Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o
Transkrypt
Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o
. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia sposób podłączenia VPN klienta programowego ZyXEL Remote Security Client do urządzenia ZyWALL35. W głównej siedzibie firmy ZyWALL35 spełnia rolę urządzenia dostępowego do sieci Internet. Schemat połączenia przedstawiono poniżej. Założony schemat adresacji IP: PC1 IP: dynamiczny ZyWall35 WAN: 82.16.48.250 LAN: 192.168.1.1/24 PC2 IP: 192.168.1.10/24 Założone parametry tunelu VPN: Tunel IPSec, Protokół ESP Szyfrowanie 3DES, Autoryzacja SHA-1 Zarządzanie SA: IKE Konfiguracja bramy ZyWALL35 Uruchom przeglądarkę stron internetowych, w polu adres wpisz 192.168.1.1 jako adres witryny WWW. Przejdź do strony VPN w sekcji SECURITY. Wybierz zakładkę VPN Rules (IKE), dodaj nową regułę klikając na symbolu „+” System wygeneruje okno, gdzie wprowadzimy parametry niezbędne do przeprowadzenia pierwszej fazy tworzenia tunelu - IKE SA. . ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 W polu Name wprowadzamy nazwę tunelu. W naszym przypadku „test”. Opcję NAT Traversal pozostawiamy odznaczoną, gdyż tunel tworzymy bezpośrednio, nie mając nigdzie „po drodze” routera z włączoną translacją adresów NAT. W sekcji Gateway Policy Information wprowadzamy następujące dane: My Address – to adres IP interfejsu WAN. Wpisujemy 82.16.48.250. Remote Gateway Address – to adres zdalnego hosta (klienta VPN). Wpisujemy 0.0.0.0 gdyż zakładamy, że zdalny klient VPN może nawiązywać połączenie z dowolnego adresu IP. W prezentowanym przykładzie tunel VPN może zostać zainicjowany jedynie od strony klienta VPN, który zna dokładny adres zdalnej bramy VPN. W sekcji Authentication Key wpisujemy sekretny wspólny klucz używany do autoryzacji urządzeń tworzących tunel VPN (test1234). W Content wpisujemy adres IP, nazwę DNS, lub adres e-mail w zależności od dokonanego wyboru w polu Local ID Type, po którym identyfikowany będzie ZyWALL podczas tworzenia bezpiecznego połączenia. Podobnie identyfikujemy urządzenie zdalne, wpisując odpowiednie wartości w polach Peer ID Type oraz Content. Sekcja Extended Authentication wprowadza kolejny stopień bezpieczeństwa. Zdalny użytkownik podczas nawiązywania połączenia może zostać poproszony dodatkowo o nazwę użytkownika i hasło. Autoryzacja użytkownika może przebiegać na podstawie wpisów w lokalnej bazie danych lub z poziomu zewnętrznego serwera RADIUS. W naszym przykładzie nie korzystamy z rozszerzonej autoryzacji. Sekcja IKE Proposal odpowiada za pierwszą fazę nawiązywania połączenia VPN – tworzenie bezpiecznego kanału ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 . IKE SA. W polu Negotiation Mode wybieramy tryb negocjacji Main. W trybie Main proces nawiązywania połączenia trwa dłużej ale jest bezpieczniejszy. Encryption Algorithm to sposób szyfrowania danych. Szyfrowanie 3DES jest znacznie bezpieczniejsze od słabszego szyfrowania DES. Authentication Algorithm to funkcja haszująca umożliwiająca autoryzację zdalnego urządzenia. SA Life Time – czas utrzymywania powiązania SA ustalamy na 3600 sekund (1 godzina), oraz algorytm ustalania kluczy na DH1 ( DiffieHelman group 1). Potwierdzamy wprowadzone zmiany przyciskiem Apply. Przejdźmy do konfiguracji parametrów IPSec. W wierszu identyfikującym zdefiniowany tunel kliknijmy na ikonie chmurek identyfikujących polisy sieciowe. System wygeneruje okno, gdzie wprowadzimy parametry niezbędne do przeprowadzenia drugiej fazy tworzenia tunelu – IPSec SA. Zaznaczamy pole Active, co umożliwi automatycznie nawiązanie tunelu VPN w momencie wysłania danych spełniających daną polisę. Wprowadzamy nazwę polisy IPSec w polu Name. Jeżeli chcemy by tunel był zawsze zbudowany możemy zaznaczyć opcję Nailcd-up. Zaznacz opcję Allow NetBIOS Traffic Through IPSec Tunnel jeżeli chcesz umożliwić przepływ pakietów NetBIOS przez tunel. NetBIOS jest używany m.in. podczas komunikacji w sieciach opartych na systemach Windows i wiąże się z działaniem otoczenia sieciowego. W polu gateway polisy wybieramy nazwę tunelu test. Sekcja Local Network definiuje nam lokalną sieć do której umożliwimy dostęp ze zdalnej lokalizacji za pośrednictwem tunelu VPN. Dane wpisane w tej sekcji muszą odpowiadać danym wprowadzonym w sekcji Local Network po drugiej stronie tunelu. Możemy zdefiniować podsieć, zakres adresów lub pojedyńczego hosta. Możemy ograniczyć również zakres usług do jakich zdalny klient może się łączyć po przez ograniczanie portów UDP/TCP. W naszym przypadku chcemy umożliwić dostęp do całej sieci lokalnej znajdującej się za ZyWALL’em. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 . Analogicznie wypełniamy sekcję Remote Network. Ponieważ zakładamy, że zdalny klient może łączyć się z dowolnego adresu IP zostawiamy w polu Starting IP Address zera. W polu IPSec proposal wybieramy parametry powiązania IPSec SA. Konfiguracja klienta ZyXEL RSC (Remote Security Client) Po instalacji klienta ZyXEL RSC na pasku zadań w prawym dolnym rogu ekranu pojawi się ikona ZyXEL VPN Client. Kliknij prawym klawiszem myszy na ikonie i wybierz Security Policy Editor. W lewym górnym rogu kliknij na ikonie nowego połączenia. Adres sieci LAN ZyWALL’a Adres WAN ZyWALL’a Wybierz nazwę połączenia, w naszym przykładzie ZyWALL. Zaznacz wymagane zabezpieczenie połączenia opcja Secure. Jeżeli nie chcesz by połączenie było nawiązywane automatycznie zanzacz opcję Only Connect Manually. W sekcji Remote Party Identity and Addressing wpisz zdalną sieć do której chcesz się podłączyć (sieć LAN za ZyWALL’em) oraz adres bramy VPN do której chcesz się połączyć (adres IP skonfigurowany na interfejsie WAN ZyWALL’a). W zakładce My Identity klikamy na przycisk Pre-Shared Key i wpisujemy współdzielony klucz, wcześniej skonfigurowany na ZyWALL’u (test1234). Musimy także wybrać sposób identyfikacji, w naszym przypadku Adres IP skojarzony z interfejsem podłączonym do Internetu. . ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Zakładka Security Policy obejmuję konfigurację parametrów dla dwóch etapów nawiązywania połączenia VPN. Przejdź do zakładki Authentication(Phase 1)->Proposal. Metoda autoryzacji to Pre-Shared Key, szyfrowanie i funkcja haszująca zgodnie z założeniami to odpowiednio 3DES i SHA-1. SA Lifetime tak jak w konfiguracji ZyWALL’a 3600 sekund i Key Group DH1. Ostatni etap to konfiguracja IPSec SA. Przechodzimy do zakładki Key Exchange (Phase 2). Podobnie jak ustawialiśmy w konfiguracji ZyWALL’a wybieramy protokół ESP, metode szyfrowania 3DES, funkcję skrótu SHA-1 oraz SA Life Time na 28800 sekund. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 . Ostani etap to zapis ustawień i weryfikacja połączenia. Klikamy prawym klawiszem myszy na ikonie ZyXEL VPN Client i wybieramy Connect->My Connection/ZyWALL. Połączenie powinno być nawiązane o czy poinformuje okienko dialogowe oraz monitor połączeń VPN na urządzeniu ZyWALL.