KSBG.zad.03.VPN.L2L

ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
Imię
Nazwisko
ZADANIE.03
VPN L2L
Virtual Private Network
-1-
site-to-site
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
ISP BACKBONE
79.96.21.160/28
GDA
212.191.89.64/26
SNAT
WRO
212.191.89.128/26
SNAT
LDZ
reth1
ZONE Pracownicy:
VLAN Produkcja
VLAN Magazyn
ZONE MGMT:
VLAN MGMT
ZONE Dyrekcja:
VLAN Dyrekcja
212.191.89.0/26
ZONE
OUTSIDE
SNAT
Control
ZONE
MGMT
ZONE
Dyrekcja
Data
SRX 240
SRX 240
ZONE
Pracownicy
L3 + trunk
L3 + trunk
reth0
10.G.255.252/30
Realizacja połączenia
L3 dla VLAN po
routingu (Magazyn,
Produkcja)
VLAN LINK
VLAN 1000
10.G.10.0/24
10.G.99.0/24
VLAN Dyrekcja
ge-0/0/5 – ge-0/0/9
L2/L3
EX3300
VLAN MGMT
ge-1/0/2 – ge-1/0/4
VLAN 99
L2/L3
EX3300
VLAN 10
10.G.21.0/24
10.G.20.0/24
VLAN Magazyn
ge-0/0/21 – ge-0/0/23
VLAN Produkcja
ge-0/0/10 – ge-0/0/20
VLAN 21
VLAN 20
-2-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
1. Utworzenie VPN L2L pomiędzy lokalizacjami
Zadania
Przed utworzeniem połączeń VPN L2L:
 Zbudować sieć zgodnie z rysunkiem.
 Sprawdzić czy zapory sieciowe LDZ, WRO i GDA widzą się wzajemnie.
 Sprawdzić czy prawidłowo działa interfejs reth1 (Redundant Ethernet),
rozłączając jeden z jego fizycznych linków (od zapory w stanie Active).
 Umożliwić komunikację pomiędzy sieciami Dyrekcyjnymi poprzez dodanie
odpowiedniej polityki na każdej zaporze (oraz translacji DNAT!).
 Przeprowadzić testy przychwytywania ruchu pomiędzy zaporami sieciowymi
WRO i GDA, WRO i LDZ oraz LDZ i GDA:
Czy na hoście Attacker (czerwony ludzik) widoczne są nieszyfrowane dane z
protokołów ICMP i FTP, przesyłane pomiędzy Dyrektorami?
 Jeśli tak pokazać przechwycony login i hasło.
 Jeśli nie wyjaśnić dlaczego.
 Zablokować komunikację pomiędzy sieciami Dyrekcyjnymi poprzez usunięcie
odpowiedniej polityki na każdej zaporze (oraz translacji DNAT).
-3-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
 Skonfigurować połączenie VPN L2L pomiędzy zaporami sieciowymi
(interfejs/strefa outside) WRO i GDA, WRO i LDZ oraz LDZ i GDA:
o Dyrektorzy widzą się wzajemnie (bez względu na lokalizację).
o Dyrektorzy widzą Pracowników (bez względu na lokalizację).
o Połączenia pomiędzy innymi strefami zdalnymi nie są możliwe.
o Rodzaj tunelu ipsec-l2l
o IKE Phase 1:
polityka IKE Phase 1 (parametry wymagane w trakcie negocjacji
połączenia z drugą stroną tunelu):
 uwierzytelnianie:
pre-share
 szyfrowanie:
AES-256
 funkcja hash:
SHA2 (256)
 grupa DH:
5
 czas życia:
24h
o IKE Phase 2:
 protokół:
ESP
 szyfrowanie:
AES-256
 funkcja hash:
SHA2 (256)
 tryb:
tunnel
 Przeprowadzić testy przychwytywania ruchu pomiędzy zaporami sieciowymi
WRO i GDA, WRO i LDZ oraz LDZ i GDA:
Czy na hoście Attacker (czerwony ludzik) widoczne są nieszyfrowane dane z
protokołów ICMP i FTP, przesyłane pomiędzy Dyrektorami??
 Jeśli tak pokazać przechwycony login i hasło.
 Jeśli nie wyjaśnić dlaczego.
 Sprawdzić czy prawidłowo działa interfejs reth0 (Redundant Ethernet),
rozłączając jeden z jego fizycznych linków (od zapory w stanie Active),
co stało się z tunelem VPN?
-4-
ZADANIE.03

Korporacyjne Sieci Bez Granic v.2015
Na przykładzie tunelu pomiędzy lokalizacjami sprawdzić czy stosowany algorytm szyfrowania ma
wpływ na szybkość transmisji, porównać otrzymane wyniki z transmisją nieszyfrowaną.
-5-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
Materiał pomocniczy
Wstęp
Istnieją dwie metody implementacji IPsec VPN:
•
•
Policy based:
o Upon a match, the security policy sets up the IPsec tunnel
o New tunnel generates for each flow of traffic that matches a policy
o Always has permit as policy action
Route based:
o Upon a match, the security policy permits traffic with the destination address pointing
to the secure tunnel interface—st0.x
o A route to the destination is through the st0.x interface, which is bound to a specific
IPsec tunnel
o Typically only one VPN generated between two sites
Etapy konfiguracji IPsec VPN:
•
•
•
Konfiguracja fazy 1 protokołu IKE (IKE Phase 1)
Konfiguracja fazy 2 protokołu IKE (IKE Phase 2)
Wybór jednej z metod implementacji IPsec:
o Konfiguracja policy-based IPsec
o Konfiguracja route-based IPsec
Konfiguracja fazy 1 protokołu IKE
 Konfiguracja propozycji IKE Phase 1:
[edit security ike]
user@srx# show
proposal proposal-name {
authentication-method [pre-shared-keys | rsa-signatures];
dh-group [group1 | group2 | group5];
authentication-algorithm [md5 | sha-256 | sha1];
encryption-algorithm [3des-cbc | aes-128-cbc | aes-192-cbc |
aes-256-cbc | des-cbc];
lifetime-seconds seconds;
…
}
-6-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
 Konfiguracja polityk IKE Phase 1 (w tym połączenie z propozycją IKE Phase 1):
[edit security ike]
user@srx# show
policy policy-name {
mode [main | aggressive];
(proposals proposal-name) | (proposal-set [basic | compatible |
standard]);
pre-shared-key [ascii-text | hexadecimal];
…
}
 Konfiguracja gateway/peer IKE Phase 1 (w tym adres peer’a (czyli drugiej
strony tunelu) oraz jakim interfejsem dostać się do niego oraz połączenie z
polityką IKE Phase 1):
[edit security ike]
user@srx# show
gateway gateway-name {
ike-policy policy-name;
address address;
external-interface interface-name;
dead-peer-detection {
interval seconds;
threshold number;
}
…
}
Konfiguracja fazy 2 protokołu IKE
 Konfiguracja propozycji IKE Phase 2:
[edit security ipsec]
user@srx# show
proposal proposal-name {
protocol [ah | esp];
authentication-algorithm [hmac-md5-96 | hmac-sha1-96];
encryption-algorithm [3des-cbc | aes-128-cbc | aes-192-cbc |
aes-256-cbc | des-cbc];
lifetime-kilobytes kilobytes;
lifetime-seconds seconds;
…
}
-7-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
 Konfiguracja polityk IKE Phase 2 (w tym połączenie z propozycją IKE Phase 2):
[edit security ipsec]
user@srx# show
policy policy-name {
perfect-forward-secrecy {
keys [group1 | group2 | group5];
}
(proposals proposal-name) | (proposal-set [basic | compatible |
standard]);
…
}
 Konfiguracja tunelu VPN IKE Phase 2 (w tym połączenie z polityką IKE Phase 2):
[edit security ipsec]
user@srx# show
vpn vpn-name {
bind-interface st0.x;
ike {
gateway gateway-name;
ipsec-policy policy-name;
…
}
establish-tunnels [immediately | on-traffic];
…
}
Konfiguracja VPN typu Route-Based
 Konfiguracja VPN typu Route-Based:
[edit interface]
user@srx# show
st0 {
unit number {
family inet {
address address;
mtu mtu-size;
}
}
}
https://kb.juniper.net/InfoCenter/index?page=content&id=KB24647&actp=search
-8-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
[edit security ipsec]
user@srx# show
…
vpn vpn-name {
…
bind-interface st0.x;
…
}
[edit routing-options]
user@srx# show
static {
route 10.8.14.0/24 next-hop st0.x;
}
[edit security zones]
user@srx# show security-zone zone-name
…
interfaces {
ge-1/0/1.0;
st0.x;
}
Weryfikacja
-9-
ZADANIE.03
Korporacyjne Sieci Bez Granic v.2015
2. Czynności końcowe
 Zgrać konfiguracje urządzeń i zapisać na pendrive/e-mail/whatever.
- 10 -