vpn with mobile devices - strongswan · 2017-09-14 · vpn with mobile devices 55. dfn...
TRANSCRIPT
![Page 1: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/1.jpg)
VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
Prof. Dr. Andreas Steffen
Institute for Internet Technologies and Applications
HSR Hochschule für Technik Rapperswil
![Page 2: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/2.jpg)
18.10.2011, dfn_berlin_2011.pptx 2
Wo um Himmels Willen liegt Rapperswil?
Berlin
![Page 3: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/3.jpg)
18.10.2011, dfn_berlin_2011.pptx 3
HSR - Hochschule für Technik Rapperswil
• Fachhochschule mit ca. 1500 Studierenden
• Abteilung für Informatik (400 Studierende)
• Bachelorstudium (3 Jahre), Masterstudium (+1.5 Jahre)
![Page 4: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/4.jpg)
VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
strongSwan die VPN Open Source Lösung
![Page 5: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/5.jpg)
18.10.2011, dfn_berlin_2011.pptx 5
10.3.0.2
strongSwan Einsatzszenarien
Internet
Hauptsitz Aussen- stelle
Remote Access
VPN Tunnel
VPN Tunnel
VPN Gateway 11.22.33.44
VPN Gateway 55.66.77.88
VPN Client
10.1.0.0/16 10.2.0.0/16
10.1.0.5 10.2.0.3
55.66.x.x
• strongSwan ist ein Internet Key Exchange Dämon, der für den automatischen Verbindungsaufbau von IPsec-basierten VPN Verbindungen zuständig ist.
![Page 6: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/6.jpg)
18.10.2011, dfn_berlin_2011.pptx 6
Der FreeS/WAN Stammbaum
Super FreeS/WAN
2003
X.509 2.x Patch
FreeS/WAN 2.x
1999 FreeS/WAN 1.x
X.509 1.x Patch 2000
Openswan 1.x
2004
2004
strongSwan 2.x Openswan 2.x
2005
ITA IKEv2 Projekt
2006
strongSwan 4.x
2007 IKEv1 & IKEv2
IKEv1 & minimales IKEv2
IKEv2 RFC 4306
Neue Architektur, gleiche Konfig.
![Page 7: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/7.jpg)
18.10.2011, dfn_berlin_2011.pptx 7
IKEv2 Interoperability Workshops
• strongSwan funktionierte einwandfrei mit IKEv2 Produkten von Alcatel-Lucent, Certicom, CheckPoint, Cisco, Furukawa, IBM, Ixia, Juniper, Microsoft, Nokia, SafeNet, Secure Computing, SonicWall, und dem IPv6 TAHI Projekt.
Frühling 2007 in Orlando, Florida Frühling 2008 in San Antonio, Texas
![Page 8: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/8.jpg)
18.10.2011, dfn_berlin_2011.pptx 8
strongSwan Schlüsselkunden
• Alcatel-Lucent, Clavister, Ericsson, Nokia Siemens Networks, Ubiquisys
• Femtocells/Security Gateways für GSM/UMTS/LTE Mobilfunknetze
• Astaro, Karlsruhe
• Astaro Security Gateway
• Secunet, Dresden
• SINA Box für Hochsicherheitsanwendungen (BSI, Auswärtiges Amt)
• U.S. Regierung (NSA)
• Open Source IKEv2/IPsec Referenz- und Test-System für Suite B Elliptische-Kurven-Kryptografie
![Page 9: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/9.jpg)
18.10.2011, dfn_berlin_2011.pptx 9
Unterstützte Plattformen
• Betriebsysteme • Linux 2.6 / 3.x
• Android 2.x
• FreeBSD 7.x / 8.x
• Mac OS X 10.5 … 10.7
• Hardware Plattformen (32/64 bit) • Intel, Via, AMD
• ARM, MIPS (z.B. Freescale, Marvell, 16-Core Cavium Octeon)
• PowerPC
• Netzwerk Stacks • IPv4
• IPv6 (SuSE Linux Enterprise mit strongSwan zertifiziert 2008 durch DoD)
• Portabler Quellcode • 100% in C geschrieben, aber mit einem object-orientierten,
modularen Ansatz
• IKE Durchsatz skalierbar durch Verwendung von Multi-Threading
![Page 10: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/10.jpg)
18.10.2011, dfn_berlin_2011.pptx 10
Wie steht es mit Windows?
![Page 11: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/11.jpg)
18.10.2011, dfn_berlin_2011.pptx 11
Windows 7 VPN mit Maschinenzertifikaten
• Microsoft testete die IKEv2 Interoperabilität unter Verwendung von strongSwan bis zum endgültigen Windows 7 Release.
![Page 12: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/12.jpg)
18.10.2011, dfn_berlin_2011.pptx 12
Windows 7 VPN mit EAP Authentisierung
• Verwendung von IKEv2 EAP-MSCHAPv2 oder IKEv2 EAP-TLS mit Chipkarten
![Page 13: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/13.jpg)
18.10.2011, dfn_berlin_2011.pptx 13
strongSwan Applet für den Linux Desktop
• D-Bus basierte Kommunikation zwischen NetworkManager und strongSwan IKEv2 Dämon.
![Page 14: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/14.jpg)
18.10.2011, dfn_berlin_2011.pptx 14
strongSwan in heterogener VPN Umgebung
Corporate
Network
strongSwan Linux Client
Windows 7 Agile VPN Client
Linux FreeRadius Server
Windows Active Directory Server
Internet
High-Availability strongSwan
VPN Gateway
strongswan.hsr.ch vpn-mopo.vpn.uni-freiburg.de strongswan.hsr.ch
![Page 15: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/15.jpg)
18.10.2011, dfn_berlin_2011.pptx 15
strongSwan IKEv2 Authentisierungsmethoden
• Basierend auf Public Keys
• X.509 Zertifikate mit RSA or ECDSA Schlüssel
• PKCS#11 Chipkarten-Schnittstelle
• CRLs von HTTP/LDAP Server und/oder Einsatz von OCSP
• Basierend auf Pre-Shared Keys (PSK)
• Beliebige PSK Länge, Vorsicht bei schwachen Passwörtern!
• Based auf dem Extended Authentication Protokoll (EAP)
• EAP-MD5, EAP-MSCHAPv2, EAP-GTC
• EAP-SIM, EAP-AKA (GSM/UMTS/CDMA2000)
• EAP-TLS, EAP-TTLS, EAP-PEAPv0, EAP-TNC (Trusted Network Connect)
• Schnittstelle zu AAA Server
• EAP-RADIUS
• EAP und TNC Methoden als Plugins implementiert
• Der strongSwan IKEv2 Dämon lädt die Plugins dynamisch beim Starten
![Page 16: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/16.jpg)
VPN with Mobile Devices
55. DFN Betriebstagung Oktober 2011 Berlin
strongSwan unter Android
![Page 17: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/17.jpg)
18.10.2011, dfn_berlin_2011.pptx 17
Android VPN Konfiguration
![Page 18: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/18.jpg)
18.10.2011, dfn_berlin_2011.pptx 18
Android VPN Verbindungsaufbau
![Page 19: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/19.jpg)
18.10.2011, dfn_berlin_2011.pptx 19
Android VPN Status
• Android IPsec Erweiterung
• Damit strongSwan unter Android läuft, muss der Android Kernel um einige IPsec Kernel Module ergänzt werden.
• Dies bedingt das „Rooten“ des Android Geräts.
• Android strongSwan Build
• Der strongSwan IKEv2 Dämon und die zugehörigen Libraries müssen mit dem Android Emulator gebaut und anschliessend auf das Gerät raufgeladen werden.
![Page 20: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/20.jpg)
18.10.2011, dfn_berlin_2011.pptx 20
strongSwan Roadmap
• Portierung auf neue Android Versionen
• Android 3.x für Tablet PCs (Samsung Galaxy Tab 10.1)
• Android 4.0 für Tablet PCs und Smartphones (Google Nexus Prime)
• strongSwan VPN App für Mac OS X
• Einfaches GUI für die Konfiguration und Starten des strongSwan IKEv2 Dämons (MacBook Air)
• Apple iPhone and iPad
• Leider sind diese Plattformen völlig geschlossen, so dass die Benutzer mit dem unsäglichen IKEv1 Cisco VPN Client vorlieb nehmen müssen.
• TCG Trusted Network Connect (TNC)
• IF-MAP 2.0 Interface für die Überwachung von strongSwan Gateways.
• TCG Platform Trust Service (PTS)
• Überprüfung von Trusted Boot Vorgängen und Messen von Dateien und Anwendungen via TNC (Masterthesis an der HSR)
![Page 21: VPN with Mobile Devices - strongSwan · 2017-09-14 · VPN with Mobile Devices 55. DFN Betriebstagung Oktober 2011 Berlin Prof. Dr. Andreas Steffen Institute for Internet Technologies](https://reader031.vdocuments.site/reader031/viewer/2022040405/5e9e0928ee9f3373d24f2660/html5/thumbnails/21.jpg)
18.10.2011, dfn_berlin_2011.pptx 21
Danke für Ihre Aufmerksamkeit!
Fragen?
www.strongswan.org