BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa _ G0 10°- n Options Remote Help %nchonze ÿƑ' #' Ej # AO - Transfer $ftings Default | lô GIỀA NSÃ Âu Để thiết lập IP cho port trên
Trang 1
HOC VIEN CONG NGHE BUU CHINH VIEN THONG
2 PRT
BAO CAO MON THAY THE TOT NGHIEP
XAY DUNG VA QUAN TRI CAC
HE THONG AO HOA
D €tai:
Tim hiéu ao héa Firewall Fortigate ,
VPN(Remote Access, Site to site) va HA
: Giảng viên Huỳnh Thanh Tâm
: TRAN NGOC NGUYEN NI6DCCN109
Giáo Viên Hướng Dẫn
Sinh Viên Thực Hiện
Lớp : DI6CQMT0I-N Khóa : 2016 - 2021
Hệ : ĐẠI HỌC CHÍNH QUY
TP.HCM, tháng 12/ 2020
Trang 2
BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa
MỤC LỤC
1.I Cài đặt EVE-NG 2
1.2 Thém image Firewall Fortinet vio EVE-NG 2
CHUONG II: CAU HINH VPN TREN FIREWALL FORTIGATE 5
2.1 Cau hinh Remote Access VPN ( VPN Client to site) 5
2.2 Cấu hình VPN site to site 14
23 Ưu điểm và nhược điểm VPN 19
CHUONG III: CAU HINH HA TREN FIREWALL FORTIGATE 21
3.1 Khai niém HA 21
3.2 Xây dựng mô hình và cấu hình HÀ 22
NHÓM 3
Trang 3BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa
CHƯƠNG I: CÀI ĐẶT MÔI TRƯỞNG ẢO HÓA
1.1 Cai dat EVE-NG:
EVED-OINGO(Emulated Virtual Environment — Next Generation)laOm6t
trong các công cụ giả lập (emulator) mạnh nhất hiện nay Với các
kỹ sư, sinh viên đang theo học các khóa học của Cisco (CCNA, CCNP,
CCTIE), giải pháp giả lập thiết bị mang str dung Cisco IOLDaOmét giai
pháp đang rất được ưa chuộng
Virtual Machine Settings x
Hardware Options
P
Device Summary losers
i Memory 4GB Nưmber of processors: 4 v
[i Processors 4 Number of cores per processor: 1 v
tees Hard Disk (SCSI) oo Total processor cores: +
CD/DVD (SATA) Using unknown backend
FS Network Adapter Bridged (Automatic) Virtualization engine
~| USB Controller Present “1 < Nho& check
@ Display 1 monitor “ mục này
(_] Virtualize CPU performance counters
Hình 1: Thiết lập CPU,RAM và ổ cứng cho EVE Server
Việc cấu hình EVE Server rất đơn giản bạn có thể tham khảo
ở link :
https://ictsaigon.vn/huong-dan-cai-dat-eve-ng/ để thực hiện
1.2 Thém image Firewall Fortinet vao EVE-NG :
Các bạn có thé tham khao duong link :
https://www.eve-ng.net/index.php/documentation/howtos/howto-add-fortinet-
images/ để biết cách thém image Firewall Fortinet vao EVE-NG chi tiét nhat
O Theo bảng đặt tên hình ảnh của chúng tôi, chúng tôi phải tạo thư mục hình ảnh
bắt đ`ầi bằng fortinet-, hãy làm đi @ dé:
mkdir / opt / unetlab / addons / qemu / fortinet-FGT-v6-build1010 /
L] Tải hình ảnh đã tải xuống lên thu muc EVE / opt / unetlab / addons /
qemu /Ofortinet-FGT-v6-build101007/ sử dụng ví dụ
nhưtTFiIeZiIlalhoặăcTTWinSCTH
Từ cli EVE, chuyển đến thư mục hình ảnh mới tao
cd / opt / unetlab / addons / qemu / fortinet-FGT-v6-build1010 /
[Giải nén tên tệp gốc
unzip FGT_VM64_KVM-v6-build1010-FORTINET.out.kvm.zip
NHOM 3
Trang 4BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa
LlĐổi tên tên tệp gốc thành virtioa.qcow2 và xóa tệp zip gốc
mv fortios.qcow2 virtioa.qcow2
rm FGT_VM64_KVM-v6-build1010-FORTINET.out.kvm.zip
Sửa quy ân:
/ opt / unetlab / wrappers / unl_wrapper -a fixpermissions
Trang 5BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa
_ G0 10°-) n Options Remote Help
%nchonze ÿƑ' #' Ej # AO - Transfer $ftings Default
| lô GIỀA NSÃ Âu
Để thiết lập IP cho port trên Fortigate các bạn có thể sử dung
các câu lệnh như trong hình:
NHÓM 3
Trang 6BÁO CÁO MÔN TTTN CHƯƠNG I: Cài đặt môi trưởng ảo hóa
Trang 7BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate CHƯƠNG II: CẤU HINH VPN TREN FIREWALL FORTIGATE
2.1 Cau hinh Remote Access VPN ( VPN Client to
site) :
IPsec VPN
m
IPsec VPN Client
Hình 2.1 : Mô hình triển khai Remote Access VPN
H Một số khái niệm :
VPN là sự mở rộng của một mạng riêng (Private Network) thông
qua các mạng công cộng V`ề cơ bản, mỗi VPN là một mạng
riêng rẽ sử dụng một mạng chung (thưởng là Internet) để kết
nối cùng với các site (các mạng riêng lẻ) hay nhi`âi người sử
dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng
như đường leased-line, mỗi VPN sử dụng các kết nối ảo được
dẫn qua đường Internet từ mạng riêng của các công ty tới các
site, nhân viên từ xa
Remote Access VPN:FTloại này thưởng áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng
công ty một cách an toàn Cũng có thể áp dụng cho văn phòng
nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty Remote
Access VPN còn được xem như là dạng User-to-UAN, cho phép
người dùng ở xa dùng phầì mềần VPN Client kết nối với VPN
Server VPN hoạt động nhở vào sự kết hợp với các giao thức
déng gdi PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF
từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và
NHÓM 3
Trang 8BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
xác thực thông tin cho chuỗi thông tin truy êi đi trên mạng bằng
giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các
chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm
bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị
mạng IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network
layer) của mô hình OST
H Các bước cấu hình :
O Đăng nhập vào thiết bị Fortigate bằng tài khoanOAdmin :
OP EVE | Topology XE 10.00.100/login?redir=%2Frg% X - Ñ Fortigate Hung din cauhinh IF x | €} Facebook x) +
€ C QA Khéng bao mat | 10.0.0.100/login? redir=%2Fng%2Fpage%2Froute%2Fbgp%2Foonfig
Login thành công :
NHÓM 3
Trang 9BÁO CÁO MÔN TTTN
® EVE|Topclogy X €3 FotGale-foriateVM64-KVM X
€ Ø Ô Á Không bảo mát | 10.0.0.100/na/paae/route
FortiGate VM64-KVM_ FortiGate-VM64-KVM
CHUONG II: Cấu hình VPN trên Eirewall Eortigate
Ñ Erigste Hướng dẫn cấu hình ° X L Q Facebook
PB |] RemoteAs: [| MdiEft
No BGP neighbor defined
SD-WAN Status Check 1P/Netmask:
Name & port1 DNS Alias
Packet Capture Type ® Physical Interface
SD-WAN Zones VRFID @ 0
SD-WAN Rules Role @ WAN x
Performance SLA Estimated bandwidth @@ 0 kbps Upstream
Static Routes 0 kbps Downstream
Policy Routes
Address RIP
Addressing mode Manual Maley OSPF
& User & Authentication >
iil Log & Report ݤ Cancel
Trang 10
BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
+ Cấu hình vùng LAN ra Intenet:
Packet Capture Type IS Physical Interface ie
SD-WAN Zones VRFID @ 0 © Up
SD-WAN Rules Role @ LAN v An
Performance SLA 0009:0:09:00:02
Static Routes 6 enta
Policy Routes Addressing mode Elm DHCP & Onin
IPy4 HTTPS PING ) FMG-Access
B Policy & Objects SSH ]SNMP ]FIM
@ Security Profiles ) 6 Accounting [] SeCutity Fabric
U RADIUS Accounting U connection @
ave VIN › teeielIDP® [WNNNHEHN ai: diseble
& User & Authentication
os Cancel
ld Log & Report yy
4 Tao VPN User:
Bước 1 : ChonOUser & DeviceO>OUser Definition,tao mdt tai
khoan Local User cho VPN user: khanhphan
User & Device -> User Groups dé tao User group VPN cho VPN User
va add user mà bạn muốn dùng để kết nối VPN -> NhanOOKOdeé luu
Lại
NHÓM 3
Trang 11BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
Edit User Group
Name IPSec VPN_User
Type
Fortinet Single Sign-On (FSSO) RADIUS Single-Sign-On (RSSO) Guest
Members | & katai x
Bước 2 : Sau khi tạo xong các userL] các bạn vàoLTUser & Device >
User GroupsF]để tạo User Group cho VPN User và add user đã tạo
ở bước trên vào group: Ở bài báo cáo chúng tôi tạo User Group với
tén IPSecVPN_User
Edit User
User Name khanhphan
User Account Status © Disabled
User Type Local User
4 Tao tunnel VPN Client to site :
Bước 1: VPN -> IPSec Wizard -> ChonORemote AccessO1-> Dat
tên -> NhanONextjde tiép tuc
NHOM 3
Trang 12BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
Template Type Site to Site Custom
Remote Device Type FortiClient VPN for OS X, Windows, and Android
“uty Cisco Client
< Back Next > Cancel
rates Next > Cancel
O Oph Incoming Interface: Chon Port WAN ciia thiét bị => Ở
bai bao cao 1a port 1
Hở phLlAuthentication Method: Chọn Pre-shared Key
HH Ởph âTIPrc-shared Key: Nhập key mà muốn dùng để xác thực
Hở ph #OUser Group: Chon group VPN ctia user mà bạn muốn
(IPSecVPN_User đã tạo ở trên )
Bước 3 :LL>[INhãnL1NcxlđếTliếpFtục
NHÓM 3
Trang 13BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
@ VPNSetup > @ Authentication > © Policy & Routing > @ Client Options
Local Interface port2 Y nguyen: Dialup - FortiClient (Windows, Mac OS, Android) Local Address 8 nghĩa x
+ Client Address Range 172.16.33.1-172.16.33.254| "mm
Subnet Mask 255.255.255.255 —
DNS Server MEE Specify This FortiGate ForiCient
Enable IPv4 SplitTunnel =D
Allow Endpoint Registration €
< Back Next > Cancel
Hở phLlLocal Interface: Chọn Port LAN : port2 ( Đã cấu
hình ở trên)
O OO ph®OLocal Address: Chọn lớp mạng cho IPSec LAN đã tạo
trước đó ( subnet: nghia )
O Oph ®O Client Address Range: Nhap IP cap phat cho VPN
client : 172.16.33.1 -172.16.33.254 Kết quả jthông tin đã tạo:
| @ VPNSetup > @ Authentication > @ Policy&Routing > @ Client Options
© The VPN has been set up
Summary of Created Objects
Phase 1 Interface nguyen
Phase 2 Interface nguyen
Address nguyen_range
Remote to Local Policy 5
Endpoint Registration Enable
Printable FortiClient VPN Setup Instructions
AddAnother Show Tunnel List
4 Tao policy cho phép VPN User truy cap Internet:
NHOM 3
Trang 14BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
New Policy
Name @ IPsec VPN
Incoming Interface ©) nguyen v
Outgoing Interface Eề port1 M
+ Destination Ball x
+ Schedule [9 always ’
Service @ ALL x
+
Action WA e@es4m © DENY LEARN
Firewall / Network Options
H ở ph MU Incoming Interface: Chon policy VPN da tao true dé
policy VPN voi tén : nguyen
Hở ph ầL]Outgoing Interface: Chọn Port WAN : Port1 ( Port
WAN)
O © ph®OSource: Chon All ( Cho phép tất cả các địa chỉ IP )
H ỞphTIDestination: Chọn All ( Cho phép tất cả các địa chỉ IP)
H ỞphService: Chọn AlI ( Cho phép sử dụng tất cả các dịch
vụ và giao thức )
NHÓM 3
Trang 15BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate Kiểm tra kết quả : Kiểm tra kết nối Remote Access VPN
Kiểm tra kết nối VPN bằng FortiClient VPN
Nhập đầ đủ thông tin nhấn Save :
Add Remote Gateway
Authentication Method | Pre-shared key x 1D REMOTE ACCESS Authentication (xAuth) ©) Prompt on login ©) Savelogin (©) Disable
— Advanced Settings + VPN Settings
— Phase 1 IKE Proposal Encryption | DES vị AuthentcaionlMDS vị
Encryption | DES vÌ Authentication/SHA1 v
DH Group O1 O2 Ms Ow Os
Ow O17 O18 O19 O20 Key Life 86400 sec
Local ID [Optional
Dead Peer Detection
Nhap Password ctia User VPN -> NhanOConnect:
Trang 16BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
Trang 17BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
2.2 Cấu hình VPN site to site:
> Win
TTT (ports) mat
on) —/
— cot) SWI
> Fortinet (port2) (e0/1)
= > Fortinet
Config
Hình 2 : Mô hình triển khai VPN Site to Site
H Mội số khái niệm :
Site-to-Site VPN:TTlà mô hình dùng để kết nối các hệ thống mạng
ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất Ở
loại kết nối này thì việc chứng thực an đẦầi phụ thuộc vào thiết bị
đầi cuối ở các Site, các thiết bị này hoạt động như Gateway và
đây là nơi đặt nhi âi chính sách bảo mật nhằm truy ầ dữ liệu một
cách an toàn giữa các Site
Lan-to-Lan VPN là tên gợi khác của Site to Site VPN : có thể
được xem như là Intranet VPN hoặc extranet VPN (xem xét v`êmặt
chính sách quản lý) Nếu chúng ta xem xét dưới góc độ chứng
thực nó có thể được xem như là một intranet VPN, ngược lại chúng
được xem như là một extranet VPN Tính chặt chẽ trong việc truy
cập giữa các site có thể được đi âi khiển bởi cả hai (intranet va
extranet VPN) theo các site tương ứng của chúng
NHÓM 3
Trang 18BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
H Các bước cấu hình :
Trên Fortigate ở site chính : (Việc cấu hình ở site chính
và site chí nhánh tương tự nhau )
Bước I1 : Ta cấu hình VPN như sau, ta đặt tên cho kết nối VPN, chọn
template 1a Site to Site — Fortigate:
Template type Hub-and-Spoke | Remote Access
B Policy & Objects
@ Security Profiles NAT configuration
IPsec Tunnel Template
SSL-VPN Settings
VPN Location Map
& User & Authentication >
iil Log & Report
Bước 2 : Kế đến, ta cấu hình Remote Gateway và pre-share key,
với Gateway là IP wan của Fortigate ở chi nhánh và pre-share là
dãy số bí mật tự chọn:
NHÓM 3
Trang 19BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
5 Policy & Objects
, Outgoing Interface lR port1 ’
& User & Authentication >
lil Log & Report
Bước 3 : Cấu hinh Policy va Routing, ta chon local interface 14 interface Lan, Local subnet là đường mạng nội bộ ở trung tâm và Remote subnet là đưởng mạng nội bộ ở chi nhánh :
& VPN Remote Subnets 192.168.20.0/24
Overlay Controller VPN © This FortiGate
Internet Access @ Remote FortiGate
& User & Authentication >
lw Log & Report
Bước 4 : Kiểm tra lại kết quả cấu hình VPN
NHÓM 3
Trang 20BAO CAO MON TTTN CHUONG II: Cấu hình VPN trên Eirewall Fortigate
@ Dashboard VPN Creation Wizard
XM Se 7 Security Fabric Faby IB © VPNSctup > @ Authentication > @ Policy Paar) & Routing
+ Network >
@ System > : :
© The following settings should be reviewed prior to creating the VPN
® Policy & Objects >
@ Security Profiles Object Summary
2
¬ Phase 1interface STS1
Overlay Controller VPN Localaddressgroup — STStlocal
IPsec Tunnels Remote address group STS1_remote
Peat Phase 2 interface STS1
IPsec Tunnel Template Static route static
SSLVPN Portals Blackhole route static
SSL-VPN Settings Localto remote policies vpn_$TS1 local
VPN Location Map Remote to local policies vpn_STS1_remote
& User & Authentication >
(ul Log & Report >
<Back Cancel
Bước 5: Trên Fortigate, các ban vao Monitor > IPsec Monitor dé
kiểm tra trạng thái cla VPN tunnel Right-click vao dong trang thái
chon Bring Up Nếu bạn thay status la Up thi việc kết nối VPN giữa 2
site đã thành công
© Bring Downx - Q LocateonVPNMap
Peer ID Incoming Data Outgoing Data Phase 1 Phase 2 Selectors 192.168.1.12 0B 0B Osis Osis DHCP Monitor © Bring Down ,
SD-WAN Monitor Q Locate on VPN Map
1| Updated: 10:18:52 2 ~
HVijệc cấu hình VPN Site to Site trénjFirewall
Fortigatejda hoan tat
NHOM 3