ip route 172.16.1.0 255.255.255.0 Tunnel 100
پیکربندی IPsec بین روتر سیسکو و فایروال فورتیگیت

ارتباطات از جمله مسائل مهمی هست که امروزه مورد استفاده قرار میگیرند از این رو امنیت و داشتن مسائل امنیتی یکی از مهم ترین شروط یک ارتباط میباشد، در این محتوا قصد داریم به پیاده سازی IPsec بین روتر سیسکو و فایروال سخت افزاری FortiNet بپردازیم
بررسی پروتکل IPsec:
به مجموعه پروتکل ها و مکانیزم های رمزنگاری به منظور امن سازی پروتکل اینترنت را IPsec مینامند, توانایی امن سازی ارتباط بین دو Getaway و حتی یک HOST و یک Getaway را دارد. این پروتکل را میتوان به سه قسمت اصلی تقسیم کرد که به شرح زیر میباشند
- Interesting traffic: در این مرحله Policy های مربوط به IPsec تکمیل شده است و فرایند IKE به اجرا در میاید:
- Data Transfer: با استفاده از پارامتر های SA در IPsec ترافیک و Data رمز میشود و به سمت دو طرف ارسال میشود
- Tunnel Termination: زمان خاتمه یافتن Tunnel بین دو Peer در صورت تموم شدن زمان مد نظر یا حذف پارامتر ها
بررسی انواع فاز IKE در IPsec:
IKE Phase 1: در IKE Phase 1 یا همان فاز یک بین دو Peer یک Authentication( احراض هویت ) انجام میشود و دو Peer در واقع در این فاز با یک دیگر Negotiation ( مذاکره ) میکنند و یک Channel امن به منظور تبادل پارامتر های SA و IKE
IKE Phase ۲: در فاز دوم مذاکره IPsec به منظوره راه اندازی یک Tunnel امن انجام میشود. پارامتر بین یک دیگر به منظور Match بودن ردوبدل میشوند. IPsec به منظور برقراری امنیت بیشتر در یک بازه زمانی به Renegotiation (مذاکره مجدد) میپردازد به صورت اختیاری مبادلات Diffie-Hellman را نیز انجام میدهد. در فاز دوم یک حالت وجود دارد تحت عنوان Quick Mode که پس از فاز یک اتفاق میافتد حاوی امتیازاتی میباشد که به شرح زیر میباشند:
- جلوگیری از حمله Anti-Reply
- در صورت Tunnel Termination ( قطع شدن Tunnel ) وظیفه Rengotiation ( مذاکره مجدد ) را بر عهده دارد
بررسی Perfect Forward Secrec در IPsec
یک مکانیزم در IPSec که پس از فعال سازی آن موجب بالا رفتن سرعت تبادل کلید ها و Generate شدن کلیدها با استفاده از ارائه پارامتر های آن میشود
سناریو ما به شکل زیر میباشد
در این سناریو ما دو شبکه کاملا مجزا داریم که در یک سمت از روتر سیسکو و در سمت دیگر فایروال FortiGate. هردو این تجهیز به شبکه اینترنت جهانی متصل هستند و قرار است بین این دو شبکه یک اتصال ایمن از طریق پروتکل IPsec ایجاد شود. در سمت رابط روتر سیسکو آدرس آیپی 100.100.100.1 قرار دارد و در سمت فایروال FortiGate آدرس آیپی 100.100.100.2
کانفینگ روتر سیسکو:
ساخت یک ISAKMP Policy برای فاز یک IPsec به منظور تایین مقدار Hash algorithm و Authentication به منظور Negotiation
Crypto isakmp policy 10
hash md5
authentication pre-share
group 14
lifetime 28800
تعیین Pre-Shared key و آدرس IP طرف مقابل
crypto isakmp key CiscoKey address 100.100.100.2
crypto isakmp keepalive 10 5
تنظیم پارامتر های الگوریتم رمزنگاری و پروتکل مورد نظر(ESP ویا AH)
crypto ipsec transform-set ipsectransform esp-aes256 esp-sha-hmac
تنظیم IPsec Profile:
crypto ipsec profile FG
set transform-set ipsectransform
set pfs group 14
ایجاد رابط Tunnel IPsce
interface Tunnel 100
ip unnumbered FastEthernet0/1.151
tunnel source 100.100.100.1
tunnel destination 100.100.100.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile FG
نوشتن یک Route برای دسترسی به شبکه مقصد:
کانفینگ فایروال FortiGate:
وارد مسیر زیر در FortiGate شوید و بر روی Create New کلیک کنید
VPN -> IPsec Tunnels
در قسمت اول یک Name و به دلخواه انتخاب میکنیم
قسمت Template Type بر روی Site To Site قرار میدهیم، در قسمت Remote Device Type میبایست Cisco را انتخاب کنیم و بر روی گزینه Next کلیک کنیم
در قسمت بعد در IP Address میبایست آدرس IP روتر سیسکو مقابل خود را وارد کنیم و قسمت Outgoing Interface نیز رابطی سمت شبکه جهانی اینترنتمان را. در قسمت Pre Shared Key همان کلیدی را باید وارد کنیم که در سمت روتر سیسکو وارد کردیم درصورت نداشتن تطبیق با یک دیگر, Tunnel براقرار نمیشود.
در قسمت ویژگی خوبی که FortiGate به ما ارائه میدهد این است که خیلی راحت با دادن رنج آدرس IP شبکه سمت مقابل و رنج آدرس IP شبکه سمت خودمان یک Route به صورت اتوماتیک توسط FortiGate ایجاد شود
نویسنده: امیرحسین تنگسیرینژاد