Szyfrator IP (3 warstwa ISO/OSI) ABA IPSec Gateway
Transkrypt
Szyfrator IP (3 warstwa ISO/OSI) ABA IPSec Gateway
Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2 Instrukcja tworzenia po łą cze ń szyfrowanych. Grzegorz Ł abuzek [email protected] Pawe ł K rawczyk [email protected] Piotr Le ś niak [email protected] Kraków 16 stycznia 2003r. 1. Wprowadzenie................................................................................................................3 2. Wybór konfiguracji........................................................................................................3 2.1.Wybór szyfrowania.....................................................................................................3 2.2.Warianty konfiguracji..................................................................................................4 3. Połączenie bezpośrednie do serwera Windows 2000/XP ...............................................5 3.1.Procedura konfiguracji po stronie terminala................................................................5 3.2.Procedura konfiguracji po stronie serwera Windows..................................................7 3.2.1.Pierwszy krok - aktualizacja systemu Windows 2000..........................................7 3.2.2. Dodawanie zasad zabezpieczeń IP.......................................................................7 3.2.3. Dodawanie reguł zabezpieczeń............................................................................8 3.2.4.Dodawanie filtrów IP..........................................................................................10 3.2.5. Konfiguracja protokołu IKE..............................................................................12 4. Połączenie przez szyfrator Optimus ABA IPSec Gate.................................................15 4.1.Procedura konfiguracji po stronie terminala..............................................................15 4.2.Procedura konfiguracji po stronie szyfratora (dla każdego terminala)......................16 4.3.Procedura konfiguracji po stronie Windows..............................................................17 2.2 1. Wprowadzenie Terminal ABAX-2 posiada możliwość zabezpieczania transmisji do serwera za pomocą protokołu IPSec, z wykorzystaniem szyfrów 3DES lub AES. W zależności od układu sieci, systemu operacyjnego serwera i ilości terminali możliwe są różne warianty konfiguracji bezpiecznej transmisji. 2. Wybór konfiguracji 2.1.Wybór szyfrowania Zanim przystąpimy do konfiguracji szyfrowanego połączenia musimy zastanowić się jaki algorytm szyfrujący możemy, chcemy zastosować. Terminal obsługuje dwa standardowe algorytmy kryptograficzne: • 3DES - potrójny DES (Data Encryption Standard) w trybie EDE, z kluczem o długości 168 bitów. Szyfr ten należy stosować jeśli docelowy serwer lub urządzenie szyfrujące nie obsługuje algorytmu AES, a obsługuje algorytm 3DES. W szczególności dotyczy to serwerów działających pod kontrolą systemu Windows, a w praktyce większości komercyjnych implementacji IPSec (stan na styczeń 2003). • AES - nowy Advanced Encryption Standard, klucz o maksymalnej długości 256 bitów; podstawową zaletą tego szyfru jest jego wydajność, ponad 3-krotnie większa niż 3DES przy tym samym poziomie bezpieczeństwa. Zaleca się zastosować go w przypadku jeśli terminale łączą się do serwera przez urządzenie Optimus ABA IPSec Gate, które obsługuje algorytm AES lub jeśli docelowy serwer obsługuje ten algorytm. 3.3 2.2.Warianty konfiguracji Po wybraniu odpowiedniego szyfrowania trzeba wybrać odpowiedni wariant połączenia w zależności od naszych potrzeb i możliwości. Możliwe są następujące warianty podłączenia terminala ABAX-2 do serwera aplikacji za pomocą szyfrowanego połączenia: • bezpośrednie połączenie terminala ABAX-2 do serwera Windows z wbudowaną obsługą IPSec (Windows 2000, XP); • podłączenie terminala ABAX-2 do dowolnego serwera za pośrednictwem szyfratora Optimus ABA IPSec Gate. Wariant ten wymaga zakupu dodatkowego urządzenia ale posiada następujące zalety: 1 uniezależnienie od systemu operacyjnego serwera, w tym błędów i ograniczeń w implementacji IPSec oraz modułów kryptograficznych; 2 przeniesienie intensywnej obliczeniowo obsługi szyfrowania na dedykowany szyfrator co powoduje, że nie wzrasta obciążenie serwera. 4.4 3. Połączenie bezpośrednie do serwera Windows 2000/XP W rozdziale tym opisana zostanie procedura bezpośredniego podłączenia terminala do serwera pracującego pod kontrolą sytemu Windows 2000/XP. Podamy także przykładową konfigurację taka jak na Rys. 1. Rys. 1. Połączenie terminala ABAX-2 z serwerem Windows 2000/XP 3.1.Procedura konfiguracji po stronie terminala Aby terminal ABAX-2 mógł nawiązywać połączenia, w oparciu o protokół IPSec, należy wykonać następujące czynności: • najpierw uruchomić go w trybie setup (uruchamianie i obsługa tego trybu opisana jest szczegółowo w instrukcji obsługi terminala); • wybrać zakładkę Narzędzia --- Konfiguruj IPSec Pojawi nam się okno konfiguracji szyfrowania transmisji po protokole IPSec.(Rys.2.). 5.5 Rys. 2. Okno konfiguracji protokołu IPSec • włączyć szyfrowanie transmisji i ustawić je na protokół 3DES (z rozwijanej listy wybrać szyfr 3DES); • w polu Serwer docelowy/koncentrator IPSec wpisać adres IP serwera Windows z którym chcemy się łączyć, w naszym przypadku jest to 10.1.1.82; • w polu Ciąg szyfrujący wpisać hasło uwierzytelniające. Powinna być to długa sentencja składająca się z przypadkowych znaków. Ponieważ sentencja musi być identyczna na obu końcówkach dla naszych potrzeb użyjemy czegoś łatwiejszego do wpisania np: haslo123. Należy pamiętać, że system rozróżnia duże i małe litery oraz żeby nie używać liter innych niż występujących w alfabecie angielskim. UWAGA: Ciąg szyfrujący musi się składać z minimum 8 znaków. • wyłączyć opcję zestaw tunel poprzez koncentrator, jeśli była włączona; • wyłączyć opcję włącz kompresję Po wykonaniu powyższych czynności terminal podczas ponownego uruchamiania (w normalnym trybie) będzie starał się nawiązać szyfrowane połączenie z komputerem o podanym przez nas wcześniej IP. 6.6 3.2.Procedura konfiguracji po stronie serwera Windows 3.2.1.Pierwszy krok - aktualizacja systemu Windows 2000 Z powodu ograniczeń eksportowych które do niedawna uniemożliwiały eksport technologii kryptograficznej z terytorium USA, wersje europejskie systemu Windows 2000 nie obsługiwały silnych algorytmów szyfrowania. Ponieważ do współpracy z terminalem ABAX-2 wymagany jest algorytm 3DES niezbędna jest instalacja uaktualnienia “Silne szyfrowanie” w systemie Windows 2000. Więcej informacji oraz odpowiednie oprogramowanie można znaleźć na stronie: http://www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp Użytkownicy Windows XP nie muszą już dokonywać żadnej aktualizacji. Po dokonaniu stosownego uaktualnienia systemu możemy przystąpić do konfiguracji. W pierwszym etapie należy stworzyć zasady zabezpieczeń. Pod tym pojęciem kryje się zbiór reguł opisujących dane połączenia IPSec. 3.2.2. Dodawanie zasad zabezpieczeń IP Należy uruchomić program “Zasady zabezpieczeń lokalnych” który znajduje się w oknie: “Panel sterowania” => ”Narzędzia administracyjne”. Z dostępnej listy wybieramy: “Zasady zabezpieczeń IP komputer lokalny”. Powinny się tam znajdować trzy predefiniowane reguły. Ponieważ są one zoptymalizowane do pracy z implementacją IPSec firmy Microsoft oraz standardowo wykorzystują przestarzały algorytm szyfrowania DES należy stworzyć nową regułę która w pełni wykorzysta silne szyfrowanie wykorzystywane w terminalu. W tym celu z menu “Akcja” wybieramy pozycję “Utwórz zasadę zabezpieczeń IP”. Do tworzenia zasad służy kreator. W oknie “Nazwa zasad zabezpieczeń IP” wpisujemy np: “Terminal IPSec ABA”. W następnym oknie należy się upewnić aby opcja “Włącz regułe odpowiedzi domyślnej” była wyłączona. 7.7 Naciskamy “Dalej”. W ostatnim oknie uaktywniamy opcje “Edytuj własności” i naciskamy “Zakończ”. Na ekranie powinno być widoczne takie okno jak na rys. 3.: Rys. 3. Właściwości połączenia z terminalem ABAX-2 3.2.3. Dodawanie reguł zabezpieczeń Każda zasada składa się z jednej lub więcej reguł. Reguły służą systemowi do odpowiedzi na dwa pytania: 1.Jakie pakiety szyfrować (np. wszystkie o adresie docelowym...)? 2.Jak je zakodować (np. używając algorytmu 3DES)? W naszym przypadku aby tunel IPSec działał poprawnie powinno się utworzyć dwie reguły według Tabeli 1. 8.8 Nazwa Adres źródłowy Adres docelowy Adres końca tunelu Pierwsza reguła Windows => Terminal Mój adres IP 10.1.1.222 10.1.1.222 Druga reguła Terminal => Windows 10.1.1.222 Mój adres IP 10.1.1.82 Tabela 1. Do wzorca “Mój adres IP” będą pasowały wszystkie adresy IP przypisane do komputera na którym utworzone zostały reguły (w tym konkretnym przypadku będzie to adres 10.1.1.82 ). Zostanie opisane tworzenie tylko pierwszej reguły ponieważ kolejną tworzy się analogicznie. Nową regułę tworzymy naciskając guzik “Dodaj” . W oknie “Koniec tunelu” zaznaczmy przełącznik “Koniec tunelu jest określony przez ten adres IP” i wpisujemy wartość z Tabeli 1 (adres ABAX-2 czyli 10.1.1.222). Następne okno kreatora o nazwie “Typ sieci” pozostawić bez zmian. W oknie “Metoda uwierzytelniania” wybieramy opcje “Klucz wstępny” i w szerokie okno wpisujemy hasło uwierzytelniające, identyczne jak w terminalu (czyli w naszym przypadku haslo123) które będzie wykorzystywane do wzajemnej autoryzacji. Przykładowe okno może wyglądać tak jak na Rys. 4. Rys. 4. Kreator zasad zabezpieczeń IP 9.9 3.2.4.Dodawanie filtrów IP Następne okno definiuje filtry IP. Filtr IP jest wyrażeniem logicznym które system próbuje dopasować do pakietów IP. Filtr składa się z adresu źródłowego i docelowego. Gdy pakiet ma oba powyższe adresy IP takie jak zdefiniowane w filtrze zostaje wykonana nad nim czynność określona w “akcji filtru” czyli przeważnie szyfrowanie. Ponieważ standardowe listy filtrów są zbyt ogólnikowe należy utworzyć nową listę. Aby to uczynić naciskamy przycisk “Dodaj”. Nazwę możemy utworzyć taką jak dla reguły czyli dla tego konkretnego przykładu “Windows => Terminal”. Teraz do nowo utworzonej listy filtrów należy dodać filtr. Naciskamy “Dodaj”. Na pytania udzielamy odpowiedzi zgodnie z Tabelą 1. Jako typ protokołu można pozostawić wartość domyślną czyli “Dowolny”. Ponieważ konfiguracja wygenerowana przez kreator nie do końca odpowiada naszym wymaganiom w ostatnim oknie kreatora zaznaczamy opcję “Edytuj właściwości” która powoduje, że po zakończeniu kreatora pojawi się okno w którym możemy dokładnej ustawić parametry filtru. Filtry udostępniają mianowicie tryb pracy “Lustrzany”. Polega to na tym, że do filtru pasują również pakiety z dokładnie odwrotnymi adresami źródłowymi i docelowymi. Dla naszych potrzeb taki tryb pracy jest niepożądany dlatego wyłączmy odpowiedni przełącznik. Teraz możemy nacisnąć “Ok” i zamknąć okno listy filtrów. Wygenerowaliśmy listę filtrów. Ponieważ w systemie może istnieć wiele takich list w oknie “Lista filtrów IP” uaktywniamy nowo uwożoną listę rys. 5. W następnym oknie kreatora należy zdefiniować akcję filtru czyli czynność którą wykona system nad pakietem gdy ten będzie pasował do filtru. Należy dodać nową akcje. Nowa akcja będzie dostępna w innych regułach więc można to uczynić tylko raz. Po naciśnięciu klawisza “Dodaj” możemy przypisać akcji nazwę np. “Zgodna z IPSec”. W oknie “Ogólne opcje akcji filtru” należy uaktywnić “Negocjuj protokół zabezpieczeń”. 10.10 Rys. 5. Lista filtrów IP z wybraną przez nas listą. Ze względów bezpieczeństwa jak i kompatybilność w następnym oknie powinna zostać wybrana opcja “Nie komunikuj się z komputerami nie obsługującymi protokołu IPSec”. W oknie “Zabezpieczenia komunikacji IP” wybieramy „nie standardowe”. Naciskamy ustawienia. Jako algorytm integralności wybieramy MD5 a jako algorytm szyfrowania 3DES. Uaktywniamy obie opcje “Generuj nowy klucz co:” przy czym czas zmiany ustawiamy na 300 sekund. Należy nadmienić, że nawet gdy nie zainstaluje się uaktualnienia udostępniającego silne szyfrowanie w systemie Windows 2000 opcja 3DES będzie dostępna, lecz system będzie ją ignorował. W ostatnim oknie kreatora uaktywniamy “Edytuj właściwości” . Należy ustawić trzy przełączniki na dole ekranu tak jak na Rys. 6. 11.11 Rys. 6. Właściwości: Nowa akcja filtru Możemy nacisnąć “OK”. Należy jeszcze z listy akcji uaktywnić nowo utwożoną. Na tym kończy się tworzenie pierwszej reguły. Następnie w analogiczny sposób tworzymy drugą regułę. Po tej czynności okno powinno wyglądać jak na Rys. 7. 3.2.5. Konfiguracja protokołu IKE Ostatnią czynnością jest skonfigurowanie protokołu IKE który, mówiąc w wielkim skrócie, służy do inicjowania szyfrowanego tunelu. Wybieramy zakładkę “Ogólne” i wciskamy “Zaawansowane”. Aktywujemy opcje “Doskonałe utajnianie przekazywania klucza głównego”. Opcji “Uwierzytelnij i generuj nowy klucz co:” nadajemy wartość 1 minutę. Naciskamy “Metody” i przesuwamy algorytm “3DES MD5” na sam szczyt listy tak jak widać to na Rys. 8. 12.12 Rys. 7. Właściwości: Terminal IPSec ABA Rys. 8. Metody zabezpieczeń wymiany klucza 13.13 Możemy wszystko zatwierdzić i jedyne co pozostało to uruchomienie zasady zabezpieczeń. Wybieramy zasadę i naciskamy przycisk “przełącznika” jak na Rys. 9. Rys. 9. Ustawienia zabezpieczeń lokalnych. W celu zestawienia połączenia należy zainicjować dowolne połączenie do terminla ABAX-2. Stan obecnie uruchomionych tuneli sprawdzamy wykonując w oknie “Start => Uruchom” komendę “ipsecmon”. Uwaga: jeśli terminal łączy się z sieci innej niż bezpośrednio podłączona do serwera, to konieczne jest skonfigurowanie na serwerze odpowiednich reguł routingu! 14.14 4. Połączenie przez szyfrator Optimus ABA IPSec Gate 4.1.Procedura konfiguracji po stronie terminala. W tym przypadku połączenia dokonujemy poprzez szyfrator Optimus ABA IPSec Gate, jak na rysunku 10. Rys. 10. Połączenie za pomocą Optimus ABA IPSec Gate Terminal w przypadku konfiguracji takiego połączenia działa bardzo podobnie, więc jego konfiguracja nie zmienia (jest opisana w I rozdziale punkt 1) jedyne co należy zmienić to wybrać szyfr AES i włączyć opcję “Łącz się przez koncentrator” musimy również dokonać zmiany adresu IP w polu: Serwer docelowy/koncentrator IPSec na adres szyfratora (w naszym przykładzie jest to 192.168.1.1 W celu ułatwienia podajemy w skrócie jak ustawić terminal: • przejść do konfiguratora terminala ABAX-2; • wybrać zakładkę “Narzędzia -- Konfiguruj IPSec”; • z rozwijanej listy wybrać szyfr “AES”; • w polu “Adres serwera/koncentratora IPSec” wpisać adres IP szyfratora Optimus ABA IPSec Gate (np. 192.168.1.1) • włączyć opcję “Łącz się przez koncentrator”; • w polu “Hasło” wpisać hasło uwierzytelniające (u nas: haslo123). 15.15 Po poprawnym skonfigurowaniu terminala okno opcji IPSec powinno wyglądać tak jak na rysunku 11. Rys. 11. Okno opcji IPSec terminala ABAX-2 4.2.Procedura konfiguracji po stronie szyfratora (dla każdego terminala). Następnie należy przejść do skonfigurowania szyfratora. Aby poprawnie ustawić szyfrator należy wykonać następujące czynności: • stworzyć połączenie poleceniem peer abax 192.168.1.2 (podając odpowiedni adres IP) • wyłączyć inicjowanie połączenia przez szyfrator poleceniem peer abax responder • włączyć routing do serwera przez szyfrator poleceniem peer abax lroute 0.0.0.0/0 • skonfigurować hasło uwierzytelniające poleceniem peer abax secret hasło • podając hasło identyczne jak po stronie terminala np. haslo123 • uaktywnić połączenie poleceniem peer abax enable 16.16 4.3.Procedura konfiguracji po stronie Windows Po stronie serwera Windows w konfiguracji połączenia IPSec nie dokonujemy żadnych zmian. Jedyne co musimy zrobić to skonfigurować routing przez szyfrator prowadzący do sieci, z której łączą się terminale. Aby to zrobić należy w oknie “Start => Uruchom” wpisać komendę: route ADD ip_sieci_docelowej MASK maska_sieci_docelowej ip_bramy. W naszej przykładowej sieci komenda ta będzie wyglądać następująco: route ADD 192.168.1.0 MASK 255.255.255.0 10.1.1.90 Jak wiadomo w środowisku Windows wielkość liter z reguły nie ma znaczenia i w tym przypadku jest tak samo, a duże litery zastosowano jedynie dla przejrzystości tekstu. 17.17