Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...

Petra VPN 3.1

Guida Utente

Petra VPN 3.1: Guida UtenteCopyright © 1996,2004Link s.r.l. (http://www.link.it)

Questodocumentocontieneinformazionidi proprietàriservata,protettedacopyright. Tutti i diritti sonoriservati. Nonè permessoriprodurree/odistribuire

copiedi questodocumentosenzapreventivaedesplicitaautorizzazionedi Link SRL.Link SRLnonforniscegaranziedi nessuntipo circale informazioni

contenutein questodocumento,compresee nonsole,le garanzieimplicite di commerciabilitàeusoperscopispecifici.Link SRLnonèresponsabilepergli

errori contenutiin questodocumentoo peri danniaccidentaliconseguentiall’uso di questomateriale.

Tutti i nomi deiprodottimenzionatiin questodocumentosonopossedutidai rispettivi proprietari.

SommarioIntr oduzione..........................................................................................................................................................4

1. Intr oduzionealle VPN e IPSEC......................................................................................................................5

1.1.La soluzionePetra.................................................................................................................................5

2. ScenarioExtraNet.............................................................................................................................................7

2.1.ConfigurazionedelprimoServerPetra(Torino)...................................................................................72.2.Configurazionedel secondoServer Petra(Napoli).............................................................................122.3.ConfigurazionedellaPoliticaVPNServicesui nodi...........................................................................14

3. ScenarioRoadWarrior ...................................................................................................................................15

3.1.ConfigurazionedelPetraGateway......................................................................................................153.2.ConfigurazionedellaPoliticaVPNServicesul Gateway....................................................................193.3.ConfigurazionedelPCClient.............................................................................................................19

3

Intr oduzioneScopodi questodocumentoè mettererapidamenteil lettorein condizionedi configurareunaReteVirtualePrivata,usandoil moduloVPN peri prodottiPetra InternetPresenceo Petra InternetFirewall.

Verràfattaunabreve introduzionealleVPN e adIPSECeverrannopoi presentatialcunitipici scenariutilizzo diPetraVPN:

• scenarioExtraNet(sediremote)

• scenarioRoadWarrior (mobil client)

Verrannopoi presentatele modalitàdi configurazionedel client Windows (SSHSentinel)e di manutenzionedelprodotto(arresto/avvio del servizioo di unaspecificaVPN).

La gestionedelmoduloVPN avvieneattraversola medesimainterfacciadi amministrazionedelprodottoalqualevieneabbinato(PetraInternetFirewall o PetraInternetPresence)raggiungibiletramitebrowseralla urlhttp://ip-petra-fw:81/petra/webadm.

4

Capitolo 1. Intr oduzione alle VPN e IPSECUnaVPN (Virtual PrivateNetwork) è unaretesicura(comesefosseprivata)realizzatain partesuunareteinsicura(Internet).Ciò è resopossibiledallacifraturadel traffico cheviaggiasullaparteinsicuradellarete,comemostratoin figura.

IPSECinvecehadueutilizzi:

1. Presentaresistemiremoticomesefosserolocali:

• sediremote(extranet)

• mobilecomputing(roadwarrior)

2. Proteggereapplicazionichenonhannomeccanismipropri (cifraturadi liv 4):

• (imap,imaps;http,https;custom,customs;ecc...)

• entrambele parti devonoessered’accordo

1.1. La soluzione Petra

5

Capitolo1. Introduzionealle VPNeIPSEC

Il moduloVPN Petraè basatosul protocolloIPSECedè usatosiapercifrarele comunicazionie/orealizzaretunneltradueo più reti privatecheperaccederedaclient mobili adunareteprivata.

6

Capitolo 2. Scenario ExtraNetIl nostroscopoè quellostabilireunareteprivatavirtuale(VPN) fra dueserver Petra(adesempiounoa Torinoeunoa Napoli) chepermettaalle reti internedi comunicarein manierasicuraattraversola reteInternet.Laconfigurazionedarealizzareè descrittanellafigurachesegue.

Nota: nel nostro esempio usiamo gli indirizzi privati 10.0.0.1 e 10.0.2.1; in generale questi indirizzi sarannoindirizzi Internet pubblici.

Nelle prossimeduesezionidescriviamoi passinecessariperla configurazionedeidueVPN gateway in figura.

2.1. Configurazione del primo Server Petra (Torino)Vediamoadessoi passidi configurazionenecessarisui nodi,cominciandodaquellodi Torino:

1. generareil certificatoperil nododi Torinonel seguentemodo:

• selezionareil pannelloSicurezza> Certificati epremereil pulsanteAggiungi peraggiungereunnuovocertificato:

7

Capitolo2. ScenarioExtraNet

• senessunaCertificationAuthority è stataregistrata,il sistemanerichiederàla registrazione;immetterequindi i dati richiestie premereil pulsanteConferma;

• saràadessopossibileaggiungereun certificato,utilizzandocomeCAPassword la password impostataperla CA appenacreata;inserirei restantidatie premereil pulsanteConferma; si consigliadi utilizzarecomeCommonNameil nomedel server, completodelnomedi dominio.

8


2. aggiungerenello stessomodoil certificatoperNapoli;

3. terminatala procedurai certificaticomparirannonelpannelloSicurezza> Certificati;

9


4. daquestopannelloselezionareil link Esportarelativo al certificatodi Napoli peresportareil certificatoinformatop12.Sarànecessarioinserireunapassword perproteggerel’archivio.

5. selezionareil pannelloSicurezza> Certificati e selezionareil certificatoappenacreato("napoli"); verrannovisualizzatitutti i dati del certificato;prenderenota,peresempiocopiandolonegli appunti(sceltaconsigliata),del valoreSubjectchesarànecessarioal passosuccessivo;

6. selezionareil pannelloSicurezza> Vpn> Elencodeinodie premereil pulsanteAggiungi percrearelaVpn; inserirequindi i seguentidati:

10


• Nome: un nomearbitrarioperla Vpn;

• Abilitato: daselezionareperattivarela Vpn;

• IndirizzoIP: indirizzo IP pubblicodelnododi Napoli;

• Algoritmodi cifratura: l’algoritmo concui verràcifrato il traffico nellavpn (deve esserelo stessoperientrambii nodi);

• Key: impostareil tipo x509edinserireil valoreSubjectdel certificato"napoli" prelevatoal passoprecedente,peresempioincollandolodagli appunti(sceltaconsigliata);

• RemoteGateway: inserirele reti private(IP e netmask)collegateal gateway remoto;

• LocalGateway: inserirele reti private(IP e netmask)collegateal gateway locale;

7. a questopuntola Vpn saràvisibile nelpannelloSicurezza> Vpn. Da qui saràanchepossibilemodificarneidati e lo stato(on/off ).

11


2.2. Configurazione del secondo Server Petra (Napoli)Vediamoadessoi passidi configurazionenecessarisul nododi Napoli:

Nota: è necessario disporre del Subject del certificato del primo Server Petra (Torino); copiarlopreventivamente in un file di testo o accedere parallelamente alla sua interfaccia di amministrazione.

1. selezionareil pannelloSicurezza> Certificati e premereil pulsanteImportaperimportareil certificatodelnododi Napoli precedentementeesportatoin formatop12:

• premereil pulsanteBrowse, selezionareil file conteneteil certificatoe premereOk;

• nel campoNomeinserireun nomearbitrarioperil certificato,(in questocasonapoli);

• nel campoPassword archivio inserirela password di archivio impostatain fasedi export;

• nellasezioneCertificationAuthorityesternaselezionareNuova edinserireun identificativo perla CAcheverràimportatainsiemeal certificato;

• premereil pulsanteConferma;

2. selezionareil pannelloSicurezza> Vpne premereil pulsanteAggiungi percrearela Vpn; inserirequindi iseguentidati:


12



• IndirizzoIP: indirizzo IP pubblicodelnododi Torino;


• Key: impostareil tipo x509edinserireil valoreSubjectdel certificato"torino";

• RemoteGateway: inserirele reti private(IP e netmask)collegateal gateway remoto;



13


2.3. Configurazione della Politica VPNService sui nodiL’ultimo passodi configurazione,daeffettuaresuentrambii nodi,è quellodi configurarele politichein mododapermettereil traffico IPSEC.Basteràperquestoportarsinel pannelloFirewall > Politicheedimpostarelapolitica VPNServicesuon. Perunapolitica di sicurezzapiù stringenteè possibileimpostarecomeSorgentedellapolitica l’indirizzo IP delGateway remoto.

Infine riconfigurareil Firewall perattivarele nuove politichepremendoil pulsanteRiconfigura nelpannelloFirewall > Generale.

Nota: la politica VPNService è già presente nelle configurazioni predefinite. Se non fosse in uso unaconfigurazione predefinita sarà necessario creare la politica (vedere il manuale Petra Firewall).

14

Capitolo 3. Scenario RoadWarriorÈ possibileconfigurareil server Petra in modotalechefungadasecuregatewayperclient IPSecconindirizzoIP assegnatodinamicamente.Questaè la situazionetipicadi PCclient chesi colleganoadInternettramiteunqualunqueInternetProvidere hannobisognodi accederealle risorseall’internodellaLAN aziendale.Laconfigurazionedarealizzareè descrittanellafigurachesegue.

Nota: Nel nostro esempio usiamo l’indirizzo privato 10.0.1.1; in generale questi indirizzi saranno indirizziInternet pubblici.

In questicasiè necessarioutilizzarechiavi condivisetrapiù utenti,quindi dovràesseregenerataun’unicachiave,poi comunicataa tutti colorochevorrannocollegarsial securegateway.

La seguentesezioneillustracomeconfigurareil server Petra e unPCClient utilizzandoil softwareSSHSentinel(versione1.3perWindows), il qualepermettedi creareconnessioniVPN damacchineWindows. Ilsoftwarepuòesserescaricatodirettamentedal sitodelproduttore:http://www.ssh.com/products/sentinel/pilot/(http://www.ssh.com/products/sentinel/pilot/).

3.1. Configurazione del Petra GatewayIn questasezionesi dàperscontatochesiastatacreataunaCA e cheesistagiàuncertificatoperil nodocostituitodalPetraGateway (vedi la Sezione2.1).

Procederequindinelmodoseguente:

1. selezionareil pannelloSicurezza> Certificati e premereil pulsanteAggiungi percreareun nuovocertificatodautilizzaresul PCclient; inserirequindi i dati richiestiepremereil pulsanteConferma;

15

Capitolo3. ScenarioRoadWarrior

2. selezionareil pannelloSicurezza> Certificati: verrannovisualizzatii certificatipresentisul nodo,compresoquelloappenagenerato;

3. daquestopannelloselezionareil link Esportadel certificatomobileperesportareil certificatoin formatop12.Sarànecessarioinserirela password dellaCA edinserireunapassword arbitrarianecessariapoi perimportareil certificato;

4. selezionareil pannelloSicurezza> Certificati e selezionareil certificatoappenacreato;verrannovisualizzatitutti i dati del certificato;prenderenota,peresempiocopiandolonegli appunti(scelta

16


consigliata),del valoreSubjectchesarànecessarioal passosuccessivo;

5. selezionareil pannelloSicurezza> Vpne premereil pulsanteAggiungi percrearela Vpn; inserirequindi iseguentidati:



• IndirizzoIP: un IP generico(0.0.0.0)cheidentificai client mobili;


• Nat Traversal: sesi desideraabilitareil Nat Traversalselezionarequestaopzione;

• Key: impostareil tipo x509edinserireil valoreSubjectdel certificatoprelevatoal passoprecedente,peresempioincollandolodagli appunti(sceltaconsigliata);

• RemoteGateway: lasciarevuoto;in questoscenariononsi accedea reti remotemasi permettel’accessoalla retelocalespecificatain LocalGateway;


17



7. Sesi desideraconfigurareil Nat Traversalselezionareil pannelloSicurezza> Vpn> Configurazioneavanzataedinserirele reti privatedallequali accettareconnessioni;

18


3.2. Configurazione della Politica VPNService sulGatewayL’ultimo passodi configurazionedaeffettuareè quellodi configurarele politichein mododapermettereiltraffico IPSEC.Basteràperquestoportarsinel pannelloFirewall > Politicheedimpostarela politicaVPNServicesuon.

Infine riconfigurareil Firewall perattivarele nuove politichepremendoil pulsanteRiconfigura nelpannelloFirewall > Generale.

Nota: la politica VPNService è già presente nelle configurazioni predefinite. Se non fosse in uso unaconfigurazione predefinita sarà necessario creare la politica (vedere il manuale Petra Firewall).

3.3. Configurazione del PC ClientIn questocapitoloverrannoindicati i passidaseguireperimportarela chiave e successivamentecreareunanuova connessioneIPSECsulPCClient.

Nell’esempiosi fa riferimentoal softwareSSHSentinel;permaggioridettagliconsultarela guidautentedelprodotto.

Perimportareil certificatoprocederenelmodoseguente:

1. aprireil Policy Editor chesi trova all’internodelgruppodi programmiSSHSentineledè richiamabilemedianteil menùdi SSHSentinelselezionandola voceRunPolicy Editor;

19


2. selezionareil menùKey Management> TrustedCertificates> CertificationAuthoritiese premereilpulsanteAdd;

20


• impostareil tipo file PCKS #12certificate file (*.pbx, *.p12) e selezionareil file contenenteilcertificatoesportato(mobile); quindi premereApri;

• inserirela password di archivio (utilizzatanell’export)e premereOk;

• verràchiestaconfermaperl’importazionedel certificato;perverificarecheil certificatosiaquellocorrettoèpossibilevisualizzarnei dettaglipremendosuView;

• verràchiestaconfermaperl’importazionedel certificatodellaCA; perverificarecheil certificatosiaquellocorrettoè possibilevisualizzarnei dettaglipremendosuView;

3. dopol’import il sistemamostrala nuova CA e il novo certificato,col nomehost.dominiodelnodochehaeseguito l’export

21


4. dalPolicy Editor selezionareil menùSecurityPolicy > VPNConnectionse premereil pulsanteAdd;inserirequindi i seguentivalori:

• GatewayIP address: IP pubblicodelGateway;

• Remotenetwork: premereil pulsantesulladestrae quindi il pulsanteNew percrearel’oggetto"RetePrivata"coni datidellaRetePrivatadelGateway;

22


• Authenticationkey: selezionareil certificatoimportato;

• Selezionareil pulsanteProperties;

23


• dalnuovo menùselezionareil pulsanteSettingsdellasezioneIPSec/IKEproposale settare3DEScomeEncryptionAlgorithmnellasezioneIKE proposale IPSecproposal;

24


5. confermarei dati fino a ritornareal menùVpnConnection, chemostrala nuova VPN. QuindipremereilpulsanteApplicaperaggiornarela Policy.

25


6. Nat Traversal: perattivareil NatTraversalè necessario:

• spuntarela casellaAcquire virtual IP address;

• accedereal pannellodi configurazionerelativo premendoil pulsanteSettings...;

• selezionarela configurazionemanuale;

• inserirel’IP desiderato;

Nota: la netmask ha due limitazioni

• non può essere 255.255.255.255;

26


• non può essere più grande di quella indicata sul server (ad esempio se sul server si usa una netmask255.255.255.0, sul client non si può usare una netmask 255.255.0.0);

7. attivareinfine la Vpn tramiteil menùdi SSHSentinel:portarsisuSelectVPN e selezionarela VPN appenacreata;

27

Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...

Documents

Transcript of Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...