Tag: vpn

LAB – IPSec Palo – Cisco ASA

Poniżej pokazuję jak zestawiać połączenie IPsec pomiędzy PaloAlto Networks a Cisco ASA. W mym przypadku oba urządzenia są w wersji wirtualnej ale konfiguracja ich odpowiada tak jak byśmy konfigurowali urządzenia fizyczne.

Założenia:

asa_palo

Faza 1 aes256 sha-1 pfs g2 86400s
Faza 2 aes256 sha-1 pfs g2 28800s
Palo Cisco ASA
Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 172.16.1.0/24
Palo Cisco ASA
Interfejs z adresem tzw. publicznym 192.168.1.51/24 192.168.1.80/24

Read more… »

Cisco ASA – Ograniczenie dostępu do SSL VPN oraz IKE

Dla szukających jak ograniczyć dostęp do usług uruchamianych na Cisco ASA, mam na myśli SSL VPN, czy IKE na samy dole jest aktualizacja jak to zrobić dla IKE przy podatności CVE-2016-1287

Poniżej przedstawię jak ograniczyć dostęp do SSL VPN dla określonych ip lub sieci.

  1. definiujemy Grupę w która będzie zawierać listę hostów lub sieci które będą miały dostęp do SSL VPN
  2. Definiujemy ACL’kę z użyciem wcześniej zdefiniowanej grupy
  3.  Dodajemy drugi wpis blokujący resztę świata
  4. przypinamy ACL’kę do Interfejsu który jest wystawiony na świat, w mym przypadku jest to outside z zaznaczeniem dostępu do control-planu

Mam nadzieję że komuś się przyda moja notatka

Aktualizacja:

W taki sposób również możemy ograniczyć dostęp do IKE aby kupić sobie czas na podatność Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability (CVE-2016-1287)

wystarczy dodać do access listy internet:

tworzymy obiekt access_to_ike gdzie umieszczamy wszystkie adresy naszych peerów z którymi zestawiamy VPN

oraz dodajemy wpis do ACL’ki

 

 

LAB – IPSEC SRX <--> PALO

Dziś przyszedł czas na lab z wykorzystaniem urządzeń Juniper SRX oraz Palo Alto Networks. Skupię się w tym wpisie na skonfigurowaniu połączenia VPN Ipsec pomiędzy tymi urządzeniami.

założenia:

vpn_srx_palo_pb

Faza 1 aes256 sha-1 pfs g2 3600s
Faza 2 aes256 sha-1 pfs g2 3600s
Palo SRX
Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 10.10.10.0/24
Palo SRX
Interfejs z adresem tzw. publicznym 192.168.1.210/24 192.168.1.2/24

Konfiguracja SRX

Faza1

Faza 2

Konfiguracja polityki vpn

Dodanie obiektów

Konfiguracja polityki z Trust do Untrust

Konfiguracja polityki z Untrust do Trust

Konfiguracja Palo

Konfiguracja IKE Proposal

Web:

 

palo_ike01

CLI:

Konfiguracja IPSEC Propsal

Web:

palo_ipsec02

Cli:

Konfiguracja Fazy 1

Web:

palo_ipsec03

palo_ipsec04

 

Cli:

Konfiguracja Fazy 2:

Konfiguracja zony VPN

Web:

palo_ipsec15

 

Cli

Utworzenie interfejsu tunel z przypisaniem do zony VPN

Web:

palo_ipsec05

Cli

Utworzenie profilu IPSEC

Web:

palo_ipsec06

Dodanie proxy id

palo_ipsec07

Cli:

Dodanie routingu w kierunku SRX na Palo

palo_ipsec08Cli:

Dodanie polityk fw na Palo

Polityka z Trust to VPN

Cli:

Polityka z VPN to Trust

Sprawdzenie działania VPN

SRX:

Faza 1

Faza 2

Palo

Faza 1

Faza 2

 

 

 

Lab – IPSEC Juniper SRX – Cisco router

Dziś postanowiłem opisać trochę labowania, temat ostatnio bardzo mocno przerabiany IPSEC. Poniżej opiszę wariant policy base vpn, który jest bardzo elastyczny.

Założenia:

vpn_srx_cisco_pb

Faza 1 aes256 sha-1 pfs g2 3600s
Faza 2 aes256 sha-1 pfs g2 3600s
Cisco Juniper SRX
Sieci które będą podlegały szyfrowaniu 172.16.10.0/24 10.10.10.0/24
Cisco Juniper SRX
Interfejs z adresem tzw. publicznym 192.168.1.201/24 192.168.1.2/24

Konfiguracja Cisco

Logujemy się do Cisco:

konfiguracja fazy 1

konfiguracja fazy 2

przypięcie kryptomapy do interfejsu “publicznego”

Konfiguracja Juniper

Logujemy się na urządzenie:

włączenie IKE na interfejsie “publicznym” w mym przypadku będzie to fe-0/0/7.0 który należy do zony untrust

Konfiguracja fazy 1

Konfiguracja fazy 2

Utworzenie wpisów w adres booku, od wersji 11 jest dostępny globalny adress book który jest wygodniejszy.

polityka fw puszczająca ruch z trust do untrust do VPN

polityka fw puszczająca ruch z untrust (VPN)  do trust

przsuwamy politykę tak aby polityka any from trust to untrust nie przykrywała polityki na ruch vpn

Sprawdzenie

Sprawdzenie fazy 1 na SRX’e

Sprawdzenie fazy 1 na Cisco

Sprawdzenie komunikacji na Cisco

sprawdzenie komunikacji z pc który jest podłączony do SRX w sieci 10.10.10.0/24

 

Checkpoint VPN [SPLAT] – pomocne komendy

dla tych co ciągle szukają jak ubić lub wyświetlić fazę 1 lub 2 w Checkpoincie dla połączeń VPN.

Wyświetlenie  fazy 1  dla konkretnego ip peera

Wyświetlenie fazy 2 dla konkretnego ip peera

Usunięcie fazy 1 dla konkretnego peera

Usunięcie fazy 2 dla konkretnego peera