Академический Документы
Профессиональный Документы
Культура Документы
Содержание
1.1 EasyVPN
Общая конфигурация:
www.darkmaycal-it.ru
3
указываем access-list, который будет
Router (config-isakmp-group)# acl 100
использоваться для split tunneling
dns сервер, который будет раздаваться
Router (config-isakmp-group)# dns 192.168.1.10 (опционально)
удаленным клиентам по DHCP
(опционально) клиентам будет разрешено
Router (config-isakmp-group)# save-password
сохранять пароль
привязывать xauth логин к имени группы
Router (config-isakmp-group)# group-lock
(не применять, если не созданы группы)
crypto isakmp profile создаем isakmp профиль
Router (config)#
IKE_PROFILE_FOR_EASY_VPN IKE_PROFILE_FOR_EASY_VPN
этот профиль будет срабатывать, если
match identity group remote-
Router (conf-isa-prof)# будет срабатывать client configuration
clients
group remote-clients
client authentication list указываем, какую группу для
Router (conf-isa-prof)#
EASY_VPN_USERS аутентификации будем использовать
isakmp authorization list указываем, какую группу для авторизации
Router (conf-isa-prof)#
EASY_VPN_GROUP будем использовать
client configuration address настраиваем роутер таким образом, чтобы
Router (conf-isa-prof)#
respond он выдавал им свою конфигурацию
привязываем шаблон виртуального
Router (conf-isa-prof)# virtual-template 1
туннельного интерфейса
crypto ipsec profile
Router (config)# создаем ipsec профиль FOR_EASY_VPN
FOR_EASY_VPN
применяем к нему созданный ранее
Router (ipsec-profile)# set transform-set SetForEasyVPN
SetForEasyVPN
set isakmp-profile применяем к нему созданный ранее
Router (ipsec-profile)#
IKE_PROFILE_FOR_EASY_VPN ISAKMP профиль
interface Virtual-Template1 type создаем шаблон виртуального
Router (config)#
tunnel туннельного интерфейса
unnumbered указывает на то, что в
качестве ip адреса для этого туннельного
Router (config-if)# ip unnumbered Ethernet1/0
интерфейса будет использован ip адрес с
интерфейса Ethernet1/0
указываем режим работы интерфейса как
Router (config-if)# tunnel mode ipsec ipv4 IPsec с использованием протокола ip
версии 4
для защиты IPsec будет использовать
tunnel protection ipsec profile
Router (config-if)# созданный ранее профиль IPsec
FOR_EASY_VPN
FOR_EASY_VPN
ip local pool
cоздаем пул ip адресов, которые будем
Router (config)# IP_POOL_FOR_EASY_VPN_CLIENT
раздавать удаленным сотрудникам
S 140.20.20.1 140.20.20.100
access-list 100 permit ip split tunneling. Указываем какие сети будут
Router (config)#
192.168.0.0 0.0.255.255 any доступны для удаленных сотрудников
посмотреть занятость ip-адресов и
Router# show ip local pool
количество подключившихся по группам
посмотреть клиентов, подключенных к
Router# show crypto session
роутеру по EasyVPN
заменить на
«crypto isakmp client configuration group remote-clients» с его параметрами нам больше не нужен, мы можем его
удалить. Все его параметры будет передаваться с помощью сетевой политики из Radius.
1. В Windows NPS создадим RADIUS-клиента, укажем IP нашего роутера (на который будут терминироваться
VPN подключения и который будет обращаться к Radius) и придумаем пароль, например: HNDhfree
www.darkmaycal-it.ru
5
укажем из-под какого интерфейса, а
соответственно из-под какого ip адреса
Router (config-radius-server)# ip radius source-interface lo0
наш роутер будет обращаться к radius-
серверу
Router# debug radius диагностика radius-сервера
3. В AD необходимо создать пользователя с именем remote-clients и паролем cisco и поместить его в группу,
например test. Этим пользователем и паролем будет аутентифицироваться наш Cisco роутер на самом
Radius. Пользователя наш роутер возьмет из crypto isakmp profile ike-profile-1 (match identity group remote-
clients), а вот пароль "cisco" указывать не нужно - он уже вшит в сам роутер. Предварительно нужно
изменить политику безопасности AD таким образом, чтобы он позволил сделать пароль длиной в 5
символов: http://pk-help.com/server/password-ad/
4. В NPS создать сетевую политику в качестве метода аутентификации оставить только PAP. Политику можно
назвать VPN_authorization, поскольку это именно авторизовывающая политика (выдает все параметры)
6. Далее в той же самой политике в разделе "зависящие от поставщика" для вендора Cisco добавим
следующее:
ipsec:key-exchange=ike
ipsec:tunnel-type=ESP
ipsec:tunnel-password=megakey123
7. Итак, при подключении с помощью Cisco VPN Client мы указываем группу remote-clients и пароль
megakey123. Таким образом мы, как VPN клиент авторизуемся и получаем все необходимые настройки,
Все, теперь можно подключаться по VPN с пользователем maycal и паролем, который мы указали.
Потом, "в просмотре событий" (вызывается из диспетчера сервера), в разделе "безопасность" мы сможем
посмотреть аудит успеха или аудит отказа авторизации или аутентификации нашего роутера и клиента на радиус-
сервере.
www.darkmaycal-it.ru
7
1.1.3 Easy VPN (Remote-Access VPN) (работа с использованием сертификатов)
1. Развертывается CA
2. На роутер (к которому подключаются клиенты) выписывается сертификат.
3. Клиенту (который подключается к роутеру) тоже выписывается сертификат.
4. Производится изменение конфигурации роутера
2. Сертификат на роутер выписывается самым обычным образом через trustpoint. Поля сертификата –
любые.
3. Сертификат на клиента выписывается ручным образом: извлекаем корневой сертификат из СА, вставляем
его в VPN Client. С помощью VPN клиента формируем запрос сертификата. Внимание! При создании
запроса не сертификат в Cisco VPN Client, нужно заполнить поля CN и OU. Поле CN – любое значение, оно
не обязано совпадать с именем компьютера. Поле OU должно иметь значение «remote» без ковычек.
Другие поля необходимо оставить пустыми, в ином случае VPN соединение установлено не будет.
Вставляем этот запрос сертификата в CA и получаем выписанный сертификат. Этот выписанный
сертификат вставляем в VPN Client. Это и есть тот сертификат, по которому мы будем работать.
Подробнее об этой процедуре в видеоуроке (по FlexVPN), а также в приложении A.
4. На роутере добавим:
Применяем команду: «crypto isakmp identity dn» (без неё работать не будет!)
www.darkmaycal-it.ru
9
1.2 FlexVPN
1. Получаем личный сертификат для Edge роутера от CA посредством trustpoint с именем FlexVPN-TP-CS2.
www.darkmaycal-it.ru
11
4. Настраиваем параметры второй фазы
www.darkmaycal-it.ru
13
указываем, что пользователи
через лист с именем
aaa authorization network
Router (config)# A_EAP_AUTHOR_LOCAL_LIST будут
A_EAP_AUTHOR_LOCAL_LIST local
авторизовываться в локальной
базе данных
задаем логин и пароль
(credentials), которые клиенту
Router (config)# username Maycal password cisco необходимо будет ввести для
подключения к сети посредством
FlexVPN
10. Настройка функции автоматической загрузки AnyConnect профиля на клиента при подключении
(требуется IOS-XE 16.9.1 или старше)
copy
загрузка .xml профиля в память
Router# ftp://Maycal:P6yqS*#1@123.20.20.5/an
роутера
prof.xml flash:
crypto vpn anyconnect profile anprof подключение .xml профиля к
Router (config)#
flash:/anprof.xml движку crypto vpn
повторно входим в ранее
Router (config)# crypto ikev2 profile FLEX_IKEv2_PROF
созданный IKEv2 профиль
отобразить ассоциации
Router# show crypto ikev2 sa
безопасности первой фазы IKEv2
отобразить детальную
информацию по состоянию
Router# show crypto ikev2 sa detailed
ассоциаций безопасности первой
фазы IKEv2
показать информацию по крипто-
Router# show crypto session [detail]
сессиям
показать конфигурационные
show derived-config interface virtual-
Router# политики, установленные для
access 1
клиента
www.darkmaycal-it.ru
15
Router (config)# ip access-list standard SPLIT-MANAGERS создаем новый ACL
в этом ACL указываем список
защищенных IPv4 подсетей
permit host 123.20.20.5
Router (config-std-nacl)# (подсети, которые будут
permit 192.168.4.0 0.0.0.255
добавлены в таблицу
маршрутизации VPN клиентов)
crypto ikev2 authorization policy создаем новую политику
Router (config)#
MANAGERS авторизации
подключаем к политике ранее
созданный пул с диапазоном IP
Router (config-ikev2-author- адресов (тот же самый, который
pool FLEX_POOL
policy)# был ранее подключен к
ликвидированной политике
авторизации)
активируем сплит-
туннелирование, подключая
Router (config)# route set access-list SPLIT-MANAGERS
ранее созданный ACL для
менеджеров
создаем name-mangler
crypto ikev2 name-mangler
Router (config)# (избиратель) с именем
FLEX_MNGR_LOCAL_DB
FLEX_MNGR_LOCAL_DB
пользователь для anyconnect-eap
аутентификации будет вводить
значение имеющие вид:
«BUHGALTERS \Sveta», где
BUHGALTERS – prefix; «\» -
Router (config-ikev2-name-
eap prefix delimiter \ разделитель; Sveta – suffix.
mangler) #
Команда слева означает, что
name-mangler будет избирать
BUHGALTERS (это prefix до
разделителя «/») и передавать
механизмам FlexVPN.
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
no aaa authorization group anyconnect-
удаляем старую отсылку к методу
Router(config-ikev2-profile)# eap list A_EAP_AUTHOR_LOCAL_LIST
авторизации
FLEXVPN_AUTHOR_POLICY
создаем новую отсылку к методу
aaa authorization group anyconnect-eap
авторизации и подключаем ранее
Router(config-ikev2-profile)# list A_EAP_AUTHOR_LOCAL_LIST name-
созданный избиратель с именем
mangler FLEX_MNGR_LOCAL_DB
FLEX_MNGR_LOCAL_DB
www.darkmaycal-it.ru
17
1.2.3 FlexVPN (индивидуальная авторизация в локальной базе данных EAP-AnyConnect
с запросом сертификата у пользователя)
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
для подключения к сети, VPN-
клиент должен будет
использовать метод
аутентификации anyconnect-eap,
при этом предоставить логин и
authentication remote anyconnect-eap
Router(config-ikev2-profile)# пароль (за запрос логина и
aggregate cert-request
пароля отвечает команда
aggregate). Кроме того,
пользователь должен будет
предоставить X.509 сертификат
(параметр cert-request)
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
подключаем ранее созданную
карту сертификатов (профиль
Router(config-ikev2-profile)# match certificate FLEXVPN_CERTS
будет срабатывать, если будет
срабатывать карта сертификатов)
no authentication remote anyconnect- удаляем старый метод
Router(config-ikev2-profile)#
eap aggregate cert-request аутентификации
VPN-клиент будет
Router(config-ikev2-profile)# authentication remote rsa-sig аутентифицироваться только с
использованием сертификата RSA
no aaa authentication anyconnect-eap удаляем отсылку к предыдущему
Router(config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST методу аутентификации
no aaa authorization group anyconnect-
удаляем отсылку к предыдущему
Router(config-ikev2-profile)# eap list A_EAP_AUTHOR_LOCAL_LIST
методу авторизации
name-mangler FLEX_MNGR_LOCAL_DB
no aaa authorization user anyconnect- атрибуты не будут передаваться в
Router(config-ikev2-profile)#
eap cached процессе аутентификации
создаем новую отсылку к методу
aaa authorization group cert list
авторизации и подключаем ранее
Router(config-ikev2-profile)# A_EAP_AUTHOR_LOCAL_LIST name-
созданный избиратель с именем
mangler FLEX_MNGR
FLEX_MNGR
www.darkmaycal-it.ru
19
1.2.5 FlexVPN (групповая авторизация на Radius методом RSA-Signature)
3. Подключаем Radius сервер (группу серверов, содержащую конкретный Radius сервер) к AAA модели:
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
удаляем предыдущий метод
Router (config-ikev2-profile)# no authentication remote rsa-sig
аутентификации
authentication remote eap query- устанавливаем новый метод
Router (config-ikev2-profile)#
identity аутентификации EAP
no aaa authorization group cert list
удаляем старую отсылку к листу
Router (config-ikev2-profile)# A_EAP_AUTHOR_LOCAL_LIST name-
авторизации
mangler FLEX_MNGR
aaa authentication eap создаем отсылку к листу
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST аутентификации
AAA-атрибуты будут передаваться
Router (config-ikev2-profile)# aaa authorization user eap cached
в процессе аутентификации
удаляем условие срабатывания
Router (config-ikev2-profile)# no match certificate FLEXVPN_CERTS
профиля по карте-сертификатов
условием срабатывания IKEv2
Router (config-ikev2-profile)# match identity remote address 0.0.0.0
профиля будет любой identity
2. Редактируем AAA-модель:
3. Удаляем избиратель:
www.darkmaycal-it.ru
21
1.2.7 FlexVPN (индивидуальная аутентификация и авторизация на Radius методом AnyConnect-EAP)
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
no authentication remote eap query- удаляем предыдущий метод
Router (config-ikev2-profile)#
identity аутентификации
no aaa authentication eap удаляем предыдущую отсылку к
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST листу аутентификации
удаляем указание на неявную
Router (config-ikev2-profile)# no aaa authorization user eap cached авторизацию для предыдущего
метода eap
удаляем match-statement,
no match identity remote address
Router (config-ikev2-profile)# который использовался для
0.0.0.0
Windows VPN клиента
указываем метод аутентификации
anyconnect-eap с запросом
authentication remote anyconnect-eap пароля пользователя и
Router (config-ikev2-profile)#
aggregate cert-request опционально с запросом
сертификата пользователя - cert-
request
устанавливаем отсылку к листу
aaa authentication anyconnect-eap
Router (config-ikev2-profile)# аутентификации для метода
A_EAP_AUTHEN_LOCAL_LIST
anyconnect-eap
устанавливаем указание на
aaa authorization user anyconnect-eap
Router (config-ikev2-profile)# неявную авторизацию для нового
cached
метода anyconnect-eap
связываем лист
FLEXVPN_ACC_LIST с радиус-
группой RADIUS-GROUP. «Start-
aaa accounting network
stop» означает, что accounting -
Router(config)# FLEXVPN_ACC_LIST start-stop group
информация будет передаваться
RADIUS-GROUP
на radius сервер как при
возникновении события, так и по
завершению события
переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
эта команда активирует
accounting для механизма
aaa accounting anyconnect-eap FlexVPN. Куда именно передавать
Router (config-ikev2-profile)#
FLEXVPN_ACC_LIST accounting-информацию,
написано в листе
FLEXVPN_ACC_LIST
1. Получаем сертификат самого҆ Cisco CA. Для этого переходим на роутер с настроенным PKI сервером и
вводим команду:
% CA certificate:
-----BEGIN CERTIFICATE-----
MIIB+TCCAWKgAwIBAgIBATANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDDAVSMV9D
DGYNWd2ZD9fRjymWL0MLffgFQfNfMAj9kgploDQ=
-----END CERTIFICATE-----
2. Выделить все от -----BEGIN CERTIFICATE----- (включая) до -----END CERTIFICATE----- (тоже включая), после
чего скопировать и вставить в notepad и сохранить как TXT file (например C:\CACert.txt);
4. Выбрать файл C:\CACert.txt и нажать на кнопку «import». После этого в VPN Client можно будет увидеть
только что импортированный CA сертификат (предварительно включить отображение сертификатов из
хранилища CA);
7. После этого открываем файл с запросом на сертификат, который мы только что сгенерировали:
C:\CertReq.txt. Он будет выглядеть следующий образом:
www.darkmaycal-it.ru
23
-----BEGIN NEW CERTIFICATE REQUEST-----
MIICXTCCAUUCAQAwGDEWMBQGA1UEAxMNU2FzYSBQb3ByYXZhazCCASIwDQYJKoZI
NspPels4pIOCoWH6ELOeFdasXoSiceifzPyCJA3evykP
9. Вводим команду:
10. Результатом станет приглашение ко вводу. Вставляем скопированные данные из файла C:\CertReq.txt,
затем нажимаем enter, потом даем служебную команду: quit и опять нажимаем enter;
% Granted certificate:
MIICZDCCAc2gAwIBAgIBAjANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDDAVSMV9D
Fzt2bU/jb0q3YPhHMolEY7qcutpNG6rLwcvQ6MlRMv1CWSQuIBpfyQ==
12. Выделить все, кроме "% Granted certificate:", и вставить это в файл, например GrantedCert.txt;
13. В VPN клиенте переходим по пути «Certificates, import->Browse» и в появившемся окне выбираем файл
GrantedCert.txt;
1. Настройка trustpoint:
2. Запрос сертификата:
4. Выделить все от -----BEGIN CERTIFICATE----- (включая) до -----END CERTIFICATE----- (тоже включая), после
чего скопировать и вставить в роутер в ответ на приглашение.
www.darkmaycal-it.ru
25
и вставляем туда сформированный запрос на сертификат. Результатом станет получение сертификата для
роутера, для которого мы его запрашиваем. Результат отобразится на экране.
7. Выделить все, кроме "% Granted certificate:", и вставить сертификат на роутер, для которого мы
запрашивали сертификат, предварительно выполнив команду:
Скачать vios-adventerprisek9-
1. https://www27.zippyshare.com/v/QqoKIhny/file.html
m.vmdk.SPA.156-2.T
https://iecp.ru/articles/item/417680-sertificirovannye-ili- В каких случаях нужны сертифицированные
2.
nesertificirovannye-tokeny токены, ссылка 1
https://zen.yandex.ru/media/id/5a7978981410c39d566038
В каких случаях нужны сертифицированные
3. 82/proverte-sebia-sertificirovannye-ili-net-tokeny-vam-
токены, ссылка 2
nujno-ispolzovat--5b323dbf16f1a300a94526be
https://www.cisco.com/c/en/us/td/docs/ios-
4. xml/ios/sec_conn_ike2vpn/configuration/15-mt/sec-flex- Атрибуты Cisco AV-Pair (10 страница)
vpn-15-mt-book/sec-cfg-flex-serv.pdf
http://www.firewall.cx/cisco-technical-
5. knowledgebase/cisco-services-tech/1165-cisco-vpn-client- Установка Cisco VPN Client на Windows 10
windows-10-anniversary-update-break-and-fix.html
https://www.cisco.com/c/ru_ru/support/security/flexvpn/p
6. Site-to-Site FlexVPN. Миграция с DMVPN
roducts-configuration-examples-list.html
https://winitpro.ru/index.php/2018/10/26/politika-parolej- Изменение политики паролей Windows
7.
uchetnyx-zapisej-v-active-directory/ Server
https://www.ibm.com/developerworks/ru/library/wi-
8. Принципы работы DIAMETR
diameter/
www.darkmaycal-it.ru
27
9.2. Защита ACCESS ............................................................................................................................... …
9.3. Защита DESTRIBUTION ................................................................................................................... …
9.4. Защита CORE .................................................................................................................................. …
9.5. Защита EDGE .................................................................................................................................. …
Раздел 2. Защита от внешних угроз ............................................................................................................
1. IP Spoofing Protection ..........................................................................................................................
2. Дополнительная защита от IP Spoofing используя uRPF .......................................................................
3. Конфигурация Zone-Based Policy Firewall на примере реальной организации ...................................
4. Система предотвращения вторжений. IOS IPS ......................................................................................
5. Защита от DDOS ...................................................................................................................................
Приложение B. Выбор сетевого оборудования Cisco и лицензирование .................................. …
1. Виды лицензий IOS .............................................................................................................................
1.1. Лицензирование маршрутизаторов ............................................................................................ …
1.2. Лицензирование коммутаторов................................................................................................... …
1.3. Получение и установка лицензий ................................................................................................ …
2. Выбор сетевого оборудования для корпоративной сети ....................................................................
2.1. Выбор ACCESS ................................................................................................................................ …
2.2. Выбор DESTRIBUTION .................................................................................................................... …
2.3. Выбор CORE ................................................................................................................................... …
2.4. Выбор EDGE (пограничного маршрутизатора) ............................................................................ …
2.5. Выбор DMZ коммутатора .............................................................................................................. …
Приложение C. Ручной запрос сертификата у Cisco Certificate Authority для VPN Client ........ …
Приложение D. Запросы для поиска firmware ................................................................................. …
Ссылки на полезные ресурсы .................................................................................................................