KSBG.zad.02.VPN.L2L

ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
Imię
Nazwisko
ZADANIE.02
VPN L2L
Virtual Private Network
site-to-site
(ASA)
-1-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
ISP
LDZ
212.191.89.192/28
dmz
security-level 50
outside
security-level 0
ISP BACKBONE
79.96.21.160/28
212.191.89.0/26
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
10.G.10.0/24
VLAN Dyrekcja
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
ISP
WRO
212.191.89.224/28
ISP
GDA
sec.lev.80
212.191.89.208/28
dmz
security-level 50
outside
security-level 0
dmz
security-level 50
outside
security-level 0
212.191.89.128/26
subinterfaces, trunk
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
VLAN Admin
sec.lev.95
10.G.10.0/24
10.G.10.0/24
VLAN Dyrekcja
VLAN Dyrekcja
sec.lev.85
212.191.89.64/26
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
10.G.20.0/24
VLAN Pracownicy
sec.lev.80
sec.lev.80
-2-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
1. Konfigurowanie VPN L2L
Zadania
Skonfigurować połączenie VPN L2L pomiędzy ASA (interfejs outside)
WRO i GDA, WRO i LDZ oraz LDZ i GDA:
 Ochrona ruchu ze strefy Dyrekcja do dmz
 Adres interfejsu jako identyfikator peer’a
 Rodzaj tunelu ipsec-l2l
 IKE Phase 1:
polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z
drugą stroną) o dowolnym priorytecie:
o uwierzytelnianie:
pre-share
o szyfrowanie:
aes
o funkcja hash:
sha
o grupa DH:
2
o czas życia:
24h
 IKE Phase 2:
o protokół:
esp
o szyfrowanie:
aes
o tryb:
tunnel
-3-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
Materiał pomocniczy
 Włączyć pomijanie weryfikacji pakietów z tuneli IPSec przez ACL
przypisane do interfejsów poleceniem access-group:
ASA(config)# sysopt connection permit-vpn
 Włączyć negocjowanie ISAKMP na interfejsie (na niego będą przychodziły
połączenia od peer’ów VPN L2L):
ASA(config)# isakmp enable interface-name
 Ustawić identyfikator, który będzie przesyłany do peer’ów VPN L2L:
ASA(config)# isakmp identity [address | hostname |
key-id
key-id-string | auto]
 Skonfigurować politykę ISAKMP (parametry wymagane w trakcie
negocjacji połączenia z peer’em VPN L2L) o dowolnym priorytecie:
ASA(config)# isakmp policy nr
ASA(config-isakmp-policy)# authentication auth_method
ASA(config-isakmp-policy)# encryption enc_method
ASA(config-isakmp-policy)# hash hash_method
ASA(config-isakmp-policy)# group group_nr
ASA(config-isakmp-policy)# lifetime time
-4-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
 Utworzyć grupę protokołów tunelowych podając nazwę (adres IP peer’a)
oraz rodzaj tunelu:
ASA(config)# tunnel-group tunnel_name type type
 Przejść do trybu konfiguracji szczegółowych parametrów dla protokołu
tunelowego IPSec w utworzonej powyżej grupie:
ASA(config)# tunnel-group tunnel_name ipsec-attributes
 Skonfigurować współdzielone hasło używane przy tworzeniu tuneli z
peer’ami VPN L2L:
ASA(config-ipsec)# pre-shared-key key
 Utworzyć listę dostępową, która pozwoli na wszystkie połączenia IP
pomiędzy wybranymi strefami (sieciami):
ASA(config)# access-list acl_nr extended permit ip
source_net
source_mask
dest_net
dest_mask
 Pominąć translację adresów (nat_id=0) pomiędzy wybranymi strefami
(sieciami):
ASA(config)# nat (interface_name) nat_id
access-list acl_nr
 Wybrać metodę szyfrowania i uwierzytelniania (funkcję hash) przy
komunikacji z peer’em VPN L2L, nadać im dowolną nazwę:
ASA(config)# crypto ipsec transform-set trans_name
enc hmac
-5-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
 Utworzyć crypto map, o nazwie zgodnej z id peer’a VPN L2L i dowolnym
numerze, a następnie przypisać do niej skonfigurowaną powyżej listę
dostępową:
ASA(config)# crypto map peer_id cryptomap_nr
match address acl_nr
 Podać adres IP peer’a VPN L2L (adres IP outside odległej ASA):
ASA(config)# crypto map peer_id cryptomap_nr
set peer ip_address_peer
 Podać skonfigurowany wcześniej zestaw algorytmów szyfrowania i
uwierzytelniania wykorzystywany przy komunikacji z peer’em VPN L2L:
PIX_WRO(config)# crypto map peer_id cryptomap_nr
set transform-set trans_name
 Przypisać utworzoną powyżej crypto map do interfejsu ASA, na który
będą przychodziły połączenia od peer’ów VPN L2L:
ASA(config)# crypto map peer_id interface
interface_name
-6-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
2. Weryfikacja działania połączenia tunelowego
Zadania
 Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN.
 W razie problemów użyć trybu debug.
 Przeprowadzić testy przychwytywania ruchu pomiędzy ASA
WRO i GRA, WRO i LDZ oraz LDZ i GDA:
Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP?
 Jeśli tak pokazać przechwycony login i hasło.
 Jeśli nie wyjaśnić dlaczego.
 Zmodyfikować konfiguracje ASA tak aby były tworzone tunele VPN L2L
przy połączeniach:
o z dowolnej lokalizacji ze strefy Dyrekcja do dowolnej
lokalizacji do strefy Dyrekcja oraz dmz,
o z dowolnej lokalizacji ze strefy Pracownicy do dowolnej
lokalizacji do strefy dmz.
Wykazać prawidłowość działania zmienionych konfiguracji.
 Na przykładzie tunelu pomiędzy lokalizacjami sprawdzić czy stosowany algorytm szyfrowania
(des, 3des) ma wpływ na szybkość transmisji, porównać otrzymane wyniki z transmisją
nieszyfrowaną.
-7-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
Materiał pomocniczy
 Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt
konfiguracji i statystyk połączeń tunelowych:
ASA# show crypto isakmp sa
ASA# show crypto ipsec sa
 W przypadku problemów z utworzeniem połączenia tunelowego można
posłużyć się trybem debug:
ASA# debug crypto isakmp
ASA# debug crypto ipsec
ASA# logging enable
ASA# logging console debug
3. Kasowanie połączenia tunelowego
 W celu rozłączenie połączenia tunelowego należy wydać poniższe
polecenie:
ASA# clear crypto ipsec sa
-8-
ZADANIE.02
Korporacyjne Sieci Bez Granic v.2013
4. Kasowanie konfiguracji połączenia tunelowego
 W celu usunięcia konfiguracji połączenia tunelowego z ASA należy wydać
poniższe polecenia:
ASA(config)# clear configure isakmp
ASA(config)# clear configure ipsec
ASA(config)# clear configure tunnel-group
ASA(config)# clear configure crypto map
ASA(config)# clear configure sysopt
5. Czynności końcowe
 Zgrać konfiguracje urządzeń na serwer TFTP.
 Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever.
-9-