Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP
- Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie
set policy-options prefix-list allow_peer 8.8.8.8 set policy-options prefix-list allow_peer 172.10.10.0/24
- Definiujemy term w którym będziemy blokować wszystkie próby połączenia poza listą allow_peer
mamy dwa filtry:
filter-VPN-inset firewall family inet filter filter-VPN-in term block_esp from source-address 0.0.0.0/0 set firewall family inet filter filter-VPN-in term block_esp from source-prefix-list allow_peer except set firewall family inet filter filter-VPN-in term block_esp from protocol esp set firewall family inet filter filter-VPN-in term block_esp then discard set firewall family inet filter filter-VPN-in term block_udp500 from source-address 0.0.0.0/0 set firewall family inet filter filter-VPN-in term block_udp500 from source-prefix-list allow_peer except set firewall family inet filter filter-VPN-in term block_udp500 from protocol udp set firewall family inet filter filter-VPN-in term block_udp500 from destination-port 500 set firewall family inet filter filter-VPN-in term block_udp500 then discard set firewall family inet filter filter-VPN-in term accept_default then accept
oraz filter-VPN-out
set firewall family inet filter filter-VPN-out term block_esp from destination-address 0.0.0.0/0 set firewall family inet filter filter-VPN-out term block_esp from destination-prefix-list allow_peer except set firewall family inet filter filter-VPN-out term block_esp from protocol esp set firewall family inet filter filter-VPN-out term block_esp then discard set firewall family inet filter filter-VPN-out term block_udp500 from destination-address 0.0.0.0/0 set firewall family inet filter filter-VPN-out term block_udp500 from destination-prefix-list HQ-LOT except set firewall family inet filter filter-VPN-out term block_udp500 from protocol udp set firewall family inet filter filter-VPN-out term block_udp500 from port 500 set firewall family inet filter filter-VPN-out term block_udp500 then discard set firewall family inet filter filter-VPN-out term accept_default then accept
- Wyżej zdefiniowany filtr filter-VPN-out przypinamy do interfejsu który służy nam do zestawiania kanału IPSEC, w mym przypadku jest to fe-0/0/7
set interfaces fe-0/0/7 unit 0 family inet filter input filter-VPN-in set interfaces fe-0/0/7 unit 0 family inet filter output filter-VPN-out