Cisco Remote Access IPsec VPN (EzVPN)

Меня всегда интересовало, что же такого легкого в EzVPN, что позволяет Cisco называть его так :) Настройка сервера может быть весьма и весьма развесистой, однако кардинальных отличий от Site-to-Site не так уж и много и заключаются они в так называемой ISAKMP/IKE Phase 1.5, а конкретно в механизме XAUTH.

Cisco Easy VPN оперирует двумя понятиями – Cisco Easy VPN сервер и Cisco Easy VPN Remote (удаленный агент). В качестве агента могут выступать некоторые маршрутизаторы, ASA МСЭ, компьютеры с установленным Cisco VPN Client. OS X и iPhone/iPad имеют встроенные IPSec клиенты поддерживающие XAUTH (racoon).

Я не буду останавливаться на настройке Cisco Systems Easy VPN Client, однако покажу, как можно настроить маршрутизатор в качестве этого самого клиента (что само по себе не очень актуально из-за разнообразия других технологий, обеспечивающих связность удаленных площадок, но может быть полезно для понимания механизмов взаимодействия).

Read more

Cisco Site-to-Site IPsec VPNs

Наконец-то долгожданная практика ,)

В этой статье мы рассмотрим два простых случая построения site-to-site VPN на оборудовании Cisco. В первом случае оба устройства имеют белые адреса (static crypto map), а во втором один из маршрутизаторов оказывается за NAT (dynamic crypto map). Ну и в качестве бонуса рассмотрим ситуацию совместного сожительства и static и dynamic crypto map на одном маршрутизаторе.

Те, кому лень читать 1000+ слов могут перейти сразу к конфигурациям, располагающимся в самом конце статьи.

Read more

IPsec VPNs – теория

IPsec – это на самом деле целый фреймворк, который предоставляет следующие сервисы:

  • Конфиденциальность данных посредством их шифрования алгоритмами DES, 3DES и AES;
  • Целостность данных и их аутентификация посредством HMAC функций MD5 и SHA-1;
  • Защита от атак типа MitM с помощью зашифрованных порядковых номеров;
  • Аутентификация устройств и пользователей.

Фреймворк IPsec описан в нескольких RFC. У него есть две группы стандартов:

  • ISAKMP/IKE/Oakley/SKEME используются для создания безопасных соединений, по которым проводится изначальное согласование параметров шифрования, сигнатур, ключей;
  • AH и ESP используются непосредственно в таких механизмах защиты данных, как обеспечение конфиденциальности (только ESP), целостность данных, подтверждение того, что данные пришли из валидного источника и защиту от mitm атак.

    Read more

VPN: ключи, шифрование, hmac, key exchange

До того как мы приступим непосредственно к внедрению IPsec VPN, поговорим о технологиях, на которые он будет опираться, предоставляя защиту трафику: ключи, шифрование, аутентификация пакетов, обмен ключами, методы аутентификации пользователей и устройств.

Ключи

Ключи используются в таких критически важных функциях VPN как: шифрование, проверка целостности пакета, аутентификация.

Ключи бывают двух видов – симметричные и асимметричные.

Read more

Постоянное соединение vpnc

Сбыдлокодил на коленке скрипт, поддерживающий соединение с vpn-шлюзом: #!/bin/bash if [ “$(/sbin/route -n | /bin/grep “172.16.10.0” | /usr/bin/awk “{print \$8}”)” = “tun0” ] then echo “$(/bin/date “+%X %x”)” route exist >> /var/log/vpnc.log else echo “$(/bin/date “+%X %x”)” no route to scse – reconnecting >> /var/log/vpnc.log if [ -f /var/run/vpnc/pid ] then echo “$(date “+%X %x”)” … Read more