Tag: srx

Juniper – Ograniczenie dostępu do IKE

Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP

  1. Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie
  2.  Definiujemy term w którym będziemy blokować wszystkie próby połączenia poza listą allow_peer
    mamy dwa filtry:
    filter-VPN-in

    oraz filter-VPN-out

     
  3. Wyżej zdefiniowany filtr filter-VPN-out przypinamy do interfejsu który służy nam do zestawiania kanału IPSEC, w mym przypadku jest to fe-0/0/7

     

Juniper – ograniczenie dostępu do managmentu

Poniżej przedstawiam jak ograniczyć dostęp dla wybranej listy sieci oraz hostów do ssh i https dla urządzeń Juniper.

  1. Definiujemy grupę która będzie miała dostęp do ssh i https
  2. Definiujemy filtr który blokuje dostęp do ssh oraz https z wykluczeniem grup management-hosts
  3.   Przypinamy filtr do interfejsu loopback 0

    Po tym zabiegu mamy ograniczony dostęp do urządzenia. W kolejnym wpisie przedstawię jak ograniczyć dostęp do usługi IKE

LAB – IPSEC SRX <--> PALO

Dziś przyszedł czas na lab z wykorzystaniem urządzeń Juniper SRX oraz Palo Alto Networks. Skupię się w tym wpisie na skonfigurowaniu połączenia VPN Ipsec pomiędzy tymi urządzeniami.

założenia:

vpn_srx_palo_pb

Faza 1 aes256 sha-1 pfs g2 3600s
Faza 2 aes256 sha-1 pfs g2 3600s
Palo SRX
Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 10.10.10.0/24
Palo SRX
Interfejs z adresem tzw. publicznym 192.168.1.210/24 192.168.1.2/24

Konfiguracja SRX

Faza1

Faza 2

Konfiguracja polityki vpn

Dodanie obiektów

Konfiguracja polityki z Trust do Untrust

Konfiguracja polityki z Untrust do Trust

Konfiguracja Palo

Konfiguracja IKE Proposal

Web:

 

palo_ike01

CLI:

Konfiguracja IPSEC Propsal

Web:

palo_ipsec02

Cli:

Konfiguracja Fazy 1

Web:

palo_ipsec03

palo_ipsec04

 

Cli:

Konfiguracja Fazy 2:

Konfiguracja zony VPN

Web:

palo_ipsec15

 

Cli

Utworzenie interfejsu tunel z przypisaniem do zony VPN

Web:

palo_ipsec05

Cli

Utworzenie profilu IPSEC

Web:

palo_ipsec06

Dodanie proxy id

palo_ipsec07

Cli:

Dodanie routingu w kierunku SRX na Palo

palo_ipsec08Cli:

Dodanie polityk fw na Palo

Polityka z Trust to VPN

Cli:

Polityka z VPN to Trust

Sprawdzenie działania VPN

SRX:

Faza 1

Faza 2

Palo

Faza 1

Faza 2

 

 

 

Junos – waring boot from backup

czasem po nie oczekiwanym włączeniu urządzenie z Junosem widzimy taki komunikat:

 

co w takiej sytuacji? Wystarczy wykonać jedną komendę aby naprawić primary partycję.

 

sprawdzenie przed ponownym uruchomieniem:

 

Po ponownym uruchomieni urządzenia uruchamia się ze partycji active.