trafikken (Multicast). Anvendes for eksempel i forbindelse med MPLS. Anvender en Key-Server hvortil Group-members tilslutter sig. To Group-members kan udveksle krypteret trafik imellem hinanden. hvis der tilsluttes flere group-members er det kun Key-server og den nye Group-member der skal konfigureres.

GET VPN topologi

Anbefalinger for managing VPN's

  • SDM - Security Device Management GUI (Routere fx. Cisco 2800)
  • ASDM - ASA SDM
  • CSM

Scaling VPN's

Enterprise WAN kategorier
Funktion Point-of-sale Teleworker Integrated services Branch
Number of branches Extra Large 1.000 - 10.000 Large 1.000 - 3.000 Medium 500 - 1.000
VoIP support No Yes, usually one call Yes - up to 33% bandwidth
Multicast generally not Nice to have Yes
Avilability required Asynchronous Dialbackup To costly, Dial bandwidth insufficient for VoIP Multiple WAN links
Physical interface Broadband or POTS Broadband Leased line

Marketing performance ved kryptering af trafik, er som regl målt ved max mtu(1400byte) og 100% CPU, men det svarer ikke til IMIX(Internet mix) trafik, og de anbefalede max 80% CPU.

Real life traffic

QoS Traffic profiles

QoS traffic profiles for branch Router
Enterprise mixed packet size
Enterprise PPS based on branch profile
Eksempel: NetFlow Analyzer 5 Packet and application view

For en dybere forklaring se Wikipedia eller RFC 5246