ip route 172.16.1.0 255.255.255.0 Tunnel 100
ارتباطات از جمله مسائل مهمی هست که امروزه مورد استفاده قرار میگیرند از این رو امنیت و داشتن مسائل امنیتی یکی از مهم ترین شروط یک ارتباط میباشد، در این محتوا قصد داریم به پیاده سازی IPsec بین روتر سیسکو و فایروال سخت افزاری FortiNet بپردازیم
به مجموعه پروتکل ها و مکانیزم های رمزنگاری به منظور امن سازی پروتکل اینترنت را IPsec مینامند, توانایی امن سازی ارتباط بین دو Getaway و حتی یک HOST و یک Getaway را دارد. این پروتکل را میتوان به سه قسمت اصلی تقسیم کرد که به شرح زیر میباشند
IKE Phase 1: در IKE Phase 1 یا همان فاز یک بین دو Peer یک Authentication( احراض هویت ) انجام میشود و دو Peer در واقع در این فاز با یک دیگر Negotiation ( مذاکره ) میکنند و یک Channel امن به منظور تبادل پارامتر های SA و IKE
IKE Phase ۲: در فاز دوم مذاکره IPsec به منظوره راه اندازی یک Tunnel امن انجام میشود. پارامتر بین یک دیگر به منظور Match بودن ردوبدل میشوند. IPsec به منظور برقراری امنیت بیشتر در یک بازه زمانی به Renegotiation (مذاکره مجدد) میپردازد به صورت اختیاری مبادلات Diffie-Hellman را نیز انجام میدهد. در فاز دوم یک حالت وجود دارد تحت عنوان Quick Mode که پس از فاز یک اتفاق میافتد حاوی امتیازاتی میباشد که به شرح زیر میباشند:
یک مکانیزم در IPSec که پس از فعال سازی آن موجب بالا رفتن سرعت تبادل کلید ها و Generate شدن کلیدها با استفاده از ارائه پارامتر های آن میشود سناریو ما به شکل زیر میباشد
در این سناریو ما دو شبکه کاملا مجزا داریم که در یک سمت از روتر سیسکو و در سمت دیگر فایروال FortiGate. هردو این تجهیز به شبکه اینترنت جهانی متصل هستند و قرار است بین این دو شبکه یک اتصال ایمن از طریق پروتکل IPsec ایجاد شود. در سمت رابط روتر سیسکو آدرس آیپی 100.100.100.1 قرار دارد و در سمت فایروال FortiGate آدرس آیپی 100.100.100.2
-------------------------------------------------
برای دسترسی به مجموعه بهترین دوره های آموزش شبکه های کامپیوتری ( مبانی شبکه ، نتورک پلاس ، مانیتورینگ و ... ) مقدماتی تا پیشرفته با ارائه گواهینامه و فیلم رایگان همین الان کلیک کن
--------------------------------------------------
ساخت یک ISAKMP Policy برای فاز یک IPsec به منظور تایین مقدار Hash algorithm و Authentication به منظور Negotiation
Crypto isakmp policy 10
hash md5
authentication pre-share
group 14
lifetime 28800
تعیین Pre-Shared key و آدرس IP طرف مقابل
crypto isakmp key CiscoKey address 100.100.100.2
crypto isakmp keepalive 10 5
تنظیم پارامتر های الگوریتم رمزنگاری و پروتکل مورد نظر(ESP ویا AH)
crypto ipsec transform-set ipsectransform esp-aes256 esp-sha-hmac
تنظیم IPsec Profile:
crypto ipsec profile FG
set transform-set ipsectransform
set pfs group 14
ایجاد رابط Tunnel IPsce
interface Tunnel 100
ip unnumbered FastEthernet0/1.151
tunnel source 100.100.100.1
tunnel destination 100.100.100.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile FG
نوشتن یک Route برای دسترسی به شبکه مقصد:
ip route 172.16.1.0 255.255.255.0 Tunnel 100
وارد مسیر زیر در FortiGate شوید و بر روی Create New کلیک کنید
VPN -> IPsec Tunnels
در قسمت اول یک Name و به دلخواه انتخاب میکنیم
قسمت Template Type بر روی Site To Site قرار میدهیم، در قسمت Remote Device Type میبایست Cisco را انتخاب کنیم و بر روی گزینه Next کلیک کنیم
در قسمت بعد در IP Address میبایست آدرس IP روتر سیسکو مقابل خود را وارد کنیم و قسمت Outgoing Interface نیز رابطی سمت شبکه جهانی اینترنتمان را. در قسمت Pre Shared Key همان کلیدی را باید وارد کنیم که در سمت روتر سیسکو وارد کردیم درصورت نداشتن تطبیق با یک دیگر, Tunnel براقرار نمیشود.
در قسمت ویژگی خوبی که FortiGate به ما ارائه میدهد این است که خیلی راحت با دادن رنج آدرس IP شبکه سمت مقابل و رنج آدرس IP شبکه سمت خودمان یک Route به صورت اتوماتیک توسط FortiGate ایجاد شود
نویسنده: امیرحسین تنگسیرینژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو
متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider میباشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود