ZADANIE.09

ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Imię
Nazwisko
ZADANIE.09
VPN L2L
Virtual Private Network
site-to-site
(Router)
-1-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
ISP
LDZ
212.191.89.192/28
dmz
security-level 50
outside
security-level 0
ISP BACKBONE
79.96.21.160/28
212.191.89.0/26
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
10.G.10.0/24
VLAN Dyrekcja
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
ISP
WRO
212.191.89.224/28
ISP
GDA
sec.lev.80
212.191.89.208/28
dmz
security-level 50
outside
security-level 0
dmz
security-level 50
outside
security-level 0
212.191.89.128/26
subinterfaces, trunk
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
VLAN Admin
sec.lev.95
10.G.10.0/24
10.G.10.0/24
VLAN Dyrekcja
VLAN Dyrekcja
sec.lev.85
212.191.89.64/26
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
10.G.20.0/24
VLAN Pracownicy
sec.lev.80
sec.lev.80
-2-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
1. Konfigurowanie VPN L2L
Zadania
Skonfigurować połączenie VPN L2L pomiędzy Routerami WRO i GDA,
WRO i LDZ oraz LDZ i GDA:
 Ochrona ruchu pomiędzy sieciami outside.
 IKE Phase 1:
polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z
drugą stroną) o dowolnym priorytecie:
o uwierzytelnianie:
pre-share
o szyfrowanie:
aes
o funkcja hash:
sha
o grupa DH:
2
o czas życia:
24h
 IKE Phase 2:
o protokół:
esp
o szyfrowanie:
aes
o tryb:
tunnel
-3-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Materiał pomocniczy
Konfiguracja parametrów IKE/ISAKMP
 Włączyć IKE/ISAKMP:
Router(config)#crypto isakmp enable
 Utworzyć politykę ISAKMP i ustalić jej priorytet:
Router(config)#crypto isakmp policy nr
 Ustawić metodę uwierzytelniania:
Router(config-isakmp)#authentication method
 Ustawić algorytm szyfrowania:
Router(config-isakmp)#encryption method
 Ustawić grupę Diffie-Hellman:
Router(config-isakmp)#group nr
 Ustawić funkcję skrótu:
Router(config-isakmp)#hash method
 Ustawić czas życia IKE/ISAKMP (SA):
Router(config-isakmp)#lifetime time
 Ustawić współdzielony klucz i adres IP peer’a VPN:
Router(config)#crypto isakmp key key address peer_IP
-4-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Konfiguracja parametrów IPSec
 Zdefiniować ustawienia transformacji:
Router(config)#crypto ipsec transform-set set_name enc
 Ustawić tryb:
Router(cfg-crypto-trans)#mode mode
 Skonfigurować rozszerzoną listę kontroli dostępu ACL, która określi
chroniony ruch:
Router(config)#access-list acl_nr permit ip
host host_IP_1 host host_IP_2
 Skonfigurować crypto map:
Router(config)#crypto map map_name nr ipsec-isakmp
 Wybrać listę kontroli dostępu ACL, która będzie użyta z tą crypto map:
Router(config-crypto-map)#match address acl_nr
 Wybrać ustawienia transformacji zdefiniowane wcześniej:
Router(config-crypto-map)#set transform-set set_name
 Przypisać peer’a VPN używając jego nazwy albo adresu IP:
Router(config-crypto-map)#set peer peer_IP
 Dodać crypto map do wybranego interfejsu:
Router(config)#interface name nr
Router(config-if)#crypto map map_name
-5-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
2. Weryfikacja działania połączenia tunelowego
Zadania
 Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN.
 W razie problemów użyć trybu debug.
 Przeprowadzić testy przychwytywania ruchu pomiędzy Routerami
WRO i GRA, WRO i LDZ oraz LDZ i GDA:
Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP?
 Jeśli tak pokazać przechwycony login i hasło.
 Jeśli nie wyjaśnić dlaczego.
Materiał pomocniczy
 Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt
konfiguracji i statystyk połączeń tunelowych:
Router# show crypto isakmp policy
Router# show crypto ipsec transform-set
Router# show crypto map ?
-6-
ZADANIE.09
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Router# show crypto isakmp ?
Router# show crypto ipsec ?
Router# show crypto session group
Router# show crypto session summary
Router# show crypto isakmp sa
Router# show crypto ipsec sa
 W przypadku problemów z utworzeniem połączenia tunelowego można
posłużyć się trybem debug:
Router# debug crypto isakmp
Router# debug crypto ipsec
3. Czynności końcowe
 Zgrać konfiguracje urządzeń na serwer TFTP.
 Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever.
-7-