Soluzioni VPN per Road Warriors Alessandro Brunengo per il gruppo VPN del Netgroup.

Soluzioni VPN per Road Soluzioni VPN per Road WarriorsWarriors

Alessandro BrunengoAlessandro Brunengo

per il gruppo VPN del Netgroupper il gruppo VPN del Netgroup

Paestum - 10 giugno 2003Paestum - 10 giugno 2003 Workshop sul Calcolo INFNWorkshop sul Calcolo INFN Alessandro BrunengoAlessandro Brunengo

Il lavoro e' stato svolto dal sottogruppo VPN del netgroup, costituito da:

– A. Brunengo– E. M. V. Fasanelli– E. Mazzoni– O. Pinazza– C. Soprano– R. Veraldi– S. Zani


Cosa significa VPNCosa significa VPN

Virtual Private Network: un concetto che può essere implementato con l’utlizzo di tecnologie diverse fra loro.

Alla base vi è la necessità di avere una rete virtuale di calcolatori che possono fare parte fisicamente di reti diverse ma appartenere alla stessa rete logica (VPN).

L’utilizzo di meccanismi di autenticazione e crittografia rende questa rete privata. La VPN va oltre il concetto di LAN e WAN e le può utilizzare entrambe come mezzo di cui servirsi per raggiugere tutti i suoi nodi.


Tecnologie di VPNTecnologie di VPN• PPTP – L2TP (Microsoft VPN) - Windows,

UNIX/Linux clients.• CIPE - Linux clients e Windows (2000 & NT)

clients• OpenVPN - UNIX/Linux clients• SSL - wrapped PPP - Linux clients• IPSec, tunnel mode, transport mode - Windows

(2000 & NT) e UNIX/Linux clients• PPTP/IPSec - Windows (2000 & NT) e

UNIX/Linux clients• L2TP/IPSec - Windows (2000 & NT) e

UNIX/Linux clients


Cosa serve al guerriero?Cosa serve al guerriero?

• accesso ai volumi esportati via NFS• accesso ai volumi Windows• accesso al mail relay di sezione• ...

in generale un bypass del firewall, cioè un

accesso via WAN ai servizi informatici della

sezione come se fosse connesso alla sua LAN un accesso tramite VPN


Cosa deve offrire la soluzione?Cosa deve offrire la soluzione?

Sicurezza

• Comunicazione criptata• Autenticazione per l'accesso alla VPN

Interoperabilità

• Client Windows, Linux, MacOsX (?)• Server ?


Cosa deve offrire la soluzione?Cosa deve offrire la soluzione?

Applicabilità

• Accesso attraverso NAT o firewall

Semplicità

• Configurazione del servizio• Configurazione del client• Utilizzo del client


Test di soluzioni a costo zeroTest di soluzioni a costo zero

• Free S/WAN

• Cipe

• KAME

• Microsoft VPN connection


Free S/WANFree S/WAN

• Implementazione di IPSec public domain per linux (http://www.freeswan.org)

• Autenticazione e criptazione tramite chiavi prefissate, o tramite IKE (via certificati, preshared secrets o RSA private keys)

• Compatibile con il protocollo IPSec di altre architetture


Free S/WAN (II)Free S/WAN (II)

• Effettuati test linux-linux e linux-W2K (utilizzando IKE via RSA private keys)

• Verificata la funzionalita' della connessione

• Complessita' della configurazione (in particolare IPSec su W2K)


CIPECIPE

• Implementazione VPN su linux (sostanzialmente un tunnel UDP)

• Disponibile anche un client per WNT e W2K

• Configurazione non particolarmente complessa

• Problemi di funzionamento del client per W2K


KAMEKAME

• Implementazione di IPSec su FreeBSD e NetBSD (http://www.kame.org)

• Caratteristiche simili a Free S/WAN

• Effettuata prova di interoperabilità con WXP con utilizzo di certificati

• Complessa la configurazione del sistema

• Riscontrati problemi sul funzionamento di WXP come server


Microsoft VPN - PPTPMicrosoft VPN - PPTP

• Dispone di meccanismi di autenticazione opzionali via PAP e CHAP senza criptazione, o MS-CHAP(v2) con criptazione, sullo userDB del server

• Esiste client per linux (testato)• Configurazione banale del server e del

client Windows; piú complessa la configurazione del client linux


Microsoft VPN – PPTP (II)Microsoft VPN – PPTP (II)

• Debolezza nota della criptazione del protocollo PPTP

• Verificati problemi di filtraggio del protocollo da parte di alcuni provider nazionali


Test su VPN boxTest su VPN box

• Cisco VPN concentrator 3000 series

• Netscreen 25


Cisco VPN concentrator 3000Cisco VPN concentrator 3000modelli disponibili:modelli disponibili:

• modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB RAM

• modello 3015: idem, 64 MB RAM, upgradable ai modelli successivi

• modello 3030: 1500 connessioni, 50 Mb/s, hardware encr., 128 MB RAM

• modello 3060: 5000 connessioni, 100 Mb/s, hw encr., 256 MB RAM

• modello 3080: 10000 connessioni, 100 Mb/s, hw encr., 256 MB RAM


Cisco VPN concentrator 3005 Cisco VPN concentrator 3005 principali funzionalitprincipali funzionalità:à:

• Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN.• Protocolli supportati: PPTP, L2TP/IPSEC, IPSEC,

IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei meccanismi di criptazione e delle regole di tunnelling.

• Autenticazione tramite database locale, Radius, NT-Domain (e W2K-Domain con AD), tramite certificati.

• Management via seriale, http, https, ssh, telnet, etc.• Client (IPSEC) per W*, Linux, MacOsX, SunOS• Possiblilità di definire filtri sulle interfacce ethernet


Cisco VPN concentrator 3005 Cisco VPN concentrator 3005 layout di test:layout di test:


Cisco VPN concentrator 3005Cisco VPN concentrator 3005prove di throughput:prove di throughput:

• E’ stato effettuato un test di throughput utilizzando client linux connessi attraverso un link a 10 Mb/s

• Throughput con un client: 3.4 Mb/s

• Throughput con due client: 2*1.69 Mb/s

• In entrambi i casi l’utilizzo della CPU del VPN server va al 100%


Cisco VPN concentrator 3005 Cisco VPN concentrator 3005 sommario:sommario:

sicurezza:

varie opzioni sul protocollo da utilizzare e sui meccanismi di criptazione e di autenticazione

interoperabilità:

PPTP testato con client windows e linuxclient proprietario disponibile per piattaforme W*, linux, solaris, MacOsX


Cisco VPN concentrator 3005 Cisco VPN concentrator 3005 sommario (II):sommario (II):

applicabilità:

disponibile il protocollo NAT-T per l'incapsulamento su TCP ed UDPflessibilità nella scelta delle porte per l'incapsulamento

semplicità:

server configurabile tramite interfaccia Web senza grossi problemiclient configurabile in modo banale su tutte le piattaforme testate (W*, linux, MacOsX)


Cisco VPN concentrator 3005Cisco VPN concentrator 3005problemi:problemi:

• PPTP: fallisce l'autenticazione con DB non locali se si richiede la criptazione (ma la documentazione dice che funzona)

• Certificati: non è stato possibile fare test con questo meccanismo di autenticazione (da provare)

• Layout: non è supportata (ed è sconsigliata) la configurazione con le due interfacce sulla stessa rete IP


Netscreen 25Netscreen 25

• Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN

• Performance dichiarate: fino a 20 Mb/s per VPN con encription, 25 connessioni site-to-site e 100 connessioni tipo client contemporanee


Netscreen 25 (II)Netscreen 25 (II)

• Effettuate prove con IPSec utilizzando il client proprietario (a pagamento)

• Testata autenticazione tramite user Db locale, e tramite Radius server

• Non si e' riusciti ad utilizzare un client non proprietario (ma i produttori sostengono che si possa)


Netscreen 25 (III)Netscreen 25 (III)

• Il prodotto nasce come firewall box, ma sa fare anche VPN server

• Non sono state effettuate prove di performance sul throughput

• Il client e' a pagamento, e solo per piattaforma Windows


Test effettuati: tabella comparativaTest effettuati: tabella comparativa

Windows 2000 Server

FreeS/WAN (Linux RH)

CIPEKAME

(FreeBSD)Cisco 3005 Netscreen

Protocolli supportati

PPTP, L2TP IPSec

IPSec Tunnel UDP IPSecPPTP, IPSec, L2TP/IPsec, IPsec/tcp/udp

IPSec

Autentica-zione

Certificati, Windows domain

Certificati o preshared key

Preshared keysCertificati o preshared key

Datab. locale, radius, AD o domain, NIS, AFS, certs…

DB locale, Radius server

Semplicità di utilizzo

Banale Non semplice Semplice Non semplice Semplice Semplice

Client o sistemi compatibili

Windows xx~ tutti i sistemi IPSec

Linux e W2K~ tutti i sistemi IPSec

client Wxx, linux, MacOS, SunOS

Client Windows xx

Perfor-mance

5000 conn a 15 Kbs, aggr. 60-70 Mbs

Non testate ?? Non testate4 Mbs, 100 conn. simult

Costo Licenza server free free free ~4000 Euro ?~ Cisco


ConsiderazioniConsiderazioni

• Il box Cisco mostra grande versatilità nella scelta dei protocolli di cripting e nei meccanismi di autenticazione, semplicità di installazione del client e di attivazione della VPN

• Il box Netscreen e' inferiore come flessibilita', sulla carta superiore in performance

• Altre soluzioni di semplice configurazione sono disponibili, in particolare per soluzioni su piattaforma omogenea (PPTP per Windows, CIPE o Free S/WAN per linux)


RiferimentiRiferimenti

Tutti i dettagli ed i risultati dei test, ed informazioni sulle attività del gruppo, sono reperibili sul sito del netgroup, alla URL:

http://www.infn.it/netgroup

nella sezione dedicata al sottogruppo VPN.

Soluzioni VPN per Road Warriors Alessandro Brunengo per il gruppo VPN del Netgroup.

Documents

Transcript of Soluzioni VPN per Road Warriors Alessandro Brunengo per il gruppo VPN del Netgroup.