ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -



Podobne dokumenty
ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZADANIE.10 DHCP (Router, ASA) 1,5h

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Systemy bezpieczeństwa sieciowego

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Budowa i konfiguracja sieci komputerowej cz.2

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

Badanie bezpieczeństwa IPv6

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h


ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

Windows Server Serwer RADIUS

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Konfiguracja aplikacji ZyXEL Remote Security Client:

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN LAN-LAN PPTP

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Telefon AT 530 szybki start.

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Laboratorium - Dostęp do urządzeń sieciowych za pomocą SSH

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Laboratorium Użycie wiersza poleceń w celu zebrania informacji na temat urządzeń sieciowych

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

ZiMSK. Konsola, TELNET, SSH 1

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Telefon IP 620 szybki start.

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend...

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Metryka dokumentu. str. 2. Tytuł. CEPiK 2 dostęp VPN. Centralny Ośrodek Informatyki. Zatwierdzający. Wersja Data Kto Opis zmian.

Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Połączenie VPN Host-LAN PPTP z autentykacją LDAP/AD. 1. Konfiguracja serwera VPN 1.1. LDAP/AD 1.2. Ustawienia ogólne 1.3.

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

L2TP over IPSec Application

Zadanie3: Odszukaj w serwisie internetowym Wikipedii informacje na temat Wirtualnych Sieci Prywatnych (VPN, Virtual Private Network).

Ćwiczenie Konfiguracja routingu między sieciami VLAN

Tworzenie połączeń VPN.

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bramka IP 2R+L szybki start.

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

MikroTik Serwer OpenVPN

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

pasja-informatyki.pl

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Krok 2 Podłącz zasilanie do routera bezprzewodowego. Uruchom komputer i zaloguj się jako administrator.

Transkrypt:

Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 -

212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 212.191.89.224/28 ISP WRO VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 ISP GDA 212.191.89.208/28 dmz security-level 50 dmz security-level 50 outside security-level 0 212.191.89.128/26 outside security-level 0 212.191.89.64/26 subinterfaces, trunk 172.16+G.0.0/16 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80-2 -

1. Konfigurowanie serwera VPN RA Zadania Skonfigurować serwer VPN RA na Router: Serwer ma przyjmować połączenia na interfejsie serial Możliwość realizacji połączeń do sieci outside Identyfikatorem serwera ma być adres IP interfejsu serial Pula adresów dla klientów VPN RA: 192.168.G.0/24 Rodzaj tunelu: ipsec-ra IKE Phase 1: polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z klientem VPN RA) o dowolnym priorytecie: o uwierzytelnianie: pre-share o szyfrowanie: 3des o funkcja hash: sha o grupa DH: 2 o czas życia: 1h IKE Phase 2: o protokół: esp o szyfrowanie: 3des o uwierzytelnianie: sha-hmac - 3 -

Materiał pomocniczy Ustawienie polityki AAA Włączyć AAA: Router(config)# aaa new-model (Opcja) Zmienić tekst wyświetlany kiedy użytkownik zostanie zapytany o hasło: Router(config)# aaa authentication password-prompt text-string (Opcja) Zmienić tekst wyświetlany kiedy użytkownik zostanie zapytany o nazwę użytkownika: Router(config)# aaa authentication username prompt text-string Ustawić metodę (bazę) uwierzytelniania AAA przy logowaniu (baza local i baza RADIUS mogą być ustawione jednocześnie, będą odpytywane w wybranej kolejności, do pierwszej aktywnej): Router(config)# aaa authentication login list-name method1 [method2...] Ustawić metodę (bazę) autoryzacji AAA dla usług sieciowych (baza local i baza RADIUS mogą być ustawione jednocześnie, będą odpytywane w wybranej kolejności, do pierwszej aktywnej): Router(config)# aaa authorization network list-name method1 [method2...] - 4 -

Zdefiniować użytkowników w bazie local jeśli RADIUS albo TACACS+ nie będą używane: Router(config)# username name password encryption-type password Utworzenie polityki ISAKMP Skonfigurować politykę ISAKMP: Router(config)# crypto isakmp policy nr Router(config-isakmp)# encryption method Router(config-isakmp)# hash method Router(config-isakmp)# authentication method Router(config-isakmp)# group nr Definiowanie polityki dla grupy Ustalić lokalną pulę adresów IP, która będzie użyta gdy klient VPN RA połączy się: Router(config)# ip local pool ippool start_ip end_ip Przejść do konfiguracji parametrów / polityki ISAKMP dla profilu grupy: Router(config)# crypto isakmp client configuration group group-name Określić klucz współdzielony dla grupy: Router(config-isakmp-group)# key name - 5 -

(Opcja) Określić podstawowy i zapasowy serwer DNS dla grupy: Router(config-isakmp-group)# dns primary-server secondary-server (Opcja) Określić podstawowy i zapasowy serwer WINS dla grupy: Router(config-isakmp-group)# wins primary-server secondary-server (Opcja) Określić domenę DNS, do której grupa należy: Router(config-isakmp-group)# domain name Określić lokalną pulę adresów dla klientów VPN RA (pule mogą być zdefiniowane niezależnie dla każdej grupy): Router(config-isakmp-group)# pool ippool (Opcja) Określić maskę podsieci, która zostanie przypisana klientowi VPN RA dla lokalnych połączeń (zaleca się stosowanie maski /32): Router(config-isakmp-group)# netmask IP_mask (Opcja) Skonfigurować split tunneling (ACL reprezentuje chronioną podsieć dla split tunneling): Router(config-isakmp-group)# acl number Utworzenie crypto map i dodanie do niej parametrów grupy oraz polityki AAA Konfiguracja trybu w jakim będą obsługiwane żądania od klientów VPN RA (Cisco clients require the respond keyword to be used; however, if - 6 -

the Cisco Secure VPN Client 1.x is used, the initiate keyword must be used; initiate and respond keywords may be used simultaneously): Router(config)# crypto map map-name client configuration address [initiate respond] Włączyć autoryzację IKE dla grupy kiedy jest żądana przez klienta VPN RA (argument list-name określa jaka polityka AAA skonfigurowana poleceniem aaa authorization network będzie użyta): Router(config)# crypto map map-name isakmp authorization list list-name Włączyć uwierzytelnianie (argument list-name określa jaka polityka AAA skonfigurowana poleceniem aaa authentication login będzie użyta): Router(config)# crypto map map-name client authentication list list-name Przypisać dynamic crypto map (wcześniej zdefiniować dynamic crypto map): Router(config)# crypto map map-name nr ipsec-isakmp dynamic dyn-map Włączenie Reverse Route Injection dla klientów VPN RA Określić metodę szyfrowania i funkcję skrótu jakie będą powiązane z dynamic crypto map: Router(config)# crypto ipsec transform-set t-set enc hmac Router(cfg-crypto-trans)# exit - 7 -

Utworzyć dynamic crypto map i przejść do trybu jej konfiguracji: Router(config)# crypto dynamic-map dyn-map nr Określić metodę szyfrowania i funkcję skrótu jakie będą dozwolone dla tej dynamic crypto map: Router(config-crypto-map)# set transform-set t-set Określić informację o proxy: Router(config-crypto-map)# reverse-route Przpisanie crypto map do wybranego interfejsu Router(config)# interface name nr Router(config-if)# crypto map map-name - 8 -

2. Konfigurowanie klienta VPN RA Zadania Na hostach PC w strefach outside oraz Pracownicy lokalizacji LDZ, WRO i GDA zainstalować klienta Cisco VPN RA i skonfigurować 3 połączenia do każdej strefy outside przy lokalizacji LDZ, WRO i GDA wg poniższych wytycznych: o Utworzyć nowe połączenia. o Skonfigurować nazwę dla tego połączenia oraz podać adres IP Router. o W zakładce Authentication wybrać Group Authentication i wprowadzić dane (nazwę i hasło) utworzonej na Router grupy protokołów tunelowych. o W zakładce Transport zaznaczyć opcję Enable Transport Tunneling. o Zapisać wykonane ustawienia dla połączenia. o Nacisnąć przycisk Connect aby ustanowić połączenie tunelowe pomiędzy klientem VPN RA a Router. o Podać dane użytkownika dodanego do Router. - 9 -

3. Weryfikacja działania połączenia tunelowego Zadania Pokazać statystyki w Cisco VPN RA potwierdzające przesyłanie zaszyfrowanych pakietów. Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN. W razie problemów użyć trybu debug. Przeprowadzić testy przychwytywania ruchu: Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. - 10 -

Materiał pomocniczy Z menu klienta Cisco VPN RA wybrać opcję Statistics. Można odczytać między innymi liczbę przesłanych zaszyfrowanych pakietów oraz inne szczegóły dotyczące utworzonego połączenia tunelowego. Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt konfiguracji i statystyk połączeń tunelowych: Router# show aaa method-lists authentication Router# show aaa method-lists authorization Router# show crypto isakmp policy Router# show crypto ipsec transform-set Router# show crypto map? Router# show crypto isakmp? Router# show crypto ipsec? Router# show crypto session group Router# show crypto session summary Router# show crypto isakmp sa Router# show crypto ipsec sa W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się trybem debug: Router# debug crypto isakmp Router# debug crypto ipsec - 11 -

4. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. - 12 -

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres