In this scenario, a large security firm intends to establish a VPN between a connection port in Lisbon and a central system in Porto, with both networks protected by a firewall. Situation: Assume you own a large security firm based in Porto and have just opened a new insurance company in Lisbon. The Lisbon branch…
Situação
Imagine you own a large insurance company based in Porto and have just opened a new branch in Lisbon. The Lisbon branch needs access to the customer database at the Porto headquarters. You want to ensure that the transferred information is protected, as the database contains confidential information about your clients, such as names, addresses, and phone numbers. You decide to connect both offices via the internet using a Virtual Private Network (VPN). Both offices are protected by a firewall and use Network Address Translation (NAT) to hide unregistered private IP addresses behind a set of registered IP addresses. However, VPN connections have some well-known incompatibilities with NAT. A VPN connection rejects packets sent by a NAT device because NAT alters the IP address in the packet, thus invalidating the packet. However, you can use a VPN connection with NAT if you implement UDP tunneling.
In this scenario, the private IP address of the Lisbon network is placed in a new IP header and is converted when it passes through Firewall C (see the following image). Then, when the packet reaches Firewall D, it converts the destination IP address to the IP address of System E, and thus the packet will be sent to System E. Finally, when the packet arrives at System E, it decomposes the UDP header, leaving the original IPSec packet, which will now go through all the validations and allow a secure VPN connection.
Objectivos
Neste cenário, uma grande seguradora pretende estabelecer uma VPN entre uma porta de ligação em Lisboa (Cliente) e um sistema central no Porto (Servidor), sendo que ambas as redes estão protegidas por uma firewall.
Os objectivos deste cenário são os seguintes:
- A sucursal de Lisboa inicia sempre a ligação ao sistema central do Porto.
- A VPN tem de proteger todo o tráfego de dados entre a porta de ligação de Lisboa e o sistema central do Porto.
- Permitir que todos os utilizadores da porta de ligação de Lisboa acedam a uma base de dados IBM® i localizada na rede do Porto, através de uma ligação de VPN.
Detalhes
A figura seguinte ilustra as características da rede para este cenário:
Rede de Lisboa – Cliente
- A Porta de Ligação B estabelece ligação à Internet pelo endereço de IP 214.72.189.35 e é o terminal de ligação do túnel da VPN. A Porta de Ligação B executa negociações de IKE e aplica o encapsulamento UDP a datagramas de IP de partida.
- A Porta de Ligação B e o PC A encontram-se na sub-rede 10.8.11.0 com a máscara 255.255.255.0
- O PC A é a origem e o destino para dados que circulam pela ligação de VPN, sendo, por isso, o terminal de dados do túnel da VPN.
- Só a Porta de Ligação B pode iniciar a ligação com o Sistema E.
- A firewall C tem uma regra NAT Masq com o endereço de IP público 129.42.105.17, que oculta o endereço de IP da Porta de Ligação B
Rede do Porto – Servidor
- O Sistema E tem o endereço de IP 56.172.1.1.
- O Sistema E é o programa de resposta para este cenário.
- A Firewall D tem o endereço de IP 146.210.18.51.
- A Firewall D tem uma regra NAT Estática que correlaciona o IP público (146.210.18.15) com o IP privado do Sistema E (56.172.1.1). Assim sendo, da perspectiva dos clientes, o endereço de IP do Sistema E é o endereço de IP público (146.210.18.51) da Firewall D.
Tarefas de configuração
- Preencher as folhas de trabalho de planeamento
As seguintes listas de verificação de planeamento ilustram o tipo de informações de que necessita antes de começar a configuração da VPN. Todas as respostas à lista de verificação de pré-requisitos têm de ser SIM, antes de prosseguir com a configuração da VPN. - Configurar a VPN na Porta de Ligação B
Siga estes passos para configurar uma ligação VPN na Porta de Ligação B. - Configurar a VPN no Sistema E
Siga estes passos para configurar uma ligação VPN no Sistema E. - Iniciar Ligação
Depois de configurar a ligação VPN no Sistemas E terá de a iniciar. - Testar a ligação
Depois de concluir a configuração da Porta de Ligação B e do Sistema E, e de iniciar os servidores VPN, deve testar a conectividade para se assegurar de que ambos os sistemas conseguem comunicar entre si.
