Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 -
212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 212.191.89.224/28 ISP WRO VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 ISP GDA 212.191.89.208/28 dmz security-level 50 dmz security-level 50 outside security-level 0 212.191.89.128/26 outside security-level 0 212.191.89.64/26 subinterfaces, trunk 172.16+G.0.0/16 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80-2 -
1. Konfigurowanie VPN L2L Zadania Skonfigurować połączenie VPN L2L pomiędzy ASA (interfejs outside) WRO i GDA, WRO i LDZ oraz LDZ i GDA: Ochrona ruchu ze strefy Dyrekcja do dmz Adres interfejsu jako identyfikator peer a Rodzaj tunelu ipsec-l2l IKE Phase 1: polityka ISAKMP (parametry wymagane w trakcie negocjacji połączenia z drugą stroną) o dowolnym priorytecie: o uwierzytelnianie: pre-share o szyfrowanie: aes o funkcja hash: sha o grupa DH: 2 o czas życia: 24h IKE Phase 2: o protokół: esp o szyfrowanie: aes o tryb: tunnel - 3 -
Materiał pomocniczy Włączyć pomijanie weryfikacji pakietów z tuneli IPSec przez ACL przypisane do interfejsów poleceniem access-group: ASA(config)# sysopt connection permit-vpn Włączyć negocjowanie ISAKMP na interfejsie (na niego będą przychodziły połączenia od peer ów VPN L2L): ASA(config)# isakmp enable interface-name Ustawić identyfikator, który będzie przesyłany do peer ów VPN L2L: ASA(config)# isakmp identity [address hostname key-id key-id-string auto] Skonfigurować politykę ISAKMP (parametry wymagane w trakcie negocjacji połączenia z peer em VPN L2L) o dowolnym priorytecie: ASA(config)# isakmp policy nr ASA(config-isakmp-policy)# authentication auth_method ASA(config-isakmp-policy)# encryption enc_method ASA(config-isakmp-policy)# hash hash_method ASA(config-isakmp-policy)# group group_nr ASA(config-isakmp-policy)# lifetime time - 4 -
Utworzyć grupę protokołów tunelowych podając nazwę (adres IP peer a) oraz rodzaj tunelu: ASA(config)# tunnel-group tunnel_name type type Przejść do trybu konfiguracji szczegółowych parametrów dla protokołu tunelowego IPSec w utworzonej powyżej grupie: ASA(config)# tunnel-group tunnel_name ipsec-attributes Skonfigurować współdzielone hasło używane przy tworzeniu tuneli z peer ami VPN L2L: ASA(config-ipsec)# pre-shared-key key Utworzyć listę dostępową, która pozwoli na wszystkie połączenia IP pomiędzy wybranymi strefami (sieciami): ASA(config)# access-list acl_nr extended permit ip source_net source_mask dest_net dest_mask Pominąć translację adresów (nat_id=0) pomiędzy wybranymi strefami (sieciami): ASA(config)# nat (interface_name) nat_id access-list acl_nr Wybrać metodę szyfrowania i uwierzytelniania (funkcję hash) przy komunikacji z peer em VPN L2L, nadać im dowolną nazwę: ASA(config)# crypto ipsec transform-set trans_name enc hmac - 5 -
Utworzyć crypto map, o nazwie zgodnej z id peer a VPN L2L i dowolnym numerze, a następnie przypisać do niej skonfigurowaną powyżej listę dostępową: ASA(config)# crypto map peer_id cryptomap_nr match address acl_nr Podać adres IP peer a VPN L2L (adres IP outside odległej ASA): ASA(config)# crypto map peer_id cryptomap_nr set peer ip_address_peer Podać skonfigurowany wcześniej zestaw algorytmów szyfrowania i uwierzytelniania wykorzystywany przy komunikacji z peer em VPN L2L: PIX_WRO(config)# crypto map peer_id cryptomap_nr set transform-set trans_name Przypisać utworzoną powyżej crypto map do interfejsu ASA, na który będą przychodziły połączenia od peer ów VPN L2L: ASA(config)# crypto map peer_id interface interface_name - 6 -
2. Weryfikacja działania połączenia tunelowego Zadania Za pomocą poleceń show wykazać prawidłowe ustanowienie tuneli VPN. W razie problemów użyć trybu debug. Przeprowadzić testy przychwytywania ruchu pomiędzy ASA WRO i GRA, WRO i LDZ oraz LDZ i GDA: Czy na hoście Attacker widoczne są nieszyfrowane dane z protokołu FTP? Jeśli tak pokazać przechwycony login i hasło. Jeśli nie wyjaśnić dlaczego. Zmodyfikować konfiguracje ASA tak aby były tworzone tunele VPN L2L przy połączeniach: o z dowolnej lokalizacji ze strefy Dyrekcja do dowolnej lokalizacji do strefy Dyrekcja oraz dmz, o z dowolnej lokalizacji ze strefy Pracownicy do dowolnej lokalizacji do strefy dmz. Wykazać prawidłowość działania zmienionych konfiguracji. Na przykładzie tunelu pomiędzy lokalizacjami sprawdzić czy stosowany algorytm szyfrowania (des, 3des) ma wpływ na szybkość transmisji, porównać otrzymane wyniki z transmisją nieszyfrowaną. - 7 -
Materiał pomocniczy Poniższe polecenia show pozwalają na weryfikację pracy oraz odczyt konfiguracji i statystyk połączeń tunelowych: ASA# show crypto isakmp sa ASA# show crypto ipsec sa W przypadku problemów z utworzeniem połączenia tunelowego można posłużyć się trybem debug: ASA# debug crypto isakmp ASA# debug crypto ipsec ASA# logging enable ASA# logging console debug 3. Kasowanie połączenia tunelowego W celu rozłączenie połączenia tunelowego należy wydać poniższe polecenie: ASA# clear crypto ipsec sa - 8 -
4. Kasowanie konfiguracji połączenia tunelowego W celu usunięcia konfiguracji połączenia tunelowego z ASA należy wydać poniższe polecenia: ASA(config)# clear configure isakmp ASA(config)# clear configure ipsec ASA(config)# clear configure tunnel-group ASA(config)# clear configure crypto map ASA(config)# clear configure sysopt 5. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. - 9 -