امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

پیکربندی IPsec بین روتر سیسکو و فایروال فورتی‌گیت

ارتباطات از جمله مسائل مهمی هست که امروزه مورد استفاده قرار میگیرند از این رو امنیت و داشتن مسائل امنیتی یکی از مهم ترین شروط یک ارتباط می‌باشد، در این محتوا قصد داریم به پیاده سازی IPsec بین روتر سیسکو و فایروال سخت افزاری FortiNet بپردازیم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بررسی پروتکل IPsec:

به مجموعه پروتکل ها و مکانیزم های رمزنگاری به منظور امن سازی پروتکل اینترنت را IPsec مینامند, توانایی امن سازی ارتباط بین دو Getaway و حتی یک HOST و یک Getaway را دارد. این پروتکل را میتوان به سه قسمت اصلی تقسیم کرد که به شرح زیر میباشند

  • Interesting traffic: در این مرحله Policy های مربوط به IPsec تکمیل شده است و فرایند IKE به اجرا در میاید:
  • Data Transfer: با استفاده از پارامتر های SA در IPsec ترافیک و Data رمز میشود و به سمت دو طرف ارسال میشود
  • Tunnel Termination: زمان خاتمه یافتن Tunnel بین دو Peer در صورت تموم شدن زمان مد نظر یا حذف پارامتر ها

بررسی انواع فاز IKE در IPsec:

IKE Phase 1: در IKE Phase 1 یا همان فاز یک بین دو Peer یک Authentication( احراض هویت ) انجام میشود و دو Peer در واقع در این فاز با یک دیگر Negotiation ( مذاکره ) میکنند و یک Channel امن به منظور تبادل پارامتر های SA و IKE

IKE Phase ۲: در فاز دوم مذاکره IPsec به منظوره راه اندازی یک Tunnel امن انجام میشود. پارامتر بین یک دیگر به منظور Match بودن ردوبدل میشوند. IPsec به منظور برقراری امنیت بیشتر در یک بازه زمانی به Renegotiation (مذاکره مجدد) می‌پردازد به صورت اختیاری مبادلات Diffie-Hellman را نیز انجام میدهد. در فاز دوم یک حالت وجود دارد تحت عنوان Quick Mode که پس از فاز یک اتفاق می‌افتد حاوی امتیازاتی میباشد که به شرح زیر میباشند:

  • جلوگیری از حمله Anti-Reply
  • در صورت Tunnel Termination ( قطع شدن Tunnel ) وظیفه Rengotiation ( مذاکره مجدد ) را بر عهده دارد

بررسی Perfect Forward Secrec در IPsec

یک مکانیزم در IPSec که پس از فعال سازی آن موجب بالا رفتن سرعت تبادل کلید ها و Generate شدن کلیدها با استفاده از ارائه پارامتر های آن میشود

سناریو ما به شکل زیر می‌باشد

پیکربندی IPsec بین روتر سیسکو و فایروال فورتی‌گیت

در این سناریو ما دو شبکه کاملا مجزا داریم که در یک سمت از روتر سیسکو و در سمت دیگر فایروال FortiGate. هردو این تجهیز به شبکه اینترنت جهانی متصل هستند و قرار است بین این دو شبکه یک اتصال ایمن از طریق پروتکل IPsec ایجاد شود. در سمت رابط روتر سیسکو آدرس آی‌پی 100.100.100.1 قرار دارد و در سمت فایروال FortiGate آدرس آی‌پی 100.100.100.2

کانفینگ روتر سیسکو:

ساخت یک ISAKMP Policy برای فاز یک IPsec به منظور تایین مقدار Hash algorithm و Authentication به منظور Negotiation

Crypto isakmp policy 10 
hash md5 
authentication pre-share
group 14
lifetime 28800

تعیین Pre-Shared key و آدرس IP طرف مقابل

crypto isakmp key CiscoKey address 100.100.100.2
crypto isakmp keepalive 10 5

تنظیم پارامتر های الگوریتم رمزنگاری و پروتکل مورد نظر(ESP ویا AH)

crypto ipsec transform-set ipsectransform esp-aes256 esp-sha-hmac

تنظیم IPsec Profile:

crypto ipsec profile FG
set transform-set ipsectransform
set pfs group 14

ایجاد رابط Tunnel IPsce

interface Tunnel 100
ip unnumbered FastEthernet0/1.151
tunnel source 100.100.100.1
tunnel destination 100.100.100.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile FG

نوشتن یک Route برای دسترسی به شبکه مقصد:

ip route 172.16.1.0 255.255.255.0 Tunnel 100

کانفینگ فایروال FortiGate:

وارد مسیر زیر در FortiGate شوید و بر روی Create New کلیک کنید

VPN -> IPsec Tunnels

در قسمت اول یک Name و به دلخواه انتخاب می‌کنیم
قسمت Template Type بر روی Site To Site قرار می‌دهیم، در قسمت Remote Device Type می‌بایست Cisco را انتخاب کنیم و بر روی گزینه Next کلیک کنیم

پیکربندی IPsec بین روتر سیسکو و فایروال فورتی‌گیت

در قسمت بعد در IP Address می‌بایست آدرس IP روتر سیسکو مقابل خود را وارد کنیم و قسمت Outgoing  Interface نیز رابطی سمت شبکه جهانی اینترنت‌مان را. در قسمت Pre Shared Key همان کلیدی را باید وارد کنیم که در سمت روتر سیسکو وارد کردیم درصورت نداشتن تطبیق با یک دیگر, Tunnel براقرار نمی‌شود.

پیکربندی IPsec بین روتر سیسکو و فایروال فورتی‌گیت

در قسمت ویژگی خوبی که FortiGate به ما ارائه می‌دهد این است که خیلی راحت با دادن رنج آدرس IP شبکه سمت مقابل و رنج آدرس IP شبکه سمت خودمان یک Route به صورت اتوماتیک توسط FortiGate ایجاد شود

پیکربندی IPsec بین روتر سیسکو و فایروال فورتی‌گیت

نویسنده: امیرحسین تنگسیری‌نژاد


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات