IPsec and SSL VPN Design
Kapitel 9 fra CCDP ARCH bogen.
This article is under development....Contents
IPsec VPN
Behandlet i CCNP 3 ISCW omhandlende
- Site-to-Site IPsec VPN
- Cisco VPN Client
SSL VPN
SSL - Secure Socket Layer - er en teknologi udviklet af Netscape for at kryptere kommunikationen mellem en WEB-browser og en WEB-Server. SSL anvender asymetriske nøgler.
- En klient ønsker at sende fortrolige data til WEB-serveren.
- Browseren henter serverens sikkerheds-certifikat som indeholder den offentlige nøgle
- Browseren checker om certifikatet er udstedt af en CA (Certificate authority) som der stoles på og checker certifikatet.
Tynd SSL Client
Giver adgang gennem en Client program på PC'en som port-forwarder det usikre program Det usikre programs data Port-forwarders internt på PC'en gennem den tynde-klient som krypterer dataene og sender dem krypteret videre til VPN-appliance i den anden ende som dekrypterer og afleverer dataene til Serveren.
Tyk klient
Den tykke klient laver et virtuelt netkort som al kommunikation kan gå igennem.
VPN Arkitektur
I eksemplet nedenfor er der VPN adgang for både ansatte og forretnings partnere. De ansatte benytter sig af IPsec og forretnings partnerne benytter sig af SSL. Alle opkoblinger - både IPsec og SSl - Authenticates på AAA serveren.
Site-to-Site VPN's
Site-to-Site VPN kan anvendes mellem en virsomheds filialer i stedet for andre WAN-services (MPLS) for at reducere omkostningerne, eller kan anvendes som Redundans hvis den primære WAN går ned.
Cisco Router performance
Cisco ASA 5500 serie performance
Typiske VPN løsninger
| Anvendelse | model |
|---|---|
| Teleworkers | Cisco 850 og 870 |
| Small Office/Home Office (SOHO) | Cisco 850, 870 or ASA 5505 |
| Small branch | Cisco 1800 or ASA 5510 |
| Medium branch | Cisco 2800 or ASA 5520 |
| Enterprise branch | Cisco 3800 or ASA 5540 / 5550 |
| Enterprise Edge | Cisco 7200 and 7301 |
| Enterprise headquarters or Data Center | Catalyst 6500, Cisco 7600 or ASA 5550 |
VPN device placement design
Parallel to firewall
- Fordele
- Simpel implementering da firewall opsætning ikke skal ændres
- Stor skalerbarhed da flere VPN enheder kan placeres parallelt med Firewallen
- Ulemper
- IPsec dekrypteret trafik inspiceres ikke af firewallen
- Inget central logning eller inspektion af data/brugere finder sted.
På firewall DMZ zone
- Fordele
- Firewallen kan inspicere dekrypterede data.
- Forholdsvis god skalabilitet da der kan tilsluttes flere VPN enheder
- Ulemper
- Konfigurationen bliver kompliceret da Firewallen skal supportere flere interfaces. Firewallen skal supportere Policy-Routing for at kende forskel på VPN-trafik og almindelig trafik.
- Firewallens kapacitet.
Integreret Firewall og VPN
- Fordele
- Firewallen kan inspicere dekrypteret trafik
- Designet er nemmere at vedligeholde og der er mindre antal enheder
- Ulemper
- Manglende skalerbarhed da en enkelt enhed har flere ansvar.
- Kompleks konfiguration da der er samlet flere funktioner i enheden.
IPsec VPN teknologier
- Cisco Easy VPN
- GRE tunneling
- Dynamic multipoint VPN (DMVPN)
- Virtual Tunnel Interfaces (VTIs)
- Group Encrypted Transport VPN (GET VPN)
Easy VPN
Til fjernopkoblede medarbejdere og kontorer.
Easy VPN server Wizard på Cisco SDM
GRE over IPsec
IPsec kan kun transportere IP unicast trafik, og er derfor ikke velegnet som VPN mellem sites hvor der for eksempel skal udveksles trafik mellem Routnings protokoller.
Anbefalinger
- Op til 500 peers for Cisco 7200VXR routere med Network Engine G1 (NPE-G1)
- Op til 600 peers for Cisco 7200VXR routere med Network Engine G2 (NPE-G2)
- Op til 1000 peers for Cisco 7600 Routere og Catalyst 6500 serie switche med Supervisor Engine 720
DMVPN
Normal Hub and Spoke konfiguration skalerer ikke så godt hvis der er mere end 10 sites. Al trafik mellem Spokes skal igennem Hubben. DMVPN kan lave dynamiske tunneller mellem Spokes når der er brug for det. DMVPN er en kombination mellem IPsec, GRE og Next Hop Resolution Protocol (NHRP)
- Fordele
- Antallet af tunneller er meget mindre end et fuldt MESH, som skalerer dårligt.
- Hvis der tilføjes en ny Spoke skal de andre Spokes ikke omkonfigureres. Sker dynamisk fra Hubben.
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008075ea98.pdf
Virtual Tunnel Interface
- Cisco Configuring a Virtual Tunnel Interface with IP Security
- Cisco Multicast over IPSec VPN Design Guide
Group Encrypted Transport VPN
Er en krypteret facilitet der uden tunneller tilbyder End-to-End sikkerhed for Voice, Video og data i Native mode til et Full-Meshed netværk i et privat WAN. Det benytter sig af det private WAN's muligheder for at replikere trafikken (Multicast). Anvendes for eksempel i forbindelse med MPLS. Anvender en Key-Server hvortil Group-members tilslutter sig. To Group-members kan udveksle krypteret trafik imellem hinanden. hvis der tilsluttes flere group-members er det kun Key-server og den nye Group-member der skal konfigureres.
Anbefalinger for managing VPN's
- SDM - Security Device Management GUI (Routere fx. Cisco 2800)
- ASDM - ASA SDM
- CSM
Scaling VPN's
| Funktion | Point-of-sale | Teleworker | Integrated services Branch |
|---|---|---|---|
| Number of branches | Extra Large 1.000 - 10.000 | Large 1.000 - 3.000 | Medium 500 - 1.000 |
| VoIP support | No | Yes, usually one call | Yes - up to 33% bandwidth |
| Multicast | generally not | Nice to have | Yes |
| Avilability | required Asynchronous Dialbackup | To costly, Dial bandwidth insufficient for VoIP | Multiple WAN links |
| Physical interface | Broadband or POTS | Broadband | Leased line |
Marketing performance ved kryptering af trafik, er som regl målt ved max mtu(1400byte) og 100% CPU, men det svarer ikke til IMIX(Internet mix) trafik, og de anbefalede max 80% CPU.
QoS Traffic profiles
For en dybere forklaring se Wikipedia eller RFC 5246