VPN with Mobile Devices

55. DFN Betriebstagung Oktober 2011 Berlin

Prof. Dr. Andreas Steffen

Institute for Internet Technologies and Applications

HSR Hochschule für Technik Rapperswil

andreas.steffen@hsr.ch

18.10.2011, dfn_berlin_2011.pptx 2

Wo um Himmels Willen liegt Rapperswil?

Berlin

18.10.2011, dfn_berlin_2011.pptx 3

HSR - Hochschule für Technik Rapperswil

• Fachhochschule mit ca. 1500 Studierenden

• Abteilung für Informatik (400 Studierende)

• Bachelorstudium (3 Jahre), Masterstudium (+1.5 Jahre)

VPN with Mobile Devices

55. DFN Betriebstagung Oktober 2011 Berlin

strongSwan die VPN Open Source Lösung

18.10.2011, dfn_berlin_2011.pptx 5

10.3.0.2

strongSwan Einsatzszenarien

Internet

Hauptsitz Aussen- stelle

Remote Access

VPN Tunnel

VPN Tunnel

VPN Gateway 11.22.33.44

VPN Gateway 55.66.77.88

VPN Client

10.1.0.0/16 10.2.0.0/16

10.1.0.5 10.2.0.3

55.66.x.x

• strongSwan ist ein Internet Key Exchange Dämon, der für den automatischen Verbindungsaufbau von IPsec-basierten VPN Verbindungen zuständig ist.

18.10.2011, dfn_berlin_2011.pptx 6

Der FreeS/WAN Stammbaum

Super FreeS/WAN

2003

X.509 2.x Patch

FreeS/WAN 2.x

1999 FreeS/WAN 1.x

X.509 1.x Patch 2000

Openswan 1.x

2004

2004

strongSwan 2.x Openswan 2.x

2005

ITA IKEv2 Projekt

2006

strongSwan 4.x

2007 IKEv1 & IKEv2

IKEv1 & minimales IKEv2

IKEv2 RFC 4306

Neue Architektur, gleiche Konfig.

18.10.2011, dfn_berlin_2011.pptx 7

IKEv2 Interoperability Workshops

• strongSwan funktionierte einwandfrei mit IKEv2 Produkten von Alcatel-Lucent, Certicom, CheckPoint, Cisco, Furukawa, IBM, Ixia, Juniper, Microsoft, Nokia, SafeNet, Secure Computing, SonicWall, und dem IPv6 TAHI Projekt.

Frühling 2007 in Orlando, Florida Frühling 2008 in San Antonio, Texas

18.10.2011, dfn_berlin_2011.pptx 8

strongSwan Schlüsselkunden

• Alcatel-Lucent, Clavister, Ericsson, Nokia Siemens Networks, Ubiquisys

• Femtocells/Security Gateways für GSM/UMTS/LTE Mobilfunknetze

• Astaro, Karlsruhe

• Astaro Security Gateway

• Secunet, Dresden

• SINA Box für Hochsicherheitsanwendungen (BSI, Auswärtiges Amt)

• U.S. Regierung (NSA)

• Open Source IKEv2/IPsec Referenz- und Test-System für Suite B Elliptische-Kurven-Kryptografie

18.10.2011, dfn_berlin_2011.pptx 9

Unterstützte Plattformen

• Betriebsysteme • Linux 2.6 / 3.x

• Android 2.x

• FreeBSD 7.x / 8.x

• Mac OS X 10.5 … 10.7

• Hardware Plattformen (32/64 bit) • Intel, Via, AMD

• ARM, MIPS (z.B. Freescale, Marvell, 16-Core Cavium Octeon)

• PowerPC

• Netzwerk Stacks • IPv4

• IPv6 (SuSE Linux Enterprise mit strongSwan zertifiziert 2008 durch DoD)

• Portabler Quellcode • 100% in C geschrieben, aber mit einem object-orientierten,

modularen Ansatz

• IKE Durchsatz skalierbar durch Verwendung von Multi-Threading

18.10.2011, dfn_berlin_2011.pptx 10

Wie steht es mit Windows?

18.10.2011, dfn_berlin_2011.pptx 11

Windows 7 VPN mit Maschinenzertifikaten

• Microsoft testete die IKEv2 Interoperabilität unter Verwendung von strongSwan bis zum endgültigen Windows 7 Release.

18.10.2011, dfn_berlin_2011.pptx 12

Windows 7 VPN mit EAP Authentisierung

• Verwendung von IKEv2 EAP-MSCHAPv2 oder IKEv2 EAP-TLS mit Chipkarten

18.10.2011, dfn_berlin_2011.pptx 13

strongSwan Applet für den Linux Desktop

• D-Bus basierte Kommunikation zwischen NetworkManager und strongSwan IKEv2 Dämon.

18.10.2011, dfn_berlin_2011.pptx 14

strongSwan in heterogener VPN Umgebung

Corporate

Network

strongSwan Linux Client

Windows 7 Agile VPN Client

Linux FreeRadius Server

Windows Active Directory Server

Internet

High-Availability strongSwan

VPN Gateway

strongswan.hsr.ch vpn-mopo.vpn.uni-freiburg.de strongswan.hsr.ch

18.10.2011, dfn_berlin_2011.pptx 15

strongSwan IKEv2 Authentisierungsmethoden

• Basierend auf Public Keys

• X.509 Zertifikate mit RSA or ECDSA Schlüssel

• PKCS#11 Chipkarten-Schnittstelle

• CRLs von HTTP/LDAP Server und/oder Einsatz von OCSP

• Basierend auf Pre-Shared Keys (PSK)

• Beliebige PSK Länge, Vorsicht bei schwachen Passwörtern!

• Based auf dem Extended Authentication Protokoll (EAP)

• EAP-MD5, EAP-MSCHAPv2, EAP-GTC

• EAP-SIM, EAP-AKA (GSM/UMTS/CDMA2000)

• EAP-TLS, EAP-TTLS, EAP-PEAPv0, EAP-TNC (Trusted Network Connect)

• Schnittstelle zu AAA Server

• EAP-RADIUS

• EAP und TNC Methoden als Plugins implementiert

• Der strongSwan IKEv2 Dämon lädt die Plugins dynamisch beim Starten

VPN with Mobile Devices

55. DFN Betriebstagung Oktober 2011 Berlin

strongSwan unter Android

18.10.2011, dfn_berlin_2011.pptx 17

Android VPN Konfiguration

18.10.2011, dfn_berlin_2011.pptx 18

Android VPN Verbindungsaufbau

18.10.2011, dfn_berlin_2011.pptx 19

Android VPN Status

• Android IPsec Erweiterung

• Damit strongSwan unter Android läuft, muss der Android Kernel um einige IPsec Kernel Module ergänzt werden.

• Dies bedingt das „Rooten“ des Android Geräts.

• Android strongSwan Build

• Der strongSwan IKEv2 Dämon und die zugehörigen Libraries müssen mit dem Android Emulator gebaut und anschliessend auf das Gerät raufgeladen werden.

18.10.2011, dfn_berlin_2011.pptx 20

strongSwan Roadmap

• Portierung auf neue Android Versionen

• Android 3.x für Tablet PCs (Samsung Galaxy Tab 10.1)

• Android 4.0 für Tablet PCs und Smartphones (Google Nexus Prime)

• strongSwan VPN App für Mac OS X

• Einfaches GUI für die Konfiguration und Starten des strongSwan IKEv2 Dämons (MacBook Air)

• Apple iPhone and iPad

• Leider sind diese Plattformen völlig geschlossen, so dass die Benutzer mit dem unsäglichen IKEv1 Cisco VPN Client vorlieb nehmen müssen.

• TCG Trusted Network Connect (TNC)

• IF-MAP 2.0 Interface für die Überwachung von strongSwan Gateways.

• TCG Platform Trust Service (PTS)

• Überprüfung von Trusted Boot Vorgängen und Messen von Dateien und Anwendungen via TNC (Masterthesis an der HSR)

18.10.2011, dfn_berlin_2011.pptx 21

Danke für Ihre Aufmerksamkeit!

Fragen?

www.strongswan.org