Setup IPSec VPN between Oracle Cloud Infrastructure and Customer On-Premise Equipment

Eine Möglichkeit zur Verbindung Ihres On-Premise-Netzwerks und Ihres virtuellen Cloud-Netzwerks (VCN) besteht in der Verwendung von VPN Connect, einem IPSec-VPN. IPSec steht für Internet Protocol Security oder IP Security. IPSec ist eine Protokollsuite, die den gesamten IP-Traffic verschlüsselt, bevor die Pakete von der Quelle zum Ziel übertragen werden.

Voraussetzungen:

  • vorhandenes VCN (Virtual Cloud Network) in der OCI (Oracle Cloud Infrastructure)
  • vorhandenes VPN-Gateway / IP-Netz auf der Customer On-Premise Site

*Wichtig: die Netze in der OCI und On-Premise dürfen sich nicht im gleichen Subnetz befinden (z. B. 192.168.0.0/24 und 192.168.0.0/28192.168.0.0/24 und 192.168.99.0/28)

 

Konfiguration in der OCI:

  1. Erstellen Sie unter OCI -> Networking -> Dynamische Routinggateways ein neues „Dynamische Routinggateway (DRG)“ (Wählen Sie das gewünschte Compartment und einen freiwählbaren Namen)
  2. Verknüpfen Sie das Dynamische Routinggateway mit dem vorhandenen VCN: OCI -> Networking -> Virtual Cloud Network -> Dynamische Routinggateways -> „Dynamische Routinggateway anhängen“ -> Wählen Sie das zuvor erstelle Dynamische Routinggateway
  3. Erstellen Sie ein Customer Premises Equipment: OCI -> Networking -> Customer Premises Equipment -> „Customer Premises Equipment erstellen“ (Wählen Sie hier einen Namen, das Compartment, den Hersteller (ggf. Sonstige) und die öffentliche IPv4-Adresse des CPE-Gateways)
  4. Erstellen der VPN-Verbindung: OCI -> Networking -> VPN-Verbindungen -> IPSec-Verbindung erstellen (Wählen Sie hier einen Namen und das Compartment für den VPN aus, anschließend wählen Sie bitte das „CPE“ und das „DRG“ aus dem richtigen Compartment aus und geben Sie das Customer Netz unter „CIDR mit statischer Route“ bei statischen Routen an)
  5. Anpassen der VPN-ID: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> „Bearbeiten“ -> CPE-IKE-ID-Typ kann zwischen IP und FQDN gewählt werden
  6. Auslesen der Informationen für den VPN (öffentliche IPs der OCI, PreSharedKeys, …) OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen

Beispielkonfiguration On-Premise (hier Sophos SG mit UTM 9.7):

  1. Erstellen der IPSec Policies über Sophos UTM -> Site-to-site VPN -> IPSec -> Policies -> „New IPSec Policy…“ die OCI unterstützt folgende Parameter (Stand 10/2020):

Phase 1 (ISAKMP)

ParameterOptionen
ISAKMP-ProtokollVersion 1
AustauschartHauptmodus
AuthentifizierungsmethodePre-Shared Keys
VerschlüsselungsalgorithmusAES-256-cbc (empfohlen)

AES-192-cbc

AES-128-cbc

AuthentifizierungsalgorithmusSHA-2 384 (empfohlen)

SHA-2 256

SHA-1(auch als SHA oder SHA1-96 bezeichnet)

Diffie-Hellman-GruppeGruppe 1 (MODP 768)

Gruppe 2 (MODP 1024)

Gruppe 5 (MODP 1536)

Gruppe 14 (MODP 2048)

Gruppe 19 (ECP 256)

Gruppe 20 (ECP 384) * (empfohlen)

Gültigkeitsdauer des IKE-Sessionschlüssels28800 Sekunden (8 Stunden)
* Gruppe 20 wird in Kürze in allen Oracle Cloud Infrastructure-Regionen unterstützt.

Phase 2 (IPSec)

ParameterOptionen
IPSec-ProtokollESP, Tunnelmodus
VerschlüsselungsalgorithmusAES-256-gcm (empfohlen)

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

AuthentifizierungsalgorithmusBei Verwendung von GCM (Galois/Counter Mode) ist kein Authentifizierungsalgorithmus erforderlich, da die Authentifizierung in der GCM-Verschlüsselung enthalten ist.

Wenn GCM nicht verwendet wird, werden folgende Algorithmen unterstützt:

HMAC-SHA-256-128 (empfohlen)

HMAC-SHA-196

Gültigkeitsdauer des IPSec-Sessionschlüssels3600 Sekunden (1 Stunde)
Perfect Forward Secrecy (PFS)aktiviert, Gruppe 5
  1. Erstellen Sie unter „Remote Gateways“ ein, bzw. zwei neue Remotedesktopgateways, die IPs und PSKs finden Sie in der OCI unter: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen, hier tragen Sie bei Remotenetz das IPv4 des OCI VCN, bzw. Subnetzes aus dem VCN ein
  2. Legen Sie nun die Conncetion an und wählen hier Ihre Policy, das Remotegateway und Ihre lokalen Netzwerke aus
  3. nach erfolgtem Verbindungsaufbau werden die VPN Tunnel in der Sophos, sowie der OCI als UP/Hochgefahren angezeigt:

Meltdown und Spectre jetzt patchen

Meltdown und Spectre – Jetzt Patchen

Während es in der Regel Programmen nicht erlaubt ist, Daten von anderen Programmen auszulesen, kann ein bösartiges Programm die Sicherheitslücken „Meltdown“ und „Spectre“ ausnutzen, um an Daten zu gelangen, die im Speicher anderer laufender Programme gespeichert sind.

 Meltdown (CVE-2017-5754)

Meltdown ermöglicht es, auf Speicherbereiche des Kernels zuzugreifen, die eigentlich vor dem Zugriff durch den Prozess geschützt sein sollten. So ist es etwa mögliche, sensitive Informationen auszulesen. Meltdown kann durch Software-Maßnahmen im Kernel der Betriebssytems behoben werden, allerdings gehen mit dieser Maßnahme teilweise empfindliche Performance-Einbußen einher. Das genaue Ausmaß des Performance-Verlustes hängt hier aber stark von der Charakteristik und der Beschaffenheit des Programms ab.

 

Spectre (CVE-2017-5753 und CVE-2017-7515)

Spectre nützt eine Schwachstelle bei der Hardware-Implementierung der „speculative execution“ von CPUs aus. Diese Schwachstelle kann auf Software-Ebene nur teilweise behoben werden. Neuere Microcode-Versionen für Intel und AMD versuchen, einen Teil der Bedrohung zu entschärfen. Um das Problem nachhaltig zu lösen, bedarf es aber Änderungen am Hardware-Design der CPU.

 

Performance-Auswirkungen

Redhat gibt in einem detaillierten Artikel (“Speculative Execution Exploit Performance Impacts – Describing the performance impacts to security patches for CVE-2017-5754 CVE-2017-5753 and CVE-2017-5715”, https://access.redhat.com/articles/3307751) Überblick über erwartbare Performance-Einbußen. Für OLTP-Anwendungen konnte Redhat einen Performance-Verlust von 8-19% feststellen.

 

Was ist zu tun?

Prinzipiell ist es ratsam, die betroffenen Systeme zu aktualisieren, wobei für jedes System individuell beurteilt werden muss, welchem Risiko es ausgesetzt ist und ob die möglichen Performance-Einbußen für das System tolerierbar sind.

Eine exakte Schätzung der Veränderung in der Systemleistung ist im Vorfeld schwierig, sofern nicht ein exakt gleich dimensioniertes Testsystem zur Verfügung steht, auf welchem die Workload der Produktion simuliert werden kann.  

Usere Experten haben bereits viele Erfahrungen gesammelt und unterstützen Sie dabei, Ihr System zu patchen und vorab die Performance Auswirkungen auf Ihr System einzuschätzen.
Kontaktieren Sie uns.

 

Aktualisierte Pakete und Kernel-Versionen

Oracle stellt mittlerweile für die Produkte Oracle Enterprise Linux 6 (OEL6), Oracle Enterprise Linux 7 (OEL7) und Oracle VM Server (OVM 3.4) aktualisierte Pakete zur Verfügung.
In den unten angeführten Tabellen sind die – mit Stand 15.01.2018 – verfügbaren Updates ersichtlich.

OEL6

PaketVersionFix für CVE-2017-*
kernel-uek (UEKR4)4.1.12-112.14.11.el6uek5754, 5715, 5753
kernel (RHEL)2.6.32-696.18.7.el65754, 5715, 5753
libvirt-*0.10.2-62.0.1.el6_9.15715
microcode_ctl1.17-25.2.el6_95715
qemu-*0.12.1.2-2.503.el6_9.45715

 

OEL7

PaketVersionFix für CVE-2017-*
kernel-uek (UEKR4)4.1.12-112.14.11.el6uek5754, 5715, 5753
kernel (RHEL)3.10.0-693.11.6.el75754, 5715, 5753
libvirt-*3.2.0-14.0.1.el7_4.75715
microcode_ctl2.1-22.2.el75715
qemu-*1.5.3-141.el7_4.65715

 

OVM-Server (3.4)

PaketVersionFix für CVE-2017-*
kernel-uek (UEKR4)4.1.12-112.14.11.el6uek5754, 5715, 5753
xen4.4.4-155.0.12.el65754, 5715,
microcode_ctl1.17-25.2.0.1.el6_95715
qemu-*0.12.1.2-2.503.el6_9.45715

 

Weiterführende Links:

https://spectreattack.com/

https://access.redhat.com/security/vulnerabilities/speculativeexecution

https://linux.oracle.com/cve/CVE-2017-5715.html

https://linux.oracle.com/cve/CVE-2017-5753.html

https://linux.oracle.com/cve/CVE-2017-5754.html

 

Oracle Critical Patch Update schließt 154 Sicherheitslücken | heise Security

Von Database, über Java, bis hin zu MySQL: Oracle dichtet sein Portfolio ab und veröffentlicht wie jedes Quartal jede Menge Updates. Über eine nun geschlossene Lücke soll eine Hacker-Gruppe in das Computersystem des Weißen Hauses eingedrungen sein.

Quelle: Oracle Critical Patch Update schließt 154 Sicherheitslücken | heise Security