KVALITETSDOKUMENT OPSÆTNING AF VPN TIL KUNDER 1/9
VERSIONSHISTORIK Dato Version Forfatter Handling 2015-02-10 3.1 JEK Brugergruppe skifte til ASA en 2016-06-27 3.2 VBD Ny dokument-skabelon INDHOLDSFORTEGNELSE 1 Formål og omfang 3 2 Ansvarsfordeling 3 3 Indledning 3 3.1 Sikkerhed 3 3.2 Logning 3 3.3 Princip tegning af adgangen 4 4 Opsætning af Cisco ASA5510 Firewall 4 4.1 Hardware 4 4.2 Log 4 5 Opsætning af Cisco ASA5515 Firewall VPN knudepunkt. 6 6 Brug af log 6 6.1 Opsætning 6 6.1.1 Net use 6 6.1.2 Adgangen 7 6.2 Brug af log 8 7 Bilag 1 9 2/9
1 Formål og omfang Formålet med nærværende kvalitetsdokument er at beskrive opsætningen af VPN til kunder. 2 Ansvarsfordeling Ændring i principper må kun ske efter godkendelse af den IT-ansvarlige. 3 Indledning Forbindelsen til Sonlincs kunder forgår via en punkt til punkt VPN-forbindelse. Det kan være til en enkelt host eller hele netværket hos kunden. Datatrafikken, der går fra Sonlincs netværk til den enkelte VPN-kunde, går igennem en Cisco ASA5515 firewall og en dedikeret CISCO ASA5515 Firewall som VPN kundepunkt. Adgangen til VPN-kundenetværket vil altid være skabt af en kundehenvendelse og kun med tilladelse af den enkelte kunde. Alle kundehenvendelser bliver oprettet i Sonlincs sagsstyringssystem, således at der kan spores tilbage til, hvad der er foretaget ved den enkelte henvendelse. 3.1 Sikkerhed Det er kun Brugere der er autoriseret af Sonlinc AD og er medlem af brugergruppen Kundenetadgang på Firewallen, der har adgang til Kundenettet. I videst muligt omfang adviseres kunden, når Sonlinc logger på kundens server. 3.2 Logning Al trafik over Cisco firewall en bliver logget i en tekstfil. Der kan laves udtræk fra loggen på fx Brugernavn, VPN-kundenetværk, Protokol og Tidspunkt. Kunden kan på anfordring anmode om at få kopi af loggen for specificerede perioder. 3/9
3.3 Princip tegning af adgangen Cisco ASA5515 Firewall - Loging af datatrafik mellem de enkelte netværk - Validering af brugere for adgang Kunde LAN 100 Mbit fiber SonWin Applikation ASP netværk VPN Kunde Cisco ASA5515 Firewall Forbindelse til VPN kunde VPN Netværk 192.168.123.0 /24 Cisco ASA5515 VPN Knudepunkt Sonlinc LAN Netværk 10.45.0.0 /21 - Isoleret netværk - Forbundet til en Cisco ASA5515 Firewall - VPN tunneller er konfiguret på en Cisco ASA5515 firewall - Kun ICMP trafik er tilladt fra kunde til Sonlincs netværk - ICMP og IP er tilladt fra Sonlincs netværk til de enkelte kunder (dns, ftp, http, smtp, sqlnet, tftp, sip, rsh). - Drifts netværk - Forbundet til en Cisco ASA5515 Firewall - Al datatrafik går gennem Cisco Firewall en Sonlinc medarbejder - Begrænset antal porte åbne - Kun valideret IP adresser kan få adgang til Kundenetværket Principtegning af adgangen 4 Opsætning af Cisco ASA5510 Firewall 4.1 Hardware Cisco ASA 5515 Firewall. 4.2 Log Cisco firewall en logger den trafik, der går igennem til en tekstfil. Hver dag oprettes en ny fil med datotidsgruppe som navn. Disse filer bliver gemt på srv-stargate serveren på E:\Ciscolog\logs. 4/9
Firewall logs Billedet viser opsætning af Firewall loggen på Cisco Firewall en. Loggen er sat til at gemme oplysninger i 60 dage, inden de slettes. Billedet vis opsætningen af Kiwi syslog daemon på srv-stargate serveren. 5/9
5 Opsætning af Cisco ASA5515 Firewall VPN knudepunkt. Opsætning og konfiguration af VPN kundepunktet udføres af en ekstern Cisco Certificert konsulnet. Der tillades kun ICMP trafik til Sonlincs netværk, samt SQL trafik til 2 udvalgte testpartner servere. Selve opsætningen af VPN tunnelerne er fortrolig, og kendes kun af de enkelte kunder samt på Sonlinc firewall. 6 Brug af log 6.1 Opsætning 6.1.1 Net use Når en kunde skal tilgås kører udvikleren først en NetUse fil, der indeholder en ping kommando efter fulgt af en net use kommando, der mapper til den aktuelle ip-adresse. Alle NetUse filerne ligger på en fælles server, hvor adgangen er begrænset til udvalgte brugere. Opbygning af netuse fil 6/9
6.1.2 Adgangen Nedenstående tegning viser hvordan en Sonlinc medarbejder laver adgang til en given kunde. VisioDocument Sonlinc JEK 5. maj 2014 Ver. 2 Internettet SRV-STARGATE Cisco ASA 5515 Firewall VPN Knudepunkt Kunde firewall Database server Cisco ASA 5515 Firewall SonWin server 1. Kør netuse filen for den pågældende kunde 2. Åben SQL eller SonWin applikation CISCO CDA Server (ID Firewall) For at få adgang til kundenetværket, skal brugeren være medlem af sikkerhedsgruppen CISCO KUNDENET Udvikler Udviklere laver adgang til en kunde Adgangen til SonWin systemet, for den enkelte medarbejder i Sonlinc, foregår ved hjælp af enten Sonlinc-, SWSupport- brugerne, eller et individuelt brugerlogin, såfremt de relevante Sonlinc medarbejdere er oprettet i kundens system. Sonlinc anbefaler, at password til Sonlinc- og SWSupport- brugerne følger kundens itsikkerhedspolitik. Det er kundens eget ansvar at sikre hemmeligholdelse af password. Som alternativ/tilføjelse til Sonlinc- og SWSupport-brugerne, kan kunden vælge at oprette de relevante Sonlinc medarbejdere i systemet direkte, da dette også kan håndteres af Sonlincs interne logon systemer. Brugeren Sonlinc er Masterbruger og har derfor maksimal autoritet til SonWin systemet. 7/9
Sonlinc brugeren (Masterbrugeren) kan benytte alle funktioner i SonWin systemet, samt logge på SQL-Serveren med rollen Databaseejer Udføres opdateringer i SQL-databasen direkte på SQL-serveren, skal der være oprettet en sag til dette formål, med mindre allerede eksisterende sag. Herefter trækkes først de oprindelige værdier ud, derefter udføres opdateringen og efterfølgende trækkes de nye værdier ud. Både de oprindelige og de nye værdier gemmes sammen med det aktuelle SQL-statement på den tilhørende sag i SonWin TimeSag. 6.2 Brug af log De oplysninger, der kan trækkes ud af ISA server loggen er fx: Tidspunkt Klient IP-adresse Kunde IP-adresse Hvilken protocol Alle forespørgsler kan trækkes ud i et regneark til videre brug. Se bilag 1. 8/9
7 Bilag 1 <190> Jan 25 2009 23:43:13 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/46375 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:43:13 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 <190> Jan 25 2009 23:45:13 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/35313 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:45:13 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 <191> Jan 25 2009 23:46:06 SONLINC : %ASA-7-609001: Built local-host SAS_LAN:192.168.125.65(unresolved) <190> Jan 25 2009 23:46:06 SONLINC : %ASA-6-302020: Built inbound ICMP connection for faddr 192.168.4.21(unresolved)/29782 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <190> Jan 25 2009 23:46:10 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/29782 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:46:10 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 <191> Jan 25 2009 23:48:10 SONLINC : %ASA-7-609001: Built local-host SAS_LAN:192.168.125.65(unresolved) <190> Jan 25 2009 23:48:10 SONLINC : %ASA-6-302020: Built inbound ICMP connection for faddr 192.168.4.21(unresolved)/18720 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <190> Jan 25 2009 23:48:14 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/18720 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:48:18 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 <190> Jan 25 2009 23:50:13 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/7658 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:50:13 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 <190> Jan 25 2009 23:52:13 SONLINC : %ASA-6-302021: Teardown ICMP connection for faddr 192.168.4.21(unresolved)/62127 gaddr 192.168.123.65(unresolved)/0 laddr 192.168.125.65(unresolved)/0 <191> Jan 25 2009 23:52:13 SONLINC : %ASA-7-609002: Teardown local-host SAS_LAN:192.168.125.65(unresolved) duration 0:00:04 9/9