Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

24
Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN

Transcript of Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Page 1: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Test sul Cisco VPN Concentrator

Netgroup

Gruppo di lavoro sulle VPN

Page 2: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Cisco VPN Concentrator series

modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB RAM

modello 3015: idem, 64 MB RAM, upgradable ai modelli successivi

modello 3030: 1500 connessioni, 50 Mb/s, hardware encr., 128 MB RAM

modello 3060: 5000 connessioni, 100 Mb/s, hw encr., 256 MB RAM

modello 3080: 10000 connessioni, 100 Mb/s, hw encr., 256 MB RAM

Page 3: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Principali funzionalità

Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN. Protocolli supportati: PPTP, L2TP/IPSEC, IPSEC,

IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei meccanismi di criptazione.

Autenticazione tramite database locale, Radius, NT-Domain (e W2K-Domain con AD), tramite certificati, ed altro.

Management via seriale, http, https, ssh, telnet, etc. Client (IPSEC) per W*, Linux, MacOsX, SunOS Possiblilità di definire filtri sulle interfacce ethernet

Page 4: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Caratteristiche degli oggetti in prova

Cisco VPN Concentrator 3005

Cisco VPN Concentrator software V 3.5

Cisco VPN Client Sofware V 3.7.2

http://www.cisco.com/cgibin/tablebuild.pl/vpnclient-3des

Page 5: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Layout canonico

Page 6: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Layout di test

Page 7: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Meccanismi di autenticazione (protocollo IPSEC)

Autenticazione basata su username e gruppi Sul server vanno definiti i gruppi e le password

di gruppo Ogni gruppo definisce il meccanismo di

autenticazione ed il server di autenticazione da utilizzare

Il client deve avere configurato il gruppo da utilizzare con la corretta password

Page 8: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Layout di test (con autenticazioni)

Page 9: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Autenticazione su DB locale

Vanno creati uno o piu’ gruppi sul VPN server, e definita la password di gruppo

Per ogni gruppo vanno definiti utenti (sempre sul server), con password

Il client deve essere configurato per utilizzare uno di questi gruppi, e la sua password

All’atto di stabilire la connessione il client chiede username e password

Tutto funziona correttamente

Page 10: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Autenticazione su W2K

Si deve definire sul server un gruppo che autentichi con meccanismo NT-Domain e va specificato il server di autenticazione

Non devono essere creati utenti in questo gruppo nel DB locale

Il client chiede username, password ed opzionalmente domain name

Il VPN server chiede l’autenticazione al W2K server L’autenticazione funziona correttamente sia verso W2K

server senza AD, sia su W2K domain server con active directory

Page 11: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Autenticazione verso Radius

Si deve creare un gruppo sul VPN server, specificando Radius come meccanismo di autenticazione, definendo il nome del Radius server, e specificando la chiave del Radius server

Non vanno definiti utenti in quel gruppo E’ stato installato un Radius server

(freeradius.0.8.1) su un PC linux RedHat 7.3, client nel dominio NIS di sezione e AFS client nella cella infn.it (kerberos 4)

Page 12: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Autenticazione verso Radius (cont.)

Il Radius server va configurato per accettare come client il VPN server, specificando la stessa chiave (usata per criptare la comunicazione)

E’ stato configurato il Radius server per utilizzare PAM, e via PAM per autenticare via NIS o via AFS

L’autenticazione funziona specificando, all’atto della connessione, sia utenti NIS che utenti AFS della cella infn.it

Page 13: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Autenticazione verso Radius (cont..)

E’ stato installato anche un Radius server (freeradius.0.8.1) su un PC linux RedHat 7.3 AFS client nella cella le.infn.it (kerberos 5)

Il Radius server e’ stato configurato nello stesso modo del precedente

L’autenticazione ha funzionato correttamente

Page 14: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocolli di tunnelling

Sono state effettuate prove di connessione in VPN utilizzando i protocolli

IPSEC (Cisco client)

IPSEC/UDP e IPSEC/TCP (Cisco client)

PPTP (Windows client e linux client)

Page 15: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocolli di tunnelling (cont.)

E’ possibile specificare, a livello di gruppo, se il client deve far passare attraverso il tunnel tutto il traffico o solo il traffico verso alcune network (configurabili)

La configurazione non e’ modificabile dal client

La cosa e’ stata testata, e funziona correttamente

Page 16: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocollo IPSEC

Si deve abilitare sul VPN server il protocollo IPSEC tra quelli accettati dal gruppo che viene utilizzato dal client

Il client attiva una connessione IPSEC sulla porta 500 UDP dell’interfaccia pubblica del VPN server

Le prove hanno verificato la funzionalita’ con i tre meccanismi di autenticazione gia’ visti

Page 17: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocollo IPSEC/TCP e IPSEC/UDP

E’ possibile configurare il VPN server ed il client per incapsulare la connessione IPSEC sia su TCP che su UDP

Le porte TCP ed UDP per l’incapsulamento sono configurabili (ma il client deve sapere su quale porta connettersi)

E’ stata testata la connessione con entrambi i protocolli anche a partire da client situati dietro reti filtrate o nattate (incapsulamento necessario)

Page 18: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocollo PPTP

Il protocollo PPTP non consente dal lato client di definire il gruppo per la connessione

Puo’ essere definita sul VPN server una lista di server di autenticazione, anche di tipo diverso

Il VPN server, con questo protocollo, tenta di verificare l’autenticazione solo con il primo server di autenticazione della lista

Sono state effettuate prove con il client PPTP sia su Windows che su Linux

Page 19: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Protocollo PPTP (cont.)

Se non viene richiesta autenticazione, tutto OK Se viene richiesta autenticazione senza

criptazione (PAP e MSCHAP v1), funziona con i tre meccanismi di autenticazione

Se viene richiesto il cripting (MSCHAP v1 e v2) l’autenticazione funziona solo sul gruppo locale (ma la documentazione dice che funziona anche la autenticazione via Radius)

Page 20: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Piattaforme client

Per il protocollo PPTP, sono stati effettuati con successo test con client Windows e Linux

Per il protocollo IPSEC (client Cisco) sono stati effettuati con successo test con client W2K Professional, Linux Rh 7.*, MacOsX (darwin kernel 5.5)

Il client non compila sulla RedHat 8.0

Page 21: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Prove di throughput

E’ stato effettuato un test di throughput utilizzando client linux connessi attraverso un link a 10 Mb/s

Throughput con un client: 3.4 Mb/s Throughput con due client: 2*1.69 Mb/s In entrambi i casi l’utilizzo della CPU del

VPN server va al 100%

Page 22: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Cosa non e’ stato provato

Autenticazione via certificati Protocollo L2TP/IPSEC con client

Windows

Page 23: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Cosa non funziona

Non si e’ riusciti a configurare il VPN server con le due interfacce sulla stessa LAN (configurazione sconsigliata)

Protocollo PPTP con criptazione (la documentazione dice che l’autenticazione via Radius funziona...)

Page 24: Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN.

Roma 19-20/02/2003Netgroup

Layout ad una LAN