ZADANIE.02

ZADANIE.02
Ochrona danych v.2010
Imię
Nazwisko
ZADANIE.02
Virtual Private Network
Remote Access
VPN RA
3h
-1-
ZADANIE.02
Ochrona danych v.2010
1. Budowa sieci laboratoryjnej
Zadanie
 Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią (zadanie 00).
Topologia sieci laboratoryjnej
OUTSIDE
200.200.200.0/24
dmz
security-level 50
outside
security-level 0
192.168.G.0/24
subinterfaces, trunk
17G.16.0.0/16
1G.2.0.0/16
VLAN Admin
sec.lev.95
1G.10.0.0/16
VLAN Dyrekcja
1G.20.0.0/16
sec.lev.85
VLAN Pracownicy
sec.lev.80
-2-
ZADANIE.02
Ochrona danych v.2010
2. Wprowadzenie do VPN RA
 Przyłączyć do sieci outside dodatkowy host (Attacker), zgodnie z poniższym
rysunkiem:
200.200.200.0/24
OUTSIDE
 Przekierować cały ruch z portu przełącznika, do którego podłączony jest host PC na
port, do którego podłączony jest host Attacker.
Switch(config)#monitor session 1 source interface <nazwa> <nr>
Switch(config)#monitor session 1 destination interface <nazwa>
<nr> encapsulation replicate
 Na hoście Attacker przechwycić transmisję (np. za pomocą Wireshark) z hosta PC do
serwera FTP w dmz.
Czy widoczne są nieszyfrowane dane z protokołu FTP?
Jeśli tak, wykonać printscreen z nazwą użytkownika i hasłem do serwera FTP w dmz.
Jeśli nie, wyjaśnić dlaczego: …………………………………………………………………………………………
-3-
ZADANIE.02
Ochrona danych v.2010
3. Konfigurowanie serwera VPN RA
 Włączyć negocjowanie ISAKMP na interfejsie outside (na niego będą przychodziły
połączenia od klientów VPN RA):
PIX(config)# isakmp enable <interface-name>
 Ustawić adres jako identyfikator, który będzie przesyłany do klientów VPN RA:
PIX(config)# isakmp identity <address | hostname |
key-id key-id-string | auto>
-4-
ZADANIE.02
 Skonfigurować
Ochrona danych v.2010
politykę
ISAKMP
(parametry
wymagane
w
trakcie
negocjacji
połączenia z klientem VPN RA) o dowolnym priorytecie:
o uwierzytelnianie: pre-share;
o szyfrowanie: 3des;
o funkcja hash: sha;
o grupa: 2
o czas życia: 86400
PIX(config)# isakmp policy <nr> authentication <auth_method>
PIX(config)# isakmp policy <nr> encryption <enc_method>
PIX(config)# isakmp policy <nr> hash <hash_method>
PIX(config)# isakmp policy <nr> group <group_nr>
PIX(config)# isakmp policy <nr> lifetime <time>
 Skonfigurować pulę adresów (o dowolnej nazwie), które będą dynamicznie
przydzielane dla klientów VPN RA (adresy mają pochodzić z sieci 1G.21.0.0/16):
PIX(config)# ip local pool <pool_name>
<first_address>―<last_address> mask <mask>
 Utworzyć grupę protokołów tunelowych podając nazwę (dowolną) oraz rodzaj tunelu
(ipsec-ra):
PIX(config)# tunnel-group <tunnel_name> type <type>
 Przejść do trybu konfiguracji ogólnych parametrów dla wszystkich protokołów
tunelowych w utworzonej powyżej grupie:
PIX(config)# tunnel-group <tunnel_name> general-attributes
 Przypisać do grupy skonfigurowaną wcześniej pulę adresów dla klientów VPN RA:
PIX(config-general)# address-pool <pool_name>
-5-
ZADANIE.02
Ochrona danych v.2010
 Przejść do trybu konfiguracji szczegółowych parametrów dla protokołu tunelowego
IPSec w utworzonej powyżej grupie:
PIX(config)# tunnel-group <tunnel_name> ipsec-attributes
 Skonfigurować współdzielone hasło używane przy tworzeniu tuneli z klientami VPN
RA:
PIX(config-ipsec)# pre-shared-key <key>
 Utworzyć listę dostępową, która pozwoli na wszystkie połączenia IP z sieci
inside_pracownicy do klientów VPN RA:
PIX(config)# access-list <acl_nr> extended permit ip
<source_net> <source_mask> <dest_net> <dest_mask>
 Pominąć translację adresów (nat_id=0) dla połączeń z sieci inside_pracownicy do
klientów VPN RA:
PIX(config)# nat (<interface_name>) <nat_id> access-list <acl_nr>
 Wybrać metodę szyfrowania i uwierzytelniania (funkcję hash) przy komunikacji z
klientem VPN RA, nadać im dowolną nazwę:
PIX(config)# crypto ipsec transform-set <trans_name> esp-3des
esp-sha-hmac
 Skonfigurować dynamic crypto map, o dowolnej nazwie i numerze, w celu
zapewnienia możliwości połączenia klienta VPA RA z PIX/ASA:
PIX(config)# crypto dynamic-map <dynomap_name> <dyno map_nr>
set transform-set <trans_name>
 Utworzyć crypto map, o dowolnej nazwie i numerze, i przypisać do niej
skonfigurowaną powyżej dynamic crypto map:
-6-
ZADANIE.02
Ochrona danych v.2010
PIX(config)# crypto map <cryptomap_name> <cryptomap_nr>
ipsec-isakmp dynamic <dynomap_name>
 Przypisać utworzoną powyżej crypto map do interfejsu PIX/ASA, na który będą
przychodziły połączenia od klientów VPN RA:
PIX(config)# crypto map <cryptomap_name> interface
<interface_name>
4. Konfigurowanie klienta VPN RA
 Na hoście PC w strefie outside zainstalować klienta Cisco VPN RA.
 Utworzyć nowe połączenia.
 Skonfigurować nazwę dla tego połączenia oraz podać adres IP PIX/ASA.
 W zakładce Authentication wybrać Group Authentication i wprowadzić dane (nazwę i
hasło) utworzonej na PIX/ASA grupy protokołów tunelowych.
 W zakładce Transport zaznaczyć opcję Enable Transport Tunneling.
 Zapisać wykonane ustawienia dla połączenia.
 Skonfigurować na PIX/ASA przynajmniej jednego użytkownika:
PIX(config)# username <name> password <password> privilege 15
 Nacisnąć przycisk Connect aby ustanowić połączenie tunelowe pomiędzy klientem
VPN RA a PIX/ASA.
 Podać dane użytkownika dodanego do PIX/ASA.
-7-
ZADANIE.02
Ochrona danych v.2010
5. Weryfikacja działania połączenia tunelowego
 Z menu klienta Cisco VPN RA wybrać opcję Statistics.
Można odczytać między innymi liczbę przesłanych zaszyfrowanych pakietów oraz inne
szczegóły dotyczące utworzonego połączenia tunelowego.
 Poniższe polecenia pozwalają na weryfikację pracy oraz odczyt statystyk połączeń
tunelowych:
PIX# show crypto isakmp sa
PIX# show crypto ipsec sa
 W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się
trybem debug:
PIX# debug crypto isakmp
PIX# debug crypto ipsec
PIX# logging enable
PIX# logging console debug
-8-
ZADANIE.02
Ochrona danych v.2010
6. Kasowanie połączenia tunelowego
 W celu rozłączenie połączenia tunelowego należy wydać poniższe polecenie:
PIX# clear crypto ipsec sa
7. Kasowanie konfiguracji połączenia tunelowego
 W celu usunięcia konfiguracji połączenia tunelowego z PIX/ASA należy wydać
poniższe polecenia:
PIX(config)# clear configure isakmp
PIX(config)# clear configure ipsec
PIX(config)# clear configure tunnel-group
PIX(config)# clear configure crypto map
PIX(config)# clear configure sysopt
-9-
ZADANIE.02
Ochrona danych v.2010
8. Zakończenie VPN RA (wnioski, zaliczenie)
 Połączyć się z hosta PC w strefie outside z serwerem FTP w sieci inside_pracownicy.
Czy połączenie zakończyło się sukcesem? ………………………………………………………………………
Wyjaśnić dlaczego: ………………………………………………………………………………………………………….
 Na hoście Attacker przechwycić transmisję (np. za pomocą Wireshark) z hosta PC do
serwera FTP w inside_pracownicy.
Czy widoczne są nieszyfrowane dane z protokołu FTP?
Jeśli tak, wykonać printscreen z nazwą użytkownika i hasłem do serwera FTP.
Jeśli nie, wyjaśnić dlaczego: …………………………………………………………………………………………
Czy widoczne są szyfrowane dane tunelu VPN?
Jeśli tak, wykonać printscreen z nazwą protokołu przesyłającego dane tunelu.
Jeśli nie, wyjaśnić dlaczego: …………………………………………………………………………………………
 Zmodyfikować konfigurację PIX/ASA tak aby klient VPN RA mógł się łączyć także z
serwerami w sieci dmz.
Wykazać prawidłowość wykonanej konfiguracji poprzez połączenie z hosta PC w
strefie outside z serwerem FTP i WWW w sieci dmz.
 Zapisać, na podstawie statystyk klienta Cisco VPN RA, liczbę przesłanych tunelem
zaszyfrowanych pakietów: ………………………………………………………………………………………………
- 10 -