1
© 2012 Fortinet Training Services. This training may not be recorded in any medium, disclosed, copied, reproduced or
distributed to anyone without prior written consent of an authorized representative of Fortinet.
IPSec VPN
Modulo 2
2
Obiettivi
• Al termine del webinar sarete in grado di:
» Definire le componenti architetturali delle VPN IPSec
» Definire i protocolli facenti parte delle VPN IPSec
» Identificare le modalità operative
» Configurare VPN IPSec in diversi scenari
3
IPSec VPN
Private network
Mittente
autenticato
Informazioni
confidenziali
Informazioni
Integre
4
IPSec VPN
• IPSec è una suite di protocolli standard (AH e ESP) usati per crittografarei dati così che non possano essere letti durante l’attraversamento delle
reti insicure
• Offre:» Autenticazione del mittente
» Confidenzialità dei dati
» Integrità dei dati
5
IPSec VPN
• IPSec opera a livello network (ISO/OSI layer 3)
» Crittografia trasparente per gli strati superiori
» Le applicazioni non devono essere progettate per l’utilizzo mediante IPSec
• IPSec protegge anche i livelli superiori (come TCP) ma la
complessità ed il carico di CPU aumentano
• Hardware “Enterprise” dedicato all’encryption offloading (NPU)
» FGT-200B e sueriori (non disponibile su VMs)
» Modulo opzionale con porte accelerate (FORASM-FB4)
6
Internet Key Exchange
• Internet Key Exchange (IKE) consente ai peers coinvolti in unatransazione, di sincronizzare le loro Security Associations
• Phase 1 autentica i peers coinvolti ed attiva un canale sicuro per lo scambio delle chiavi di cifratura
• Phase 2 negozia i parametri IPSec per definire il tunnel e determinarele politiche di routing (Quick Selector)
7
Definizione Parametri Phase 1
KB IDs:
11657 SonicWall
13574 Cisco
8
Tunnel vs. Interface Mode
Tunnel Mode
• Configurazione più semplice
• Influenzata dal posizionamento delle policy
• Minor granularità
Interface Mode
• Necessaria in caso di GRE over IPSec
• Necessaria se occorre manipolare l’IP sorgente dei pacchetti
• Necessaria se è richiesto routing dinamico over IPSec
• Maggiore controllo
9
Definizione Parametri Phase 2
10
Interface Mode
• Crea un’interfaccia virtuale IPSec che applica la crittografia/decrittografia a tutto il traffico che l’attraversa» Anche conosciuta come Route-Based
• Creare due firewall policies tra la interfaccia virtuale IPSec e l’interfacciache si connette alla rete privata interna
• Azione impostata ad ACCEPT
• Necessita una rotta statica dedicata ad ogni tunnel VPN
• Necessaria in caso di utilizzo con routing dinamico o GRE over IPSec
11
Tunnel Mode
• Facile da configurare, unica firewall policy internal → external che
supporta il traffico bi-direzionale
• Azione impostata a IPSec
• Selezione della Phase1 del tunnel
• Firewall policies IPSec devono essere posizionate in cima alla policy
list
• Vulnerabile agli errori dei quick selectors o delle policies
• Posizionamento delle policies è molto importante
12
Tunnel Mode vs Interface Mode
Funzionalità Tunnel mode (Policy-Based) Interface mode (Route-Based)
Disponibile in modalità NAT e TP sì solo in NAT mode
Supporto L2TP-over-IPSec sì no
Supporto GRE-over-IPSec no sì
FW Policy tipi e configurazioniLan > Internet + Action=IPSec (Encrypt)
Source e Destination address specificatiLan > Phase1 Virtual Interface + Action=Accept (no NAT)
Phase1 Virtual Interface > Lan + Action=Accept (no NAT)
Numero di FW Policy per VPN Una, controlla entrambe le direzioni Due, una per direzione
13
IPSec Topologies (Site-to-Site)
Centro Stella
Sede periferica
Site-to-site
14
IPSec VPN Client-to-Gateway
1. Preshared key
2. Encryption (DES, 3DES, AES 128,192,256 bit)
3. Authentication (MD5, SHA 1,256,384,512)
4. Extended Authentication (X-Auth)
5. Autenticazione a 2 fattori (PIN da FortiToken)
15
Autenticazione
Username e Password (primo fattore)
FortiToken (secondo fattore)+
16
FortiClient - Versioni e Funzionalità supportate
Versione/Funzionalità VPN-SSL VPN IPSec AntiVirus WebFiltering Application Firewall 2-Fact Auth Vulnerability Scan WAN Optimization
Windows (XP o superiori) sì sì sì sì sì sì sì sì
Mac OS X (Snow Leopard 10.6 o superiori) sì sì sì sì sì sì sì nd
iOS Apple - iPhone/iPad (5.1 o superiori) sì no nd sì nd sì nd nd
Android (4.0 ICS o superiori) sì sì nd nd nd Sì nd nd
http://www.forticlient.com/
http://www.forticlient.com/http://www.forticlient.com/
17
IPSec nativo (versione Android)
18
FortiClient IPSec (versione Android) http://www.forticlient.com
http://www.forticlient.com/http://www.forticlient.com/
19
FortiClient IPSec (versione Android) http://www.forticlient.com
http://www.forticlient.com/
20
FortiClient IPSec (versione Android) http://www.forticlient.com
http://www.forticlient.com/
21
FortiClient IPSec (versione Android) http://www.forticlient.com
http://www.forticlient.com/
22
FortiClient IPSec (versione Android) http://www.forticlient.com
http://www.forticlient.com/
23
FortiClient IPSec (versione Windows)
24
FortiClient IPSec (versione Windows)
25
Topologia dell’ambiente di laboratorio FCL-to-Gw
26
Topologia dell’ambiente di laboratorio Smartphone-to-Gw
27
Topologia dell’ambiente di laboratorio Gw-to-Gw
28
Troubleshooting
Abilitare Debug
diag debug enable
diag vpn ike filter src-addr4
diag debug application ike -1
Disabilitare Debug
diag debug reset
diag debug disable
29
Troubleshooting
FGT-60C_LAB # ike 0: comes 213.215.239.62:879->87.241.14.115:500,ifindex=4....
ike 0: IKEv1 exchange=Aggressive id=90f6dd40de8116f9/0000000000000000 len=564
ike 0: IKEv1 Aggressive, comes 213.215.239.62:879->87.241.14.115 4, peer-id=(null).
ike 0:FortiClient_pc: check for IP assignment method ...
ike 0:FortiClient_pc: no IP assignment method defined
ike 0:FortiClient_pc:88: responder: aggressive mode get 1st message...
ike 0:FortiClient_pc:88: VID draft-ietf-ipsec-nat-t-ike-02
ike 0:FortiClient_pc:88: VID draft-ietf-ipsra-isakmp-xauth-06.txt 09002689DFD6B712
ike 0:FortiClient_pc:88: XAUTHv6 negotiated
ike 0:FortiClient_pc:88: VID DPD AFCAD71368A1F1C96B8696FC77570100
ike 0:FortiClient_pc:88: DPD negotiated
ike 0:FortiClient_pc:88: VID forticlient connect license
ike 0:FortiClient_pc:88: enable FortiClient license check
ike 0:FortiClient_pc:88: VID Fortinet Endpoint Control
ike 0:FortiClient_pc:88: enable FortiClient endpoint compliance check, use 169.254.1.1
ike 0:FortiClient_pc:88: negotiation result
ike 0:FortiClient_pc:88: proposal id = 1:
ike 0:FortiClient_pc:88: protocol id = ISAKMP:
ike 0:FortiClient_pc:88: trans_id = KEY_IKE.
ike 0:FortiClient_pc:88: encapsulation = IKE/none
ike 0:FortiClient_pc:88: type=OAKLEY_ENCRYPT_ALG, val=3DES_CBC.
ike 0:FortiClient_pc:88: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:FortiClient_pc:88: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:FortiClient_pc:88: type=OAKLEY_GROUP, val=1536.
ike 0:FortiClient_pc:88: ISKAMP SA lifetime=28800
ike 0:FortiClient_pc:88: selected NAT-T version: RFC 3947
ike 0:FortiClient_pc:88: cookie 90f6dd40de8116f9/6371187ba063666a
ike 0:FortiClient_pc:88: PSK authentication succeeded
ike 0:FortiClient_pc:88: authentication OK
ike 0:FortiClient_pc:88: NAT detected: ME PEER
ike 0:FortiClient_pc:88: port change 879 -> 62736
ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/6371187ba063666a
ike 0:FortiClient_pc: adding new dynamic tunnel for 213.215.239.62:62736
ike 0:FortiClient_pc_: could not create dialup name FCL_pc_0
ike 0: comes 213.215.239.62:62736->87.241.14.115:4500,ifindex=4....
ike 0: IKEv1 exchange=Informational id=90f6dd40de8116f9/6371187ba063666a:c0615af7
len=84
ike 0: in
90F6DD40DE8116F96371187BA063666A08100501C0615AF700000054BD08D6C2D06903
25A22B21CAB52F6DD4877E0B4982052B5CF866218F06DFEFBF3D358B4ADF02F0A2A2
C60234CCB15DC887543BE2D00D4266
ike 0: no established IKE SA for exchange-type Informational from 213.215.239.62:62736-
>87.241.14.115 4 cookie 90f6dd40de8116f9/6371187ba063666a, drop
id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a
packet(proto=17, 213.215.239.62:62736->87.241.14.115:4500) from wan1."
id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="Find an existing session, id-
0041e778, original direction"
30
Troubleshooting
ike 0:to-CentroStella:281:32051: peer proposal is: peer:0:0.0.0.0-255.255.255.255:0,
me:0:0.0.0.0-255.255.255.255:0
ike 0:to-CentroStella:281:ph2_to_CS:32051: trying
ike 0:to-CentroStella:281:32051: specified selectors mismatch
ike 0:to-CentroStella:281:32051: peer: type=7/7, local=0:0.0.0.0-255.255.255.255:0,
remote=0:0.0.0.0-255.255.255.255:0
ike 0:to-CentroStella:281:32051: mine: type=7/7, local=0:192.168.169.0-192.168.169.255:0,
remote=0:192.168.168.0-192.168.168.255:0
ike 0:to-CentroStella:281:32051: no matching phase2 found
ike 0:to-CentroStella:281:32051: failed to get responder proposal
ike 0:to-CentroStella:281: error processing quick-mode message from 213.215.239.62 as
responder
ike 0:FortiClient_pc:88: PSK authentication succeeded
ike 0:FortiClient_pc:88: authentication OK
ike 0:FortiClient_pc:88: NAT detected: ME PEER
ike 0:FortiClient_pc:88: port change 879 -> 62736
ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/6371187ba063666a
ike 0:FortiClient_pc: adding new dynamic tunnel for 213.215.239.62:62736
ike 0:FortiClient_pc_: could not create dialup name FortiClient_pc_0, too long
ike 0:FortiClient_pc:88: schedule delete of IKE SA
ike 0:FortiClient_pc: connection expiring due to phase1 down
ike 0:FortiClient_pc: deleting
ike 0:FortiClient_pc: flushing
ike 0:FortiClient_pc: sending SNMP tunnel DOWN trap
ike 0:FortiClient_pc: flushed
ike 0:FortiClient_pc: reset NAT-T
ike 0:FortiClient_pc: deleted
ike 0: comes 213.215.239.62:62736->87.241.14.115:4500,ifindex=4....
ike 0: IKEv1 exchange=Informational id=90f6dd40de8116f9/6371187ba063666a:c0615af7
len=84
ike 0: in
90F6DD40DE8116F96371187BA063666A08100501C0615AF700000054BD08D6C2D06903
25A22B21CAB52F6DD4877E0B4982052B5CF866218F06DFEFBF3D358B4ADF02F0A2A2
C60234CCB15DC887543BE2D00D4266
ike 0: no established IKE SA for exchange-type Informational from 213.215.239.62:62736-
>87.241.14.115 4 cookie 90f6dd40de8116f9/6371187ba063666a, drop
id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a
packet(proto=17, 213.215.239.62:62736->87.241.14.115:4500) from wan1."
id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="Find an existing session, id-
0041e778, original direction"
31
URL Utili
#FortinetbySidin• Entra nella Community FortiTech Italia
• Area Partner Istituzionale
• Area Privata Istituzionale
• Area Partner Italia
https://partners.fortinet.com/Login.aspx?ReturnUrl=%2fDefault.aspx
https://support.fortinet.com/Login/UserLogin.aspx
http://www.fortinet.it/
• Area Tecnica Istituzionale
http://docs.fortinet.com/fgt.html
https://twitter.com/FortinetbySidin
https://twitter.com/https://partners.fortinet.com/Login.aspx?ReturnUrl=/Default.aspxhttps://support.fortinet.com/Login/UserLogin.aspxhttp://www.fortinet.it/http://docs.fortinet.com/fgt.htmlhttps://twitter.com/FortinetbySidin
32
Prossimi eventi
• WiFi Controller - 15 febbraio h. 11.00
• Scenari Dual Wan - 22 febbraio h. 11.00
• http://www.sidin.it/scheda/Formazione_e_eventi/Formazione_on_line
http://www.sidin.it/scheda/Formazione_e_eventi/Formazione_on_line
33
Abbiamo Terminato il modulo 2 – VPN IPSec
!!! Grazie per l’attenzione !!!