ZADANIE.02
Transkrypt
ZADANIE.02
ZADANIE.02 Ochrona danych v.2010 Imię Nazwisko ZADANIE.02 Virtual Private Network Remote Access VPN RA 3h -1- ZADANIE.02 Ochrona danych v.2010 1. Budowa sieci laboratoryjnej Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią (zadanie 00). Topologia sieci laboratoryjnej OUTSIDE 200.200.200.0/24 dmz security-level 50 outside security-level 0 192.168.G.0/24 subinterfaces, trunk 17G.16.0.0/16 1G.2.0.0/16 VLAN Admin sec.lev.95 1G.10.0.0/16 VLAN Dyrekcja 1G.20.0.0/16 sec.lev.85 VLAN Pracownicy sec.lev.80 -2- ZADANIE.02 Ochrona danych v.2010 2. Wprowadzenie do VPN RA Przyłączyć do sieci outside dodatkowy host (Attacker), zgodnie z poniższym rysunkiem: 200.200.200.0/24 OUTSIDE Przekierować cały ruch z portu przełącznika, do którego podłączony jest host PC na port, do którego podłączony jest host Attacker. Switch(config)#monitor session 1 source interface <nazwa> <nr> Switch(config)#monitor session 1 destination interface <nazwa> <nr> encapsulation replicate Na hoście Attacker przechwycić transmisję (np. za pomocą Wireshark) z hosta PC do serwera FTP w dmz. Czy widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak, wykonać printscreen z nazwą użytkownika i hasłem do serwera FTP w dmz. Jeśli nie, wyjaśnić dlaczego: ………………………………………………………………………………………… -3- ZADANIE.02 Ochrona danych v.2010 3. Konfigurowanie serwera VPN RA Włączyć negocjowanie ISAKMP na interfejsie outside (na niego będą przychodziły połączenia od klientów VPN RA): PIX(config)# isakmp enable <interface-name> Ustawić adres jako identyfikator, który będzie przesyłany do klientów VPN RA: PIX(config)# isakmp identity <address | hostname | key-id key-id-string | auto> -4- ZADANIE.02 Skonfigurować Ochrona danych v.2010 politykę ISAKMP (parametry wymagane w trakcie negocjacji połączenia z klientem VPN RA) o dowolnym priorytecie: o uwierzytelnianie: pre-share; o szyfrowanie: 3des; o funkcja hash: sha; o grupa: 2 o czas życia: 86400 PIX(config)# isakmp policy <nr> authentication <auth_method> PIX(config)# isakmp policy <nr> encryption <enc_method> PIX(config)# isakmp policy <nr> hash <hash_method> PIX(config)# isakmp policy <nr> group <group_nr> PIX(config)# isakmp policy <nr> lifetime <time> Skonfigurować pulę adresów (o dowolnej nazwie), które będą dynamicznie przydzielane dla klientów VPN RA (adresy mają pochodzić z sieci 1G.21.0.0/16): PIX(config)# ip local pool <pool_name> <first_address>―<last_address> mask <mask> Utworzyć grupę protokołów tunelowych podając nazwę (dowolną) oraz rodzaj tunelu (ipsec-ra): PIX(config)# tunnel-group <tunnel_name> type <type> Przejść do trybu konfiguracji ogólnych parametrów dla wszystkich protokołów tunelowych w utworzonej powyżej grupie: PIX(config)# tunnel-group <tunnel_name> general-attributes Przypisać do grupy skonfigurowaną wcześniej pulę adresów dla klientów VPN RA: PIX(config-general)# address-pool <pool_name> -5- ZADANIE.02 Ochrona danych v.2010 Przejść do trybu konfiguracji szczegółowych parametrów dla protokołu tunelowego IPSec w utworzonej powyżej grupie: PIX(config)# tunnel-group <tunnel_name> ipsec-attributes Skonfigurować współdzielone hasło używane przy tworzeniu tuneli z klientami VPN RA: PIX(config-ipsec)# pre-shared-key <key> Utworzyć listę dostępową, która pozwoli na wszystkie połączenia IP z sieci inside_pracownicy do klientów VPN RA: PIX(config)# access-list <acl_nr> extended permit ip <source_net> <source_mask> <dest_net> <dest_mask> Pominąć translację adresów (nat_id=0) dla połączeń z sieci inside_pracownicy do klientów VPN RA: PIX(config)# nat (<interface_name>) <nat_id> access-list <acl_nr> Wybrać metodę szyfrowania i uwierzytelniania (funkcję hash) przy komunikacji z klientem VPN RA, nadać im dowolną nazwę: PIX(config)# crypto ipsec transform-set <trans_name> esp-3des esp-sha-hmac Skonfigurować dynamic crypto map, o dowolnej nazwie i numerze, w celu zapewnienia możliwości połączenia klienta VPA RA z PIX/ASA: PIX(config)# crypto dynamic-map <dynomap_name> <dyno map_nr> set transform-set <trans_name> Utworzyć crypto map, o dowolnej nazwie i numerze, i przypisać do niej skonfigurowaną powyżej dynamic crypto map: -6- ZADANIE.02 Ochrona danych v.2010 PIX(config)# crypto map <cryptomap_name> <cryptomap_nr> ipsec-isakmp dynamic <dynomap_name> Przypisać utworzoną powyżej crypto map do interfejsu PIX/ASA, na który będą przychodziły połączenia od klientów VPN RA: PIX(config)# crypto map <cryptomap_name> interface <interface_name> 4. Konfigurowanie klienta VPN RA Na hoście PC w strefie outside zainstalować klienta Cisco VPN RA. Utworzyć nowe połączenia. Skonfigurować nazwę dla tego połączenia oraz podać adres IP PIX/ASA. W zakładce Authentication wybrać Group Authentication i wprowadzić dane (nazwę i hasło) utworzonej na PIX/ASA grupy protokołów tunelowych. W zakładce Transport zaznaczyć opcję Enable Transport Tunneling. Zapisać wykonane ustawienia dla połączenia. Skonfigurować na PIX/ASA przynajmniej jednego użytkownika: PIX(config)# username <name> password <password> privilege 15 Nacisnąć przycisk Connect aby ustanowić połączenie tunelowe pomiędzy klientem VPN RA a PIX/ASA. Podać dane użytkownika dodanego do PIX/ASA. -7- ZADANIE.02 Ochrona danych v.2010 5. Weryfikacja działania połączenia tunelowego Z menu klienta Cisco VPN RA wybrać opcję Statistics. Można odczytać między innymi liczbę przesłanych zaszyfrowanych pakietów oraz inne szczegóły dotyczące utworzonego połączenia tunelowego. Poniższe polecenia pozwalają na weryfikację pracy oraz odczyt statystyk połączeń tunelowych: PIX# show crypto isakmp sa PIX# show crypto ipsec sa W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się trybem debug: PIX# debug crypto isakmp PIX# debug crypto ipsec PIX# logging enable PIX# logging console debug -8- ZADANIE.02 Ochrona danych v.2010 6. Kasowanie połączenia tunelowego W celu rozłączenie połączenia tunelowego należy wydać poniższe polecenie: PIX# clear crypto ipsec sa 7. Kasowanie konfiguracji połączenia tunelowego W celu usunięcia konfiguracji połączenia tunelowego z PIX/ASA należy wydać poniższe polecenia: PIX(config)# clear configure isakmp PIX(config)# clear configure ipsec PIX(config)# clear configure tunnel-group PIX(config)# clear configure crypto map PIX(config)# clear configure sysopt -9- ZADANIE.02 Ochrona danych v.2010 8. Zakończenie VPN RA (wnioski, zaliczenie) Połączyć się z hosta PC w strefie outside z serwerem FTP w sieci inside_pracownicy. Czy połączenie zakończyło się sukcesem? ……………………………………………………………………… Wyjaśnić dlaczego: …………………………………………………………………………………………………………. Na hoście Attacker przechwycić transmisję (np. za pomocą Wireshark) z hosta PC do serwera FTP w inside_pracownicy. Czy widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak, wykonać printscreen z nazwą użytkownika i hasłem do serwera FTP. Jeśli nie, wyjaśnić dlaczego: ………………………………………………………………………………………… Czy widoczne są szyfrowane dane tunelu VPN? Jeśli tak, wykonać printscreen z nazwą protokołu przesyłającego dane tunelu. Jeśli nie, wyjaśnić dlaczego: ………………………………………………………………………………………… Zmodyfikować konfigurację PIX/ASA tak aby klient VPN RA mógł się łączyć także z serwerami w sieci dmz. Wykazać prawidłowość wykonanej konfiguracji poprzez połączenie z hosta PC w strefie outside z serwerem FTP i WWW w sieci dmz. Zapisać, na podstawie statystyk klienta Cisco VPN RA, liczbę przesłanych tunelem zaszyfrowanych pakietów: ……………………………………………………………………………………………… - 10 -