VPN e firewall

[magnuspictorfecit]

Domanda per addetti ai lavori:

Se debbo impiantare una VPN tra più reti remote, e debbo mantanere le macchine vpn e firewall distinte, posso tenere il firewall tra la macchina VPN ed il mondo esterno oppure debbo necessariamente piazzare la macchina VPN all'esterno del firewall?

Grazie!

[magnuspictorfecit]

UP!!!!

[gohan]

Il firewall credo che tu lo possa lasciare come prima protezione, solo che lo dovrai configurare in modo che lasci entrare le connessioni dalle reti remote, tramite access list.

[ziobystek]

basta ke apri la porta alla vpn...

[magnuspictorfecit]

Vabbeh, se utilizzo IPSec apro le porte 50 51 e 500, ma come la metto con gli indirizzi?

Mi spiego: se mettessi il firewall davanti alla macchina VPN, il firewall necessariamente dovrebbe avere sull'interfaccia esterna l'indirizzo IP pubblico, mentre la macchina VPN avrebbe un indirizzo privato. A questo punto la stessa situazione avrei su un'altra LAN remota, e mi sembra che le due macchine VPN non potrebbero instaurare il tunnel, visto che i pacchetti in arrivo a loro non possederebbero come IP sorgente quello della controparte VPN, ma quello dell'interfaccia interna del proprio firewall.

A meno che non ci sia qualche tipo di configurazione che permetta di aggirare il problmea...

Che ne dite?

[ziobystek]

ci ho messo un attimo a kapire ma ce l' ho fatta.... sai ke non saprei kome aggirare il problema... secondo me c'è qualke settaggio da fare sul firewall

[gohan]

Quote:

Originariamente inviato da magnuspictorfecit
[b]Vabbeh, se utilizzo IPSec apro le porte 50 51 e 500, ma come la metto con gli indirizzi?

Mi spiego: se mettessi il firewall davanti alla macchina VPN, il firewall necessariamente dovrebbe avere sull'interfaccia esterna l'indirizzo IP pubblico, mentre la macchina VPN avrebbe un indirizzo privato. A questo punto la stessa situazione avrei su un'altra LAN remota, e mi sembra che le due macchine VPN non potrebbero instaurare il tunnel, visto che i pacchetti in arrivo a loro non possederebbero come IP sorgente quello della controparte VPN, ma quello dell'interfaccia interna del proprio firewall.

Non è proprio così, basta che imposti sul router e sul firewall che le chiamate ad una certa porta siano indirizzate all'indirizzo IP interno che vuoi tu

[magnuspictorfecit]

OK, se ho solo due reti remote da collegare tra loro non ho problemi. Ma se le reti sono più di due, come faccio? Le singole macchine VPN vedranno sempre e soltanto un'interfaccia sola come controparte (quella del loro firewall) per cui non sarebbero in grado di discriminare quale delle altre due reti stà aprendo il tunnel VPN.

Cioè se o A B e C come reti, VPN(A) vede come interlocutore l'IP interno del firewall della sua rete, diciamo che si chiami FW(A).

Sia che ad aprire la connessione sia la rete B (cioè VPN(B)), sia che sia la rete C (cioè VPN(C)), risulterà esistente a VPN(A) un solo interlocutore, sempre lo stesso: FW(A).

[TheMaxx]

Non ho capito il tuo problema: se le reti B e C devono instaurare una VPN con la rete A, allora nella rete A ci dovra' essere un server VPN (ad esempio RRAS di Microsoft) per terminare i tunnel provenienti da B e C. Questo server VPN sara' mappato staticamente sul firewall come ti ha detto gohan. Non ha nessuna importanza se le reti entranti sono piu' di una: il server VPN le puo' accogliere tutte senza problemi (ovviamente ci saranno dei limiti imposti dalla potenza di calcolo e dalla memoria del server, ma questo e' un'altro discorso).

[magnuspictorfecit]

Allora, scendendo in dettaglio:

Innanzitutto quando la macchina VPN autentica i pacchetti che manda all'esterno (per garantire che no avvengano manomissioni durante il percorso) fà un hash sui dati e sui quei campi dell'header che sono fissi oppure predicibili.

E qui potrebbero (non sono sicuro) nascere dei problemi se uno dei firewall altera uno die campi in questione, poichè i pacchetti al momento della ricezione da parte dell'altra macchina VPN apparirebbero modificati e sarebbero scartati.

Poi il problema è che se la macchina VPN ha un indirizzo "esterno" locale (è posta dietro il firewall) deve necessariamente indirizzare i pacchetti in uscita ad un altro indirizzo locale (quello dell'interfaccia interna del firewall) quinid il firewall in base a cosa può discriminare a quale rrete remota indirizzare il tutto?

Si potrebbe utilizzare l'IP aliasing, in modo che oltre al proprio indirizzo nativo il firewall possegga sull'interfaccia interna tanti indirizzi IP (locali) quante sono le reti remote, ed in base all'indirizzo scelto dalla macchina VPN deciderebbe a quale rete remota indirizzare i pacchetti, ma è una soluzione che crea parecchi problemi logistici e non sono sicuro ancora che funzioni...

[TheMaxx]

Quote:

Originariamente inviato da magnuspictorfecit
[b]Innanzitutto quando la macchina VPN autentica i pacchetti che manda all'esterno (per garantire che no avvengano manomissioni durante il percorso) fà un hash sui dati e sui quei campi dell'header che sono fissi oppure predicibili.

E qui potrebbero (non sono sicuro) nascere dei problemi se uno dei firewall altera uno die campi in questione, poichè i pacchetti al momento della ricezione da parte dell'altra macchina VPN apparirebbero modificati e sarebbero scartati.

Mmm , credo che per IPSEC valga in effetti quello che dici tu (mentre non sono sicuro per quanto riguarda PPTP). Tutto ovviamente dipende soprattutto dalla particolare implementazione del NAT (credo che i PIX della Cisco siano in grado di gestire anche IPSEC attraverso il NAT).

Quote:

Originariamente inviato da magnuspictorfecit
[b]Poi il problema è che se la macchina VPN ha un indirizzo "esterno" locale (è posta dietro il firewall) deve necessariamente indirizzare i pacchetti in uscita ad un altro indirizzo locale (quello dell'interfaccia interna del firewall) quinid il firewall in base a cosa può discriminare a quale rrete remota indirizzare il tutto?
Si potrebbe utilizzare l'IP aliasing, in modo che oltre al proprio indirizzo nativo il firewall possegga sull'interfaccia interna tanti indirizzi IP (locali) quante sono le reti remote, ed in base all'indirizzo scelto dalla macchina VPN deciderebbe a quale rete remota indirizzare i pacchetti, ma è una soluzione che crea parecchi problemi logistici e non sono sicuro ancora che funzioni...

Non credo proprio. L'indirizzo destinazione sara' comunque quello della rete remota, l'IP interno del firewall sara' al massimo il default gateway.
Una alternativa, in caso di NAT poco sofisticati, sarebbe il vero NAT statico (e non il PAT), ma per fare questo dovresti avere un IP pubblico aggiuntivo per il server VPN.

[magnuspictorfecit]

Esatto! In effetti credo ci siano dei firewall che hanno feature speciali per convivere con le VPN di terze parti, solo che la mia società ha già i firewall... e non sono i PiX!!!

Anche nel secondop caso dovrebbe essere giusto quanto dici, riguardo il NAT statico, solo che di mettere due Ip pubblici per ogni rete non se ne parla proprio!!! Per cui al limite rimarrebbe la soluzione del IP aliasing... credo!

[TheMaxx]

Quote:

Originariamente inviato da magnuspictorfecit
[b]Esatto! In effetti credo ci siano dei firewall che hanno feature speciali per convivere con le VPN di terze parti, solo che la mia società ha già i firewall... e non sono i PiX!!!

Se nelle specifiche dei vostri firewall non e' previsto il supporto esplicito di IPSEC o del NAT-Traversal allora c'e' ben poco da fare.

Quote:

Originariamente inviato da magnuspictorfecit
[b]Anche nel secondop caso dovrebbe essere giusto quanto dici, riguardo il NAT statico, solo che di mettere due Ip pubblici per ogni rete non se ne parla proprio!!!

Non sono sicuro che serva un IP aggiuntivo in tutte le sedi, credo basti solo per la sede con il VPN server (pero' di questo non sono sicuro).

Quote:

Originariamente inviato da magnuspictorfecit
[b]Per cui al limite rimarrebbe la soluzione del IP aliasing... credo!

Francamente non sono sicuro di avere capito cosa tu voglia fare con l'IP aliasing. Il client VPN dall'esterno chiamera' l'IP pubblico del firewall e tramite la mappatura del port forwarding la chiamata verra' girata ad un unico indirizzo della rete interna (il tuo VPN server). Il VPN server rispondera' all'IP pubblico del VPN client. Quindi non vedo il senso di dare piu' indirizzi alla ethernet interna del firewall, la cosa non ti risolve certo il problema della traslazione degli indirizzi ...

[nocturn]

ops ho sbagliato non volevo postare qui
ciauz!

[magnuspictorfecit]

Ho trovato!

Almeno sotto Linux è possibile utilizzare una macchina IPSec posta dietro un firewall, ma si deve rinunciare ad utilizzare AH per i problemi di autenticazione dei pacchetti.

Rimane la possibilità di usare ESP.

Per chi fosse interessato il tutto è contenuto nel HowTo "VPN masquerading".

[TheMaxx]

Quote:

Originariamente inviato da magnuspictorfecit
[b]Almeno sotto Linux è possibile utilizzare una macchina IPSec posta dietro un firewall, ma si deve rinunciare ad utilizzare AH per i problemi di autenticazione dei pacchetti.

Rimane la possibilità di usare ESP.

Per chi fosse interessato il tutto è contenuto nel HowTo "VPN masquerading".

Buono a sapersi! Grazie per l'informazione. Facci sapere come va a finire.

Ciao.