Test sul Cisco VPN Concentrator - PowerPoint PPT Presentation

1 / 24
About This Presentation
Title:

Test sul Cisco VPN Concentrator

Description:

Test sul Cisco VPN Concentrator Netgroup Gruppo di lavoro sulle VPN Cisco VPN Concentrator series modello 3005: 100 connessioni, 4 Mb/s, software encryption, 32 MB ... – PowerPoint PPT presentation

Number of Views:148
Avg rating:3.0/5.0
Slides: 25
Provided by: XXFirst7
Category:
Tags: vpn | cisco | concentrator | sul | test

less

Transcript and Presenter's Notes

Title: Test sul Cisco VPN Concentrator


1
Test sul Cisco VPN Concentrator
  • Netgroup
  • Gruppo di lavoro sulle VPN

2
Cisco VPN Concentrator series
  • modello 3005 100 connessioni, 4 Mb/s, software
    encryption, 32 MB RAM
  • modello 3015 idem, 64 MB RAM, upgradable ai
    modelli successivi
  • modello 3030 1500 connessioni, 50 Mb/s, hardware
    encr., 128 MB RAM
  • modello 3060 5000 connessioni, 100 Mb/s, hw
    encr., 256 MB RAM
  • modello 3080 10000 connessioni, 100 Mb/s, hw
    encr., 256 MB RAM

3
Principali funzionalità
  • Capacità di stabilire VPN LAN-to-LAN e
    Client-to-LAN.
  • Protocolli supportati PPTP, L2TP/IPSEC, IPSEC,
    IPSEC/TCP ed IPSEC/UDP, ampia configurabilità dei
    meccanismi di criptazione.
  • Autenticazione tramite database locale, Radius,
    NT-Domain (e W2K-Domain con AD), tramite
    certificati, ed altro.
  • Management via seriale, http, https, ssh, telnet,
    etc.
  • Client (IPSEC) per W, Linux, MacOsX, SunOS
  • Possiblilità di definire filtri sulle interfacce
    ethernet

4
Caratteristiche degli oggetti in prova
  • Cisco VPN Concentrator 3005
  • Cisco VPN Concentrator software V 3.5
  • Cisco VPN Client Sofware V 3.7.2
  • http//www.cisco.com/cgibin/tablebuild.pl/vpnclien
    t-3des

5
Layout canonico
6
Layout di test
7
Meccanismi di autenticazione (protocollo IPSEC)
  • Autenticazione basata su username e gruppi
  • Sul server vanno definiti i gruppi e le password
    di gruppo
  • Ogni gruppo definisce il meccanismo di
    autenticazione ed il server di autenticazione da
    utilizzare
  • Il client deve avere configurato il gruppo da
    utilizzare con la corretta password

8
Layout di test (con autenticazioni)
9
Autenticazione su DB locale
  • Vanno creati uno o piu gruppi sul VPN server, e
    definita la password di gruppo
  • Per ogni gruppo vanno definiti utenti (sempre sul
    server), con password
  • Il client deve essere configurato per utilizzare
    uno di questi gruppi, e la sua password
  • Allatto di stabilire la connessione il client
    chiede username e password
  • Tutto funziona correttamente

10
Autenticazione su W2K
  • Si deve definire sul server un gruppo che
    autentichi con meccanismo NT-Domain e va
    specificato il server di autenticazione
  • Non devono essere creati utenti in questo gruppo
    nel DB locale
  • Il client chiede username, password ed
    opzionalmente domain name
  • Il VPN server chiede lautenticazione al W2K
    server
  • Lautenticazione funziona correttamente sia verso
    W2K server senza AD, sia su W2K domain server con
    active directory

11
Autenticazione verso Radius
  • Si deve creare un gruppo sul VPN server,
    specificando Radius come meccanismo di
    autenticazione, definendo il nome del Radius
    server, e specificando la chiave del Radius
    server
  • Non vanno definiti utenti in quel gruppo
  • E stato installato un Radius server
    (freeradius.0.8.1) su un PC linux RedHat 7.3,
    client nel dominio NIS di sezione e AFS client
    nella cella infn.it (kerberos 4)

12
Autenticazione verso Radius (cont.)
  • Il Radius server va configurato per accettare
    come client il VPN server, specificando la stessa
    chiave (usata per criptare la comunicazione)
  • E stato configurato il Radius server per
    utilizzare PAM, e via PAM per autenticare via NIS
    o via AFS
  • Lautenticazione funziona specificando, allatto
    della connessione, sia utenti NIS che utenti AFS
    della cella infn.it

13
Autenticazione verso Radius (cont..)
  • E stato installato anche un Radius server
    (freeradius.0.8.1) su un PC linux RedHat 7.3 AFS
    client nella cella le.infn.it (kerberos 5)
  • Il Radius server e stato configurato nello
    stesso modo del precedente
  • Lautenticazione ha funzionato correttamente

14
Protocolli di tunnelling
  • Sono state effettuate prove di connessione in VPN
    utilizzando i protocolli
  • IPSEC (Cisco client)
  • IPSEC/UDP e IPSEC/TCP (Cisco client)
  • PPTP (Windows client e linux client)

15
Protocolli di tunnelling (cont.)
  • E possibile specificare, a livello di gruppo, se
    il client deve far passare attraverso il tunnel
    tutto il traffico o solo il traffico verso alcune
    network (configurabili)
  • La configurazione non e modificabile dal client
  • La cosa e stata testata, e funziona correttamente

16
Protocollo IPSEC
  • Si deve abilitare sul VPN server il protocollo
    IPSEC tra quelli accettati dal gruppo che viene
    utilizzato dal client
  • Il client attiva una connessione IPSEC sulla
    porta 500 UDP dellinterfaccia pubblica del VPN
    server
  • Le prove hanno verificato la funzionalita con i
    tre meccanismi di autenticazione gia visti

17
Protocollo IPSEC/TCP e IPSEC/UDP
  • E possibile configurare il VPN server ed il
    client per incapsulare la connessione IPSEC sia
    su TCP che su UDP
  • Le porte TCP ed UDP per lincapsulamento sono
    configurabili (ma il client deve sapere su quale
    porta connettersi)
  • E stata testata la connessione con entrambi i
    protocolli anche a partire da client situati
    dietro reti filtrate o nattate (incapsulamento
    necessario)

18
Protocollo PPTP
  • Il protocollo PPTP non consente dal lato client
    di definire il gruppo per la connessione
  • Puo essere definita sul VPN server una lista di
    server di autenticazione, anche di tipo diverso
  • Il VPN server, con questo protocollo, tenta di
    verificare lautenticazione solo con il primo
    server di autenticazione della lista
  • Sono state effettuate prove con il client PPTP
    sia su Windows che su Linux

19
Protocollo PPTP (cont.)
  • Se non viene richiesta autenticazione, tutto OK
  • Se viene richiesta autenticazione senza
    criptazione (PAP e MSCHAP v1), funziona con i tre
    meccanismi di autenticazione
  • Se viene richiesto il cripting (MSCHAP v1 e v2)
    lautenticazione funziona solo sul gruppo locale
    (ma la documentazione dice che funziona anche la
    autenticazione via Radius)

20
Piattaforme client
  • Per il protocollo PPTP, sono stati effettuati con
    successo test con client Windows e Linux
  • Per il protocollo IPSEC (client Cisco) sono stati
    effettuati con successo test con client W2K
    Professional, Linux Rh 7., MacOsX (darwin kernel
    5.5)
  • Il client non compila sulla RedHat 8.0

21
Prove di throughput
  • E stato effettuato un test di throughput
    utilizzando client linux connessi attraverso un
    link a 10 Mb/s
  • Throughput con un client 3.4 Mb/s
  • Throughput con due client 21.69 Mb/s
  • In entrambi i casi lutilizzo della CPU del VPN
    server va al 100

22
Cosa non e stato provato
  • Autenticazione via certificati
  • Protocollo L2TP/IPSEC con client Windows

23
Cosa non funziona
  • Non si e riusciti a configurare il VPN server
    con le due interfacce sulla stessa LAN
    (configurazione sconsigliata)
  • Protocollo PPTP con criptazione (la
    documentazione dice che lautenticazione via
    Radius funziona...)

24
Layout ad una LAN
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Test sul Cisco VPN Concentrator" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!