IPSEC VPN Flashcards

1
Q

Welke protocollen worden gebruikt door Forti IPSEC?

A
  • IKE
  • ESP
  • AH niet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Wat is IKE?

A

Internet Key Exchange protocol dat gebruikt wordt voor het bepalen van de IPSEC SAs

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Wat is de naam van de phase 1 SA en phase 2 SA?

A
  • IKE SA - voor een secure channel

- IPSEC SA - voor encryptie en decryptie

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Wat zijn de vier mogelijkheden voor IPSEC topology?

A
  • Site - to - site
  • Hub/spoke (makkelijke config, veel load op HQ en latency)
  • Full mesh (lastigere config, fault tolerant, directe communicatie
  • Partial mesh (Moderate config, some fault tolerant, medium system requirements)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Wat is ADVPN?

A

Auto discovery vpn maakt automatisch full-mesh van je partial mesh/hub-spoke verbindingen. Voorwaarde is wel een dynamisch routing procotol

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Wat is IPSEC?

A

Een vendor neutraal vpn protocol

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Wat zijn de drie belangrijkste voordelen van IPsec?

A
  • Authenticatie
  • Data integrity
  • Confidentiality (encryptie)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Wat is de default port voor IKE?

A

500

4500 in NAT-t

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Wat zijn de 2 IPSEC modes?

A
  • Transport (L4, heeft dus geen IP bij de-encapsulatie)

- Tunnel (Heel het packet wordt encapsulated met nieuwe header)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Wat zijn de 4 templates voor IP sec vpn te configureren?

A
  • Site-to-Site
  • Hub & Spoke
  • Remote Access
  • Custom
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Leg de werking uit van IP SEC phase 1

A
  • Begint wanneer de initiator en responder voor het eerst verbinding maken. De peer die start is de initiator, de responder de andere kant
  • Beide peers creeeren een veilige tunnel voor de negotiation van de phase 2 SA’s die gebruikt worden voor encryptie en decryptie. Hiervoor onderhandelen ze een phase 1 SA (IKE SA, bidirectional)
  • In IKEv1 zijn er 2 modussen; main, aggressive. Beide kanten moeten dezelfde hebben!
  • Aan het einde van phase 1 word de IKE SA gebruikt voor de keys in phase 2.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Wat zijn de 3 remote gateway types in IP SEC vpn?

A
  • Static IP (wanneer de remote peer ip bekend is)
  • Dialup User (wanneer de remote peer ip onbekend is)
  • Dynamic DNS (wanneer de remote peer ip bekend is)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Hoe werkt de Dialup user mode?

A

Wanneer de remote IP (mobile vpn of branche office) onbekend is kan de remote peer als dialup client gebruikt worden. Voorwaarde is dat deze client wel de FQDN of IP van de remote gateway (dialup server) weet. Alleen de client kan initieren

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Wat is IKE Mode Config?

A

Het is de modus waarin je netwerk settings invult die door de server aan de client toegekend zullen worden (soort DHCP). Zowel de client als de server moet deze modus geactiveerd hebben (default op FortiClient). De functie is alleen actief in de GUI als men Dialup heeft gekozen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Waarvoor wordt NAT-T gebruikt bij IP SEC vpn?

A

Het ESP protocol kent geen ondersteuning voor NAT omdat het geen poortnummers gebruikt. NAT-T geeft UDP 4500 aan ESP (encapsulated in) en IKE (negotiate switches).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Wat zijn de twee NAT-T modes?

A
  • Enabled

- Forced (ESP en IKE gebruiken altijd UDP 4500

17
Q

Wat is Dead Peer Detection?

A

Wrodt gebruikt voor het detecteren van een failed or dead tunnel, zodat deze down gehaald kan worden voordat de IPsec SA expired. Dit is handig wanneer er redundant paths aanwezig zijn.

18
Q

Wat zijn de drie DPD modussen?

A
  • On Demand (alleen DPD bij outbound traffic, normaal bij bidirectional is geen outbound een indicatie voor failure)
  • On Idle (altijd DPD, niet gebruiken bij veel tunnels ivm overhead)
  • Disabled
19
Q

Wat zijn de 2 authenticatie methoden bij phase 1?

A
  • Pre-shared Key

- Signature (CA)

20
Q

Wat zijn de 2 IKEv1 modussen?

A
  • Main (6 pakketjes, hash encrypted uitgewisseld)

- Aggressive (3 pakketjes, hash unencrypted uitgewisseld)

21
Q

Wanneer zou je aggressive modus gebruiken (ook al is deze minder veilig)?

A

Bij meerdere dialup tunnels op hetzelfde FG IP, and een dynamisch IP bij de rmote peer. Peer ID info zit bij aggressive in het eerste pakket. Bij main pas in de 6e.

22
Q

Wat moet er ingesteld worden in de phase 1 proposal sectie?

A
  • Encryptie algorithm
  • Authenticatie algorithm
  • DH groep voor de IKE SA negotiation (mandatory)
  • Key lifetime
23
Q

How werkt IPSEC phase 2?

A
  • Onderhandelt 2 IPSEC SA’s over de phase 1 secure channel
  • ESP gebruikt de IPsec SA’s voor encryptie en decryptie
  • Heronderhandelingen blijven plaatsvinden voor security behoud
  • Met het gebruik van Perfect Forward Secrecy herberekent FG nieuwe keys.
24
Q

Wat is een selector?

A

Hierin specificeer je het ecryptie domein aan de hand van:

  • Local/remote adressen
  • Protocol
  • Poortnummer
25
Q

Wat gebeurt er als de firewall policy traffic doorlaat maar er geen match is met de phase 2 selector?

A

Dan wordt het traffic gedropt. Handiger is om lokale en remote subnetten helemaal toe te voegen en toegang vanuit de firewall policy te regelen.

26
Q

Wat is van belang bij een phase 2 selector bij een point-to-point tunnel?

A

Parameters moeten matchen!

27
Q

Hoe kan de renegotiation van IPsec SA’s worden ingesteld?

A

Door een timer te plaatsen in vorm van:

  • Seconden
  • Kilobytes
  • Beide

De timers hoeven niet te matchen en bij ongelijkheid geldt de laagste als default

28
Q

Wat is de toevoeging van Auto-negotiate op een tunnel?

A

Dit zorgt ervoor dat de IPsec SA’s al worden herberekend voordat de huidge verloopt en dat de nieuwe IPsec SA’s direct gebruikt worden. Hierdoor gaat er geen traffic verloren.

29
Q

Wat is het verschil tussen auto-negotiate en Autokey Keepalive?

A

De tueenl is bij Autokey keepalive down totdat er traffic komt. Bij auto-negatiate is deze altijd al up.
Autokey keepalive is implicitly disabled bij gebruik van auto-negotiate.

30
Q

Wat zijn de twee IPsec vpn types?

A
  • route-based

- policy based (legacy, niet gebruiken)

31
Q

Wat gebeurt er bij route-based IPsec vpn?

A

Een virtual interface met VPN naam wordt automatisch aangemaakt. Hierdoor kunnen er policies en routes toegewezen worden aan IPsec traffic zoals bij normale traffic. Ook kan men redundantie aanbrengen.

32
Q

Wat gebeurt er bij de routering van IPsec vpn als je bij remote gateway “dialup user” kiest en add-route enabled/disabled?

A
  • Enable; een statische route wordt automatisch aangemaakt

- Disable; een statische route wordt niet automatisch aangemaakt

33
Q

Wat is een voorwaarde met firewall policies bij IPsec vpn?

A

Er moet minimaal 1 policy zijn voor de tunnel om up te komen.

34
Q

Welke phase kan je in de GUI monitoren?

A

Phase 2, phase 1 is alleen via de GUI

35
Q

Wat is het command om phase 1 te zien?

A

get vpn ike gateway