ZADANIE.09
Transkrypt
ZADANIE.09
ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa Imię Nazwisko ZADANIE.09 VPN L2L Virtual Private Network site-to-site (Router) -1- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa ISP LDZ 212.191.89.192/28 dmz security-level 50 outside security-level 0 ISP BACKBONE 79.96.21.160/28 212.191.89.0/26 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 VLAN Dyrekcja 10.G.20.0/24 sec.lev.85 VLAN Pracownicy ISP WRO 212.191.89.224/28 ISP GDA sec.lev.80 212.191.89.208/28 dmz security-level 50 outside security-level 0 dmz security-level 50 outside security-level 0 212.191.89.128/26 subinterfaces, trunk subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja VLAN Dyrekcja sec.lev.85 212.191.89.64/26 10.G.20.0/24 sec.lev.85 VLAN Pracownicy 10.G.20.0/24 VLAN Pracownicy sec.lev.80 sec.lev.80 -2- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa 1. Konfigurowanie VPN L2L Zadania Skonfigurować połączenie VPN L2L pomiędzy Routerami WRO i GDA, WRO i LDZ oraz LDZ i GDA: Ochrona ruchu pomiędzy sieciami outside. IKE Phase 1: polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z drugą stroną) o dowolnym priorytecie: o uwierzytelnianie: pre-share o szyfrowanie: aes o funkcja hash: sha o grupa DH: 2 o czas życia: 24h IKE Phase 2: o protokół: esp o szyfrowanie: aes o tryb: tunnel -3- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa Materiał pomocniczy Konfiguracja parametrów IKE/ISAKMP Włączyć IKE/ISAKMP: Router(config)#crypto isakmp enable Utworzyć politykę ISAKMP i ustalić jej priorytet: Router(config)#crypto isakmp policy nr Ustawić metodę uwierzytelniania: Router(config-isakmp)#authentication method Ustawić algorytm szyfrowania: Router(config-isakmp)#encryption method Ustawić grupę Diffie-Hellman: Router(config-isakmp)#group nr Ustawić funkcję skrótu: Router(config-isakmp)#hash method Ustawić czas życia IKE/ISAKMP (SA): Router(config-isakmp)#lifetime time Ustawić współdzielony klucz i adres IP peer’a VPN: Router(config)#crypto isakmp key key address peer_IP -4- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa Konfiguracja parametrów IPSec Zdefiniować ustawienia transformacji: Router(config)#crypto ipsec transform-set set_name enc Ustawić tryb: Router(cfg-crypto-trans)#mode mode Skonfigurować rozszerzoną listę kontroli dostępu ACL, która określi chroniony ruch: Router(config)#access-list acl_nr permit ip host host_IP_1 host host_IP_2 Skonfigurować crypto map: Router(config)#crypto map map_name nr ipsec-isakmp Wybrać listę kontroli dostępu ACL, która będzie użyta z tą crypto map: Router(config-crypto-map)#match address acl_nr Wybrać ustawienia transformacji zdefiniowane wcześniej: Router(config-crypto-map)#set transform-set set_name Przypisać peer’a VPN używając jego nazwy albo adresu IP: Router(config-crypto-map)#set peer peer_IP Dodać crypto map do wybranego interfejsu: Router(config)#interface name nr Router(config-if)#crypto map map_name -5- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa 2. Weryfikacja działania połączenia tunelowego Zadania Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN. W razie problemów użyć trybu debug. Przeprowadzić testy przychwytywania ruchu pomiędzy Routerami WRO i GRA, WRO i LDZ oraz LDZ i GDA: Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. Materiał pomocniczy Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt konfiguracji i statystyk połączeń tunelowych: Router# show crypto isakmp policy Router# show crypto ipsec transform-set Router# show crypto map ? -6- ZADANIE.09 Procesy Bezpieczeństwa Sieciowego v.2011alfa Router# show crypto isakmp ? Router# show crypto ipsec ? Router# show crypto session group Router# show crypto session summary Router# show crypto isakmp sa Router# show crypto ipsec sa W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się trybem debug: Router# debug crypto isakmp Router# debug crypto ipsec 3. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. -7-