ZyWALL Remote Security
Transkrypt
ZyWALL Remote Security
Support NET Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem „ZyWALL Remote Security Client”, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security Client: Po standardowej instalacji programu ZyXEL Remote Security Client, po prawej stronie paska zadań pojawi się ikona programu (duża literka S). Po dwukrotnym naciśnięciu myszką na w/w ikonie uzyskamy dostęp do menu konfiguracyjnego programu. W celu utworzenia nowego połączenia z menu Edycja wybieramy opcję Add a następnie Connection. Po zaznaczeniu nowo powstałego połączenia i wybraniu z menu Edycja opcji Rename jesteśmy w stanie nadać mu inną niż standardowa nazwę. Po zaznaczeniu naszego połączenia w prawej części okna Security Policy Editor pojawią się główne opcje dotyczące konfiguracji naszego kanału IPSec VPN. W tym miejscu musimy podać następujące dane: Connection Security: - Zaznaczamy opcję Secure. - Gdy chcemy aby nasze połączenie nie było inicjowane automatycznie, zaznaczamy opcję Only Connect Manually. Połączenie będzie nawiązywane wyłącznie po wybraniu opcji Connect z menu programu. Remote Party Identity and Addressing: - Wskazujemy konkretny adres IP, zakres adresów IP albo całą podsieć LAN, do której chcemy uzyskać dostęp za pośrednictwem tunelu IPSec VPN. - Wybieramy protokół, który ma być tunelowany, ewentualnie wskazujemy wszystkie możliwe protokoły. - Zaznaczamy pole Connect using, i z rozwijanej listy wybieramy opcje Secure Gateway Tunnel. W polu ID Type wybieramy IP Address, a następnie podajemy adres IP zdalnej bramki VPN (w naszym wypadku jest to adres IP interfejsu WAN ZyWALL’a 70). autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Naciskając znak +, który znajduje się przed nazwą naszego połączenia rozwijamy listę zawierającą nazwy poszczególnych faz konfiguracji kanału IPSec VPN. W lewej części okna Security Policy Editor zaznaczamy MyIdentity. Następnie z listy Select Certificate wybieramy opcję None. Naciskamy przycisk Pre-Shared Key i podajemy tajny klucz składający się z minimum 8 znaków (w naszym przykładzie: 12345678). autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Przechodzimy do sekcji Security Policy. W tym miejscu dokonujemy wyboru jednego z dwóch trybów dotyczących pierwszej fazy połaczenia IPSec VPN. Domyślnie wykorzystywany jest tryb Main Mode (strony ustalają potrzebne do zestawienia kanału informacje w 6 etapach). Tryb Aggressive Mode jest szybszy (informacje konieczne do zestawienia kanału uzgadniane są w 3 etapach). Aggressive Mode jest wykorzystywany na liniach o gorszej jakości, gdzie występują problemy z zestawieniem kanału IPSec VPN. autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Authentication (Phase 1) - W tym miejscu definiujemy szczegóły dotyczące pierwszej fazy połączenia IPSec VPN: - Z listy Authentication Method wybieramy opcję Pre-Shared Key. - Z listy Encrypt Alg wybieramy DES. - Z listy Hash Alg wybieramy MD5. - W polu SA Life podajemy czas życia parametrów ustalonych w ramach Security Association (algorytmów szyfrowania i metod uwierzytelniania). Czas ten najlepiej podać w sekundach ponieważ w takich właśnie jednostkach jest on ustalany na urządzeniach serii ZyWALL. - Z listy Key Group wybieramy opcję Diffie-Hellman Group 1. UWAGA! Wszystkie powyższe parametry muszą być zgodne z ustawieniami przyjętymi podczas konfiguracji urządzenia serii ZyWALL. autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Key Exchange (Phase 2) – Parametry dotyczące drugiej fazy tworzenia połączenia IP Sec VPN - - Określamy czas SA Life. Decydujemy jakiego protokołu będziemy używać: ESP czy AH. Protokół ESP (Encapsulate Security Payload) jest wykorzystywany do uwierzytelniania i częściowego szyfrowania danych. Protokół AH (Authentication Header) służy jedynie do uwierzytelniania danych. Po wybraniu protokołu ESP określamy następujące parametry: Encrypt Alg – np. DES, Hash Alg – np. SHA-1, Encapsulation - Tunnel. UWAGA! Wszystkie powyższe parametry muszą być zgodne z ustawieniami przyjętymi podczas konfiguracji urządzenia serii ZyWALL. autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Konfiguracja urządzenia ZyWALL 5/35/70: Po zalogowaniu się na urządzenie ZyWALL, korzystając z menu umieszczonego w prawej części ekranu przechodzimy do okna konfiguracji połączeń VPN. W pierwszym wierszu tabeli VPN Rules znajduje się przycisk Add Gateway Policy. Dodajemy nową regułę i w wywołanym oknie podajemy następujące dane: - Nadajemy nazwę dla naszego połączenia. W polu My Address podajemy adres IP przypisany do interfejsu WAN ZyWALL’a. W polu Pre-Shared Key – podajemy tajny klucz, który będzie wykorzystany w procesie zestawiania połączenia. W opcjach IKE Proposal – określamy parametry dotyczące pierwszej fazy połączenia IPSec VPN. Określamy Negotiation Mode (Main albo Aggressive), ustalamy Encryption Algorithm (DES, 3DES, AES), Authentication Algorithm (MD5, SHA1), podajemy (w sekundach) czas życia S.A. i określamy Key Group (DH1, DH2). autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Wszystkie określone na tym etapie parametry muszą być zgodne z konfiguracją programu ZyXEL Remote Security Client tak jak ma to miejsce na załączonych rysunkach. autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Po zapisaniu zmian w tabeli VPN Rules pojawi się nowa reguła o określonej przez nas nazwie. Naciskamy przycisk Add Network Policy znajdujący się na końcu wiersza zawierającego nazwę naszej reguły. Dzięki tej operacji uzyskamy dostęp do okna VPN – NETWORK POLICY EDIT. W oknie edycji Network Policy wprowadzamy następujące zmiany: - Zaznaczamy pole Active i przypisujemy dowolną nazwę. - Z rozwijanej listy oznaczonej jako Gateway Policy wybieramy nazwę wcześniej utworzonej reguły VPN. - W polu Local Network określamy adres IP, grupę adresów IP lub całą podsieć przypisaną do interfejsu LAN ZyWALL’a. Określone w ten sposób adresy będą mogły korzystać ze stworzonego kanału IPSec VPN. - Jeżeli komputer z zainstalowanym oprogramowaniem ZyXEL Remote Security Client jest podłączany do Internetu poprzez modem i ma dynamicznie przydzielany publiczny adres IP w opcjach dotyczących sieci zdalnej (Remote Network) nie dokonujemy żadnych zmian. - Opcje IPSec Proposal konfigurujemy zgodnie z założeniami przyjętymi w czasie konfiguracji aplikacji ZyXEL Remote Security Client. W naszym przypadku: Encapsulation Mode – Tunnel, Active protocol – ESP, Authentication Algorithm – SHA1, SA Life time – 28800, autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator Support NET Połączenie VPN IPSec omówione w na podstawie powyższego przykładu może być nawiązane jedynie od strony zdalnego klienta (komputera z zainstalowanym oprogramowaniem ZyXEL Remote Security Client). Przebieg nawiązywania połączenia możemy obserwować w logach urządzenia serii ZyWALL. No. Time Source IP Destination IP 25|09/28/2005 12:29:09 |217.99.7.138 Rule [VPN_Client] Tunnel built successfully 26|09/28/2005 12:29:09 |217.99.7.138 The cookie pair is : 0x4759841AC946119C / 27|09/28/2005 12:29:09 |83.18.18.26 Adjust TCP MSS to 1398 autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator |83.18.18.26 Note |IKE |83.18.18.26 |IKE 0x2808F86126999D90 |217.99.7.138 |IKE Support NET 28|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE Recv:[HASH] 29|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 33|09/28/2005 12:29:09 |83.18.18.26 |217.99.7.138 |IKE Send:[HASH][SA][NONCE][ID][ID] 34|09/28/2005 12:29:09 |83.18.18.26 |217.99.7.138 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 35|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE Swap rule to rule [VPN_Client] 36|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 37|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE Swap rule to rule [VPN_Client] 38|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 39|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE Start Phase 2: Quick Mode 40|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 41|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE Recv:[HASH][SA][NONCE][ID][ID] 42|09/28/2005 12:29:09 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 44|09/28/2005 12:29:08 |83.18.18.26 |217.99.7.138 |IKE Phase 1 IKE SA process done 45|09/28/2005 12:29:08 |83.18.18.26 |217.99.7.138 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 46|09/28/2005 12:29:08 |83.18.18.26 |217.99.7.138 |IKE Send:[ID][HASH][NOTFY:INIT_CONTACT]26999D90 47|09/28/2005 12:29:08 |83.18.18.26 |217.99.7.138 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 48|09/28/2005 12:29:08 |217.99.7.138 |83.18.18.26 |IKE Recv:[ID][HASH][NOTFY:REPLAY_STATUS26999D90 49|09/28/2005 12:29:08 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 51|09/28/2005 12:29:07 |83.18.18.26 |217.99.7.138 |IKE Send:[KE][NONCE] 52|09/28/2005 12:29:07 |83.18.18.26 |217.99.7.138 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 53|09/28/2005 12:29:07 |217.99.7.138 |83.18.18.26 |IKE Recv:[KE][NONCE][VID][VID][VID][VID26999D90 54|09/28/2005 12:29:07 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 55|09/28/2005 12:29:06 |83.18.18.26 |217.99.7.138 |IKE Send:[SA][VID][VID] 56|09/28/2005 12:29:06 |83.18.18.26 |217.99.7.138 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 57|09/28/2005 12:29:06 |217.99.7.138 |83.18.18.26 |IKE Recv:[SA][VID][VID] 58|09/28/2005 12:29:06 |217.99.7.138 |83.18.18.26 |IKE The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90 59|09/28/2005 12:29:06 |217.99.7.138 |83.18.18.26 |IKE Recv Main Mode request from [217.99.7.138] 60|09/28/2005 12:29:06 |217.99.7.138 |83.18.18.26 |IKE Rule [ZyWALL_Client] Receiving IKE request End of Logs autor: Bartłomiej Czekaj e-mail: [email protected] Network Administrator