Szyfrator IP (3 warstwa ISO/OSI) ABA IPSec Gateway

Optimus ABA IPSec
+
Windows 2000/XP
+
Terminal ABAX-2
Instrukcja tworzenia po łą cze ń szyfrowanych.
Grzegorz Ł abuzek
[email protected]
Pawe ł K rawczyk
[email protected]
Piotr Le ś niak
[email protected]
Kraków 16 stycznia 2003r.
1.
Wprowadzenie................................................................................................................3
2.
Wybór konfiguracji........................................................................................................3
2.1.Wybór szyfrowania.....................................................................................................3
2.2.Warianty konfiguracji..................................................................................................4
3. Połączenie bezpośrednie do serwera Windows 2000/XP ...............................................5
3.1.Procedura konfiguracji po stronie terminala................................................................5
3.2.Procedura konfiguracji po stronie serwera Windows..................................................7
3.2.1.Pierwszy krok - aktualizacja systemu Windows 2000..........................................7
3.2.2. Dodawanie zasad zabezpieczeń IP.......................................................................7
3.2.3. Dodawanie reguł zabezpieczeń............................................................................8
3.2.4.Dodawanie filtrów IP..........................................................................................10
3.2.5. Konfiguracja protokołu IKE..............................................................................12
4. Połączenie przez szyfrator Optimus ABA IPSec Gate.................................................15
4.1.Procedura konfiguracji po stronie terminala..............................................................15
4.2.Procedura konfiguracji po stronie szyfratora (dla każdego terminala)......................16
4.3.Procedura konfiguracji po stronie Windows..............................................................17
2.2
1. Wprowadzenie
Terminal ABAX-2 posiada możliwość zabezpieczania transmisji do serwera za
pomocą protokołu IPSec, z wykorzystaniem szyfrów 3DES lub AES. W zależności od układu
sieci, systemu operacyjnego serwera i ilości terminali możliwe są różne warianty konfiguracji
bezpiecznej transmisji.
2. Wybór konfiguracji
2.1.Wybór szyfrowania
Zanim przystąpimy do konfiguracji szyfrowanego połączenia musimy zastanowić się
jaki algorytm szyfrujący możemy, chcemy zastosować. Terminal obsługuje dwa standardowe
algorytmy kryptograficzne:
•
3DES - potrójny DES (Data Encryption Standard) w trybie EDE, z kluczem o
długości 168 bitów. Szyfr ten należy stosować jeśli docelowy serwer lub urządzenie
szyfrujące nie obsługuje algorytmu AES, a obsługuje algorytm 3DES. W
szczególności dotyczy to serwerów działających pod kontrolą systemu Windows, a w
praktyce większości komercyjnych implementacji IPSec (stan na styczeń 2003).
•
AES - nowy Advanced Encryption Standard, klucz o maksymalnej długości 256
bitów; podstawową zaletą tego szyfru jest jego wydajność, ponad 3-krotnie większa
niż 3DES przy tym samym poziomie bezpieczeństwa.
Zaleca się zastosować go w przypadku jeśli terminale łączą się do serwera przez
urządzenie Optimus ABA IPSec Gate, które obsługuje algorytm AES lub jeśli
docelowy serwer obsługuje ten algorytm.
3.3
2.2.Warianty konfiguracji
Po wybraniu odpowiedniego szyfrowania trzeba wybrać odpowiedni wariant
połączenia w zależności od naszych potrzeb i możliwości. Możliwe są następujące warianty
podłączenia terminala ABAX-2 do serwera aplikacji za pomocą szyfrowanego połączenia:
•
bezpośrednie połączenie terminala ABAX-2 do serwera Windows z wbudowaną
obsługą IPSec (Windows 2000, XP);
•
podłączenie terminala ABAX-2 do dowolnego serwera za pośrednictwem szyfratora
Optimus ABA IPSec Gate. Wariant ten wymaga zakupu dodatkowego urządzenia ale
posiada następujące zalety:
1 uniezależnienie od systemu operacyjnego serwera, w tym błędów i
ograniczeń w implementacji IPSec oraz modułów kryptograficznych;
2
przeniesienie
intensywnej
obliczeniowo
obsługi
szyfrowania
na
dedykowany szyfrator co powoduje, że nie wzrasta obciążenie serwera.
4.4
3. Połączenie bezpośrednie do serwera Windows 2000/XP
W rozdziale tym opisana zostanie procedura bezpośredniego podłączenia terminala do
serwera pracującego pod kontrolą sytemu Windows 2000/XP. Podamy także przykładową
konfigurację taka jak na Rys. 1.
Rys. 1. Połączenie terminala ABAX-2 z serwerem Windows 2000/XP
3.1.Procedura konfiguracji po stronie terminala
Aby terminal ABAX-2 mógł nawiązywać połączenia, w oparciu o protokół IPSec,
należy wykonać następujące czynności:
•
najpierw uruchomić go w trybie setup (uruchamianie i obsługa tego trybu
opisana jest szczegółowo w instrukcji obsługi terminala);
•
wybrać zakładkę Narzędzia --- Konfiguruj IPSec Pojawi nam się okno
konfiguracji szyfrowania transmisji po protokole IPSec.(Rys.2.).
5.5
Rys. 2. Okno konfiguracji protokołu IPSec
•
włączyć szyfrowanie transmisji i ustawić je na protokół 3DES (z rozwijanej
listy wybrać szyfr 3DES);
•
w polu Serwer docelowy/koncentrator IPSec wpisać adres IP serwera
Windows z którym chcemy się łączyć, w naszym przypadku jest to
10.1.1.82;
•
w polu Ciąg szyfrujący wpisać hasło uwierzytelniające. Powinna być to
długa sentencja składająca się z przypadkowych znaków. Ponieważ
sentencja musi być identyczna na obu końcówkach dla naszych potrzeb
użyjemy czegoś łatwiejszego do wpisania np: haslo123. Należy pamiętać,
że system rozróżnia duże i małe litery oraz żeby nie używać liter innych niż
występujących w alfabecie angielskim.
UWAGA: Ciąg szyfrujący musi się składać z minimum 8 znaków.
•
wyłączyć opcję zestaw tunel poprzez koncentrator, jeśli była włączona;
•
wyłączyć opcję włącz kompresję
Po wykonaniu powyższych czynności terminal podczas ponownego uruchamiania (w
normalnym trybie) będzie starał się nawiązać szyfrowane połączenie z komputerem o
podanym przez nas wcześniej IP.
6.6
3.2.Procedura konfiguracji po stronie serwera Windows
3.2.1.Pierwszy krok - aktualizacja systemu Windows 2000
Z powodu ograniczeń eksportowych które do niedawna uniemożliwiały eksport
technologii kryptograficznej z terytorium USA, wersje europejskie systemu Windows 2000
nie obsługiwały silnych algorytmów szyfrowania. Ponieważ do współpracy z terminalem
ABAX-2 wymagany jest algorytm 3DES niezbędna jest instalacja uaktualnienia “Silne
szyfrowanie”
w
systemie
Windows
2000.
Więcej
informacji
oraz
odpowiednie
oprogramowanie można znaleźć na stronie:
http://www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp
Użytkownicy Windows XP nie muszą już dokonywać żadnej aktualizacji. Po dokonaniu
stosownego uaktualnienia systemu możemy przystąpić do konfiguracji.
W pierwszym etapie należy stworzyć zasady zabezpieczeń. Pod tym pojęciem kryje się
zbiór reguł opisujących dane połączenia IPSec.
3.2.2. Dodawanie zasad zabezpieczeń IP
Należy uruchomić program “Zasady zabezpieczeń lokalnych” który znajduje się w
oknie: “Panel sterowania” => ”Narzędzia administracyjne”. Z dostępnej listy wybieramy:
“Zasady zabezpieczeń IP komputer lokalny”.
Powinny się tam znajdować trzy predefiniowane reguły. Ponieważ są one
zoptymalizowane do pracy z implementacją IPSec firmy Microsoft oraz standardowo
wykorzystują przestarzały algorytm szyfrowania DES należy stworzyć nową regułę która w
pełni wykorzysta silne szyfrowanie wykorzystywane w terminalu. W tym celu z
menu
“Akcja” wybieramy pozycję “Utwórz zasadę zabezpieczeń IP”.
Do tworzenia zasad służy kreator. W oknie “Nazwa zasad zabezpieczeń IP”
wpisujemy np: “Terminal IPSec ABA”. W następnym oknie należy się upewnić aby opcja
“Włącz regułe odpowiedzi domyślnej” była wyłączona.
7.7
Naciskamy “Dalej”. W ostatnim oknie uaktywniamy opcje “Edytuj własności”
i naciskamy “Zakończ”. Na ekranie powinno być widoczne takie okno jak na rys. 3.:
Rys. 3. Właściwości połączenia z terminalem ABAX-2
3.2.3. Dodawanie reguł zabezpieczeń
Każda zasada składa się z jednej lub więcej reguł. Reguły służą systemowi do
odpowiedzi na dwa pytania:
1.Jakie pakiety szyfrować (np. wszystkie o adresie docelowym...)?
2.Jak je zakodować (np. używając algorytmu 3DES)?
W naszym przypadku aby tunel IPSec działał poprawnie powinno się utworzyć dwie reguły
według Tabeli 1.
8.8
Nazwa
Adres źródłowy
Adres docelowy
Adres końca tunelu
Pierwsza reguła
Windows => Terminal
Mój adres IP
10.1.1.222
10.1.1.222
Druga reguła
Terminal => Windows
10.1.1.222
Mój adres IP
10.1.1.82
Tabela 1.
Do wzorca “Mój adres IP” będą pasowały wszystkie adresy IP przypisane do
komputera na którym utworzone zostały reguły (w tym konkretnym przypadku będzie to
adres 10.1.1.82 ).
Zostanie opisane tworzenie tylko pierwszej reguły ponieważ kolejną tworzy się analogicznie.
Nową regułę tworzymy naciskając guzik “Dodaj” . W oknie “Koniec tunelu”
zaznaczmy przełącznik “Koniec tunelu jest określony przez ten adres IP” i wpisujemy
wartość z Tabeli 1 (adres ABAX-2 czyli 10.1.1.222). Następne okno kreatora o nazwie “Typ
sieci” pozostawić bez zmian. W oknie “Metoda uwierzytelniania” wybieramy opcje “Klucz
wstępny” i w szerokie okno wpisujemy hasło uwierzytelniające, identyczne jak w terminalu
(czyli w naszym przypadku haslo123) które będzie wykorzystywane do wzajemnej
autoryzacji. Przykładowe okno może wyglądać tak jak na Rys. 4.
Rys. 4. Kreator zasad zabezpieczeń IP
9.9
3.2.4.Dodawanie filtrów IP
Następne okno definiuje filtry IP. Filtr IP jest wyrażeniem logicznym które system
próbuje dopasować do pakietów IP. Filtr składa się z adresu źródłowego i docelowego.
Gdy pakiet ma oba powyższe adresy IP takie jak zdefiniowane w filtrze zostaje wykonana nad
nim czynność określona w “akcji filtru” czyli przeważnie szyfrowanie. Ponieważ
standardowe listy filtrów są zbyt ogólnikowe należy utworzyć nową listę. Aby to uczynić
naciskamy przycisk “Dodaj”. Nazwę możemy utworzyć taką jak dla reguły czyli dla tego
konkretnego przykładu “Windows => Terminal”.
Teraz do nowo utworzonej listy filtrów należy dodać filtr. Naciskamy “Dodaj”.
Na pytania udzielamy odpowiedzi zgodnie z Tabelą 1. Jako typ protokołu można pozostawić
wartość domyślną czyli “Dowolny”. Ponieważ konfiguracja wygenerowana przez kreator nie
do końca odpowiada naszym wymaganiom w ostatnim oknie kreatora zaznaczamy opcję
“Edytuj właściwości” która powoduje, że po zakończeniu kreatora pojawi się okno w którym
możemy dokładnej ustawić parametry filtru. Filtry udostępniają mianowicie tryb pracy
“Lustrzany”. Polega to na tym, że do filtru pasują również pakiety z dokładnie odwrotnymi
adresami źródłowymi i docelowymi. Dla naszych potrzeb taki tryb pracy jest niepożądany
dlatego wyłączmy odpowiedni przełącznik. Teraz możemy nacisnąć “Ok” i zamknąć okno
listy filtrów. Wygenerowaliśmy listę filtrów. Ponieważ w systemie może istnieć wiele takich
list w oknie “Lista filtrów IP” uaktywniamy nowo uwożoną listę rys. 5.
W następnym oknie kreatora należy zdefiniować akcję filtru czyli czynność którą
wykona system nad pakietem gdy ten będzie pasował do filtru. Należy dodać nową akcje.
Nowa akcja będzie dostępna w innych regułach więc można to uczynić tylko raz. Po
naciśnięciu klawisza “Dodaj” możemy przypisać akcji nazwę np. “Zgodna z IPSec”.
W oknie “Ogólne opcje akcji filtru” należy uaktywnić “Negocjuj protokół zabezpieczeń”.
10.10
Rys. 5. Lista filtrów IP z wybraną przez nas listą.
Ze względów bezpieczeństwa jak i kompatybilność w następnym oknie powinna zostać
wybrana opcja “Nie komunikuj się z komputerami nie obsługującymi protokołu IPSec”. W
oknie “Zabezpieczenia komunikacji IP” wybieramy „nie standardowe”. Naciskamy
ustawienia. Jako algorytm integralności wybieramy MD5 a jako algorytm szyfrowania 3DES.
Uaktywniamy obie opcje “Generuj nowy klucz co:” przy czym czas zmiany ustawiamy na
300 sekund. Należy nadmienić, że nawet gdy nie zainstaluje się uaktualnienia
udostępniającego silne szyfrowanie w systemie Windows 2000 opcja 3DES będzie dostępna,
lecz system będzie ją ignorował.
W ostatnim oknie kreatora uaktywniamy “Edytuj właściwości” . Należy ustawić trzy
przełączniki na dole ekranu tak jak na Rys. 6.
11.11
Rys. 6. Właściwości: Nowa akcja filtru
Możemy nacisnąć “OK”. Należy jeszcze z listy akcji uaktywnić nowo utwożoną. Na tym
kończy się tworzenie pierwszej reguły. Następnie w analogiczny sposób tworzymy drugą
regułę. Po tej czynności okno powinno wyglądać jak na Rys. 7.
3.2.5. Konfiguracja protokołu IKE
Ostatnią czynnością jest skonfigurowanie protokołu IKE który, mówiąc w wielkim
skrócie, służy do inicjowania szyfrowanego tunelu. Wybieramy zakładkę “Ogólne” i
wciskamy “Zaawansowane”. Aktywujemy opcje “Doskonałe utajnianie przekazywania
klucza głównego”. Opcji “Uwierzytelnij i generuj nowy klucz co:” nadajemy wartość 1
minutę.
Naciskamy “Metody” i przesuwamy algorytm “3DES MD5” na sam szczyt listy tak jak
widać to na Rys. 8.
12.12
Rys. 7. Właściwości: Terminal IPSec ABA
Rys. 8. Metody zabezpieczeń wymiany klucza
13.13
Możemy wszystko zatwierdzić i jedyne co pozostało to uruchomienie zasady
zabezpieczeń. Wybieramy zasadę i naciskamy przycisk “przełącznika” jak na Rys. 9.
Rys. 9. Ustawienia zabezpieczeń lokalnych.
W celu zestawienia połączenia należy zainicjować dowolne połączenie do terminla
ABAX-2. Stan obecnie uruchomionych tuneli sprawdzamy wykonując w oknie “Start =>
Uruchom” komendę “ipsecmon”.
Uwaga: jeśli terminal łączy się z sieci innej niż bezpośrednio podłączona do serwera,
to konieczne jest skonfigurowanie na serwerze odpowiednich reguł routingu!
14.14
4. Połączenie przez szyfrator Optimus ABA IPSec Gate
4.1.Procedura konfiguracji po stronie terminala.
W tym przypadku połączenia dokonujemy poprzez szyfrator Optimus ABA IPSec
Gate, jak na rysunku 10.
Rys. 10. Połączenie za pomocą Optimus ABA IPSec Gate
Terminal w przypadku konfiguracji takiego połączenia działa bardzo podobnie, więc
jego konfiguracja nie zmienia (jest opisana w I rozdziale punkt 1) jedyne co należy zmienić to
wybrać szyfr AES i włączyć opcję “Łącz się przez koncentrator” musimy również dokonać
zmiany adresu IP w polu: Serwer docelowy/koncentrator IPSec na adres szyfratora (w
naszym przykładzie jest to 192.168.1.1
W celu ułatwienia podajemy w skrócie jak ustawić terminal:
•
przejść do konfiguratora terminala ABAX-2;
•
wybrać zakładkę “Narzędzia -- Konfiguruj IPSec”;
•
z rozwijanej listy wybrać szyfr “AES”;
•
w polu “Adres serwera/koncentratora IPSec” wpisać adres IP szyfratora
Optimus ABA IPSec Gate (np. 192.168.1.1)
•
włączyć opcję “Łącz się przez koncentrator”;
•
w polu “Hasło” wpisać hasło uwierzytelniające (u nas: haslo123).
15.15
Po poprawnym skonfigurowaniu terminala okno opcji IPSec powinno wyglądać tak jak
na rysunku 11.
Rys. 11. Okno opcji IPSec terminala ABAX-2
4.2.Procedura konfiguracji po stronie szyfratora
(dla każdego terminala).
Następnie należy przejść do skonfigurowania szyfratora. Aby poprawnie ustawić
szyfrator należy wykonać następujące czynności:
•
stworzyć połączenie poleceniem
peer abax 192.168.1.2 (podając odpowiedni adres IP)
•
wyłączyć inicjowanie połączenia przez szyfrator poleceniem
peer abax responder
•
włączyć routing do serwera przez szyfrator poleceniem
peer abax lroute 0.0.0.0/0
•
skonfigurować hasło uwierzytelniające poleceniem
peer abax secret hasło
•
podając hasło identyczne jak po stronie terminala np. haslo123
•
uaktywnić połączenie poleceniem
peer abax enable
16.16
4.3.Procedura konfiguracji po stronie Windows
Po stronie serwera Windows w konfiguracji połączenia IPSec nie dokonujemy żadnych
zmian. Jedyne co musimy zrobić to skonfigurować routing przez szyfrator prowadzący do
sieci, z której łączą się terminale. Aby to zrobić należy w oknie “Start => Uruchom” wpisać
komendę:
route ADD ip_sieci_docelowej MASK maska_sieci_docelowej ip_bramy.
W naszej przykładowej sieci komenda ta będzie wyglądać następująco:
route ADD 192.168.1.0 MASK 255.255.255.0 10.1.1.90
Jak wiadomo w środowisku Windows wielkość liter z reguły nie ma znaczenia i w tym
przypadku jest tak samo, a duże litery zastosowano jedynie dla przejrzystości tekstu.
17.17