Projektarbeit WLAN Router mit VPN Unterstützung

Transcription

Projektarbeit WLAN Router mit VPN Unterstützung
Dddddd
Interoperabilitätsanleitung und -test
WS 03/04 | PAKI1 Sna03
Betreuer
• Prof. Dr. Andreas Steffen
Team
• KI3c | Rouven Büchi
• KI3c | Reto Fürst
Arbeitsausgabe
• 18.11.2003, 10.00 Uhr im E509
Arbeitsabgabe
• 20.02.2004
Projektarbeit
# WLAN Router mit VPN Unterstützung #
I Eidesstattliche Erklärung
Hiermit bestätigen wir, dass wir die folgende Arbeit selbstständig und ohne fremde
Hilfe (ausser die von Herrn Steffen und Herrn Bamert) erarbeitet haben.
Ort: Winterthur
Datum: 20. Februar 2004
____________________
_________________
Rouven Büchi
Reto Fürst
19.02.2004
Rouven Büchi | Reto Fürst | KI3c
Seite 2 von 48
Projektarbeit
II Dokument Versionen
Datum
Version / Beschreibung
25.11.2003
Version 0.1
Aufgabenstellung, Vorbereitungen,
Praktikumsanordnung,
Soll Zeitplan
Version 0.2
Konfiguration der Sonicwall SOHO TZW
15.12.2003
15.01.2004
25.01.2004
15.02.2004
18.02.2004
19.01.2004
Bemerkungen
Version 0.3
WLAN VPN Verbindung mit:
- Sonicwall Global VPN Client
- SSH Sentinel VPN Client
Remote VPN Verbindung mit:
- Sonicwall Global VPN Client
Version 0.4
WLAN VPN Verbindung mit:
- SafeNet/SoftRemote VPN Client
- Cisco VPN Client
Version 0.5
- FreeS/WAN VPN Client
Aufgetretene Probleme, Anhang,
Projektmanagement
Version 0.6
Persönliche Erkenntnisse, Version
überarbeiten
Probleme der
Clients notiert
Version 1.0
Endversion
Fertig für den
Druck
Probleme der
Clients notiert
Probleme der
Clients notiert
Layout
anpassen
Tabelle 1 - Dokumentversionen
19.02.2004
Seite 3 von 48
Projektarbeit
1. Management Summary
Im fünften Semester im Studiengang „Kommunikation und Informatik“ an der ZHW
wurde im Fach Projektarbeit unter anderem die Ihnen vorliegende Arbeit
ausgeschrieben. Die Aufgabe war es die SOHO TZW Firewall / VPN Appliance
der Firma Sonicwall (Partnerfirma in der Schweiz: Telelan AG, 8048 Zürich) in
Betrieb zu nehmen. Diese so zu konfigurieren, dass sie bei der Authentisierung für
VPN-Tunnels via WLAN oder WAN mittels X.509 Zertifikaten einwandfrei läuft.
Dies sollte nicht nur mit der Firmeneigenen Software geschehen, sondern
zusätzlich
auch
mit
handelsüblicheren
VPN Clients
wie
SSH
Sentinel,
SafeNet/SoftRemote, Cisco oder Linux FreeS/WAN.
Aufgrund einiger Probleme zu Beginn der Arbeit wurde ersichtlich, dass der Soll Zeitplan nicht wie gewünscht eingehalten werden kann. Nach dem Treffen mit
Herr Bamert von der Sonicwall – Vertretung Schweiz konnten die meisten Problem
und Unklarheiten beseitigt werden. Anschliessend wurde der Zeitplan neu definiert
und konnte dank neuer Motivation ohne weitere Probleme eingehalten werden.
Betrachtet man die zu erreichenden praktischen Ziele, wurden diese wie folgt
erreicht.
Die WLAN – Verbindungen konnten mit dem Sonicwall, dem SSH Sentinel sowie
dem SafeNet VPN Client erfolgreich aufgebaut und getestet werden. Die WAN –
Verbindungen von Remote konnten ebenfalls mit dem Sonicwall und dem Linux
FreeS/WAN VPN Client
aufgebaut und getestet werden. Beim Versuch eine
Verbindung mit dem Cisco VPN Client aufzubauen schlugen leider alle Tests fehl.
Aufgrund der Datenanalyse der gesendeten Daten des Clients anhand Ethereal,
wurde herausgefunden, dass die ausgehenden Daten des Cisco VPN Clients nicht
RFC 2408 konform sind und dies im Zusammenspiel mit der Sonicwall zum
Problem wird.
Das Ihnen vorliegende Dokument dient zur Installation, Konfiguration und
Inbetriebnahme der getesteten Clients.
Abschliessend darf man sagen, dass die gestellten Aufgaben erfolgreich gelöst
werden konnten. Die Verfasser erhoffen sich, dass sich die Partnerfirma den
gewünschten Nutzen aus der gestellten Arbeit ziehen kann und die Erkenntnisse
in ihre zukünftigen Produkte einfliessen lassen kann.
19.02.2004
Seite 4 von 48
Projektarbeit
2. Inhaltsverzeichnis
I Eidesstattliche Erklärung.................................................................................................. 2
II Dokument Versionen........................................................................................................ 3
1. Management Summary.................................................................................................... 4
2. Inhaltsverzeichnis............................................................................................................ 5
3. Aufgabenstellung ............................................................................................................ 8
4. Vorbereitungen ................................................................................................................ 8
5. VPN Tunneling mittels Zertifikaten................................................................................. 9
6. Praktikumsanordnung................................................................................................... 12
7. Konfiguration der Sonicwall SOHO TZW ..................................................................... 13
7.1 Registrierung ............................................................................................................. 13
7.2 Interface erstellen ...................................................................................................... 13
7.2.1 WAN Einstellungen ............................................................................................. 13
7.2.2 WLAN Einstellungen ........................................................................................... 14
7.2.3 LAN Einstellungen............................................................................................... 15
7.2.4 DNS Settings ...................................................................................................... 15
7.3 VPN Policy................................................................................................................. 16
7.3.1 General ............................................................................................................... 16
7.3.2 Proposals............................................................................................................ 17
7.3.3 Advanced............................................................................................................ 18
7.3.4 Client................................................................................................................... 19
7.4 DHCP Konfiguration................................................................................................... 20
7.5 LOG Einstellungen..................................................................................................... 20
8. WLAN Interoperabilitätsanleitung und - test ............................................................... 21
8.1 Allgemein................................................................................................................... 21
8.2 WLAN VPN Verbindung mit Sonicwall Global VPN Client .......................................... 21
8.2.1 Konfiguration Sonicwall Global VPN Client.......................................................... 21
8.2.2 Testresultat ......................................................................................................... 22
8.3 WLAN VPN Verbindung mit SSH Sentinel VPN Client ............................................... 24
8.3.1 Konfiguration SSH Sentinel VPN Client............................................................... 24
8.3.2 Testresultat ......................................................................................................... 25
8.4 WLAN VPN Verbindung mit SafeNet/SoftRemot VPN Client...................................... 27
8.4.1 Konfiguration SafeNet/SoftRemote VPN Client ................................................... 27
8.4.2 Testresultat ......................................................................................................... 29
9. Remote access Interoperabilitätsanleitung und – test................................................ 30
9.1 Allgemein................................................................................................................... 30
9.2 Remote VPN Verbindung mit Sonicwall Global VPN Client ........................................ 30
9.2.1 Konfiguration Sonicwall Global VPN Client.......................................................... 30
9.2.2 Testresultat ......................................................................................................... 31
9.3 Remote VPN Verbindung mit Cisco VPN Client ......................................................... 33
9.3.1 Konfiguration Cisco VPN Client........................................................................... 33
9.3.2 Testresultat ......................................................................................................... 34
9.4 Remote VPN Verbindung mit FreeS/WAN VPN Client ............................................... 35
9.4.1 Konfiguration FreeS/WAN Client ......................................................................... 35
9.4.2 Testresultat ......................................................................................................... 36
10. Aufgetretene Probleme ............................................................................................... 38
10.1 Allgemein ................................................................................................................. 38
10.2 WLAN Clients .......................................................................................................... 39
10.2.1 Sonicwall Global VPN Client ............................................................................. 39
10.2.2 SSH Sentinel VPN Client .................................................................................. 39
10.2.3 SafeNet/SoftRemote VPN Client ....................................................................... 40
10.3 Remote Clients ........................................................................................................ 41
10.3.1 Sonicwall Global VPN Client ............................................................................. 41
10.3.2 Cisco VPN Client............................................................................................... 41
10.3.3 FreeS/WAN VPN Client..................................................................................... 41
11. Projektmanagement .................................................................................................... 42
19.02.2004
Seite 5 von 48
Projektarbeit
11.1 Probleme ................................................................................................................. 42
11.2 Zeitplanung .............................................................................................................. 42
11.3 Zeitplan.................................................................................................................... 43
11.4 Sitzungen................................................................................................................. 44
12. Persönliche Erkenntnisse ........................................................................................... 45
14. Anhang ......................................................................................................................... 47
A Verwendete Versionen ................................................................................................. 47
B Abkürzungsverzeichnis................................................................................................. 47
C Quellenverzeichnis ....................................................................................................... 48
Bilderverzeichnis
Abbildung I - Verbindungsaufbau......................................................................................... 11
Abbildung II - Praktikumsanordnung .................................................................................... 12
Abbildung III - WAN Settings ............................................................................................... 13
Abbildung IV - WLAN Settings ............................................................................................. 14
Abbildung V - LAN Settings ................................................................................................. 15
Abbildung VI - General ........................................................................................................ 16
Abbildung VII - Proposals .................................................................................................... 17
Abbildung VIII - Advanced ................................................................................................... 18
Abbildung IX - Client ............................................................................................................ 19
Abbildung X - DHCP ............................................................................................................ 20
Abbildung XI - Sonicwall Client ............................................................................................ 21
Abbildung XII - Sonicwall Zertifikat....................................................................................... 22
Abbildung XIII - Sonicwall Verbindung ................................................................................. 22
Abbildung XIV - Sonicwall Tunnel ........................................................................................ 22
Abbildung XV - Sonicwall Logfile SOHO .............................................................................. 23
Abbildung XVI - Sonicwall Logfile Client .............................................................................. 23
Abbildung XVII - Sonicwall shared ....................................................................................... 23
Abbildung XVIII - Sentinel Client .......................................................................................... 24
Abbildung XIX - Sentinel Zertifikat ....................................................................................... 25
Abbildung XX - Sentinel Ethereal Log.................................................................................. 26
Abbildung XXI - SafeNet Client – New Connection .............................................................. 27
Abbildung XXII - SafeNet Client – My Identity ...................................................................... 28
Abbildung XXIII - SafeNet Statistik....................................................................................... 29
Abbildung XXIV - Sonicwall Client ....................................................................................... 30
Abbildung XXV - Sonicwall Zertifikat.................................................................................... 31
Abbildung XXVI - Sonicwall Verbindung .............................................................................. 31
Abbildung XXVII - Sonicwall Tunnel..................................................................................... 31
Abbildung XXVIII - Sonicwall Logfile SOHO......................................................................... 32
Abbildung XXIX - Sonicwall Logfile Client ............................................................................ 32
Abbildung XXX - Sonicwall shared....................................................................................... 32
Abbildung XXXI - Cisco Client ............................................................................................. 33
Abbildung XXXII - Cisco Zertifikat ........................................................................................ 34
Abbildung XXXIII - Cisco Ethereal ....................................................................................... 34
Abbildung XXXIV - FreeS/WAN ipsec .................................................................................. 35
Abbildung XXXV - FreeS/WAN status.................................................................................. 36
Abbildung XXXVI - FreeS/WAN log ..................................................................................... 37
Abbildung XXXVII – Zeitplan................................................................................................ 43
Tabellenverzeichnis
Tabelle 1 - Dokumentversionen ............................................................................................. 3
Tabelle 2 - WAN Settings..................................................................................................... 14
Tabelle 3 - WLAN Settings................................................................................................... 14
Tabelle 4 - LAN Settings ...................................................................................................... 15
Tabelle 5 - General .............................................................................................................. 17
19.02.2004
Seite 6 von 48
Projektarbeit
Tabelle 6 - Proposals........................................................................................................... 17
Tabelle 7 - Advanced........................................................................................................... 18
Tabelle 8 - Client ................................................................................................................. 19
Tabelle 9 - DHCP ................................................................................................................ 20
Tabelle 10 - Sonicwall Client................................................................................................ 21
Tabelle 11 - Sentinel Client.................................................................................................. 25
Tabelle 12 - SafeNet Client 1............................................................................................... 27
Tabelle 13 - SafeNet Client 2............................................................................................... 28
Tabelle 14 - Sonicwall Client................................................................................................ 31
Tabelle 15 - Cisco Client...................................................................................................... 33
Tabelle 16 - FreeS/WAN...................................................................................................... 36
Tabelle 17 - Probleme ......................................................................................................... 38
Tabelle 18 - Sitzungen......................................................................................................... 44
Tabelle 19 - Abkürzungsverzeichnis .................................................................................... 47
19.02.2004
Seite 7 von 48
Projektarbeit
3. Aufgabenstellung
[original Aufgabenstellung von Prof. Dr. Andreas Steffen]
Die Firma Sonicwall bietet mit der
neuen SOHO TZW Firewall/VPN Appliance ein kompaktes Gerät mit integrierten
WLAN, LAN und WAN Schnittstellen an, das IPsec Verschlüsselung im WLAN als
auch Punkt-zu-Punkt VPN Tunnel über das WAN ermöglicht. Im Rahmen dieser
Projektarbeit soll die Interoperabilität dieses Geräts mit anderern VPN Gateways
(Linux FreeS/WAN, ev. Cisco
3030
VPN Access Concentrator),
sowie
verschiedenen VPN Clients (Sonicwall VPN Client, Windows XP Client, SSH
Sentinel und SafeNet/SoftRemote) getestet und die Resultate in einem Bericht
festgehalten werden.
4. Vorbereitungen
Folgende
Arbeiten
mussten
vorgängig
erledigt
werden,
um
mit
den
Praktikumsversuchen beginnen zu können:
Windows XP auf den beiden Rechnern DSKT 6807 und DSKT 6808
(Standort Praktikumsraum e523) sowie auf dem Notebook IKTB018
aufsetzten.
MAC Adresse der Sonicwall SOHO TZW bei Herrn Lüdy registrieren lassen.
Einlesen in diverse Dokumentationen.
19.02.2004
Seite 8 von 48
Projektarbeit
5. VPN Tunneling mittels Zertifikaten
VPN steht für Virtual Privat Network. Damit ist gemeint, dass man eine sichere
Verbindung über ein unsicheres Medium herstellen kann (z.B. von einem Rechner
von zu Hause via Internet auf einen Firmenrechner zugreifen), ohne dass diese
von Dritten eingesehen werden kann. Da es sich bei VPN um eine Punkt-zu-Punkt
Verbindung handelt, und man dabei einen Kommunkationskanal aufbaut, spricht
man auch von einem Tunnel der aufgebaut wird. Mit VPN werden die Datenpakete
eines beliebeigen Protokolls verschlüsselt und damit abhörsicher gemacht. Als
VPN – Transportmittel können Layer 2 oder Layer 3 Protokolle verwendet werden.
Dazu dienen verschiedene Protokolle mit Ihren Diensten, wie z.B. PPTP, L2TP
und IPSec. Da in der Arbeit mit Zertifikaten gearbeitet wurde, wird hier kurz auf
das IPSec Protokoll eingegangen. IPSec benutzt mehrere Protokolle, wobei hier
die wichtigsten erklärt sind:
Encapsulating
Security
Payload
(ESP).
ESP
ermöglicht
es,
den
Kommunikationspartner zu authentifizieren, sowie die Integrität der Daten und
deren Vertraulichkeit zu sichern.
Authentication Header (AH). Wie ESP authentifiziert AH den Sender eines
Pakets und gewährt Datenintegrität, leistet jedoch keine Verschlüsselung.
Internet Key Exchange (IKE) . Die Verständigung über die zu verwendenden
Sicherheitsalgorithmen
und
der
dazu
notwendige
Austausch
von
Schlüsselmaterial erfolgt mittels IKE.
Auf den genaueren Beschrieb von ESP und AH wird hier verzichtet, das IKEProtokoll wird jedoch etwas genauer angeschaut.
IKE ist ein Protokoll, das ganze oder Teile von anderen Protokollen benutzt. Als
wichtigstes soll hier das
Internet Security Association and Key Management
Protocol (ISAKMP) erwähnt und kurz erläutert werden. Grundsätzlich arbeitet
ISAKMP in zwei Phasen.
19.02.2004
Seite 9 von 48
Projektarbeit
Phase 1
Das Ziel der Phase 1 ist das Aushandeln von Grundlagen der IPSec-SA’s. Dazu
führen die beiden Kommunikationspartner einen Schlüsselaustausch nach DiffieHellman durch und authentifizieren diesen. Weitere Parameter, wie z.B. die
Lebensdauer der SA und die Methoden der Authentifizierung werden in Phase 1
verhandelt.
Bei der 1. Phase kann zwischen Aggressiv Mode und Main Mode gewählt werden.
Das Ergebnis der beiden Modi ist das Selbe, wobei der Aggressiv-Mode weniger
flexibel ist und die Identität der Kommunikationspartner nicht schützt. Im MainMode tauschen Sender und Empfänger immer 6 Nachrichten aus, wobei im
Aggressiv-Mode nur deren drei ausgetauscht werden. Die ersten beiden
verhandeln die Anwendungsstrategie, die nächsten beiden führen einen
Schlüsselaustausch nach Diffie-Hellman durch und tauschen Hilfsdaten wie z. B.
Noncen aus, und die letzten beiden authentifizieren den Diffie-Hellman-Austausch.
Bei Vorgängen mit Public-Key-Verschlüsselung werden verschlüsselte Noncen zur
Authentifizierung verwendet.
Phase 2
Damit die Phase 2 (Quick Mode) überhaupt ausgeführt werden kann, muss sie
nach einem Phase 1 Austausch erfolgen. Das Ziel der Phase 2 ist es, für ESP und
AH Anwendungsstrategien zu verhandeln und Schlüsselmaterial zu erzeugen.
Während dem Datenaustausch werden unter anderem ebenfalls wieder Noncen
als Lebenszeichen ausgetauscht. Diese werden ebenfalls bei der Generierung der
Schlüssel verwendet. Normalerweise werden die IPSec –Schlüssel immer von der
gleichen, in Phase 1 erzeugten Quelle, abgeleitet. Dies bedeutet, dass diese kein
Perfect Forward Secrecy (PFS) unterstützen. Wird der Schlüssel jedoch nicht
immer von der gleichen Quelle abgeleitet, sondern z.B. durch einen zusätzlichen
Diffie-Hellman-Austausch ergänzt, kann so PFS geschaffen werden. So haben
Hacker nur für die Lebensdauer dieses Schlüssels Zugriff zu den Daten und
frühere oder spätere Nachrichten können nicht gelesen werden.
In unserer Arbeit konzentrierten wir uns auf VPN mit Zertifikaten. Dazu benötigt
man eine CA (Certificate Authority), welche beiden Seiten der Verbindung bekannt
sein muss, sowie pro Verbindungsendpunkt ein persönliches Zertifikat. Der
Verbindungsaufbau sieht dann wie folgt aus:
19.02.2004
Seite 10 von 48
Projektarbeit
Initiator
IKE
Header
Responder
ISAKMP SA
Proposal
1
2
IKE
Header
DH Key
Exchange
Ni
encrypted
IKE
Header
•
•
IDi
Cert
Sigi
IKE
Header
ISAKMP SA
Response
IKE
Header
DH Key
Exchange
3
4
5
encrypted
i
IKE uses UDP port
IKE Quick Mode – 3 messages
6
Nr
IKE
Header
IDr Cert
Sigr
r
Abbildung I - Verbindungsaufbau
Quelle: siehe Quellenverzeichnis
19.02.2004
Seite 11 von 48
Projektarbeit
6. Praktikumsanordnung
Das Praktikum wurde im Zimmer e523 an der ZHW durchgeführt. Abbildung II Praktikumsanordnung gibt Auskunft über den Versuchsaufbau.
Abbildung II - Praktikumsanordnung
19.02.2004
Seite 12 von 48
Projektarbeit
7. Konfiguration der Sonicwall SOHO TZW
7.1 Registrierung
Nach der Installation der Sonicwall Software anhand der mitgelieferten Anleitung
des Herstellers, muss das Gerät auf http://www.mysonicwall.com/Registration.asp
registriert werden. Ist dies gelungen kann auf das Sonicwall Benutzerkonto
eingeloggt werden und das neue SonicOS Standard 2.0.0.0 heruntergeladen
werden. Die aktuelle Version wird unter System>Settings>Update New Firmware
aktualisiert. (Der Zugriff auf die Sonicwallapplikation geschieht über den Browser,
\\192.168.168.168)
7.2 Interface erstellen
Die WAN, WLAN und LAN Interfaces werden unter Network>Settings>Setup
Wizard… erstellt. Die Einstellungen können danach unter Configure
bei
den neu angezeigten Interfaces, wie in den folgenden Unterkapiteln 7.2.1 – 7.2.3
beschrieben,
eingegeben
werden.
In
den
jeweiligen
Tabellen
sind
die
verwendeten Einstellungen und deren Gründe ersichtlich. Falls der Defaultwert der
Sonicwall übernommen wurde, ist dies nicht explizit angegeben.
7.2.1 WAN Einstellungen
Abbildung III - WAN Settings zeigt die Konfiguration des verwendeten WAN
Interfaces.
Abbildung III - WAN Settings
19.02.2004
Seite 13 von 48
Projektarbeit
Sonicwall WAN IPAddress
WAN Subnet
Mask
WAN Gateway
IP-Adresse des Sonicwall WAN Interfaces;
verwendete Einstellung: 160.85.178.64
Grund für Einstellung: erhaltene IP-Adresse vom ZHW IT
Support
Subnetz WAN;
Grund für Einstellung: Edu Netzmaske ZHW
Gateway WAN;
Grund für Einstellung: Gateway Edu Netz ZHW
Tabelle 2 - WAN Settings
7.2.2 WLAN Einstellungen
Abbildung IV - WLAN Settings zeigt die Konfiguration des verwendeten WLAN
Interfaces.
Abbildung IV - WLAN Settings
Enable WLAN
WiFiSec
Enforcement
WLAN IP-Address
WLAN Subnet
Mask
WLAN zulassen oder nicht;
verwendete Einstellung: Enabled
Grund für Einstellung: Für Tests mit WLAN erforderlich
Sichere Datenübertragung zw. Sonicwall Komponenten ;
verwendete Einstellung bei Sonicwall Client: Enabled
verwendete Einstellung bei restlichen Clients: Disabled
Grund für Einstellung: WiFiSec ist speziell für Sonicwall
IP-Adresse des WLAN Interfaces;
Grund für Einstellung: IP-Adresse WLAN Port
Subnetz WLAN;
Grund für Einstellung: WLAN Netzmaske
Tabelle 3 - WLAN Settings
19.02.2004
Seite 14 von 48
Projektarbeit
7.2.3 LAN Einstellungen
Abbildung V - LAN Settings zeigt die Konfiguration des verwendeten LAN
Interfaces.
Abbildung V - LAN Settings
Sonicwall LAN IPAddress
LAN Subnet Mask
IP-Adresse des Sonicwall LAN Interfaces;
Grund für Einstellung: IP-Adresse LAN Port (gemäss
Sonicwall Anleitung)
Subnetz LAN;
Grund für Einstellung: LAN Netzmaske
Tabelle 4 - LAN Settings
7.2.4 DNS Settings
Für die DNS-Adressen unter Network>Settings können bekannte Internet DNSAdressen verwendet werden wie z.B. die DNS der ZHW 160.85.128.2 /
160.85.128.146.
19.02.2004
Seite 15 von 48
Projektarbeit
7.3 VPN Policy
Vorgängig zu den folgenden VPN Policy Einstelllungen müssen noch die
Zertifikate auf der Sonicwall SOHO TZW installiert werden. Für das lokale
Zertifikat wird unter VPN>Local Certificates>Add New Local Certificate das
gewünschte
File
importiert
(vpn_sonicwall_cert.p12,
verwendeter
Name:
certificate1). Das ZHW Root CA Zertifikat kann unter http://www-t.zhwin.ch/ca
heruntergeladen werden und unter VPN>CA Certificates>Add New CA Certificate
importiert werden.
Die VPN Policy wird unter VPN>Settings>Configure
eingestellt. Da bei
den Tests die Remote- sowie WLAN Verbindung über die GroupVPN
Einstellungen liefen, musste die Policy (Peer ID Filter) gemäss 7.3.1 jeweils
angepasst werden.
7.3.1 General
Abbildung VI - General zeigt die verwendeten „General“ Einstellungen.
Abbildung VI - General
IPSec Keying Mode
Gateway
19.02.2004
Art der Verschlüsselung;
verwendete Einstellung: IKE using 3rd Party Certificates
Grund für Einstellung: Tests mit Zertifikaten
Von uns verwendetes SOHO-TZW Zertifikat;
Seite 16 von 48
Projektarbeit
Certificate
Peer ID Type
Peer ID Filter
verwendete Einstellung: certificate1
Grund für Einstellung: Zertifikatsname
ID Typ;
verwendete Einstellung: Domain name
Grund für Einstellung: klarheitshalber
ID Filter;
verwendete Einstellung Remote: vpnclient3.zhwin.ch
verwendete Einstellung WLAN: vpnclient2.zhwin.ch
Grund für Einstellung: DN Name, Zertifikatsverteilung
gemäss 6. Praktikumsanordnung
Tabelle 5 - General
7.3.2 Proposals
Abbildung VII - Proposals zeigt die verwendeten „Proposals“ Einstellungen.
Abbildung VII - Proposals
DH Group
Encryption
Authentification
Enable Perfect
Forward Secrecy
Key agreement protocol;
verwendete Einstellung (Phase 1 & 2): Group 2
Grund für Einstellung: Sicherheitstechnische Auswahl
Entschlüsselung;
verwendete Einstellung (Phase 1 & 2): 3DES
Authentifizierung;
verwendete Einstellung (Phase 1 & 2): SHA1
Schutz des Sessionkeys;
Tabelle 6 - Proposals
19.02.2004
Seite 17 von 48
Projektarbeit
7.3.3 Advanced
Abbildung VIII - Advanced zeigt die verwendeten „Advanced“ Einstellungen.
Abbildung VIII - Advanced
Enable Windows
Networking
Broadcast
Default LAN
Gateway
VPN Terminated at
Require
Authentification via
XAUTH
Windows Netzwerk Broadcast;
Grund für Einstellung: Tests ohne WINS Server
LAN Gateway;
Grund für Einstellung: default Gateway
VPN Terminierung;
verwendete Einstellung: LAN/WLAN
Grund für Einstellung: Tests mit LAN bzw WLAN
Terminierung
XAUTH Authentifizierung des Clients;
verwendete Einstellung: Disabled
Grund für Einstellung: Authentifizierung via Zertifikat
Tabelle 7 - Advanced
19.02.2004
Seite 18 von 48
Projektarbeit
7.3.4 Client
Abbildung IX - Client zeigt die verwendeten „Client“ Einstellungen.
Abbildung IX - Client
Cache XAUTH
Use DHCP to
obtain Virtual IP
for this connection
Benutzername und Passwort cachen;
verwendete Einstellung: Never
Grund für Einstellung: Tests mit Zertifikaten
DHCP verwenden oder nicht;
verwendete Einstellung SafeNet: Disabled
verwendete Einstellung restliche Clients: Enabled
Grund für Einstellung SafeNet: siehe 10. Aufgetretene
Probleme
Grund für Einstellung restliche Clients: IP-Adresse über
DHCP beziehen
Tabelle 8 - Client
19.02.2004
Seite 19 von 48
Projektarbeit
7.4 DHCP Konfiguration
Die serverseitigen DHCP Einstellungen werden unter Network>DHCP Server>
Configure… vorgenommen. Die DHCP Einstellungen müssen für das WLAN sowie
LAN Interface definiert werden.
Abbildung X - DHCP
Range Start
Range End
Gateway
Preferences
IP Adressraum Start;
verwendete Einstellung WLAN: 10.10.10.2
verwendete Einstellung LAN: 192.168.168.200
Grund für Einstellung: Definierter Adressraum
IP Adressraum Ende;
Grund für Einstellung: Definierter Adressraum
Gateway Einstellungen;
Grund für Einstellung: LAN / WLAN Portadressen der
Sonicwall
Tabelle 9 - DHCP
7.5 LOG Einstellungen
Um gut mit dem Logviewer arbeiten zu können, wird empfohlen die
Logeinstellungen unter Log>Categories anzupassen. Bei den Tests wurden Log
all Categories und Alert all Categories verwendet. Diese Einstellungen sind sehr
hilfreich wenn es darum geht, Fehler bei einem Verbindungungsaufbau zu
interpretieren.
19.02.2004
Seite 20 von 48
Projektarbeit
8. WLAN Interoperabilitätsanleitung und - test
8.1 Allgemein
Eine WLAN VPN Verbindung wurde mit dem Sonicwall Global VPN Client, dem
SSH Sentinel VPN Client und dem SafeNet/SoftRemote VPN Client aufgebaut.
Bei
dem
Sonicwall
Global
VPN
Client
ist
das
Testszenario
detailliert
aufgezeichnet. Die beiden anderen VPN Client Verbindungen sind gleichermassen
getestet worden, jedoch sind dort alternative Testszenarien dokumentiert. Zu
beachten ist, dass bevor ein neuer VPN Client installiert wird, der alte Client
vollständig deinstalliert und das System neu gestartet werden muss.
8.2 WLAN VPN Verbindung mit Sonicwall Global VPN Client
8.2.1 Konfiguration Sonicwall Global VPN Client
Abbildung XI – Sonicwall Client zeigt die Konfiguration des verwendeten Sonicwall
Global VPN Clients.
Abbildung XI - Sonicwall Client
IP-Adress or
Domain Name
Connection Name
Security Gateway;
Grund für Einstellung: Sonicwall WLAN Portadresse
Name der Verbindung;
verwendete Einstellung: userwlan connection
Grund für Einstellung: klarheitshalber
Tabelle 10 - Sonicwall Client
19.02.2004
Seite 21 von 48
Projektarbeit
Das ZHW Root CA und das Client (vpn_client2_cert.p12) Zertifikat können
entweder direkt im Sonicwall Certificate Manager oder beim Aufbau der ersten
VPN Verbindung importiert werden. Für letztere Möglichkeit soll die neue
Verbindung
aktiviert werden. Dabei springt ein Fenster auf, welches das
benötigte Zertifikat verlangt.
Abbildung XII - Sonicwall Zertifikat
8.2.2 Testresultat
Eine VPN Verbindung kann erfolgreich hergestellt werden. Auf Seiten des
Sonicwall Clients wird die Verbindung mit einem grünen Hacken
als
aktiv gekennzeichnet. Auf Seiten der Sonicwallapplikation wird die aktive
Verbindung im Menu VPN mit einem grünen Kreis markiert.
Abbildung XIII - Sonicwall Verbindung
Der Aktive VPN Tunnel erscheint in der Sonicwallapplikation.
Abbildung XIV - Sonicwall Tunnel
19.02.2004
Seite 22 von 48
Projektarbeit
Die Verbindung wird im Logviewer der Sonicwallapplikation bestätigt.
Abbildung XV - Sonicwall Logfile SOHO
Die Verbindung wird im Logviewer des Sonicwall Global VPN Clients bestätigt.
Abbildung XVI - Sonicwall Logfile Client
Um den VPN Tunnel zu testen, kann vom Client aus der Ordner „shared“ der
Station DSKT 6807 „gemountet“ werden.
Abbildung XVII - Sonicwall shared
19.02.2004
Seite 23 von 48
Projektarbeit
8.3 WLAN VPN Verbindung mit SSH Sentinel VPN Client
8.3.1 Konfiguration SSH Sentinel VPN Client
Abbildung XVIII – Sentinel Client zeigt die Konfiguration des verwendeten SSH
Sentinel VPN Clients. Dabei ist darauf zu achten, dass die Checkbox „Acquire
virtual IP address“ nicht angewählt ist. Die Einstellungen unter Advanced können
defaultmässig übernommen werden.
Abbildung XVIII - Sentinel Client
Security Gateway
Remote Network
Authentification
key
Acquire virtual IPaddress
Extended
19.02.2004
Security Gateway;
Entferntes Netzwerk;
verwendete Einstellung: any (0.0.0.0)
Grund für Einstellung: gesamtes Netz muss getunnelt
werden.
ID Filter;
verwendete Einstellung: vpnclient2.zhwin.ch
Virtuelle IP-Adresse erwerben;
Grund für Einstellung: siehe 10. Aufgetretene Probleme
Authentifikation via XAUTH usw.;
Seite 24 von 48
Projektarbeit
authentification
Grund für Einstellung: Authentifizierung via Zertifikat
Tabelle 11 - Sentinel Client
Des Weiteren muss im Sentinel Key Management unter Trusted Certificates das
ZHW
Root
CA
Zertifikat
und
unter
MyKeys>host
key
das
Client
(vpn_client2_cert.p12) Zertifikat importiert werden (rechte Masutaste, Add…,
import). Das von Sentinel erzeugte Zertifikat kann gelöscht werden.
Abbildung XIX - Sentinel Zertifikat
8.3.2 Testresultat
Eine VPN Verbindung kann erfolgreich hergestellt werden.
Der aktive Tunnel wird in der Sonicwallapplikation sowie im Statistics
Fenster des SSH Sentinel VPN Clients
angezeigt.
Im Logviewer der Sonicwallapplikation sowie des SSH Sentinel VPN Clients
werden die Phasen 1 und 2 bestätigt.
19.02.2004
Das mounten des Verzeichnisses „shared“ funktioniert.
Seite 25 von 48
Projektarbeit
Um die Verbindung zu testen wird ein ping an die Station DSKT 6807 gesendet.
Dabei kann die Netzwerkaktivität mit Etheral verfolgt werden.
Abbildung XX - Sentinel Ethereal Log
19.02.2004
Seite 26 von 48
Projektarbeit
8.4 WLAN VPN Verbindung mit SafeNet/SoftRemot VPN Client
8.4.1 Konfiguration SafeNet/SoftRemote VPN Client
Die
folgenden
zwei
Bilder
zeigen
die
Konfiguration
des
verwendeten
SafeNet/SoftRemote VPN Clients. Des Weiteren muss im SafeNet Certificate
Manager unter My Certificates das Client (vpn_client2_cert.p12) Zertifikat und
unter Root CA Certificates das ZHW Root CA Zertifikat importiert werden. Wichtig
bei einer Verbindung mit SafeNet ist, dass in der Sonicwallapplikation unter
VPN>Settings>Client die Checkbox „Use DHCP to optain virtual IP for this
Connection“ nicht angewählt ist (siehe 10. Aufgetretene Probleme).
Abbildung XXI - SafeNet Client – New Connection
ID Type
Subnet
Mask
Connect using
ID Typ
19.02.2004
ID Typ;
verwendete Einstellung: IP Subnet
werden
Subnetz;
werden.
Subnetzmaske;
werden
Zu verwendende Verbindung;
verwendete Einstellung: enabled | Secure Gateway Tunnel
Grund für Einstellung: Tunnelmodus
ID Typ und zu verwendender Gateway;
verwendete Einstellung: any | Gateway IP Adr. | 10.10.10.1
Tabelle 12 - SafeNet Client 1
Seite 27 von 48
Projektarbeit
Abbildung XXII - SafeNet Client – My Identity
Select Certificate
ID Type
Internet Interface
Zertifikat wählen;
verwendete Einstellung: vpnclient2.zhwin.ch’s ZHW TKI ID
ID Typ;
verwendete Einstellung: Domain Name
Grund für Einstellung: Klarheitshalber
zu verwendendes Interface;
verwendete Einstellung: Sonicwall Long Range Wireless
Card | 10.10.10.2
Grund für Einstellung: IP-Adresse Notebook
Tabelle 13 - SafeNet Client 2
Unter Security Policy soll Main Mode und Enable Perfect Forward Secrecy (PFS)
angewählt werden. Als PFS Key soll DH Group 2 verwendet werden. Die
Einstellungen für die Proposals der Phasen 1 und 2 können defaultmässig
übernommen werden.
19.02.2004
Seite 28 von 48
Projektarbeit
8.4.2 Testresultat
Der aktive Tunnel wird in der Sonicwallapplikation angezeigt. Auf Seiten
des SafeNet/SoftRemote VPN Clients erscheint ein Pop-Up Fenster mit der
Bestätigung der Verbindung.
Im Logviewer der Sonicwallapplikation sowie des SafeNet/SoftRemote VPN
Clients werden die Phasen 1 und 2 bestätigt.
Das mounten des Verzeichnisses „shared“ funktioniert.
Um die Verbindung zu testen wird ein ping an die Station DSKT 6807 gesendet.
Dabei kann die Tunnel Statistik bei der Sonicwallapplikation unter VPN>Settings
eingesehen werden.
Abbildung XXIII - SafeNet Statistik
19.02.2004
Seite 29 von 48
Projektarbeit
9. Remote access Interoperabilitätsanleitung und – test
9.1 Allgemein
Eine Remote VPN Verbindung wurde mit dem Sonicwall Global VPN Client, dem
Cisco VPN Client und dem FreeS/Wan VPN Client aufgebaut. Für den Letzteren
musste ein Linux Betriebssystem aufgesetzt werden. Beim Sonicwall Global VPN
Client ist das Testszenario detailliert aufgezeichnet. Die beiden anderen VPN
Client Verbindungen sind gleichermassen getestet worden, jedoch sind dort
alternative Testszenarien dokumentiert. Zu beachten ist, dass bevor ein neuer
VPN Client installiert wird, der alte Client vollständig deinstalliert und das System
neu gestartet werden muss. Zusätzlich muss in der Sonicwallapplikation der
Domain Name des Zertifikates geändert werden (gemäss 7.3.1 General, Peer ID
Filter).
9.2 Remote VPN Verbindung mit Sonicwall Global VPN Client
9.2.1 Konfiguration Sonicwall Global VPN Client
Abbildung XXIV – Sonicwall Client zeigt die Konfiguration des verwendeten
Sonicwall Global VPN Clients. Das Einrichten des Clients erfolgt analog 8.2.1
Konfiguration Sonicwall Global VPN Client.
Abbildung XXIV - Sonicwall Client
19.02.2004
Seite 30 von 48
Projektarbeit
IP-Address or DNS
Name
WAN Portadresse;
Grund für Einstellung: Sonicwall WAN Portadresse
Tabelle 14 - Sonicwall Client
Im Sonicwall Client Certificate Manager muss unter User Certificates das Client
(vpn_client3_cert.p12) Zertifikat und unter CA Certificates das ZHW Root CA
Zertifikat importiert werden.
Abbildung XXV - Sonicwall Zertifikat
9.2.2 Testresultat
Eine VPN Verbindung kann erfolgreich hergestellt werden. Auf Seiten des
Sonicwall Global VPN Clients wird die Verbindung mit einem grünen Hacken
als aktiv gekennzeichnet, auf Seiten der Sonicwallapplikation mit
einem grünen Kreis.
Abbildung XXVI - Sonicwall Verbindung
Der Aktive VPN Tunnel erscheint in der Sonicwallapplikation.
Abbildung XXVII - Sonicwall Tunnel
Die Verbindung wird im Logviewer der Sonicwallapplikation bestätigt.
19.02.2004
Seite 31 von 48
Projektarbeit
Abbildung XXVIII - Sonicwall Logfile SOHO
Die Verbindung wird im Logviewer des Sonicwall Global VPN Clients bestätigt.
Abbildung XXIX - Sonicwall Logfile Client
Um den VPN Tunnel zu testen, kann vom Client aus der Ordner „shared“ der
Station DSKT 6807 „gemountet“ werden.
Abbildung XXX - Sonicwall shared
19.02.2004
Seite 32 von 48
Projektarbeit
9.3 Remote VPN Verbindung mit Cisco VPN Client
9.3.1 Konfiguration Cisco VPN Client
Abbildung XXXI – Cisco Client zeigt die Konfiguration des verwendeten Cisco
VPN Clients. Die Einstellungen unter „Transport“, „Backup Servers“ und „Dial-Up“
können defaultmässig übernommen werden.
Abbildung XXXI - Cisco Client
Connection Entry
Description
Host
Certificate
Authentification
Verbindungsname;
verwendete Einstellung: vpn
Bezeichnung;
verwendete Einstellung: vpn
WAN Portadresse;
Authentifizierung;
verwendete Einstellung: vpnclient3.zhwin.ch (Microsoft)
Tabelle 15 - Cisco Client
19.02.2004
Seite 33 von 48
Projektarbeit
Im Cisco Client muss unter Certificates das Client (vpn_client3_cert.p12) Zertifikat
und unter CA Certificates das ZHW Root CA Zertifikat importiert werden.
Abbildung XXXII - Cisco Zertifikat
9.3.2 Testresultat
Eine VPN Verbindung kann nicht hergestellt werden. Das Problem ist, dass der
Cisco Client nicht den IPsec RFCs entspricht bzw. die Länge des Datenpaketes
entspricht nicht der Norm. Der Cisco Client fügt zwei zusätzliche Leerbytes am
Ende des gesendeten Paketes ein. Dieses Problem wurde von Herrn Steffen in
einer
Mailinglist
unter
http://lists.freeswan.ca/pipermail/sfs-users/2003-
August/005127.html diskutiert und kann dort eingesehen werden.
Abbildung XXXIII – Cisco Ethereal zeigt einen Auszug aus dem Ethereal Logfile.
Gut zu sehen sind die Längenunterschiede der Pakete. Im Logviewer der
Sonicwallapplikation werden keine Meldungen angezeigt. Somit ist anzunehmen,
dass diese die Anfrage nicht als VPN Tunnelanfrage erkennt und blockt.
Abbildung XXXIII - Cisco Ethereal
19.02.2004
Seite 34 von 48
Projektarbeit
9.4 Remote VPN Verbindung mit FreeS/WAN VPN Client
Damit FreeS/WAN benutzt werden kann, muss zuerst eine Linuxversion
aufgesetzt werden. Weiter muss im YaST2 unter „Software installieren“ nach
„freeswan“ gesucht werden und die benötigten Komponenten installiert werden.
9.4.1 Konfiguration FreeS/WAN Client
Um mit dem FreeS/WAN VPN Client eine Verbindung herzustellen, muss die Datei
„etc/ipsec.conf“ gemäss Abbildung XXXIV geändert werden. Die Zertifikate werden
analog
der
Anleitung
von
Herrn
Steffen
(http://www-
t.zhwin.ch/ki/snk/labs/SNK_Lab_5.pdf) importiert.
Abbildung XXXIV - FreeS/WAN ipsec
19.02.2004
Seite 35 von 48
Projektarbeit
leftcert
leftid
right
rightid
rightsubnet
Client Zertifikat;
verwendete Einstellung: certs/vpn_client3_cert.pem
Grund für Einstellung: Zertifikatspfad
Client ID;
verwendete Einstellung: vpnclient3.zhwin.ch
WAN Portadresse;
Sonicwall ID;
verwendete Einstellung: sonicwall.zhwin.ch
Subnetz;
verwendete Einstellung: 192.168.168.0/24
Grund für Einstellung: Subnetz der Sonicwall
Tabelle 16 - FreeS/WAN
Eine VPN Verbindung kann per Konsole mittels dem Kommando „ipsec setup
start“ gestartet und mit „ipsec setup stop" gestoppt werden.
9.4.2 Testresultat
Der aktive Tunnel wird in der Sonicwallapplikation angezeigt.
Im Logviewer der Sonicwallapplikation sowie im Status bzw. Logfile des
FreeS/WAN VPN Clients (geschieht wieder über die Konsole mittels „tail -f
/var/log/warn“ bzw. „ipsec auto –status“) werden die Phasen 1 und 2
bestätigt.
Das Status bzw. Logfile des FreeS/WAN Clients sieht nach erfolgreichem Aufbau
einer Verbindung etwa wie folgt aus:
Abbildung XXXV - FreeS/WAN status
19.02.2004
Seite 36 von 48
Projektarbeit
Abbildung XXXVI - FreeS/WAN log
19.02.2004
Seite 37 von 48
Projektarbeit
10. Aufgetretene Probleme
Die folgende Tabelle fasst die Probleme, welche uns bei der Projektarbeit
begegneten, zusammen. Sie sind ausführlich in den folgenden Unterkapiteln
beschrieben.
Betrifft
10.1 Allgemein
10.2.1 Sonicwall Client
10.2.2 Sentinel Client
10.2.3
10.3.1
10.3.2
10.3.3
SafeNet Client
Sonicwall Client
Cisco Client
FreeS/WAN
Problem
¬ Tunnelaufbau via Remote bzw. WLAN fehlgeschlagen
¬ Logindaten von www.mysonicwall.com nicht erhalten
¬ Tunnelaufbau mit Zertifikaten fehlgeschlagen
¬ Installation fehlgeschlagen
¬ Sonicwall SOHO TZW „hängt sich auf“
¬ Tunnelaufbau fehlgeschlagen
¬ keine Probleme
Tabelle 17 - Probleme
10.1 Allgemein
Problem: Tunnelaufbau via Remote bzw. WLAN fehlgeschlagen
Es gelang uns zu Beginn der Arbeit nicht, einen Tunnel via Remote bzw. WLAN
aufzubauen.
Lösung
Über Herr Steffen haben wir von Herrn Bamert erfahren, dass ein Tunnelaufbau
via Remote nur dann funktioniert, wenn die Sonicwall registriert ist. Die
Registrierung unserer Box hat via Internet anscheinend nicht geklappt. Somit
musste Herr Bamert die Sonicwall neu registrieren.
Weiter wird für den Tunnelaufbau via Remote sowie via WLAN die aktuelle
Sonicwall Firmware benötigt. Um die neue Firmware herunterzuladen muss
man sich auf www.mysonicwall.com registrieren lassen.
Problem: Logindaten von www.mysonicwall.com nicht erhalten
Um die neuste Sonicwall Firmware sowie die neusten Clients Updates
herunterladen zu können, muss man sich auf www.mysonicall.com registrieren
lassen. Dabei erhält man per Mail den Benutzernamen und das Passwort.
Diese Daten haben wir nicht erhalten.
Lösung
Es gelang uns über „Forgot Password“ ein neues Kennwort erstellen zulassen,
welches wir dann per Mail auch erhielten.
19.02.2004
Seite 38 von 48
Projektarbeit
Bemerkungen
Nach der neuen Registrierung der Sonicwall und dem Update der Firmware
haben wir die Basis geschaffen, um eine Tunnelverbindung via Remote bzw.
WLAN mittels Zertifikaten aufzubauen.
10.2 WLAN Clients
10.2.1 Sonicwall Global VPN Client
Problem: Tunnelaufbau mit Zertifikaten fehlgeschlagen
Als wir einen Tunnel mittels Zertifikaten aufbauen wollten, lehnte die Sonicwall
SOHO TZW diese Verbindungsart ab und verlangte einen Preshared Key.
Lösung
Dieses Phänomen machte sich lediglich in der Phase vor dem Update der
Sonicwall Firmware bemerkbar.
Bemerkungen
Eine Verbindung mittels Zertifikaten funktionierte einwandfrei. Es sollte jedoch
trotzdem auch das neue Update für den Sonicwall Global VPN Client auf
www.mysonicwall.com heruntergeladen werden.
10.2.2 SSH Sentinel VPN Client
Problem: Installation fehlgeschlagen
Nach der Installation des SSH Sentinel VPN Client konnten wir die neu erstellte
Verbindung nicht anwählen.
Lösung
Da wir nach der Deinstallation des Sonicwall Global VPN Clients keinen
Neustart gemacht haben, wurde die Sentinel Software fehlerhaft oder nicht
vollständig installiert. Somit mussten wir den SSH Sentinel VPN Client
deinstallieren, das Notebook rebooten und den Client von neuem installieren.
Problem: Sonicwall SOHO TZW „hängt sich auf“
Als wir einen Tunnel aufbauen wollten, hat sich die Sonicwall SOHO TZW
ständig aufgehängt.
19.02.2004
Seite 39 von 48
Projektarbeit
Lösung
Wir haben in der Konfiguration des SSH Sentinel VPN Clients die Option
„Acquire Virtual IP address“ angewählt gehabt. Dies hat die Sonicwall
anscheinend nicht vertragen. Dies scheint ein Bug zu sein.
Problem: Tunnelaufbau fehlgeschlagen
Als wir einen neuen Versuch starteten, einen Tunnel aufzubauen, gelang dies
uns abermals nicht. Im Sentinel sowie im Sonicwall Logfile kam die
Fehlermeldung „No Proposals chosen“.
Lösung
Als Remote Network haben wir das Zielnetzwerk angegeben. Bei einer
Tunnelverbindung via WLAN muss jedoch das ganze Netz getunnelt werden.
Bemerkungen
Das Reeboten nach einer VPN Client – Deinstallation bzw. vor einer VPN Client
- Installation gilt für alle Clients und muss zwingend durchgeführt werden.
Zudem muss bei allen WLAN Clients das ganze Netz getunnelt werden.
10.2.3 SafeNet/SoftRemote VPN Client
Als wir einen Tunnel aufbauen wollten, gelang uns dies nicht auf Anhieb. Im
SafeNet sowie im Sonicwall Logfile erschien, wie bereits beim SHH Sentinel
VPN Client, die Meldung „ No Proposal chosen“.
Lösung
Es waren zwei Probleme welche uns an einem Tunnelaufbau hinderten. Zum
einen versteht der SafeNet/SoftRemote VPN Client kein DHCP. Somit muss in
der Sonicwallapplikation unter VPN>Settings>Client die Checkbox „Use DHCP
to optain virtual IP fort his connection“ disabled sein. Zum anderen hatten wir auf
Seiten des SafeNet/SoftRemote VPN Clients PFS disabled und auf Seiten der
Sonicwall enabled.
Bemerkungen
- keine
19.02.2004
Seite 40 von 48
Projektarbeit
10.3 Remote Clients
10.3.1 Sonicwall Global VPN Client
Problem: keine Probleme
10.3.2 Cisco VPN Client
Wir bereits unter 9.3.2 Testresultat erwähnt, gelang es uns nicht einen VPN
Tunnel aufzubauen.
10.3.3 FreeS/WAN VPN Client
Als wir einen Tunnel aufbauen wollten, gelang uns dies nicht auf Anhieb.
Lösung
In der Datei „etc/ipsec.conf“, mussten wir die Verbindung definieren. Dabei
haben wir ein kleines Durcheinander mit den „left“ und „right“ Einstellungen
gemacht.
Bemerkungen
Als Eselsbrücke haben wir folgendes mit auf den Weg bekommen:
Right remote
Left local
19.02.2004
Seite 41 von 48
Projektarbeit
11. Projektmanagement
11.1 Probleme
Das Hauptproblem, welches uns im Zeitplan weit zurückwarf, war die Tatsache,
dass bis zu den Weihnachtsferien so gut wie nichts funktionierte. Zu diesem
Zeitpunkt wussten wir nicht, dass die Sonicwall registriert sein musste um einen
Remote Tunnel aufbauen zu können. Zudem waren wir nicht im Besitz der
neusten Sonicwall Firmware sowie den Client Updates. Unter diesen Umständen
war es gar nicht möglich die einzelnen VPN Clients vollständig zu testen. Diese
Probleme wurden am 6. Januar gelöst. Unser Betreuer Herr Steffen machte ein
Treffen mit Herrn Bamert von der Sonicwall Schweiz möglich (6. Januar 04).
Ab diesem Zeitpunkt kamen wir gut mit den Tests der einzelnen Clients voran und
hatten nur noch kleinere Probleme zu bewältigen. Diese Probleme wurden jeweils
zusammen mit Herrn Steffen angeschaut und erfolgreich gelöst.
11.2 Zeitplanung
Durch die oben beschriebenen Probleme konnte der Zeitplan bis zu den
Weihnachten bzw, 6. Januar nicht eingehalten werden. Nach dem Treffen mit
Herrn Bamert sind wir mit Herrn Steffen zusammen gesessen und haben einen
neuen Zeitplan für den Rest der Projektarbeit definiert. Die Ziele wurden nun
gegenüber
dem
ursprünglichen
Zeitplan
leicht
angepasst.
Durch
die
Reorganisation haben wir die Arbeiten neu eingeteilt. Ab diesem Zeitpunkt
konnten die neu gesetzten Termine fristgerecht eingehalten werden. Unter 11.3
Zeitplan ist der Soll-Zeitplan dem Ist-Zeitplan gegenübergestellt. Darauf ist die
Verzögerung während der ersten Phase gut zu sehen. Weiter haben wir uns
entschieden den FreeS/WAN als letzten Client zu testen. Der Grund dafür ist,
dass zuerst eine entsprechende Linuxversion installiert werden musste. Zudem
wollten wir einen Grossteil der Dokumentation vorgängig schreiben.
19.02.2004
Seite 42 von 48
Projektarbeit
11.3 Zeitplan
Abbildung XXXVII – Zeitplan
19.02.2004
Seite 43 von 48
Projektarbeit
11.4 Sitzungen
Wir trafen uns in der Regel einmal pro Woche mit Herrn Steffen um Probleme und
das weitere Vorgehen zu besprechen.
18. November 03
Ausgabe der PA im E509
27. November 03
Besprechung
Konfiguration der Sonicwall
04. Dezember 03
Besprechung
Zertifikatsproblem mit Sonicwall WLAN Client
11. Dezember 03
Besprechung
Verbindungsproblem mit Sonicwall Remote Client
18. Dezember 03
Besprechung
Verbindungsproblem mit Sonicwall Remote Client
Verbindungsproblem mit Sentinel WLAN Client
23. Dezember 03
Standortbestimmung
Treffen mit Herrn Bamert organisieren
06. Januar 04
Treffen mit Herrn Bamert
Verbindung mit Sonicwall Remote Client
Verbindung mit Sentinel WLAN Client
15. Januar 04
Besprechung
Besprechung Dokumentation
29. Januar 04
Besprechung
Verbindungsproblem mit Cisco Remote Client
12. Februar 04
Besprechung
Zertifikatsproblem mit FreeS/WAN
Dokumentation
20. Februar 04
Abgabe der Arbeit
Tabelle 18 - Sitzungen
19.02.2004
Seite 44 von 48
Projektarbeit
12. Persönliche Erkenntnisse
Diese Projektarbeit war wohl eine der lehrreichsten Arbeiten seit wir an der ZHW
studieren. Als wir die Arbeit in Angriff nahmen, haben wir uns vorgenommen,
einen Grossteil der VPN Clients bis zu den Weihnachtsferien zu testen. Mit dieser
Planung wollten wir uns ein wenig Luft verschaffen, was die Monate Januar und
Februar anbelangt. Diese waren mit relativ vielen Prüfungen und Abgaben anderer
Arbeiten gespickt. Leider konnten wir bis zu den Weihnachtsferien bzw. bis zum 6.
Januar so gut wie nichts realisieren und unseren Terminen auf keine Weise
gerecht werden. Da wir nie ans Aufgeben gedacht haben, konnten wir uns immer
wieder aufs Neue motivieren. Dies und die gute Unterstützung unseres Betreuers
Herr Steffen haben es uns erlaubt die gesteckten Ziele zu erreichen. Herr Steffen
nahm sich jede Woche Zeit und half uns die diversen Probleme zu lösen.
Während diesen Sitzungen konnten wir eine Menge mit auf den Weg für die
Zukunft nehmen. Zusätzlich waren die Besprechungen sehr hilfreich für die Tests
der weiteren Clients.
Eine sehr wichtige Erfahrung für die nächste Projektarbeit bzw. Diplomarbeit war
sicherlich die Startphase unseres Projektes. Wir haben gelernt, dass ein Projekt
nicht scheitern muss, auch wenn zu Beginn der Arbeit wenig funktioniert. Wir
möchten uns an dieser Stelle bei Herrn Steffen für die sehr gute Unterstützung
bedanken, welche wir während der Projektdauer von Ihm erhalten haben. Ohne
seine Hilfe hätten wir sehr viel mehr Zeit in die Problemlösungen investieren
müssen.
Alles in allem sind wir zufrieden mit unserer Arbeit. Wir konnten trotz der
„verlorenen“ Zeit die einzelnen VPN Clients testen und dokumentieren.
19.02.2004
Seite 45 von 48
Projektarbeit
13. Fazit über die Sonicwall SOHO TZW
Zu Beginn der Projektarbeit waren wir nicht sehr überzeugt von der Sonicwall
SOHO TZW. Nachdem wir jedoch im Besitz der neuen Sonicwall Firmware waren,
konnten wir uns mehr und mehr für die Sonicwall begeistern. Die Sonicwall SOHO
TZW mit ihren Möglichkeiten, wie uns kein zweites Gerät auf dem Markt bekannt
ist, darf als kleines Multitalent bezeichnet werden. Bietet sie doch eine Firewall,
eine sichere VPN-, sowie WLAN-Lösung in einem Gerät an. Zusätzlich können
über die zur Verfügung stehenden WAN- und LAN Ports VPN - Verbindungen von
extern (z.B. Internet) auf dahinter liegende Netzwerke aufgebaut werden. Die
Einstellungsmöglichkeiten von Seiten der Sonicwall SOHO TZW sowie von Seiten
des Global VPN Clients sind sehr zufrieden stellend. Die Verwaltung der
Hardwareeinstellungen, welche via Webbrowser geschieht, ist ebenfalls sehr
benutzerfreundlich.
Die
Konfiguration
des
Firmeneigenen
VPN
Clients
ist
sehr
einfach.
Dementsprechend verläuft der Tunnelaufbau via WLAN sowie Remote ohne
Probleme. Die Interoperabilität zu nicht Firmeneigenen Clients ist gewährleistet.
Jedoch bedarf es bei der Konfiguration der von uns getesteten Clients einiges an
Vorwissen über das Verhalten des jeweiligen Clients. Ist dieses Wissen
vorhanden, können VPN Verbindungen unkompliziert realisiert werden.
Die einzigen Schwachpunkte, die das Gerät aus unserer Sicht aufweist sind die
folgenden:
Die zu Beginn installierte Firmware, sowie die alte Version des Global VPN
Clients, hatten einige Bugs oder funktionierten beim Gebrauch von Zertifikaten
leider nicht einwandfrei. Nach den Updates auf die neusten Versionen waren
die Fehler behoben und die Sonicwall SOHO TZW konnte für unsere Zwecke
einwandfrei benutzt werden.
Die zur Verfügung gestellten Manuals weisen unserer Ansicht nach Lücken
auf, was den Verbindungsaufbau mittels Zertifikaten angeht.
Abschliessend möchten wir uns für den sehr guten Support der Firma Sonicwall
bedanken. Herr Bamert hat sich einen vollen Nachmittag reserviert um uns bei
unseren Problemen zu helfen. Dies haben wir sehr geschätzt.
19.02.2004
Seite 46 von 48
Projektarbeit
14. Anhang
A Verwendete Versionen
Windows:
Version Microsoft Windows XP Professional
Linux:
Version SuSe Linux v9.0
Sonicwall Firmware:
Version SonicOS Standard 1.0.0.0 (bis 05.01.04)
Version SonicOS Standard 2.0.0.0 (ab 05.01.04)
Testversion SonicOS Standard 2.0.0.0
Sonicwall Global VPN Client: Version 1.0.0.1 (bis 05.01.04)
Version 2.0.0.0 (ab 05.01.04)
Testversion Version 2.0.0.0
SSH Sentinel:
Version 1.4.0.137
SafeNet SoftRemote:
Version 10.0.0 ( Built 10 )
Ethereal
Version 3.0
B Abkürzungsverzeichnis
3DES
AH
CA
DH
DHCP
DNS
ESP
IKE
IPSec
L2TP
LAN
PFS
PPTP
RFC
SA
TCP/IP
UDP
VPN
WAN
WLAN
XAUTH
Triple Data Encryption Standard
Authentication Header
Certificate Authority
Diffie-Hellman
Dynamic Host Configuration Protocol
"Domain Name Service", "-Server" oder "-System"
Encapsulating Security Payload
Internet Key Exchange
Internet Protocol Security
Layer 2 Transport Protocol
Local Area Network
Perfect Forward Secrecy
Point-to-Point Tunneling Protocol
Request for Comments
Security Associations
Transmission Control Protocol over Internet Protocol
Users Datagram Protocol
Virtual Private Network
Wide Area Network
Wireless Local Area Network
Extended Authentication Method
Tabelle 19 - Abkürzungsverzeichnis
19.02.2004
Seite 47 von 48
Projektarbeit
C Quellenverzeichnis
http://www.sonicwall.com
Herstellerseite, Supportinformationen
http://www-t.zhwin.ch/ki/snk
Abbildung I - Verbindungsaufbau
diverse Unterlagen und Hilfestellungen zum Thema VPN und IPSec,
insbesondere was den FreeS/WAN VPN Client anbelangt
http://www.siemens.de/soloutionprovider/_online_lexikon/index.html
Erklärungen zu einzelnen Fachbegriffen, Hilfe bei dem erstellen der
Beschreibung des Verbindungsaufbaues
http://www.cisco.com
Herstellerseite, Cisco VPN Client
http://www.safenet-inc.com
Herstellerseite, SafeNet/SoftRemote VPN Client
http://www.ssh.com
Herstellerseite, SSH Sentinel VPN Client
http://www.freeswan.ca
Entwicklungsprojektseite, FreeS/WAN
http://www.ethereal.com/
Herstellerseite, Ethereal
http://www.techfak.uni-bielefeld.de/~walter/vpn/index.html
Informationen über IPSec
http://home.t-online.de/home/TschiTschi/vpn.htm
Informationen über IPSec
http://www.net.informatik.tumuenchen.de/teaching/WS02/security/securityUeb/07ausarbeit.pdf
Information über IPSec
http://www.uni-konstanz.de/RZ/wlan/ipsec/weitergehend.php
RFC Referenzen
19.02.2004
Seite 48 von 48

Projektarbeit WLAN Router mit VPN Unterstützung

Transcription

Similar documents

Virtual Private Networks auf IPsec-Basis

Fuck Punkrock – this is Turbospeed

Die BUCHSTAVIER - Das Dosierte Leben

Handout zu VPN

OpenScape Fault Management V8

Handling der Transaction Log-Files im MS SQL Server

OpenScape Fault Management V9