Bài giảng CCNA Security - Chapter 8: Implementing Virtual Private Networks

Task 1: Configure Compatible ACLs AH ESP IKE Site 1 Site 2 10.0.1.3 10.0.2.3R1 R2 Internet 10.0.1.0/24 10.0.2.0/24 • Ensure that protocols 50 (ESP), 51 (AH) and UDP port 500 (ISAKMP) traffic are not blocked by incoming ACLs on interfaces used by IPsec. S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Permitting Traffic Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Task 2: Configure IKE Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com ISAKMP Parameters Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Multiple Policies Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Policy Negotiations Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Crypto ISAKMP Key Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Sample Configuration Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Task 3: Configure the Transform Set Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Task 3: Configure the Transform Set Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Transform Sets Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Sample Configuration Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Task 4: Configure the Crypto ACLs Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Command Syntax Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Symmetric Crypto ACLs Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Task 5: Apply the Crypto Map Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com crypto map map-name seq-num ipsec-manual crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name] router(config)# crypto map Parameters Command Parameters Description Defines the name assigned to the crypto map set or indicates the name of the crypto Crypto Map Command map-name map to edit. seq-num The number assigned to the crypto map entry. ipsec-manual Indicates that ISAKMP will not be used to establish the IPsec SAs. ipsec-isakmp Indicates that ISAKMP will be used to establish the IPsec SAs. cisco (Default value) Indicates that CET will be used instead of IPsec for protecting the traffic. dynamic (Optional) Specifies that this crypto map entry references a preexisting static crypto map. If this keyword is used, none of the crypto map configuration commands are available. dynamic-map-name (Optional) Specifies the name of the dynamic crypto map set that should be used as the policy template. Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Crypto Map Configuration- Mode Commands Command Description set Used with the peer, pfs, transform-set, and security-association commands. peer [hostname | ip- address] Specifies the allowed IPsec peer by IP address or hostname. pfs [group1 | group2] Specifies DH Group 1 or Group 2. Specify list of transform sets in priority order. When the ipsec-manual transform-set [set_name(s)] parameter is used with the crypto map command, then only one transform set can be defined. When the ipsec-isakmp parameter or the dynamic parameter is used with the crypto map command, up to six transform sets can be specified. security-association lifetime Sets SA lifetime parameters in seconds or kilobytes. match address [access- list-id | name] Identifies the extended ACL by its name or number. The value should match the access-list-number or name argument of a previously defined IP-extended ACL being matched. no Used to delete commands entered with the set command. exit Exits crypto map configuration mode. Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Sample Configuration Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Assign the Crypto Map Set Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com CLI Commands Show Command Description show crypto map Displays configured crypto maps show crypto isakmp policy Displays configured IKE policies show crypto ipsec sa Displays established IPsec tunnels show crypto ipsec transform-set Displays configured IPsec transform sets debug crypto isakmp Debugs IKE events debug crypto ipsec Debugs IPsec events Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com show crypto map Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com show crypto isakmp policy Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com show crypto ipsec transform-set Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com show crypto ipsec sa Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com debug crypto isakmp Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Implementing Site-to-Site Ipsec VPNs with CCP Refer to 8.5 Implementing Remote-Access VPNs Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Telecommuting • Flexibility in working location and working hours • Employers save on real- estate, utility and other overhead costs • Succeeds if program is voluntary, subject to management discretion, and operationally feasible Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Telecommuting Benefits • Organizational benefits: – Continuity of operations – Increased responsiveness – Secure, reliable, and manageable access to information – Cost-effective integration of data, voice, video, and applications – Increased employee productivity, satisfaction, and retention • Social benefits: – Increased employment opportunities for marginalized groups – Less travel and commuter related stress • Environmental benefits: – Reduced carbon footprints, both for individual workers and organizations Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Implementing Remote Access Refer to 8.6.1.3 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Methods for Deploying Remote Access IPsec Remote Access VPN SSL-Based VPN Any Application Anywhere Access Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Comparison of SSL and IPSec SSL IPsec Applications Web-enabled applications, file sharing, e-mail All IP-based applications Encryption ModerateKey lengths from 40 bits to 128 bits Stronger Key lengths from 56 bits to 256 bits Authentication ModerateOne-way or two-way authentication Strong Two-way authentication using shared secrets or digital certificates Ease of Use Very high ModerateCan be challenging to nontechnical users Overall Security ModerateAny device can connect Strong Only specific devices with specific configurations can connect Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com SSL VPNs • Integrated security and routing • Browser-based full network SSL VPN access SSL VPN Headquarters Internet Workplace Resources SSL VPN Tunnel Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Types of Access Refer to 8.6.3.2 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Full Tunnel Client Access Mode Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Refer to 8.6.3.3 User using SSL client Establishing an SSL Session User makes a connection to TCP port 443 Router replies with a digitally signed public key User software creates a 1 2 3 SSL VPN enabled ISR router Shared-secret key, encrypted with public key of the server, is sent to the router Bulk encryption occurs using the shared-secret key with a symmetric encryption algorithm shared-secret key 4 5 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com SSL VPN Design Considerations • User connectivity • Router feature • Infrastructure planning • Implementation scope Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Refer to 8.6.3.5 Cisco Easy VPN Refer to 8.6.4 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Cisco Easy VPN 1. Negotiates tunnel parameters 2. Establishes tunnels according to set parameters 3. Automatically creates a NAT / PAT and associated ACLs 4. Authenticates users by usernames, group names, and passwords 5. Manages security keys for encryption and decryption 6. Authenticates, encrypts, and decrypts data through the tunnel Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Cisco Easy VPN Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Securing the VPN Initiate IKE Phase 1 Establish ISAKMP SA Accept Proposal1 Username/Password Challenge 1 2 3 4 Refer to 8.6.4.3 Username/Password System Parameters Pushed Reverse Router Injection (RRI) adds a static route entry on the router for the remote clients IP address Initiate IKE Phase 2: IPsec IPsec SA 5 6 7 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Configuring a VPN Server with CCP Refer to 8.6.5 Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com VPN Client Overview R1 R1-vpn-cluster.span.com R1 R1-vpn-cluster.span.com Refer to 8.6.6 • Establishes end-to-end, encrypted VPN tunnels for secure connectivity • Compatible with all Cisco VPN products • Supports the innovative Cisco Easy VPN capabilities Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Establishing a Connection Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Summary • A VPN is a private network that is created via tunneling over a public network, usually the Internet. • There are site-to-site VPNs and remote access VPNs. • VPNs require the use of modern encryption techniques to ensure secure transport of information. Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Summary Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com • IPsec is a framework of open standards that establishes the rules for secure communications. • IPsec relies on existing algorithms to achieve encryption, authentication, and key exchange. Summary • IPsec can encapsulate a packet using either Authentication Header (AH) or the more secure Encapsulation Security Protocol (ESP). • IPsec uses the Internet Key Exchange (IKE) protocol to establish the key exchange process. Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Summary Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Summary Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com Học viện công nghệ thông tin Bach Khoa - Website: www.bkacad.com