Bezpečná komunikácia medzi pobočkami je dnes štandardom v každej serióznej infraštruktúre. Ak spravujete sieť s viacerými lokalitami a chcete zabezpečiť dôverné a overené spojenie, Site-to-Site IPSec VPN je nevyhnutnou súčasťou vášho arzenálu. V tomto článku si podrobne vysvetlíme, ako nakonfigurovať Site-to-Site VPN medzi dvomi Cisco zariadeniami – najčastejšie ASA firewally alebo smerovače – s dôrazom na praktické pochopenie.
IPSec VPN (Internet Protocol Security Virtual Private Network) umožňuje bezpečný prenos dát cez nedôveryhodné siete, najčastejšie cez internet. Pomocou šifrovania a autentifikácie zabezpečí, že dáta medzi dvoma pobočkami nebudú čitateľné pre tretie strany.
V tomto článku sa sústredíme na Site-to-Site riešenie.
Nasledujúce kroky zodpovedajú praktickému postupu z laboratórií kurzu COS:
Najprv definujeme, ktorý traffic má byť tunelovaný (napr. LAN pobočky A ↔ LAN pobočky B):
access-list VPN-ACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Transform set definuje spôsob šifrovania a autentifikácie:
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
crypto map VPN-MAP 10 match address VPN-ACL crypto map VPN-MAP 10 set peer 203.0.113.1 crypto map VPN-MAP 10 set transform-set VPN-SET crypto map VPN-MAP interface outside
crypto isakmp policy 10 encryption aes hash sha authentication pre-share group 2 lifetime 86400 crypto isakmp key cisco123 address 203.0.113.1
Crypto mapa sa musí pripojiť na externé rozhranie (napr. „outside“):
crypto map VPN-MAP interface outside
show crypto isakmp sa
– stav fázy 1show crypto ipsec sa
– počet zašifrovaných/dešifrovaných paketovZačiatočníci sa často stretnú s nasledovnými problémami:
V prípade, že na strane jednej pobočky nepoznáte verejnú IP adresu (napr. dynamicky prideľovaná), môžete použiť tzv. „Dynamic crypto map“:
crypto dynamic-map DYN-VPN 10 set transform-set VPN-SET crypto map VPN-MAP 65535 ipsec-isakmp dynamic DYN-VPN
Tento prístup je vhodný najmä pre menšie pobočky bez statickej IP adresy.
VPN by mala byť súčasťou širšej bezpečnostnej stratégie. Dôležité je pravidelne rotovať predzdieľané kľúče, monitorovať štatistiky tunela a používať silné šifrovacie algoritmy (napr. AES-256).
Site-to-Site VPN je základným stavebným prvkom pri prepájaní firemných lokalít. Správne nakonfigurované spojenie zabezpečí nielen bezpečný prenos dát, ale aj vyššiu spoľahlivosť siete. Vďaka kurzom ako COS sa túto technológiu naučíte rýchlo a prakticky. Ak chcete získať superschopnosť ochraňovať Cisco sieť, prihláste sa ešte dnes.
Viac informacií preberáme na kurze: