KSBG.zad.03.VPN.L2L
Transkrypt
KSBG.zad.03.VPN.L2L
ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Imię Nazwisko ZADANIE.03 VPN L2L Virtual Private Network -1- site-to-site ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 ISP BACKBONE 79.96.21.160/28 GDA 212.191.89.64/26 SNAT WRO 212.191.89.128/26 SNAT LDZ reth1 ZONE Pracownicy: VLAN Produkcja VLAN Magazyn ZONE MGMT: VLAN MGMT ZONE Dyrekcja: VLAN Dyrekcja 212.191.89.0/26 ZONE OUTSIDE SNAT Control ZONE MGMT ZONE Dyrekcja Data SRX 240 SRX 240 ZONE Pracownicy L3 + trunk L3 + trunk reth0 10.G.255.252/30 Realizacja połączenia L3 dla VLAN po routingu (Magazyn, Produkcja) VLAN LINK VLAN 1000 10.G.10.0/24 10.G.99.0/24 VLAN Dyrekcja ge-0/0/5 – ge-0/0/9 L2/L3 EX3300 VLAN MGMT ge-1/0/2 – ge-1/0/4 VLAN 99 L2/L3 EX3300 VLAN 10 10.G.21.0/24 10.G.20.0/24 VLAN Magazyn ge-0/0/21 – ge-0/0/23 VLAN Produkcja ge-0/0/10 – ge-0/0/20 VLAN 21 VLAN 20 -2- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 1. Utworzenie VPN L2L pomiędzy lokalizacjami Zadania Przed utworzeniem połączeń VPN L2L: Zbudować sieć zgodnie z rysunkiem. Sprawdzić czy zapory sieciowe LDZ, WRO i GDA widzą się wzajemnie. Sprawdzić czy prawidłowo działa interfejs reth1 (Redundant Ethernet), rozłączając jeden z jego fizycznych linków (od zapory w stanie Active). Umożliwić komunikację pomiędzy sieciami Dyrekcyjnymi poprzez dodanie odpowiedniej polityki na każdej zaporze (oraz translacji DNAT!). Przeprowadzić testy przychwytywania ruchu pomiędzy zaporami sieciowymi WRO i GDA, WRO i LDZ oraz LDZ i GDA: Czy na hoście Attacker (czerwony ludzik) widoczne są nieszyfrowane dane z protokołów ICMP i FTP, przesyłane pomiędzy Dyrektorami? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. Zablokować komunikację pomiędzy sieciami Dyrekcyjnymi poprzez usunięcie odpowiedniej polityki na każdej zaporze (oraz translacji DNAT). -3- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Skonfigurować połączenie VPN L2L pomiędzy zaporami sieciowymi (interfejs/strefa outside) WRO i GDA, WRO i LDZ oraz LDZ i GDA: o Dyrektorzy widzą się wzajemnie (bez względu na lokalizację). o Dyrektorzy widzą Pracowników (bez względu na lokalizację). o Połączenia pomiędzy innymi strefami zdalnymi nie są możliwe. o Rodzaj tunelu ipsec-l2l o IKE Phase 1: polityka IKE Phase 1 (parametry wymagane w trakcie negocjacji połączenia z drugą stroną tunelu): uwierzytelnianie: pre-share szyfrowanie: AES-256 funkcja hash: SHA2 (256) grupa DH: 5 czas życia: 24h o IKE Phase 2: protokół: ESP szyfrowanie: AES-256 funkcja hash: SHA2 (256) tryb: tunnel Przeprowadzić testy przychwytywania ruchu pomiędzy zaporami sieciowymi WRO i GDA, WRO i LDZ oraz LDZ i GDA: Czy na hoście Attacker (czerwony ludzik) widoczne są nieszyfrowane dane z protokołów ICMP i FTP, przesyłane pomiędzy Dyrektorami?? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. Sprawdzić czy prawidłowo działa interfejs reth0 (Redundant Ethernet), rozłączając jeden z jego fizycznych linków (od zapory w stanie Active), co stało się z tunelem VPN? -4- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Na przykładzie tunelu pomiędzy lokalizacjami sprawdzić czy stosowany algorytm szyfrowania ma wpływ na szybkość transmisji, porównać otrzymane wyniki z transmisją nieszyfrowaną. -5- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Materiał pomocniczy Wstęp Istnieją dwie metody implementacji IPsec VPN: • • Policy based: o Upon a match, the security policy sets up the IPsec tunnel o New tunnel generates for each flow of traffic that matches a policy o Always has permit as policy action Route based: o Upon a match, the security policy permits traffic with the destination address pointing to the secure tunnel interface—st0.x o A route to the destination is through the st0.x interface, which is bound to a specific IPsec tunnel o Typically only one VPN generated between two sites Etapy konfiguracji IPsec VPN: • • • Konfiguracja fazy 1 protokołu IKE (IKE Phase 1) Konfiguracja fazy 2 protokołu IKE (IKE Phase 2) Wybór jednej z metod implementacji IPsec: o Konfiguracja policy-based IPsec o Konfiguracja route-based IPsec Konfiguracja fazy 1 protokołu IKE Konfiguracja propozycji IKE Phase 1: [edit security ike] user@srx# show proposal proposal-name { authentication-method [pre-shared-keys | rsa-signatures]; dh-group [group1 | group2 | group5]; authentication-algorithm [md5 | sha-256 | sha1]; encryption-algorithm [3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc]; lifetime-seconds seconds; … } -6- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Konfiguracja polityk IKE Phase 1 (w tym połączenie z propozycją IKE Phase 1): [edit security ike] user@srx# show policy policy-name { mode [main | aggressive]; (proposals proposal-name) | (proposal-set [basic | compatible | standard]); pre-shared-key [ascii-text | hexadecimal]; … } Konfiguracja gateway/peer IKE Phase 1 (w tym adres peer’a (czyli drugiej strony tunelu) oraz jakim interfejsem dostać się do niego oraz połączenie z polityką IKE Phase 1): [edit security ike] user@srx# show gateway gateway-name { ike-policy policy-name; address address; external-interface interface-name; dead-peer-detection { interval seconds; threshold number; } … } Konfiguracja fazy 2 protokołu IKE Konfiguracja propozycji IKE Phase 2: [edit security ipsec] user@srx# show proposal proposal-name { protocol [ah | esp]; authentication-algorithm [hmac-md5-96 | hmac-sha1-96]; encryption-algorithm [3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc]; lifetime-kilobytes kilobytes; lifetime-seconds seconds; … } -7- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 Konfiguracja polityk IKE Phase 2 (w tym połączenie z propozycją IKE Phase 2): [edit security ipsec] user@srx# show policy policy-name { perfect-forward-secrecy { keys [group1 | group2 | group5]; } (proposals proposal-name) | (proposal-set [basic | compatible | standard]); … } Konfiguracja tunelu VPN IKE Phase 2 (w tym połączenie z polityką IKE Phase 2): [edit security ipsec] user@srx# show vpn vpn-name { bind-interface st0.x; ike { gateway gateway-name; ipsec-policy policy-name; … } establish-tunnels [immediately | on-traffic]; … } Konfiguracja VPN typu Route-Based Konfiguracja VPN typu Route-Based: [edit interface] user@srx# show st0 { unit number { family inet { address address; mtu mtu-size; } } } https://kb.juniper.net/InfoCenter/index?page=content&id=KB24647&actp=search -8- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 [edit security ipsec] user@srx# show … vpn vpn-name { … bind-interface st0.x; … } [edit routing-options] user@srx# show static { route 10.8.14.0/24 next-hop st0.x; } [edit security zones] user@srx# show security-zone zone-name … interfaces { ge-1/0/1.0; st0.x; } Weryfikacja -9- ZADANIE.03 Korporacyjne Sieci Bez Granic v.2015 2. Czynności końcowe Zgrać konfiguracje urządzeń i zapisać na pendrive/e-mail/whatever. - 10 -