Безопасность в сетях cisco
Site-to-Site VPN IPsec PDF Печать E-mail
Cisco - Безопасность

Site-to-Site VPN использует обычно такую топологию:

site-to-site vpn

Создание Site-to-Site IPsec VPN

Необходимо 5 шагов для создания IPsec VPN.

  1. Выбрать интересующий трафик.
  2. IKE фаза 1
  3. IKE фаза 2
  4. Безопасная передача данных
  5. Закрытие IPsec туннеля

 

Выбор трафика производится по ACL. По первому пакету строится туннель.

 

IKE фаза 1

IKE обменивается параметрами безопасности и симметричными ключами безопасности для создания IPsec VPN туннеля.
Процесс согласования параметров показан на рисунке
IKE phase 1

В main режиме, первых два обмена это согласование параметров безопасности для установки IKE туннеля. Два устройства обмениваются предложениями (proposals) в форме transform sets.

Вторые два обмена это обмен Diffie-Hellman публичными ключами, необходимыми для создания IKE туннеля, по которому потом устройства обмениваются ключами для создания IPsec security association SA.

Последняя пара используется для выполнения аутентификации пира. При этом используется хэш функция.

В агрессивном режиме этот процесс сокращается до 3х обменов

  • Первый пакет идущий от инициатора к приемнику. В нем отсылаются proposals, Diffie-Hellman публичный ключ, и средства для выполнения аутентификации
  • Второй пакет летит от приемника к инициатору. В нем содержится подтвержденные security proposals, свой Diffie-Hellman публичный ключ, и подписанный nonce для аутентификации.
  • Финальный пакет это подтверждение от инициатора к приемнику.

IKE transform set
Несколько параметров безопасности группируются в transform set так же называемые IKE policy. Эти политики создаются на конечных точках. Каждый раз при установлении IKE канала пиры обмениваются этими политиками. Политики содержат 5 настроек:

  • IKE алгоритм шифрования (DES, 3DES, AES)
  • IKE алгоритм аутентификации (MD5, SHA-1)
  • IKE key (preshare, RSA signatures, nonces)
  • Diffie-Hellman version (1,2 or 5)
  • IKE tunnel lifetime (время или в байтах)

Процесс согласования политик представлен на рис
Policy negotiation

Совпадают политики 10 и 25.

Обмен ключами Diffie-hellman
Cisco поддерживает 1,2 и 5 группы соответственно 768, 1024, 1536 bit. После обмена Diffie-Hellman ключами и shared secret создается SA для фазы 1, которая используется для обмена ключами в фазе 2.

Аутентификация пира
В конце 1й IKE фазы. Аутентификация проходит по трем опциям:

  • Preshared keys
  • RSA signatures
  • RSA-encrypted nonces

Preshared key вручную прописывается на пирах. Если ключи не совпадают то пир не проходит аутентификацию.
RSA signatures используют цифровые сертификаты.
Nonce это число, которое используется только один раз.

IKE фаза 2

В первой фазе создается очень защищенное соединение. IPsec согласует свои  параметры через IKE SAs.

  • Согласует IPsec параметры безопасности с помощью IPsec transform set.
  • Устанавливает IPsec SAs (unidirectional IPsec tunnels).
  • Периодически пересогласование IPsec SAs для обеспечения безопасности.
  • Дополнительный Diffie-Hellman обмен.

IKE фаза 2 всегда использует quiсk mode режим.

После согласования IPsec параметров создаются IPsec SA. IPsec SA unidirectional. Quick mode режим использует nonces для генерирования ключа и предотвращения replay-atack. Quick mode режим также мониторит когда истекает SA и генерит новую SA. Этот режим также может использовать дополнительно Diffie-Hellman обмен ключами.

IPsec Transform Set

  • IPsec protocol (ESP или AH)
  • IPsec метод шифрования (DES, 3DES, AES)
  • IPsec аутентификация (MD5, SHA-1)
  • IPsec режим (tunnel, transport)
  • IPsec SA lifetime (sec, kb)

Пример обмена IPsec transform set:
ipsec transform set

Security Associations
Это группа параметров безопасности, подтвержденная между пирами. Эти параметры появляются в процессе обмена IKE phase2.
Каждая IPsec SA однонаправленное соединение между двумя пирами. Хотя полноценное соединение между двумя пирами состоит из 2х SA - одна входящая другая исходящая. Каждая их этих SA использует теже защитные параметры согласованные через IPsec transform set. Каждая SA связана с Security Parameter Index (SPI). SPI переносится в каждом IPsec пакете и используется для подтверждения параметров безопасности на другом конце. Использование SPI устраняет необходимость отсылки всех параметров с пакетом.

Каждый IPsec клиент поддерживает SA базу SAD для отслеживания SA с которыми он связан. SAD содержит следующие данные:

  • Destination ip address
  • SPI number
  • IPsec protocol (ESP or AH)

Вторая база называется Security Policy Database SPD, содержит параметры безопасности которые разрешены для каждой SA.
Для каждой SA она содержит:

  • Encription Algorithm (DES, 3DES, AES)
  • Authentication algorithm (MD5 или SHA-1)
  • IPsec mode (tunnel, transport)
  • Key lifetime (sec, kb)

SAD и SPD позволяет любому IPsec клиенту быстро отслеживать IPsec атрибуты для любых входящих и исходящих пакетов.

После установки туннеля указанный в списке контроля доступа трафик может передаваться.

После передачи трафика туннель терминирутеся (закрывается). Причиной может быть истечение счетчика lifetime, или вручную. При этом удаляется SA из таблиц SAD и SPD.

Конфигурация Site-to-Site IPsec

Необходимо запомнить 6 шагов конфигурации:

  1. ISAKMP policy (IKE фаза 1)
  2. IPsec transform set (IKE фаза 2)
  3. Crypto ACL (интересующий трафик)
  4. Crypto map (IKE фаза 2)
  5. Применить crypto map на интерфейсе
  6. Сконфигурировать ACL на интерфейсе.

1. ISAKMP policy (IKE фаза1)
Настройка политики установления 1й фазы. Необходимо указать параметры:

  • IKE алгоритм шифрования (DES, 3DES, AES)
  • IKE алгоритм аутентификации (MD5, SHA-1)
  • IKE ключ (preshared, RSA signatures, nonces)
  • Diffie-Hellman версия 1,2,5
  • IKE время жизни туннеля.

ipsec

2. IPsec transform set (IKE фаза 2)

  • IPsec protocol (ESP, AH)
  • IPsec encryption type (DES, 3DES, AES)
  • IPsec authentication (MD5, SHA-1)
  • IPsec mode(tunnel transport)
  • IPsec SA lifetime (sec kilobits)

ipsec

В таблице указаны значения параметров команды применяемых в настройке:

Transform type IOS Transform Description
AH Transform ah-md5-hmac
ah-sha-hmac
AH с MD5 аутентификацией
AH с SHA аутентификацией
ESP Encription Transform esp-aes
esp-aes 192
esp-aes 256
esp-des
esp-3des
ESP c 128 bit AES шифрованием
ESP c 192 bit AES шифрованием
ESP c 256 bit AES шифрованием
ESP c 56 bit DES шифрованием
ESP c 168 bit DES шифрованием
ESP Authentication transform esp-md5-hmac
esp-sha-hmac
ESP c MD5 аутентификацией
ESP c SHA аутентификацией

3. Конфигурирование Crypto ACL
Необходимо помнить что конфигурировать ACL необходимо зеркально для пиров.

4 - 5.Конфигурирование Crypto map и применение ее на интерфейсе

ipsec

6. Конфигурирование ACL на самом интерфейсе

Этот шаг необходим, потому что обычно ipsec строится на внешних интерфейсах (с реальным IP), поэтому эти интерфейсы закрыты от внешнего мира ACL. Эти ACL нужно скорректировать для того чтоб они пропускали IPsec трафик от пира. В них необходимо разрешить протокол ahp, esp, и UDP порты 500 (ISAKMP).

 

 

 

 

 

Обновлено 20.07.2010 09:42
 
Rambler's Top100 ������� ������ �����.RU ��������� ������� ��� ��
rss