VPN

Virtual Private Netwokr

Lokasyonlar arasında ya da kullanıcılar arasında güvensiz bir ortamdan verilerinizi transfer edilirken bizim için bir tünel oluşturulmasına ve tünel içerisinden authentication,integrity ve confidentialty nin sağlandığı birer ağdır. VPN sayesinde sanal ağa bağlanan bir cihaz fiziki olarak o konumda bulunuyormuş gibi o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanır.

Merkez sitemiz ve bunun şubeleri var ya da partnerleri var. O şube ya da partnerler üzerinden bir trafiği iletmek ve erişim sağlamak istersek internet üzerinden erişiyoruz. İnternet üzerinden erişim ise güvenli değildir. İnternet üzerinden güvenli bir şekilde iletişim kurmaya yarayan bir yapıdır. Faydaları ise şu şekilde, Güvenirlik,Ölçeklenebilirlik,Yaygın olarak kullanılabiliyor. ve Maliyet tasarrufu da sağlıyor.

Topolojiler olarak baktığımızda site-to-site VPN diye bir Vpn var. Yani sol tarafta bir router sağ tarafda ise VPN gateway cihazımız var. Bu bir routerda olabilir. Sol tarafdaki şubeyi, sağ tarafdaki şubeye yani Site'ı diğer site'a bağlayan teknoloji olabilir.

Bu tüneller genellikle border routerlarda yapılır. Ya da resimdeki gibi vpn gateway ile

Bu router'ın arkasında olanlar işin farkında farkında değillerdir. Yani burada vpn mi gerçekleşiyor gerçekleşmiyor mu bilmiyorlardır. Çünkü olaylar tamamen bu sınır cihazlar üzerinde yapılır.

Diğer bir VPN türü ise Remote Access orada da yine biz kurumsal mobil çalışanız,evimizden çalışıyoruz veya iş itibari ile lokasyon değiştirdik. Güvensiz ortamlardan, güvenli olan ağımıza bağlanma ihtiyacı isteriz. Dolayısıyla bir router konfigurasyonu yapamazsınız. Client üzerinden işlem yapmamız gerekiyor. Yani Client bu VPN bağlantısını başlatır.

Remote Acces VPN'lerde genel itibariyle 2 tür vardır. Clientless yani herhangi bir client yazılımın kurmadığı. Bir browser üzerinden yapabildiğimiz SSL üzerinden yaptığımız VPN türüdür. Bir diğeride yazılım üzerinden merkezimize bağlandığımız ve bizim için bir VPN tüneli oluşturulduğu transferimizin,veri akışımızın bu tünel içerisinden gerçekleştirdiğimiz kısmı ifade ediyor.

SSL VPN, Authentication süreçleri dijital sertifikalar ile yapıldığı bir mantık diğer bir yapı ise IPsec, IP'nin güvenliğini sağlayan bir mimari bir framework

Site-to-Site Vpnlerde IPsec tüneli burada oluşturuluyor. IPsec tüneli üzerinden bizim sınır cihazımızda yapılandırmalardan arka taraftaki kullanıcılar habersizdir. Kaynak ile hedef arasında VPN tünelleri kurabiliriz.

IP yapı itibari ile güvensizdir. Onu güvenli hale getirmişler IPSec de buradan geliyor. IPnin güvenliğini sağlayan bir framework.

IPsec çerçevesini kullanan IPsec, şu temel güvenlik işlevlerini sağlar:

•Gizlilik - IPsec, siber suçluların önlemek amacıyla paket içeriğini okumasını önlemek için şifreleme algoritmaları kullanır. DES, 3DES,AES,SEAL •Bütünlük - IPsec, paketlerin kaynak ve hedef arasında değiştirilmediğinden emin olmak için hashing algoritmaları kullanır. MD5,SHA •Kimlik doğrulaması - IPsec, kaynak ve hedefin kimliğini doğrulamak için İnternet Anahtar Değişimi (IKE) protokolünü kullanır. Pre-Shared Key(passwords), dijital sertifikalar veya RSA sertifikaları dahil olmak üzere kimlik doğrulama yöntemleri. •Diffie-Hellman - Tipik olarak çeşitli DH algoritması gruplarını kullanarak güvenli anahtar değişimi.

IPsec de karşımıza 2 tane protokol çıkıyor birisi AH ve diğeri ise ESP bunların birbirlerine göre şöyle farklılıkları var. AH, Confidentially desteklemiyor. Yani AH protokolünü kullanacaksanız eğer Kriptolama yapamazsınız. ESP kullanacaksanız o zaman kriptolama yapabiliyorsunuz .İkisinin beraber kullanımı çok yaygın değil.

Authentication Header

AH (Authentication Header) Bütün paketlere uygulanırken, paketin başlık bilgisi ile ilgili herhangi bir değişiklik yapmıyor. Paketin başlık bilgisi aynı kalıyor. ESP ise bütün paketi komple şifrelemiş oluyor. Başına tekrardan IP header eklenmiş oluyor. Tıpkı GRE tünelleri gibi.

ISP(config)#int se0/3/0
ISP(config-if)#ip add 78.1.1.2 255.255.255.0
ISP(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/3/0, changed state to down

ISP(config-if)#int se0/3/1
ISP(config-if)#ip add 88.1.1.2 255.255.255.0
ISP(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/3/1, changed state to down

R1(config)#int se0/1/0
R1(config-if)#ip add 78.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#int gig0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0 
R1(config-if)#no shutdown 

R1(config)#ip dhcp pool R1
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1

//Benim için herkes 78.1.1.2 üzerinden erişilebilirdir. 
R1(config)#ip route 0.0.0.0 0.0.0.0 78.1.1.2
R2(config)#int se0/3/0
R2(config-if)#ip add 88.1.1.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config)#ip dhcp pool R2
R2(dhcp-config)#network 192.168.2.0 255.255.255.0
R2(dhcp-config)#default-router 192.168.2.1
R2(dhcp-config)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 88.1.1.2  //herkes erişebilir. 

ISP'de routing olmadığı için PCler birbirleri ile haberleşemiyecek. ISP router'ı 1.0 ve 2.0 ağını tanımıyor. Buraya tünek yaparak bunu geçebiliriz. GRE tüneli (Generic Routing Encapsulation) denilen bir tünel. Yani sanki R1 router ile R2 router arasında bir bağlantı varmış gibi düşüneceğiz ve tünel kuracağız.

//Sanal bir interface açtım.
R1(config)#interface tunnel 0
//Tünelin Modu Gre Ip 
//Ip başlık yapısının başına tekrardan bir IP başlık paketi eklemektir. GRE 
R1(config-if)#tunnel mode gre ?
  ip  over IP
R1(config-if)#tunnel mode gre ip
R1(config-if)#tunnel source serial 0/1/0
//Tünelin kaynağı bu interface
R1(config-if)#tunnel destination 88.1.1.1
//Tünelin biteceği yer 88.1.1.1 ip adresine sahip yer. 
Ardından ip adresi  vereceğim.
R1(config-if)#ip add 10.1.2.1 255.255.255.0
// Yani tünele bir interface varmış gibi ip adresi verdim

Aynı şeyleri R2'de de yapacağım.

R2(config)#int tunnel 0
R2(config-if)#ip add 10.1.2.2 255.255.255.0
R2(config-if)#tunnel mode gre ip
R2(config-if)#tunnel source serial 0/3/0
R2(config-if)#tunnel destination 78.1.1.1

C:\>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Request timed out.

Yine ping atamıyoruz. Çünkü bizim Routerımız ISP üzerinden ama bizim rotamız
tünnel üzerinden dememiz gerekiyor.

R1(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2
//192.168.2.0 ağa erişmenin yolu 10.1.2.2 üzerinden gitmekterdir diyip tünele 
yönlendirirsek R2'ye de aynı mantıkla yazarsak 

R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1

Hedef ip adresimi 192.168.2.2 ve eşleştiği yere neresiyse oraya gönderecek. 10.1.2.2'ye.

Routera girersek ve çıkarken ip adresleri şu şekilde.

Aslında header başına bir tane daha header eklemiş oluyorum. Aslında 192.168.1.2den 2.2 ye gidiyor.

Yani ip headerına yeni bir ip header eklemiş oluyorum. Bu paket ISP'ye geldiğinde ISP 78.1.1.1den gelip 88.1.1.1' e giden paket görür. ISP 88'li networke yönlendirebilir bunda bir sakınca yoktur. Çünkü bildiği bir networktür.

Dolayısıyla karşı tarafa gelir. Karşı tarafa geldiğinde, karşı taraf paketi açtığında aslında paketin içerisinde bir GRE başlık bilgisi olduğunu görüp , bir header içerisinde başka bir header olduğunu görüp 192.168.1.2 den 2.2 ye giden bir mesaj olduğunu görür.

R2 dış başlık bilgisini söker atar ve paketi doğru yere yönlendirmiş olur. Paket ISP'de 1 defa açılıyor Routerda 2 defa açılmış oluyor.

Buradaki risk GRE paketlerinin kriptolanmadan gitmesidir.

IKE Protokol

IPSec'e bir takım özellikler ekleyen ve konfigurasyonu basitleştiren bir protokol aslında. ISAKMP (Internet Security Association Key Management ) denilen yapıyı kullanıyor. UDP 500 nolu portu kullanıyor. Site-to-Site yapıda soldaki router ile sağdaki router arasında uzlaşı sağlıyor. Sağdaki router ne destekliyor soldaki router ne destekliyor bunlar arasında negotation sağlıyor.

Site-To-Site VPN Konfigurasyonu

R1 router üzerinde

R1#sh run
Building configuration...

Current configuration : 1262 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname R1
!
!
!
enable secret 5 $1$mERr$TfFTxE.mmb5O5BVC56ndL0  //ciscoenpa55
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
username SSHadmin privilege 15 secret 5 $1$mERr$OBJ1/J.XbT5.JhwNHVc7p/
!
!
license udi pid CISCO1941/K9 sn FTX1524F8G8
!
!
!
!
!
!
!
!
!
ip ssh version 2
ip domain-name ccnasecurity.com
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface GigabitEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 10.1.1.2 255.255.255.252
 clock rate 128000
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 101
 log-adjacency-changes
 network 10.1.1.0 0.0.0.3 area 0
 network 192.168.1.0 0.0.0.255 area 0
!
ip classless
!
ip flow-export version 9
!
!
!
banner motd ^C
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
^C
!
!
!
!
!
logging trap debugging
line con 0
 password 7 0822455D0A1606181C1B0D517F  //ciscoconpa55
 login
!
line aux 0
!
line vty 0 4
 login local
 transport input ssh
!
!
!
end

Bu kısımlara göre Phase 1-2 oluşturacağım.

//Lisansı aktif ettik.
R1(config)#license boot module c1900 technology-package securityk9 
R1(config)#wr
R1(config)#do reload
//Ipsec yapacagımız trafik tanımladık 
R1(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 256 
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#group ?
  1  Diffie-Hellman group 1
  2  Diffie-Hellman group 2
  5  Diffie-Hellman group 5
R1(config-isakmp)#group 5
R1(config-isakmp)#exit
R1(config)#crypto ?
  dynamic-map  Specify a dynamic crypto map template
  ipsec        Configure IPSEC policy
  isakmp       Configure ISAKMP policy
  key          Long term key operations
  map          Enter a crypto map 
R1(config)#crypto isakmp key vpnpa55 address 10.2.2.2

Phase 1 ile ilgili ayarları yaptım eğer policy destekliyorsa Phase 2 ile ilgi  
ayarlar yapacağım.
Phase 2 aşamasında da biz Ipsec ile ilgili  kısımları yazacaktık.


R1(config)#crypto ipsec transform-set VPN-SET ?
  ah-md5-hmac   AH-HMAC-MD5 transform
  ah-sha-hmac   AH-HMAC-SHA transform
  esp-3des      ESP transform using 3DES(EDE) cipher (168 bits)
  esp-aes       ESP transform using AES cipher
  esp-des       ESP transform using DES cipher (56 bits)
  esp-md5-hmac  ESP transform using HMAC-MD5 auth
  esp-sha-hmac  ESP transform using HMAC-SHA auth
R1(config)#crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

R1(config)#crypto map VPN-MAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#description VPN connection to R3
R1(config-crypto-map)#set peer 10.2.2.2
R1(config-crypto-map)#set transform-set VPN-SET
R1(config-crypto-map)#match address 110
R1(config-crypto-map)#exit

R1(config)#int s0/0/0
R1(config-if)#crypto map VPN-MAP
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON


R3#conf t

R3(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

R3(config)#crypto isakmp policy 10

R3(config-isakmp)#encryption aes 256

R3(config-isakmp)#authentication pre-share 
R3(config-isakmp)#group 5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key vpnpa55 address 10.1.1.2

R3(config)#crypto map VPN-MAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R3(config-crypto-map)#description VPN connection to R1
R3(config-crypto-map)#set peer 10.1.1.2
R3(config-crypto-map)#set transform-set VPN-SET
ERROR: transform set with tag VPN-SET does not exist.
R3(config-crypto-map)#match address 110
R3(config-crypto-map)#exit

R3(config)#int s0/0/1

R3(config-if)#crypto map VPN-MAP
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#

NAT söyle çalışır. Senin private ip adresin var. Eriştiğin sunucunun Real ip adresi var. Hedef ip adresi Real ip adresi olacak. Ama iki taraf da private adresi ise haberleşemezler. 2 private ip adresinin internet üzerinden haberleşmesi için tünel yapmamız gerekiyor.