IPsec tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Transkript

1 IPsec tunel APLIKAC NÍ PR ÍRUC KA

2 POUŽITÉ SYMBOLY Použité symboly Nebezpec í du ležité upozorne ní, které mu že mít vliv na bezpec í osoby nebo funkc nost pr ístroje. Pozor upozorne ní na možné problémy, ke kterým mu že dojít ve specifických pr ípadech. Informace, poznámka informace, které obsahují užitec né rady, nebo zajímavé poznámky. Conel s.r.o., Sokolská 71, Ústi nad Orlicí, C eská Republika Pr íruc ka byla vydána v C R, 17. února 2015 i

3 OBSAH Obsah 1 IPsec a jeho protokoly Authentication Header (AH) Použití protokolu Authentication Header Encapsulating Security Payload (ESP) Použití protokolu Encapsulating Security Payload Konfigurace IPsec tunelu 4 3 Příklady použití IPsec IPsec tunel initiator na straně routeru Konfigurace IPsec tunelu ve webovém rozhraní Detekce úspěšného navázání IPsec tunelu IPsec tunel responder na straně routeru Konfigurace IPsec tunelu ve webovém rozhraní Detekce úspěšného navázání IPsec tunelu IPsec tunel Linux server IPsec tunel CISCO router Konfigurace initiator na straně routeru Konfigurace responder na straně routeru IPsec tunel Windows Konfigurace IPsec (program NCP Secure Entry Client) Konfigurace Conel routeru Doporučená literatura 32 ii

4 SEZNAM OBRÁZKŮ Seznam obrázků 1 AH transportní mód AH mód tunelu ESP transportní mód ESP mód tunelu Přehled IPsec tunelů Konfigurační formulář IPsec tunelu IPsec tunel initiator na straně routeru Informace o IPsec tunelu (initiator) IPsec tunel responder na straně routeru Informace o IPsec tunelu (responder) IPsec tunel Linux server IPsec tunel CISCO router IPsec tunel Windows NCP Secure Entry Client NCP Secure Entry Client Profiles NCP Secure Entry Client Edit NCP Secure Entry Client IPsec General Settings NCP Secure Entry Client Policy Editor NCP Secure Entry Client Pre-shared Key NCP Secure Entry Client Policy Editor NCP Secure Entry Client IPsec Policy NCP Secure Entry Client IPsec General Settings NCP Secure Entry Client Identities NCP Secure Entry Client IPsec Address Assignment NCP Secure Entry Client Add IP network NCP Secure Entry Client Split Tunneling Konfigurace routeru iii

5 SEZNAM TABULEK Seznam tabulek 1 Přehled IPsec tunelů Konfigurace IPsec tunelu Nastavení IPsec tunelu (initiator) Nastavení IPsec tunelu (responder) iv

6 1. IPSEC A JEHO PROTOKOLY 1. IPsec a jeho protokoly IPsec (Internet Protocol Security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a šifrování každého IP datagramu. V rámci architektury OSI se jedná o zabezpečení na sít ové vrstvě, což znamená, že poskytuje zabezpečení jakémukoliv přenosu (kterékoliv sít ové aplikaci). IPsec věnuje pozornost těmto hlavním problémům se zabezpečením: Ověřování Umožňuje ověřit původ dat, tzn. že při přijetí paketu může dojít k ověření, zda vyslaný paket odpovídá odesilateli nebo zda vůbec existuje (Fáze I, IKE fáze, Main mode). U PSK končí výměnou klíčů. Šifrování Obě strany se předem dohodnou na formě šifrování paketu. Poté dojde k zašifrování celého paketu kromě IP hlavičky, případně celého paketu a bude přidána nová IP hlavička (Fáze II, IPsec fáze, Quick mode). Končí navázáním tunelu. IPsec se skládá ze dvou základních protokolů Authentication Header (AH) a Encapsulating Security Payload (ESP). Protokoly se vzájemně doplňují, a tak jsou zpravidla používány zároveň. Výraznou výhodou souběžného použití těchto dvou protokolů je vyšší úroveň zabezpečení. Zvýšená režie při zpracování však může tuto výhodu eliminovat. Součástí IPsec je také protokol IKE (Internet Key Exchange) neboli správa klíčů. IKE vytváří logické kanály, které se označují Security Associations (SA). Jsou vždy jednosměrné, a proto se pro duplex používají dva samostatné kanály (SA). IKE zároveň podporuje automatické generování a obnovování šifrovacích klíčů. 1.1 Authentication Header (AH) Zajišt uje autentizaci odesílatele i příjemce, integritu dat v hlavičce a ochranu proti zpětným dotazům. AH protokol však neposkytuje datům důvěrnost. To znamená, že odesílaná data jsou v nešifrované podobě a mohou být odposlouchávána. Při použití protokolu Authentication Header obsahuje každý paket zvláštní hlavičku, která obsahuje autentizační informace, následované daty samotného protokolu. Autentizační informace se skládají z výsledku klíčovaného kryptografického kontrolního součtu (používá se algoritmus SHA-1 nebo MD5), z bezpečnostních parametrů (Security Parameter Index, SPI) a z ukazatele na hlavičku samotného protokolu vyšší úrovně. Položky, které se v hlavičce protokolu vyšší úrovně během přenosu paketu mění, jako je např. položka TTL, jsou při výpočtu autentizačních informací ignorovány. 1

7 1. IPSEC A JEHO PROTOKOLY Použití protokolu Authentication Header Protokol Authentication Header lze použít dvěma způsoby v transportním módu (transport mode) nebo v módu tunelu (tunnel mode). Transportní mód umožňuje ochranu dat IP prostřednictvím hlavičky protokolu AH, kterou vkládá odesílatel datagramu mezi ostatní rozšiřující hlavičky. Tento mód vyžaduje menší režii při zpracování než režim tunelu, ale neposkytuje takové zabezpečení ochrany dat. Obrázek 1: AH transportní mód Mód tunelu (někdy též tunelující mód) vytváří novou IP hlavičku, za kterou následuje hlavička protokolu Authentication Header. Poté následuje celý původní datagram zabalený jako data nového datagramu. V tomto režimu protokol AH autentizuje celý datagram, což znamená, že je možné zjistit, zda se datagram při přenosu změnil. Hlavní předností módu tunelu je dokonalá ochrana zapouzdřeného IP datagramu. Krom toho umožňuje použití soukromých adres. Obrázek 2: AH mód tunelu 1.2 Encapsulating Security Payload (ESP) Protokol Encapsulating Security Payload (ESP) zajišt uje důvěrnost přenášených dat (šifruje pakety) a volitelně také původní autentizaci, kontrolu integrity dat a ochranu proti zpětným dotazům. Stejně jako u protokolu Authentication Header je k paketu protokolu IP připojena dodatečná hlavička, která obsahuje bezpečnostní parametry a pak následují zašifrovaná data. Vnější hlavička však není nijak chráněna a není zaručena její integrita. V případě požadavku na šifrování i autentizaci, systém, který odpovídá, nejprve autentizuje paket a je-li první krok úspěšný, pokračuje šifrováním. Tento typ konfigurace snižuje jak režii zpracování, tak zranitelnost v případě napadení při odepření služby. 2

8 1. IPSEC A JEHO PROTOKOLY Použití protokolu Encapsulating Security Payload ESP používá dva módy činnosti transportní mód (transport mode) nebo mód tunelu (tunnel mode). Transportní mód vkládá hlavičku ESP za hlavičku IP původního IP datagramu. Koncové návěští ESP (ESP trailer) a volitelná autentizační data následují za daty původního datagramu. Transportní mód vyžaduje menší režii při zpracování než mód tunelu, ale neposkytuje takové zabezpečení ochrany dat. Obrázek 3: ESP transportní mód Mód tunelu (někdy též tunelující mód) vytváří novou (nechráněnou) IP hlavičku, za kterou následuje hlavička protokolu ESP. Poté je vložen celý původní datagram zabalený jako data nového datagramu. To umožňuje původní datagram zcela ochránit (v případě, že je použito šifrování i autentizace). Koncové návěští ESP (ESP trailer) a volitelná autentizační data následují za daty původního datagramu. Obrázek 4: ESP mód tunelu 3

9 2. KONFIGURACE IPSEC TUNELU 2. Konfigurace IPsec tunelu IPsec tunel vytváří zabezpečené (šifrované) propojení dvou sítí LAN do jedné, která se tváří jako homogenní. Routery Conel umožňují vytvořit až čtyři IPsec tunely, jejichž konfiguraci lze vyvolat volbou položky IPsec v menu. V okně IPsec Tunnels Configuration jsou čtyři řádky, přičemž každý řádek odpovídá konfiguraci jednoho tunelu. Položka Create Description Edit Popis Aktivuje jednotlivé tunely (yes nebo no) Název či popis tunelu zadaný v konfiguračním formuláři tunelu Zobrazí konfigurační formulář daného IPsec tunelu Tabulka 1: Přehled IPsec tunelů Obrázek 5: Přehled IPsec tunelů Položka Description Remote IP Address Remote ID Remote Subnet Remote Subnet Mask Local ID Local Subnet Local subnet mask Encapsulation Mode NAT traversal Popis Název (popis) tunelu IP adresa protější strany tunelu. Lze zadat i doménové jméno. Identifikátor (ID) protější strany tunelu. Skládá se ze dvou částí: hostname a domain-name. IP adresa sítě za protější stranou tunelu Maska sítě za protější stranou tunelu Identifikátor (ID) lokální strany tunelu. Skládá ze dvou částí: hostname a domain-name. IP adresa lokální sítě Maska lokální sítě Mód IPsecu (dle způsobu zapouzdření) zvolit lze tunnel (zapouzdřen celý IP datagram) nebo transport (pouze IP hlavička). Pokud se mezi dvěma koncovými body IPsec tunelu používá překlad adres, je nutné povolit NAT Traversal (Enabled). Pokračování na následující straně 4

10 2. KONFIGURACE IPSEC TUNELU Pokračování z předchozí strany Položka IKE Mode IKE Algorithm Popis Definuje mód při sestavování spojení (main či aggressive). Je-li zvolen agresivní mód, spojení je sestaveno rychleji, ale šifrování je nastaveno striktně na 3DES-MD5. Způsob volby algoritmu: auto šifrovací a hashovací algoritmus je zvolen automaticky manual šifrovací a hashovací algoritmus nadefinuje uživatel IKE Encryption IKE Hash IKE DH Group ESP Algorithm Šifrovací algoritmus 3DES, AES128, AES192, AES256 Hashovací algoritmus MD5 nebo SHA1 Číslo Diffie-Hellman skupiny. Skupina určuje sílu klíče použitého v procesu výměny klíčů. Vyšší číslo skupiny zajišt uje větší bezpečnost, ale vyžaduje více času pro výpočet. Způsob volby algoritmu: auto šifrovací a hashovací algoritmus je zvolen automaticky manual šifrovací a hashovací algoritmus nadefinuje uživatel ESP Encryption ESP Hash PFS PFS DH Group Key Lifetime IKE Lifetime Rekey Margin Rekey Fuzz DPD Delay DPD Timeout Šifrovací algoritmus DES, 3DES, AES128, AES192, AES256 Hashovací algoritmus MD5 nebo SHA1 Zabraňuje ohrožení dat v případě vyzrazení hlavního klíče Číslo Diffie-Hellman skupiny (viz IKE DH Group) Životnost klíče datové části tunelu. Minimální hodnota tohoto parametru je 60 s. Maximální hodnota je s. Životnost klíče řídící části tunelu. Minimální hodnota tohoto parametru je 60 s. Maximální hodnota je s. Čas před vypršením platnosti klíčů, kdy se generují nové klíče. Maximální hodnota musí být menší než polovina parametrů IKE a Key Lifetime. Procentuální prodloužení času Rekay Margin. Čas, po kterém se zkouší funkčnost IPsec tunelu. Doba, po kterou se poté čeká na odpověd. Pokračování na následující straně 5

11 2. KONFIGURACE IPSEC TUNELU Pokračování z předchozí strany Položka Authenticate Mode Popis Tímto parametrem je možné nastavit autentizaci: Pre-shared key nastavuje sdílený klíč pro obě strany tunelu X.509 Certificate umožňuje autentizaci X.509 v režimu multiclient Pre-shared Key CA Certificate Remote Certificate Local Certificate Local Private Key Local Passphrase Extra Options Sdílený klíč pro obě strany tunelu pro autentizaci Pre-shared key. Certifikát pro autentizaci X.509. Certifikát pro autentizaci X.509. Certifikát pro autentizaci X.509. Privátní klíč pro autentizaci X.509. Privátní klíč pro autentizaci X.509. Pomocí tohoto parametru je možné definovat doplňující parametry IPsec tunelu jako například šifrování atd. Tabulka 2: Konfigurace IPsec tunelu 6

12 2. KONFIGURACE IPSEC TUNELU Obrázek 6: Konfigurační formulář IPsec tunelu 7

13 3. Příklady použití IPsec 3.1 IPsec tunel initiator na straně routeru IP adresa SIM karty vložené do Conel routeru může být statická i dynamická, protože IPsec tunel navazuje initiator na straně routeru. Linux server (CISCO router) v tomto případě nabízí služby pro IPsec tunel, a proto musí být vždy dostupný na statické IP adrese nebo na doménovém jméně. Obrázek 7: IPsec tunel initiator na straně routeru Konfigurace IPsec tunelu ve webovém rozhraní Jsou-li adresy konců tunelu vzájemně viditelné, stačí specifikovat pouze položky Description, Remote IP address, Remote Subnet, Remote Subnet Mask, Local Subnet a Local Subnet Mask. Pokud viditelné nejsou (jeden konec tunelu je v privátní síti), je nutné povolit NAT Traversal. Pokud je NAT Traversal aktivní, je rovněž nutné nastavit Remote ID. Jako ID se vyplňuje FQDN (Fully Qualified Domain Name), což je označení pro plně specifikované doménové jméno počítače. Dále je možné nastavit autentizaci pomocí certifikátů, pak ale není potřeba zadávat Remote ID. 8

14 V následující tabulce je uveden příklad nastavení IPsec tunelu, který odpovídá obrázku ze začátku této kapitoly: Položka Hodnota Remote IP Address Remote ID Remote Subnet Remote Subnet Mask Local Subnet Local Subnet Mask Pre-shared Key test NAT Traversal enabled Tabulka 3: Nastavení IPsec tunelu (initiator) Ostatní parametry je možné ponechat ve výchozím nastavení. Pokud bude parametr Remote IP Address na jedné straně IPsec tunelu prázdný, pak bude tato strana čekat na spojení a nebude se pokoušet sama spojení sestavit. Všechny položky, které nejsou ve vzorovém nastavení zmíněny a jsou označeny hvězdičkou (*), není nutné vyplňovat. Používají se k přesné identifikaci IPsec tunelu Detekce úspěšného navázání IPsec tunelu Informace o aktivním IPsec tunelu lze najít v sekci Status webového rozhraní routeru na stránce IPsec. Obrázek 8: Informace o IPsec tunelu (initiator) Z obrázku je možné vyčíst vybrané šifrování v jednotlivých fázích sestavování tunelu: IKE: 3DES_CBC_192-MD5-MODP1024 ESP: 3DES_0-HMAC_MD5, pfsgroup = none Ve zvýrazněné části je pak vidět informace o úspěšném navázání IPsec tunelu. 9

15 3.2 IPsec tunel responder na straně routeru Conel router musí mít dostupnou statickou IP adresu či dynamickou IP adresu SIM karty v případě, že je použito překládání dynamicky přidělovaných IP adres na doménové jméno DynDNS. Linux server (CISCO router) je v tomto případě initiator a navazuje IPsec tunel. Obrázek 9: IPsec tunel responder na straně routeru Konfigurace IPsec tunelu ve webovém rozhraní Jsou-li adresy konců tunelu vzájemně viditelné, stačí specifikovat pouze položky Description, Remote Subnet a Remote Subnet Mask. Pokud viditelné nejsou (jeden konec tunelu je v privátní síti), je nutné povolit NAT Traversal. Pokud je NAT Traversal aktivní, je rovněž nutné nastavit Remote ID. Jako ID se vyplňuje FQDN (Fully Qualified Domain Name), což je označení pro plně specifikované doménové jméno počítače. Dále je možné nastavit autentizaci pomocí certifikátů, pak ale není potřeba zadávat Remote ID. V následující tabulce je uveden příklad nastavení IPsec tunelu, který odpovídá obrázku z úvodu této strany: Položka Hodnota Remote ID ciscoasa@default.domain Remote Subnet Remote Subnet Mask Pre-shared Key test NAT Traversal enabled Tabulka 4: Nastavení IPsec tunelu (responder) 10

16 Ostatní parametry je možné ponechat ve výchozím nastavení. Vzhledem k tomu, že parametr Remote IP Address ponecháme prázdný, bude tato strana čekat na spojení a nebude se pokoušet sama spojení sestavit. Všechny položky, které nejsou ve vzorovém nastavení zmíněny a jsou označeny hvězdičkou (*), není nutné vyplňovat. Používají se k přesné identifikaci IPsec tunelu Detekce úspěšného navázání IPsec tunelu Informace o aktivním IPsec tunelu lze najít v sekci Status webového rozhraní routeru na stránce IPsec. Obrázek 10: Informace o IPsec tunelu (responder) Z obrázku je možné vyčíst vybrané šifrování v jednotlivých fázích sestavování tunelu: IKE: 3DES_CBC_192-MD5-MODP1024 ESP: 3DES_0-HMAC_MD5, pfsgroup = none Ve zvýrazněné části je pak vidět informace o úspěšném navázání IPsec tunelu. 11

17 3.3 IPsec tunel Linux server Obrázek 11: IPsec tunel Linux server Na linuxovém serveru je potřeba provést konfiguraci souborů ipsec.conf a ipsec.secrets. Konfiguraci souboru ipsec.conf lze provést například takto: conn conelrouter authby=secret type=tunnel left= leftsubnet= /24 right= rightsubnet= /24 ikelifetime=3600s keylife=3600s pfs=no auto=add Soubor ipsec.secrets se upraví následujícím způsobem: : PSK "test" 12

18 3.4 IPsec tunel CISCO router Upozorňujeme, že CISCO routery podporují IPsec protokol až od verze IOS 7.1. Obrázek 12: IPsec tunel CISCO router Konfigurace initiator na straně routeru ASA Version 7.2(3) hostname ciscoasa domain-name default.domain interface Vlan1 nameif inside security-level 100 ip address interface Vlan2 nameif outside security-level 100 ip address interface Ethernet0/0 switchport access vlan 2 interface Ethernet0/1 interface Ethernet0/2 13

19 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain same-security-traffic permit inter-interface access-list outside_access_in extended permit ip any any access-list outside_access_out extended permit ip any any access-list inside_access_in extended permit ip any any access-list inside_access_out extended permit ip any any access-list outside_2_cryptomap extended permit ip pager lines 24 logging enable logging asdm informational logging class auth asdm emergencies logging class ip asdm critical mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-523.bin no asdm history enable arp timeout global (outside) 1 interface access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside access-group outside_access_out out interface outside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 14

20 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set UR1 esp-3des esp-none crypto ipsec transform-set UR2 esp-des esp-none crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 1 match address outside_2_cryptomap crypto map outside_map 1 set connection-type answer-only crypto map outside_map 1 set peer crypto map outside_map 1 set transform-set ESP-3DES-MD5 crypto map outside_map interface outside crypto isakmp identity hostname crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 crypto isakmp nat-traversal 20 vpn-sessiondb max-session-limit 1 telnet timeout 5 ssh timeout 5 console timeout 0 l2tp tunnel hello 300 dhcpd auto_config outside dhcpd address inside dhcpd enable inside 15

21 class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect icmp error inspect ipsec-pass-thru service-policy global_policy global ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 rc4-md5 group-policy DfltGrpPolicy attributes banner none wins-server none dns-server none dhcp-network-scope none vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout none vpn-session-timeout none vpn-filter none vpn-tunnel-protocol IPSec l2tp-ipsec webvpn password-storage disable ip-comp disable re-xauth disable group-lock none 16

22 pfs disable ipsec-udp enable ipsec-udp-port split-tunnel-policy tunnelall split-tunnel-network-list none default-domain none split-dns none intercept-dhcp disable secure-unit-authentication disable user-authentication disable user-authentication-idle-timeout none ip-phone-bypass disable leap-bypass disable nem disable backup-servers keep-client-config msie-proxy server none msie-proxy method no-modify msie-proxy except-list none msie-proxy local-bypass disable nac disable nac-sq-period 300 nac-reval-period nac-default-acl none address-pools none smartcard-removal-disconnect enable client-firewall none client-access-rule none webvpn functions none html-content-filter none homepage none keep-alive-ignore 4 http-comp gzip filter none url-list none customization value DfltCustomization port-forward none port-forward-name value Application Access sso-server none deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information svc none 17

23 svc keep-installer installed svc keepalive none svc rekey time none svc rekey method none svc dpd-interval client none svc dpd-interval gateway none svc compression deflate tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key * isakmp keepalive threshold 20 retry 10 tunnel-group type ipsec-l2l tunnel-group ipsec-attributes pre-shared-key * tunnel-group-map enable rules tunnel-group-map default-group DefaultL2LGroup prompt hostname context no compression svc http-comp zonelabs-integrity fail-timeout 20 Cryptochecksum: ddef b10e67a1415d : end Konfigurace responder na straně routeru ASA Version 7.2(3) hostname ciscoasa domain-name default.domain interface Vlan1 nameif inside security-level 100 ip address interface Vlan2 nameif outside security-level 100 ip address interface Ethernet0/0 switchport access vlan 2 interface Ethernet0/1 interface Ethernet0/2 18

24 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain same-security-traffic permit inter-interface access-list outside_access_in extended permit ip any any access-list outside_access_out extended permit ip any any access-list inside_access_in extended permit ip any any access-list inside_access_out extended permit ip any any access-list outside_2_cryptomap extended permit ip pager lines 24 logging enable logging asdm informational logging class auth asdm emergencies logging class ip asdm critical mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-523.bin no asdm history enable arp timeout global (outside) 1 interface access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside access-group outside_access_out out interface outside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 19

25 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set UR1 esp-3des esp-none crypto ipsec transform-set UR2 esp-des esp-none crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 1 match address outside_2_cryptomap crypto map outside_map 1 set connection-type originate-only crypto map outside_map 1 set peer crypto map outside_map 1 set transform-set ESP-3DES-MD5 crypto map outside_map interface outside crypto isakmp identity hostname crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 crypto isakmp nat-traversal 20 vpn-sessiondb max-session-limit 1 telnet timeout 5 ssh timeout 5 console timeout 0 l2tp tunnel hello 300 dhcpd auto_config outside dhcpd address inside dhcpd enable inside 20

26 class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect icmp error inspect ipsec-pass-thru service-policy global_policy global ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 rc4-md5 group-policy DfltGrpPolicy attributes banner none wins-server none dns-server none dhcp-network-scope none vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout none vpn-session-timeout none vpn-filter none vpn-tunnel-protocol IPSec l2tp-ipsec webvpn password-storage disable ip-comp disable re-xauth disable group-lock none 21

27 pfs disable ipsec-udp enable ipsec-udp-port split-tunnel-policy tunnelall split-tunnel-network-list none default-domain none split-dns none intercept-dhcp disable secure-unit-authentication disable user-authentication disable user-authentication-idle-timeout none ip-phone-bypass disable leap-bypass disable nem disable backup-servers keep-client-config msie-proxy server none msie-proxy method no-modify msie-proxy except-list none msie-proxy local-bypass disable nac disable nac-sq-period 300 nac-reval-period nac-default-acl none address-pools none smartcard-removal-disconnect enable client-firewall none client-access-rule none webvpn functions none html-content-filter none homepage none keep-alive-ignore 4 http-comp gzip filter none url-list none customization value DfltCustomization port-forward none port-forward-name value Application Access sso-server none deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information svc none 22

28 svc keep-installer installed svc keepalive none svc rekey time none svc rekey method none svc dpd-interval client none svc dpd-interval gateway none svc compression deflate tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key * isakmp keepalive threshold 20 retry 10 tunnel-group type ipsec-l2l tunnel-group ipsec-attributes pre-shared-key * tunnel-group-map enable rules tunnel-group-map default-group DefaultL2LGroup prompt hostname context no compression svc http-comp zonelabs-integrity fail-timeout 20 Cryptochecksum:3745a840258fc10269e066655f5b252e : end 23

29 3.5 IPsec tunel Windows Obrázek 13: IPsec tunel Windows Doporučovaným programem pro operační systém Windows je NCP Secure Entry Client, na který je zaměřen také následující popis Konfigurace IPsec (program NCP Secure Entry Client) Na obrázku níže je zobrazeno prostředí programu NCP Secure Entry Client (verze 9.32, build 218). Obrázek 14: NCP Secure Entry Client 24

30 Nejprve je potřeba vytvořit profil pro sestavení IPsec tunelu. V menu úvodního okna programu NCP Secure Entry Client (viz předchozí obrázek) zvolte záložku Configuration a poté vyberte položku Profiles. Otevře se Vám následující okno: Obrázek 15: NCP Secure Entry Client Profiles Přidejte nový profil pomocí tlačítka Add/Import. Na druhé obrazovce je nutné zadat jméno profilu, v ostatních případech je možné pouze potvrdit tlačítkem Next (na konci tlačítkem Finish) a potřebná nastavení provést později. Konfigurace IPsec tunelu se provádí označením daného profilu a stisknutím tlačítka Edit. Obrázek 16: NCP Secure Entry Client Edit 25

31 V menu v levé části zvolte položku IPsec General Settings. V pravé části pak klikněte na tlačítko Police Editor.... Obrázek 17: NCP Secure Entry Client IPsec General Settings V novém okně v sekci IKE Policy označte položku Pre-shared Key a následně klikněte na tlačítko Edit. Obrázek 18: NCP Secure Entry Client Policy Editor 26

32 Otevře se okno, v němž zvolte šifrovací a hashovací algoritmus (např. Triple DES a MD5) a poté potvrd te tlačítkem OK. Obrázek 19: NCP Secure Entry Client Pre-shared Key Nyní v konfiguračním okně v sekci IPsec Policy vyberte jedinou dostupnou položku (ESP - AES128 - MD5) a kliknětě na tlačítko Edit. Obrázek 20: NCP Secure Entry Client Policy Editor 27

33 V novém okně zadejte požadované jméno (např. IPsec) a vyberte šifrovací a hashovací algoritmus (např. Triple DES a MD5). Poté potvrd te tlačítkem OK. Obrázek 21: NCP Secure Entry Client IPsec Policy Vrat te se do hlavního okna položky IPsec General Settings a nastavte IKE Policy a IPsec Policy na základě předchozí konfigurace (viz obrázek níže). Položka IKE DH Group bude mít hodnotu DH-Group 2 (2014 bit). Obrázek 22: NCP Secure Entry Client IPsec General Settings 28

34 Nyní v menu v levé části zvolte položku Identities a vyplňte ji podle následujícího obrázku. Pozor, IP adresa odpovídá vzorové situaci z úvodu této sekce. Obrázek 23: NCP Secure Entry Client Identities Stejnou IP adresu ( dle vzorového situace) je nutné vyplnit také na stránce IPsec Address Assignment. Obrázek 24: NCP Secure Entry Client IPsec Address Assignment 29

35 Na stránce Split Tunneling klikněte na tlačítko Add a do nově otevřeného okna zadejte IP adresu podsítě za Conel routerem (ve vzorové situaci ) a masku této podsítě ( ). Potvrd te tlačítkem OK. Obrázek 25: NCP Secure Entry Client Add IP network V původním okně na stránce Split Tunneling se objeví zadané údaje. Obrázek 26: NCP Secure Entry Client Split Tunneling Konfigurace Conel routeru Na následující straně je zobrazen konfigurační formulář s nastavením IPsec tunelu. Zadané hodnoty odpovídají vzorové situaci z úvodu této sekce. 30

36 Obrázek 27: Konfigurace routeru 31

37 4. DOPORUČENÁ LITERATURA 4. Doporučená literatura [1] Conel: Konfigurační manuál pro v2 routery 32