Rede Privada Virtual (VPN) e Serviço de Segurança

 
COPIA DE
https://extrudesign.com/design-of-virtual-private-network-vpn-and-security-service/







Projeto de Rede Privada Virtual (VPN) e Serviço de Segurança

por

Um projeto de último ano sobre “Design de Rede Privada Virtual (VPN) e Serviço de Segurança″ enviado por Usman Shabbir para extrudesign.com .

Sumário executivo

O foco desta documentação é o desenho da Rede Privada Virtual e dos Serviços de Segurança a serem implementados na organização. O projeto é realizado com base na análise de requisitos, especificando as principais características da rede implantada. Também enfatizamos a arquitetura de todo o sistema, capturas de tela também foram fornecidas e diagramas ER são desenhados usando o Lucid Chart.

Tópico: Projeto de rede privada virtual, estabelecendo nova VPN, rede privada virtual

Introdução

Com a tendência crescente de comunicação minuto a minuto, cada organização tornou-se obrigatória para instalar uma infra-estrutura de rede eficaz, segura e poderosa. As redes frequentemente enfrentam ataques para quebrar dados e interromper atividades rivais.

Para evitar a rede de alguém, as empresas implementam redes privadas virtuais para diminuir o perigo de ataques externos e manter os dados apenas na rede criada e melhorar a eficácia. Fomos abordados pela empresa XYZ para construir uma rede para eles, para que possam promover alunos, instalações e funcionários administrativos. A organização precisa de uma infraestrutura de rede eficaz para processar a comunicação interna e externa.

Como já entregamos a eles nosso Documento de Análise de Requisitos que é aprovado por nosso Supervisor e nosso cliente, agora estamos nos levando para a próxima etapa deste projeto que é a “Fase de Projeto” e aqui projetaremos a rede de acordo com nossos planejamento final e atualizações.

Finalidade e público-alvo para o projeto de rede privada virtual

Este documento destacará o projeto de rede, incluindo especificações de rede e implementações compostas de arquitetura de sistema de rede, soluções de rede com suas topologias, tabelas de endereçamento IP com Vlans fornecidas para seus respectivos sites, características de segurança com tabela de entrada e saída, plano de redundância atualizado e plano de implantação, configurações para nossas políticas e planejamento futuro. Fornecendo essas diretrizes, ajudará a organização a fazer:

  • estimativas da fatura
  • Duração da implementação de cada etapa da rede
  • Estime a eficácia, segurança e desempenho da rede
  • Em termos de desenvolvimento de rede e dificuldades de segurança, o futuro da rede instalada.

E aqui nosso público você encontrará uma empresa para a qual trabalhamos: a “Empresa XYZ”.

Requisitos de Hardware e Software para Projeto de Rede Privada Virtual

Requisitos de Hardware e Software para Projeto de Rede Privada Virtual
ItemEspecificações
Servidor de arquivosO servidor de armazenamento Cisco UCS S3260 é recomendado como servidor de arquivos, pois pode ser facilmente integrado ao roteador e é eficiente o suficiente para lidar com dados sem problemas [1] Processadores escalonáveis ​​Intel® Xeon® ou CPUs Intel E5-2600 v4 com até 44 núcleos por nó de servidor [1]Até 1,5 TB de memória DDR4 por nó de servidor (total de 3 TB)Suporte para NVMe de alto desempenho e memória Flash [1]
Servidor de aplicaçãoAjudará a acessar os serviços O Windows 2012 Server será usado como um servidor de aplicativos devido à sua boa reputação e versatilidade será integrado para atuar como[1]
RoteadorO Cisco 4000 Series Integrated Services Router é o preferido para esta segurança, suporta virtualização, previne ataques DDOS, atualmente implementado, testado e recomendado por profissionais devido a sua eficiência e desempenho [3].
ComutaO switch é usado para distribuir a rede do roteador para todos os dispositivos conectados na rede.Na rede atual, serão necessários switches de 8, 16 e 24 portas.Cisco Catalyst 2960-L, modelo no. Pode ser usado o WS-C2960L, que também está disponível em 8, 16 e 24 portas como WS-C2960-16TS e WS-C2960-24TS [4].

Outros requerimentos

FirewallO Cisco Firepower Next-Generation Firewall pode ser considerado uma opção perfeita para detectar ataques, interromper ameaças e responder. Além disso, é facilmente configurável [2].
CabeamentoOs cabos serão usados ​​através da LAN e para fornecer conectividade Ethernet aos pontos de acesso. Para este fim, o cabo Ethernet CAT 6/6a será usado para distâncias abaixo de 300 pés e para distâncias maiores que 300 pés, o cabo OFC de modo único será usado [ 5].

Resumo

Este documento delineará o design entre os dois sites de uma rede segura. Nesta pesquisa, será estabelecida uma VPN – Virtual Private Network para a organização. A organização tem dois sites australianos e sua rede deve permitir acesso VPN aos clientes remotos da empresa.

Premissas

A entrega deste documento resultará em:

  • O design lógico ajudará os fornecedores a escolher o tipo certo de recursos de hardware para a instalação da rede.
  • O orçamento de todo o projeto se tornará previsível.
  • A duração do tempo para cada marco pode ser marcada.

Estratégia de design

A estratégia de design para o design da rede privada virtual deve ser forte o suficiente para manter o bom desempenho da rede sob parâmetros de segurança eficientes.

  • Autenticação e verificação rigorosas para acessar a rede.
  • Criptografia/Descriptografia de informações.
  • Implementação de lista de controle de acesso e firewall.
  • Alta restrição ao gerenciamento do servidor.
  • Planos de backup
  • Plano de manutenção
  • Reação ao ataque DDOS e ameaças
  • Tempo de inatividade do servidor minimalista

Metodologia

Redes privadas virtuais que ajudam as pessoas a permanecerem anônimas em conexões públicas, agindo como um servidor proxy, usam os seguintes métodos para segurança e proteção de dados.

1.1 IPsec

O protocolo de segurança da Internet (IPsec) é um protocolo que oferece um link seguro na camada de rede da Internet. Foi implementado para proteger a transmissão de informações através de uma rede pela Internet Engineering Task Force. O design do IPsec é consistente com os objetivos de segurança de autenticação, integridade e confidencialidade. Os dados são criptografados neste protocolo de segurança, encapsulados em um pacote IPsec, e a descriptografia do pacote IP original ocorre no final do ponto do túnel quando o usuário pretendido é DE encapsulado.

1.2 Protocolo de túnel da camada 2 (L2TP)

Este protocolo de segurança é usado junto com o protocolo ponto a ponto da Microsoft e da Cisco. Este protocolo de segurança pode ajudar a transferir o protocolo não-IP para uma rede IP. Devido à falta de confidencialidade do L2TP, ele é mais comumente usado em combinação com o IPsec. O sistema IPsec aparecerá como um único pacote criptografado quando todas as informações L2TP estiverem operando.

1.3 Link(S) VPN entre ambos os lados

A Rede Privada Virtual entre os dois campi será construída. A VPN permitirá que ambas as extremidades transfiram informações e usem serviços com segurança. L2TP – Layer 2 Tunneling Protocol é montado para permitir o link de ambos os locais. O L2TP é o único responsável por iniciar o link, mas nenhuma verificação de segurança é realizada.

Portanto, para tornar a rede mais segura, o IPSec – Internet Protocol Security será montado com L2TP para tornar os parâmetros de segurança eficazes. O IPSec oferece uma função de criptografia abrangente para todos os pacotes de informações transmitidos pela rede. Isso é feito em 4 etapas:

  1. Configure o L2TP para conectar ambas as conexões L2TP
  2. Criar política de fase 1 de IKE
  3. Configurando a Política IPSec
  4. Criar mapas de criptografia

Estas são as quatro etapas envolvidas na configuração de um túnel L2TP adequado junto com o protocolo IPSec [6].

Diagrama de Arquitetura VPN

Toda a arquitetura é dividida em subsistema e é descrita neste segmento.

1.1 Diagrama de arquitetura VPN usando controlador sem fio

Diagrama de arquitetura VPN usando controlador sem fio

Aqui, o controlador sem fios de uma empresa (utilizado para a gestão centralizada dos vários pontos de acesso sem fios da empresa) pode funcionar como um concentrador VPN (com as devidas autorizações) e, se necessário, configurar túneis VPN com outros controladores, pontos de acesso remotos (home office) e clientes VPN (teletrabalhadores / pessoal em viagem).

Conforme mostrado nos diagramas acima, nem sempre é necessário ter links VPN da matriz para filiais / funcionários em viagem, etc. Pode ser criado de um site para outro, um site para vários locais e vários sites para vários locais, dependendo a configuração, designs e tipos de link suportados pelos diferentes sistemas VPN. Obviamente, as VPNs Site-to-Site e Site-to-Client podem ser configuradas.

1.2 Modelo de Informação de Política de VPN

Modelo de Informação de Política de VPN

 (Um sistema de gerenciamento de rede baseado em políticas para IP VPN – Scientific Figure em Techlivewire.com. Disponível em: http://www.techlivewire.com/figure/Hierarchy-of-VPN-Policy-Information-Model_fig1_224742035 [acessado em 29 de agosto de 2019])

Solução de rede

1.1 Rede de longa distância - WAN

A WAN entre os dois locais da organização é a seguinte:

Figura 2-WAN entre sites de Organizações

Entre os dois locais, serão introduzidos túneis VPN. Um site usará o IP público para acessar o IP privado da organização e as instalações para acessar o servidor de aplicativos.

 Nota: Ambos os locais podem ter espaço no servidor ou o servidor pode ser acessado em apenas um site.

1.2 Rede Local – LAN

Observação: o mesmo design se aplica ao site B

  • O design da LAN do site é exibido acima. Cada organização usará o serviço de um ISP para acessar a web para interação externa e usar a intranet para se comunicar internamente.
  • Ambos os sites usarão VPN Tunnel para comunicar serviços e acessar servidores de arquivamento de aplicativos ou organizações.
  • Primeiro, o firewall será usado para proteger o acesso, responder a ataques e verificar vírus. Os usuários não autorizados são filtrados pela ACL.
  • A rede será transmitida através do switch central para a área do servidor, administração e área de trabalho.
  • O espaço do servidor terá um servidor de arquivos de armazenamento de dados, um servidor de backup de dados e um servidor de software de processamento de dados. Nenhum servidor DHCP será necessário, pois os modems instalados atribuirão endereços IP automaticamente aos dispositivos de rede.
  • A área de recepção pode ser considerada para a organização onde o AP é acessível para telefone IP e algumas estações de trabalho.
  • Cerca de 2 andares podem ser considerados em cada site. Para os usuários, 32 estações de trabalho, telefone IP e ponto de acesso sem fio serão alojados em cada andar. Os switches serão usados ​​para distribuição de rede para esses pontos de acesso.

Endereçamento IP e VLAN com diagrama

Esquema de endereçamento IP no Site A e o mesmo Design se aplica ao site B com seu respectivo Esquema de Endereçamento IP
Figura 4 – Esquema de endereçamento IP no Site A e o mesmo Design se aplica ao site B com seus respectivos Esquemas de Endereçamento IP

1.1 Diagrama Lógico do Packet Tracer de Fluxo de Dados

Diagrama Lógico do Packet Tracer de Fluxo de Dados

1.2 Endereçamento IP para o Site A

VLAN 10

DISPOSITIVOINTERFACEENDEREÇO ​​DE IPMÁSCARA DE SUB-REDE
ROTEADOR 0F0/010.1.1.7 (PRIVADO)255.255.255.0
 S0/1/0192.1.10.0 (PÚBLICO)255.255.255.0
PC 0F0/010.1.1.1 (PRIVADO)255.255.255.0
PC 1F0/010.1.1.2 (PRIVADO)255.255.255.0
PC 2      F0/010.1.1.3 (PRIVADO)255.255.255.0
PC (N)F0/010.1.1.(N) (PRIVADO)255.255.255.0
SERVIDOR1F0/010.1.1.33 (PRIVADO)255.255.255.0
SERVIDOR 2F0/010.1.1.34 (PRIVADO)255.255.255.0
SERVIDOR 3F0/010.1.1.35 (PRIVADO)255.255.255.0

Tabela A - Esquema de endereçamento IP para o SITE A ( nota: representa apenas o andar A e a sala do servidor. Para o andar B e o departamento administrativo será o mesmo que segue.)

1.3 Endereçamento IP para Site B

VLAN 20

DISPOSITIVOINTERFACEENDEREÇO ​​DE IPMÁSCARA DE SUB-REDE
ROTEADOR 2F0/010.1.2.7 (PRIVADO)255.255.255.0
 S0/1/0192.1.11.0 (PÚBLICO)255.255.255.0
PC 0F0/010.1.2.1 (PRIVADO)255.255.255.0
PC 1F0/010.1.2.2 (PRIVADO)255.255.255.0
PC 2      F0/010.1.2.3 (PRIVADO)255.255.255.0
PC (N)F0/010.1.2.(N)255.255.255.0
IPTable B – Esquema de endereçamento IP para o SITE B ( nota: representa apenas o andar A. Para o andar B, a sala do servidor e o departamento administrativo serão os mesmos a seguir.)

        The goal is to link two sites online. Private addressing system will be performed at each site in such a situation. In the present organisation, 10.1.1.0 is assigned to Site A and 10.1.2.0 to Site B.

Security Features and Policies

In order to make the network secure, the following design is prepared:

  • Firewall will be installed to protect network from viruses, attacks and threats. Protocol filtering, inspection of packets will be performed by firewall. Firewall will also perform Policy enforcement.
  • Kerberos Authentication will be performed for each user accessing the file server or application server.
  • Session token will be granted to each user on the network which will expire after a specific interval of time.
  • ACL – Access Control List will be prepared to manage inbound and outbound traffic.
entrada
Regra #ModeloProtocoloIntervalo de portasFontePermitem negarComentários
120SSHTCPPode ser para uma porta específica .ie 2409Endereços IP de ambos os sitesPermitirPermite o tráfego SSH de entrada de ambos os sites e do endereço público.
130RDPTCPPode ser para uma porta específica .ie 2449Endereços IP de sitesPermitirPermite o tráfego de entrada RDP para servidores da Web do endereço IPv4 público da rede da filial.
*Todo o tráfego IPv4TodoTodo0.0.0.0/0NegarTodo o tráfego não tratado será negado.
Saída
Regra #ModeloProtocoloIntervalo de portasDestinoPermitem negarComentários
100Todo o tráfego IPv4todotodo[Endereço IP do servidor de aplicativos]PermitirPermite que todo o tráfego acesse o Application Server e a internet.
*Todo o tráfego IPv4todotodo0.0.0.0/0NegarNega os endereços não manipulados para acessar a Internet.
Tabela c – Lista de Controle de Acesso
  • A VPN implementada fornecerá comunicação segura entre os dois sites.
  • Ao usar o IPsec, cada bit de dados será criptografado, tornando a rede segura.
  • Será implementado o ISAKMP que dará privilégio aos roteadores em ambas as extremidades para decidir um método de criptografia específico para os dados [7].
  • A autenticação será realizada usando chave pré-compartilhada entre ambas as extremidades.

Alta disponibilidade e redundância

Alta disponibilidade para os sites deve ser considerada uma obrigação. Conforme o caso, tanto os sistemas VPN quanto os firewalls devem ser configurados em pares de alta disponibilidade. No futuro, isso pode ser expandido para todos os outros locais para eliminar os pontos únicos de falha, mas é mais crítico nos locais de hub, pois uma interrupção resultaria em uma perda desastrosa de grande parte do tráfego VPN da Empresa XYZ. É possível estender o projeto e o debate subsequentes para incluir esse nível de redundância. Etapas adicionais podem ser tomadas para garantir que a VPN esteja disponível, como o uso de vários links de Internet redundantes, bem como protocolos de roteamento, a fim de proteger ainda mais o sistema contra erros de rede.

Implantação e implementação do serviço VPN

A VPN permite que apenas duas pontas interajam entre si, mas não possui parâmetro de segurança. O conjunto de protocolos IPSec será usado para realizar verificações de segurança para autenticar as informações. O IPSec, o principal protocolo da Internet, criptografa todos os pacotes de dados enviados pelo túnel.

L2TP – Layer 2 Tunneling Protocol e IPsec são emparelhados para criar uma conexão VPN segura. Nesta rede atual, em cada site, o L2TP criará e conectará túneis entre os pontos L2TP. Considerando que o IPSec será responsável por criptografar a troca de informações cliente-host, bem como manipular a comunicação segura através deste túnel.

Configurações

A configuração do L2TP IPSec envolve 4 etapas.

1.1 Configuração do túnel VPN

Configure o L2TP para conectar ambas as conexões L2TP

Figura 5 – Configuração L2TP

1.1.1 Etapas de configuração

  1. Para habilitar o acesso, autenticação e contabilidade: aaa new-model > aaa autenticação login padrão local > aaa autorização rede padrão local
  2. Para definir nome de usuário e senha: nome de usuário legenda01 senha legenda01
  3. Para definir o pool local para a VPN: ip local pool L2TP_Pool 20.20.20.10 20.20.20.20
  4. Para habilitar o vpdn: vpdn enable
  5. Para definir o grupo vpdn: vpdn-group VPN_L2TP
  6. Para aceitar discagem: aceitar discagem
  7. Para definir o protocolo L2TP: protocolo l2tp
  8. Para habilitar o virtual: virtual-template 1
  9. A fim definir nenhuma autenticação para L2TP com o comando: nenhuma autenticação de túnel l2tp
  10. Para configurar a interface virtual: int virtual-template 1 > ip unnumbered f0/0 > pool de endereços IP padrão de mesmo nível L2TP_Pool > chap de autenticação ppp

Observação: alguns comandos não estão incluídos na captura de tela, pois a versão do IOS não os suporta.

1.2 Criar Política de Fase 1 de IKE

Figura 6 – Configuração IKE Fase 1

1.2.1 Passos para Configuração

  1. Para configurar a política ISAKMP: cripto isakmp policy 1
  2. Para definir o algoritmo de criptografia do pacote de segurança: criptografia 3des
  3. Para definir o algoritmo de hash de proteção: hash sha
  4. Definir técnica de autenticação para o pacote de segurança: autenticação pré-compartilhamento
  5. Para definir o grupo Diffie-Hellman: grupo 2
  6. Para definir a associação de segurança vitalícia para ISAKMP: duração 3600

1.3 Configurando a Política IPSec

Figura 7 – Configurando a Política IPSec

1.3.1 Etapas de configuração

  1. Para configurar a política IPSec: crypto IPsec transform-set legendset esp-3des esp-sha-hmac
  2. Para definir o modo IPSec: modo túnel

Observação: alguns comandos não estão incluídos na captura de tela, pois a versão IOS não os suporta.

1.4 Criar mapas de criptografia

Figura 8 – Configuração para Mapas de Criptografia

Figura 8 – Configuração para Mapas de Criptografia

  1. Para especificar um modelo de mapa criptográfico dinâmico: crypto dynamic-map legendmap 1
  2. Para definir valores para criptografia/descriptografia: set transform-set legendset
  3. Para inserir um mapa criptográfico com o comando crypto map legendmap 1 ipsec-isakmp dynamic legendmap
  4. Para tornar uma interface capaz de usar mapa de criptografia: int s0/0/0 > mapa de criptografia legendmap

Estas são as quatro etapas de configuração envolvidas para configurar um túnel L2TP adequado junto com o protocolo IPSec.

Planejamento futuro em design de rede privada virtual

À medida que avançamos para o estágio de desenvolvimento e teste, planejamos iniciar a fase de desenvolvimento o mais rápido possível. Desenharemos a rede de forma que todas as tarefas mencionadas anteriormente possam ser cumpridas. Além disso, ao lançar novas atualizações, manteremos nossa rede para que funcione ainda melhor

Conclusão

A Virtual Private Network oferece diversas vantagens para a organização, pois ajuda a diminuir os custos, pois não há necessidade de uma linha de aluguel mais longa, diminuindo o custo da assistência. Também resolve o problema de escalabilidade da rede para locais globais ou remotos em particular. A VPN aumenta a segurança da rede, mantendo-a criptografada, protege as informações de hackers e intrusos. Nos países onde a censura na Internet é implementada, ela também é usada para desbloquear sites e ignorar filtros. Ao usar o aplicativo da web ou sites, a VPN também oferece anonimato na Internet.

Referências

  1. “Cisco UCS S3260 Storage Server”, Cisco, 2018. [Online]. Disponível: https://www.cisco.com/c/en/us/products/servers-unified-computing/ucs-s3260-storage-server/index.html. [Acesso: 26-ago-2019].
  2. “Como funcionam os firewalls? O que o firewall faz contra ameaças desconhecidas”, Comodo. [Conectados]. Disponível: https://www.comodo.com/resources/home/how-firewalls-work.php. [Acesso: 01- set- 2019].
  3. “Roteadores de serviços integrados da série Cisco 4000”. [Conectados]. Disponível: https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/index.html#~stickynav=1. [Acesso: 26-ago-2019].
  4. Cisco. Comutador Cisco Catalyst 2960L-16TS-LL. [online] Disponível em: https://www.cisco.com/c/en/us/support/switches/catalyst-2960l-16ts-ll-switch/model.html
  5. datatechprofessionals. com. (nd). Cat5e vs Cat6 vs Cat6a vs Cat7 – Que tipo de cabo devo usar?. [online] Disponível em: http://www.datatechprofessionals.com/cabletypes.html. [Acesso: 02- set- 2019].
  6. “Configurando protocolo de encapsulamento de camada 2 (L2TP) sobre IPSec”, Cisco. [Conectados]. Disponível: https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/14122-24.html. [Acesso: 2- set- 2019].
  7. R. Mupiun, “Qual é a diferença entre IKE e ISAKMP?”, Network Engineering Stack Exchange, 2015. [Online]. Disponível: https://networkengineering.stackexchange.com/questions/1/whats-the-difference-between-ike-and-isakmp. [Acesso: 25-ago-2019].

Palavras-chave: Projeto de Rede Privada Virtual, VPN, Rede privada virtual, segurança de dados, Serviços de Segurança





































Comentários

Postar um comentário

Postagens mais visitadas deste blog

A MELHOR AULA DE REDES CANAL HARDWARE REDES BRASIL

  A MELHOR AULA DE REDES CANAL HARDWARE REDES BRASIL https://www.youtube.com/c/HardwareRedesBrasil Curso Prático de Redes de Computadores Curso prático de Redes de Computadores e Internet - Aula 00 https://www.youtube.com/watch?v=anFV6z8pEVU&list=PLAp37wMSBouBnNup2tD-mC36JT96vHBZy Curso Prático de Redes de Computadores Definindo o tipo de rede - ponto a ponto ou cliente-servidor - Aula 01 https://www.youtube.com/watch?v=-tvRKQw4WFo Curso de Endereçamento IP Endereçamento IP - Determinando Rede, Host e Broadcast Classe A - Aula 08 https://www.youtube.com/watch?v=anFV6z8pEVU&list=PLAp37wMSBouBnNup2tD-mC36JT96vHBZy Máscaras de Rede A, B e C - Aula 05 https://www.youtube.com/watch?v=7OLSanO98-k Classes IP, Configuração de rede local e DHCP - Aula 04 https://www.youtube.com/watch?v=guzgCX2KEqU Curso de Cisco Packet Tracer Tipos de cabos e como interligar dois computadores - Aula 04 https://www.youtube.com/watch?v=H0Iw549EU-0 #segurançadainformação   #hacker   #informát...
Leia mais