Test sul Cisco VPN Concentrator
Post on 12-Jan-2016
70 Views
Preview:
DESCRIPTION
Transcript
Test sul Cisco VPN Concentrator
Netgroup
Gruppo di lavoro sulle VPN
Roma 19-20/02/2003Netgroup
Cisco VPN Concentrator series
modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB RAM
modello 3015: idem, 64 MB RAM, upgradable ai modelli successivi
modello 3030: 1500 connessioni, 50 Mb/s, hardware encr., 128 MB RAM
modello 3060: 5000 connessioni, 100 Mb/s, hw encr., 256 MB RAM
modello 3080: 10000 connessioni, 100 Mb/s, hw encr., 256 MB RAM
Roma 19-20/02/2003Netgroup
Principali funzionalità
Capacità di stabilire VPN LAN-to-LAN e Client-to-LAN. Protocolli supportati: PPTP, L2TP/IPSEC, IPSEC,
IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei meccanismi di criptazione.
Autenticazione tramite database locale, Radius, NT-Domain (e W2K-Domain con AD), tramite certificati, ed altro.
Management via seriale, http, https, ssh, telnet, etc. Client (IPSEC) per W*, Linux, MacOsX, SunOS Possiblilità di definire filtri sulle interfacce ethernet
Roma 19-20/02/2003Netgroup
Caratteristiche degli oggetti in prova
Cisco VPN Concentrator 3005
Cisco VPN Concentrator software V 3.5
Cisco VPN Client Sofware V 3.7.2
http://www.cisco.com/cgibin/tablebuild.pl/vpnclient-3des
Roma 19-20/02/2003Netgroup
Layout canonico
Roma 19-20/02/2003Netgroup
Layout di test
Roma 19-20/02/2003Netgroup
Meccanismi di autenticazione (protocollo IPSEC)
Autenticazione basata su username e gruppi Sul server vanno definiti i gruppi e le password
di gruppo Ogni gruppo definisce il meccanismo di
autenticazione ed il server di autenticazione da utilizzare
Il client deve avere configurato il gruppo da utilizzare con la corretta password
Roma 19-20/02/2003Netgroup
Layout di test (con autenticazioni)
Roma 19-20/02/2003Netgroup
Autenticazione su DB locale
Vanno creati uno o piu’ gruppi sul VPN server, e definita la password di gruppo
Per ogni gruppo vanno definiti utenti (sempre sul server), con password
Il client deve essere configurato per utilizzare uno di questi gruppi, e la sua password
All’atto di stabilire la connessione il client chiede username e password
Tutto funziona correttamente
Roma 19-20/02/2003Netgroup
Autenticazione su W2K
Si deve definire sul server un gruppo che autentichi con meccanismo NT-Domain e va specificato il server di autenticazione
Non devono essere creati utenti in questo gruppo nel DB locale
Il client chiede username, password ed opzionalmente domain name
Il VPN server chiede l’autenticazione al W2K server L’autenticazione funziona correttamente sia verso W2K
server senza AD, sia su W2K domain server con active directory
Roma 19-20/02/2003Netgroup
Autenticazione verso Radius
Si deve creare un gruppo sul VPN server, specificando Radius come meccanismo di autenticazione, definendo il nome del Radius server, e specificando la chiave del Radius server
Non vanno definiti utenti in quel gruppo E’ stato installato un Radius server
(freeradius.0.8.1) su un PC linux RedHat 7.3, client nel dominio NIS di sezione e AFS client nella cella infn.it (kerberos 4)
Roma 19-20/02/2003Netgroup
Autenticazione verso Radius (cont.)
Il Radius server va configurato per accettare come client il VPN server, specificando la stessa chiave (usata per criptare la comunicazione)
E’ stato configurato il Radius server per utilizzare PAM, e via PAM per autenticare via NIS o via AFS
L’autenticazione funziona specificando, all’atto della connessione, sia utenti NIS che utenti AFS della cella infn.it
Roma 19-20/02/2003Netgroup
Autenticazione verso Radius (cont..)
E’ stato installato anche un Radius server (freeradius.0.8.1) su un PC linux RedHat 7.3 AFS client nella cella le.infn.it (kerberos 5)
Il Radius server e’ stato configurato nello stesso modo del precedente
L’autenticazione ha funzionato correttamente
Roma 19-20/02/2003Netgroup
Protocolli di tunnelling
Sono state effettuate prove di connessione in VPN utilizzando i protocolli
IPSEC (Cisco client)
IPSEC/UDP e IPSEC/TCP (Cisco client)
PPTP (Windows client e linux client)
Roma 19-20/02/2003Netgroup
Protocolli di tunnelling (cont.)
E’ possibile specificare, a livello di gruppo, se il client deve far passare attraverso il tunnel tutto il traffico o solo il traffico verso alcune network (configurabili)
La configurazione non e’ modificabile dal client
La cosa e’ stata testata, e funziona correttamente
Roma 19-20/02/2003Netgroup
Protocollo IPSEC
Si deve abilitare sul VPN server il protocollo IPSEC tra quelli accettati dal gruppo che viene utilizzato dal client
Il client attiva una connessione IPSEC sulla porta 500 UDP dell’interfaccia pubblica del VPN server
Le prove hanno verificato la funzionalita’ con i tre meccanismi di autenticazione gia’ visti
Roma 19-20/02/2003Netgroup
Protocollo IPSEC/TCP e IPSEC/UDP
E’ possibile configurare il VPN server ed il client per incapsulare la connessione IPSEC sia su TCP che su UDP
Le porte TCP ed UDP per l’incapsulamento sono configurabili (ma il client deve sapere su quale porta connettersi)
E’ stata testata la connessione con entrambi i protocolli anche a partire da client situati dietro reti filtrate o nattate (incapsulamento necessario)
Roma 19-20/02/2003Netgroup
Protocollo PPTP
Il protocollo PPTP non consente dal lato client di definire il gruppo per la connessione
Puo’ essere definita sul VPN server una lista di server di autenticazione, anche di tipo diverso
Il VPN server, con questo protocollo, tenta di verificare l’autenticazione solo con il primo server di autenticazione della lista
Sono state effettuate prove con il client PPTP sia su Windows che su Linux
Roma 19-20/02/2003Netgroup
Protocollo PPTP (cont.)
Se non viene richiesta autenticazione, tutto OK Se viene richiesta autenticazione senza
criptazione (PAP e MSCHAP v1), funziona con i tre meccanismi di autenticazione
Se viene richiesto il cripting (MSCHAP v1 e v2) l’autenticazione funziona solo sul gruppo locale (ma la documentazione dice che funziona anche la autenticazione via Radius)
Roma 19-20/02/2003Netgroup
Piattaforme client
Per il protocollo PPTP, sono stati effettuati con successo test con client Windows e Linux
Per il protocollo IPSEC (client Cisco) sono stati effettuati con successo test con client W2K Professional, Linux Rh 7.*, MacOsX (darwin kernel 5.5)
Il client non compila sulla RedHat 8.0
Roma 19-20/02/2003Netgroup
Prove di throughput
E’ stato effettuato un test di throughput utilizzando client linux connessi attraverso un link a 10 Mb/s
Throughput con un client: 3.4 Mb/s Throughput con due client: 2*1.69 Mb/s In entrambi i casi l’utilizzo della CPU del
VPN server va al 100%
Roma 19-20/02/2003Netgroup
Cosa non e’ stato provato
Autenticazione via certificati Protocollo L2TP/IPSEC con client
Windows
Roma 19-20/02/2003Netgroup
Cosa non funziona
Non si e’ riusciti a configurare il VPN server con le due interfacce sulla stessa LAN (configurazione sconsigliata)
Protocollo PPTP con criptazione (la documentazione dice che l’autenticazione via Radius funziona...)
Roma 19-20/02/2003Netgroup
Layout ad una LAN
top related