ASA 9.x crypto dynamic-map i rozpoznawanie kto jest kto?

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
MarcelLee
wannabe
wannabe
Posty: 75
Rejestracja: 26 wrz 2005, 21:44
Lokalizacja: Sopot

ASA 9.x crypto dynamic-map i rozpoznawanie kto jest kto?

#1

#1 Post autor: MarcelLee »

Cześć.

VPN w topologi Hub & Spoke z IKEv1, na potrzeby połączenia 4 oddziałów, ale niestety dwa z nich nie mają stałych adresów IP.

Czy jest jakiś sposób, aby ustalić który spoke korzystający z dynamicznej crypto mapy właśnie się połączył po to żeby ustalić jaki ruch do niego pchać?

Może można je jakoś rozpoznawać, np: po pre-shared-key?
Pozdrawiam...
Marceli
Na górę
Awatar użytkownika
bugi
wannabe
wannabe
Posty: 1345
Rejestracja: 09 lip 2008, 17:50
Lokalizacja: Warsaw Poland

#2

#2 Post autor: bugi »

Hej,

Wg mnie jedyny sposób na ASA dla psk to zrobić easy vpn w trybie NEM. Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN. Na IOS przy psk jest chyba możliwość zrobienia mapowania po fqdn w ike.

pozdr,
CCIE RS#55541
"W ogóle, bracie, jeżeli nie masz na utrzymaniu rodziny, nie grozi ci głód, nie jesteś Tutsi ani Hutu i te sprawy, to wystarczy, że odpowiesz sobie na jedno zajebiście, ale to zajebiście, ważne pytanie: co lubię w życiu robić. A potem zacznij to robić..."
http://www.linkedin.com/in/mariuszbugaj
Na górę
MarcelLee
wannabe
wannabe
Posty: 75
Rejestracja: 26 wrz 2005, 21:44
Lokalizacja: Sopot

#3

#3 Post autor: MarcelLee »

bugi pisze:Hej,

Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN.

pozdr,
THX, pomogłeś, PKI już mam więc wystarczy je wykorzystać :)
Pozdrawiam...
Marceli
Na górę
deletek
wannabe
wannabe
Posty: 67
Rejestracja: 20 sty 2012, 18:01

#4

#4 Post autor: deletek »

MarcelLee pisze:
bugi pisze:Hej,

Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN.

pozdr,
THX, pomogłeś, PKI już mam więc wystarczy je wykorzystać :)
Ja zaproponowałbym zamiast EZVPN, IKEv2 i standardowy site-2-site.

EZVPN to dalej jest jednak dalej mało bezpieczny aggressive mode + xauth jako zabezpieczenie to też takie se.

W IKEv2 spokojnie możesz tworzyć tunnel-groupy po IKE ID - tak więc wysyłasz ze spoków FQDN, matchujesz w tunnel-groupy i gra ;)

Pozdrawiam,
Na górę
Awatar użytkownika
miro20
wannabe
wannabe
Posty: 471
Rejestracja: 10 lip 2008, 19:02

#5

#5 Post autor: miro20 »

Uzyj certyficatow to authentukacji i wzucaj w odpowiedni tunnel, bedziesz wiedzial kto jest kto.
Zawsze jest coś czego możesz się nauczyć
Na górę
Awatar użytkownika
miro20
wannabe
wannabe
Posty: 471
Rejestracja: 10 lip 2008, 19:02

#6

#6 Post autor: miro20 »

Dodam jeszcze ze w dynamic access liscie konfigurujesz sobie proxy id i jak peer przyjdzie ci ze zlym proxy id to go nie wpusci.





Przyklad

Kod: Zaznacz cały


Peer1:
access-list dynamic1 line 1 extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 
Peer2:
access-list dynamic2 line 1 extended permit ip 192.168.100.0 255.255.255.0 192.168.210.0 255.255.255.0 

Peer1: 
crypto dynamic-map vpn 10 match address dynamic1
crypto dynamic-map vpn 10 set transform-set 3des-sha
Peer2:
crypto dynamic-map vpn 20 match address dynamic2
crypto dynamic-map vpn 20 set transform-set 3des-sha

crypto map vpn 65535 ipsec-isakmp dynamic vpn
crypto map vpn interface outside
Zawsze jest coś czego możesz się nauczyć
Na górę
ODPOWIEDZ

Wróć do „Security”