KSBG.zad.02.VPN.L2L
Transkrypt
KSBG.zad.02.VPN.L2L
ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) -1- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ISP LDZ 212.191.89.192/28 dmz security-level 50 outside security-level 0 ISP BACKBONE 79.96.21.160/28 212.191.89.0/26 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 VLAN Dyrekcja 10.G.20.0/24 sec.lev.85 VLAN Pracownicy ISP WRO 212.191.89.224/28 ISP GDA sec.lev.80 212.191.89.208/28 dmz security-level 50 outside security-level 0 dmz security-level 50 outside security-level 0 212.191.89.128/26 subinterfaces, trunk subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja VLAN Dyrekcja sec.lev.85 212.191.89.64/26 10.G.20.0/24 sec.lev.85 VLAN Pracownicy 10.G.20.0/24 VLAN Pracownicy sec.lev.80 sec.lev.80 -2- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 1. Konfigurowanie VPN L2L Zadania Skonfigurować połączenie VPN L2L pomiędzy ASA (interfejs outside) WRO i GDA, WRO i LDZ oraz LDZ i GDA: Ochrona ruchu ze strefy Dyrekcja do dmz Adres interfejsu jako identyfikator peer’a Rodzaj tunelu ipsec-l2l IKE Phase 1: polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z drugą stroną) o dowolnym priorytecie: o uwierzytelnianie: pre-share o szyfrowanie: aes o funkcja hash: sha o grupa DH: 2 o czas życia: 24h IKE Phase 2: o protokół: esp o szyfrowanie: aes o tryb: tunnel -3- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 Materiał pomocniczy Włączyć pomijanie weryfikacji pakietów z tuneli IPSec przez ACL przypisane do interfejsów poleceniem access-group: ASA(config)# sysopt connection permit-vpn Włączyć negocjowanie ISAKMP na interfejsie (na niego będą przychodziły połączenia od peer’ów VPN L2L): ASA(config)# isakmp enable interface-name Ustawić identyfikator, który będzie przesyłany do peer’ów VPN L2L: ASA(config)# isakmp identity [address | hostname | key-id key-id-string | auto] Skonfigurować politykę ISAKMP (parametry wymagane w trakcie negocjacji połączenia z peer’em VPN L2L) o dowolnym priorytecie: ASA(config)# isakmp policy nr ASA(config-isakmp-policy)# authentication auth_method ASA(config-isakmp-policy)# encryption enc_method ASA(config-isakmp-policy)# hash hash_method ASA(config-isakmp-policy)# group group_nr ASA(config-isakmp-policy)# lifetime time -4- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 Utworzyć grupę protokołów tunelowych podając nazwę (adres IP peer’a) oraz rodzaj tunelu: ASA(config)# tunnel-group tunnel_name type type Przejść do trybu konfiguracji szczegółowych parametrów dla protokołu tunelowego IPSec w utworzonej powyżej grupie: ASA(config)# tunnel-group tunnel_name ipsec-attributes Skonfigurować współdzielone hasło używane przy tworzeniu tuneli z peer’ami VPN L2L: ASA(config-ipsec)# pre-shared-key key Utworzyć listę dostępową, która pozwoli na wszystkie połączenia IP pomiędzy wybranymi strefami (sieciami): ASA(config)# access-list acl_nr extended permit ip source_net source_mask dest_net dest_mask Pominąć translację adresów (nat_id=0) pomiędzy wybranymi strefami (sieciami): ASA(config)# nat (interface_name) nat_id access-list acl_nr Wybrać metodę szyfrowania i uwierzytelniania (funkcję hash) przy komunikacji z peer’em VPN L2L, nadać im dowolną nazwę: ASA(config)# crypto ipsec transform-set trans_name enc hmac -5- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 Utworzyć crypto map, o nazwie zgodnej z id peer’a VPN L2L i dowolnym numerze, a następnie przypisać do niej skonfigurowaną powyżej listę dostępową: ASA(config)# crypto map peer_id cryptomap_nr match address acl_nr Podać adres IP peer’a VPN L2L (adres IP outside odległej ASA): ASA(config)# crypto map peer_id cryptomap_nr set peer ip_address_peer Podać skonfigurowany wcześniej zestaw algorytmów szyfrowania i uwierzytelniania wykorzystywany przy komunikacji z peer’em VPN L2L: PIX_WRO(config)# crypto map peer_id cryptomap_nr set transform-set trans_name Przypisać utworzoną powyżej crypto map do interfejsu ASA, na który będą przychodziły połączenia od peer’ów VPN L2L: ASA(config)# crypto map peer_id interface interface_name -6- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 2. Weryfikacja działania połączenia tunelowego Zadania Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN. W razie problemów użyć trybu debug. Przeprowadzić testy przychwytywania ruchu pomiędzy ASA WRO i GRA, WRO i LDZ oraz LDZ i GDA: Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. Zmodyfikować konfiguracje ASA tak aby były tworzone tunele VPN L2L przy połączeniach: o z dowolnej lokalizacji ze strefy Dyrekcja do dowolnej lokalizacji do strefy Dyrekcja oraz dmz, o z dowolnej lokalizacji ze strefy Pracownicy do dowolnej lokalizacji do strefy dmz. Wykazać prawidłowość działania zmienionych konfiguracji. Na przykładzie tunelu pomiędzy lokalizacjami sprawdzić czy stosowany algorytm szyfrowania (des, 3des) ma wpływ na szybkość transmisji, porównać otrzymane wyniki z transmisją nieszyfrowaną. -7- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 Materiał pomocniczy Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt konfiguracji i statystyk połączeń tunelowych: ASA# show crypto isakmp sa ASA# show crypto ipsec sa W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się trybem debug: ASA# debug crypto isakmp ASA# debug crypto ipsec ASA# logging enable ASA# logging console debug 3. Kasowanie połączenia tunelowego W celu rozłączenie połączenia tunelowego należy wydać poniższe polecenie: ASA# clear crypto ipsec sa -8- ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 4. Kasowanie konfiguracji połączenia tunelowego W celu usunięcia konfiguracji połączenia tunelowego z ASA należy wydać poniższe polecenia: ASA(config)# clear configure isakmp ASA(config)# clear configure ipsec ASA(config)# clear configure tunnel-group ASA(config)# clear configure crypto map ASA(config)# clear configure sysopt 5. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. -9-