[Dr.WoW] [No.26] VPNs iniciadas por el cliente L2TP segunda parte

81 0 0 0

4 Paso 4: Transmisión de encapsulación de datos: paso a través del agujero de gusano para visitar la Tierra

Después de que se haya construido el túnel L2TP, los datos del cliente L2TP pueden ir libremente desde y hacia la red HQ. Dar una explicación clara sobre el proceso de cómo el profesor Du pasó a través de su agujero de gusano es difícil, pero no es muy difícil explicar cómo los datos del cliente L2TP pasan a través del túnel L2TP para llegar a la red HQ; esto implica el proceso de encapsulación para paquetes de datos L2TP. Este proceso es muy similar a los paquetes GRE que adoptan y luego descartan "alter-egos", con la diferencia de que los "alter-egos" son ligeramente diferentes aquí.

163731l6j5j169pvmr9lza.jpg

La captura de paquetes anterior muestra la estructura de la encapsulación de paquetes L2TP, y un análisis más detallado de *** aclara el proceso de encapsulación / desencapsulación para paquetes de datos L2TP en un escenario VPN iniciado por el cliente (Figura 1-3).

Figura 1-3 Proceso para la encapsulación / desencapsulación de paquetes VPN iniciada por el cliente

163742x1c4nkn1n66k44kr.jpg

El proceso del cliente L2TP para reenviar paquetes hacia el servidor de red interno es el siguiente:

1. El cliente L2TP encapsula el paquete original utilizando un encabezado PPP, un encabezado L2TP, un encabezado UDP y, finalmente, en la capa más externa, un encabezado IP de la red pública, convirtiéndolo en un paquete L2TP. La dirección de origen en el encabezado IP de la red pública de la capa externa es la dirección IP de la red pública del cliente L2TP, mientras que la dirección de destino es la dirección IP de la interfaz de la red pública del LNS.

2. Los paquetes L2TP pasan a través de Internet al LNS.

3. Después de que el LNS recibe los paquetes, completa la autenticación de identidad y la desencapsulación de paquetes en el módulo L2TP, descartando el encabezado PPP, el encabezado L2TP, el encabezado UDP y el encabezado IP de la capa externa, para restaurar el paquete original.

4. El paquete original solo lleva un encabezado IP de red privada de capa interna. Esta dirección de origen del encabezado IP de la red privada de capa interna es la dirección IP de la red privada obtenida por el cliente L2TP, mientras que la dirección de destino es la dirección IP de la red privada del servidor de red interno. El LNS verifica su tabla de enrutamiento basándose en la dirección de destino y luego reenvía el paquete usando el resultado de enrutamiento correspondiente.

El cliente L2TP ahora tiene un acceso sin obstáculos al servidor de red interno de HQ, pero todavía hay un problema: ¿cómo devolver los paquetes desde el servidor de red interno de HQ con destino al cliente de L2TP entrar en el túnel para volver al cliente de L2TP? Parece que no hemos configurado ninguna ruta para guiar estos paquetes de retorno al túnel, ¿verdad? Una mirada a la tabla de enrutamiento en el LNS muestra algo interesante: el LNS ha emitido automáticamente una ruta de host para el cliente L2TP que obtuvo la dirección IP de la red privada.

 

[LNS] display ip routing-table                                       

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface       

    192.168.2.2/32  Direct 0    0           D    192.168.2.2     Virtual-Template1

 

Esta ruta de host generada automáticamente es una ruta de red de usuario (UNR), la dirección de destino y el siguiente salto son la dirección de red privada que el LNS asignó para el cliente L2TP, y la interfaz de envío es la interfaz VT. Esta ruta es la entrada de agujero de gusano del LNS y guía los paquetes que se dirigen al cliente L2TP hacia el túnel. Nuestra pregunta se ha resuelto y ahora debería ser fácil comprender el proceso de reenvío para los paquetes devueltos desde el servidor de red interno.

1. Después de que el LNS recibe un paquete de retorno del servidor de la red interna, busca una ruta basada en la dirección de destino del paquete (la dirección IP de la red privada del cliente L2TP), selecciona una ruta UNR y envía el paquete de retorno a la interfaz VT .

2. El paquete de retorno se encapsula con un encabezado PPP, un encabezado L2TP, un encabezado UDP y un encabezado IP de red pública de capa externa en el módulo L2TP.

3. El LNS verifica la tabla de enrutamiento basándose en la dirección IP de destino del encabezado IP de la capa externa del paquete (la dirección IP de la red pública del cliente L2TP) y luego reenvía el paquete utilizando el resultado de enrutamiento correspondiente.

El proceso anterior es un poco complicado, ya que los paquetes de retorno deben coincidir dos veces con la tabla de enrutamiento en su viaje de regreso al cliente L2TP.

Nuestra explicación anterior solo utilizó un cliente L2TP, pero en entornos reales habrá muchos clientes L2TP que accedan a la red HQ a través del agujero de gusano simultáneamente. Si el cliente L2TP no está satisfecho con solo acceder a la red HQ, pero también desea acceder a otros clientes L2TP (es decir, si hay un acceso mutuo entre clientes L2TP), ¿puede L2TP lograr esto? No se olvide, el LNS es la estación de transferencia que conecta múltiples agujeros de gusano y tiene rutas de host a muchos clientes L2TP. Por lo tanto, dos clientes L2TP pueden acceder libremente entre sí a través del reenvío LNS, como se muestra en la Figura 1-4. Por supuesto, la premisa para el acceso mutuo es que cada cliente L2TP debe conocer la dirección IP asignada por el LNS entre sí. Esta premisa no se logra fácilmente, por lo que los escenarios con acceso mutuo entre clientes L2TP no son muy comunes.

Figura 1-4 Escenario de acceso mutuo del cliente L2TP

163754mnsj4bjs1tj3wf5k.jpg

 

5 Enfoque a la configuración de la política de seguridad

El enfoque general de la configuración de las políticas de seguridad para las VPN iniciadas por el cliente L2TP es similar al de la configuración de las políticas de seguridad GRE, excepto que la interfaz del túnel ha sido reemplazada por la interfaz VT.

Como se muestra en la Figura 1-5, en nuestro escenario hipotético, el GE0 / 0/1 del LNS está conectado a la red privada del HQ y pertenece a la zona Trust; GE0 / 0/2 está conectado a Internet y pertenece a la zona Untrust; la interfaz VT pertenece a la zona DMZ; La dirección IP asignada por el LNS para el cliente L2TP es 192.168.2.2.

Figura 1-5 Organización de la red para configurar las políticas de seguridad VPN iniciadas por el cliente

163815qsxyblyd0d7g5s3x.jpg

El proceso para configurar una política de seguridad es el siguiente:

1. Primero, configuramos la política de seguridad interzonal más amplia posible para ayudar con los ajustes / pruebas de VPN L2TP.

La acción de filtrado de paquetes predeterminada entre zonas en el LNS está configurada para "permit:

[LNS] firewall packet-filter default permit all

2. Después de la configuración de L2TP, hacemos ping al servidor de red interno con el cliente L2TP y luego verificamos la tabla de la sesión.

[LNS] display firewall session table verbose                         

 Current Total Sessions : 2                                                    

  l2tp  VPN:public --> public                                                  

  Zone: untrust--> local  TTL: 00:02:00  Left: 00:01:58                        

  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00           

  <--packets:20 bytes:1120   -->packets:55 bytes:5781                          

  1.1.1.2:1701-->1.1.1.1:1701                                                   

                                                                               

  icmp  VPN:public --> public                                                  

  Zone: dmz--> trust  TTL: 00:00:20  Left: 00:00:01                            

  Interface: GigabitEthernet0/0/1  NextHop: 192.168.1.2  MAC: 20-0b-c7-25-6d-63

  <--packets:5 bytes:240   -->packets:5 bytes:240                              

  192.168.2.2:1024-->192.168.1.2:2048

 

 

La información anterior muestra que el cliente L2TP hizo un ping al servidor de la red interna y que se ha creado una sesión L2TP.

3. *** ysis de la tabla de sesión muestra las condiciones existentes a las que se puede hacer coincidir una política de seguridad refinada.

Desde la tabla de sesión podemos ver dos flujos (uno es Untrust -> Paquetes locales L2TP, y el otro DMZ -> Confiar en paquetes ICMP), y por lo tanto podemos obtener la dirección de los paquetes en el LNS, como se muestra en la Figura 1 -6

Figura 1-6 Dirección del paquete LNS

 

163826mor3ne1of6ob3lce.jpg

 

La figura anterior muestra que el LNS necesita configurar una DMZ -> Confíe en la política de seguridad que permite que pasen los paquetes del cliente L2TP que busca el acceso al servidor de red interno, y también necesita configurar una No confiable -> Política de seguridad local para permitir El cliente L2TP y el LNS para establecer un túnel L2TP.

Una vez que se establece el túnel L2TP, la dirección de los paquetes de retorno enviados desde el servidor interno al cliente L2TP es la opuesta a cuando el cliente L2TP accede al servidor interno, por lo que no necesitamos más detalles sobre esto.

Para resumir, las políticas de seguridad que deben configurarse en el LNS en varias condiciones se muestran en la Tabla 1-5, y debemos configurar las políticas de seguridad que mejor se ajusten a las condiciones existentes.


Table 1-5 Selecting LNS security policies based upon existing conditions

Transactional Direction

Source Security Zone

Destination Security Zone

Source Address

Destination Address

Used in

The L2TP client accesses the internal   network server

Untrust

Local

ANY

1.1.1.1/32

L2TP

DMZ

Trust

192.168.2.2~192.168.2.100

(address pool addresses)

192.168.1.0/24

*

The internal network server accesses the   L2TP client

Trust

DMZ

192.168.1.0/24

192.168.2.2~192.168.2.100

address pool addresses

*

*: Use in this instance is related to the   transaction type, and can be configured according to actual circumstances   (for example: TCP, UDP, and ICMP).

 

Tabla 1-5 Selección de políticas de seguridad de LNS basadas en condiciones existentes

NOTA

En este escenario, el LNS solo recibe pasivamente la solicitud del cliente L2TP para establecer un túnel, pero no iniciará activamente una solicitud al cliente L2TP para establecer un túnel, por lo que solo se debe configurar una política de seguridad local Untrust -> en el LNS para el túnel L2TP.

Por lo tanto, en los escenarios L2TP VPN que utilizan el método iniciado por el cliente, la interfaz VT de LNS debe agregarse a una zona de seguridad, y la zona de seguridad a la que pertenece la interfaz VT determina la dirección de los paquetes en el firewall. Si la interfaz VT pertenece a la zona Trust, entonces no es necesaria ninguna política de seguridad interzonal DMZ-Trust, pero esto también implica riesgos de seguridad. Por lo tanto, es recomendable agregar la interfaz VT a una zona de seguridad separada y luego configurar la política de seguridad que mejor se adapte a las condiciones existentes.

4. Finalmente, la acción del filtro de paquetes predeterminado se cambia a "deny".

[LNS] firewall packet-filter default deny all

 

 

 

 

 

 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje