Налаштування IPSEC VPN складається з наступних кроків:
1) Опис ISAKMP політики. Обробляються зверху вниз, найбезпечніші повинні бути зверху.
2) Опис IPSEC політики - Transform Set.
3) Опис цікавить трафіку, який буде захищений IPSEC. Для цього використовується ACL.
4) Збір отриманого комплекту як сrypto-map і призначення його на інтерфейс.1
crypto isakmp policy 10! номер політики
encr aes! тип шифрування
hash sha256! тип хешування
authentication pre-share! метод аутентифікації
group 2! група DH
lifetime 240! лайфтайм
crypto isakmp key IPSECVPN address 100.0.0.2! PSK для певного бенкету
2
crypto ipsec transform-set IPSEC-TS esp-aes esp-sha-hmac! створюємо трансформ-сет ESP з шифруванням AES і хешем SHA
3
Створюємо ACL описує цікавий для нас трафік, який ми будемо захищати IPSEC.
Extended IP access list FOR-IPSEC
10 permit ip host 10.0.0.1 host 10.0.0.2
20 deny ip any any
interface FastEthernet0 / 0
ip address 100.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map MYMAP! застосовуємо вийшов crypto-map на інтерфейс
end
Команди для траблшутінга:
sh crypto isakmp sa
sh crypto ipsec sa
debug crypto ipsec
Як працює IPSEC VPN.
IPSEC VPN складається з 2-х етапів:
1) Узгодження тунелю.
2) Передача даних, через узгоджений тунель.
Завдання узгодження.
- Створення безпечного каналу.
- Узгодження тунелю поверх безпечного канала.Framework:
- Internet Security Association and Key Management Protocol (ISAKMP).
Актуальна реалізація:
- Internet Key Exchange (IKE).
Які відмінності?
- ISAKMP каже, що ключ повинен бути згенерований.
- IKE говорить як його згенерувати.
Передача даних поверх IPSEC.
Після того, як параметри тунелю узгоджені, трафік можна передавати (инкапсулировать) за допомогою 2-х протоколів:
- Autentication Header (AH).
- Encapsulating Security Payload (ESP).
AH і ESP разом забезпечують:
- Аутентифікацію.
- Перевірку цілісності.
- Шифрування.
AH - це тільки аутентифікація.
ESP - це і аутентифікація і шифрування.
Формат інкапсуляції IPSEC.
ESP і AH підтримують 2 формату інкапсуляції:
1) Transport Mode - модифікує оригінальний заголовок.
2) Tunnel Mode - залишає оригінальний заголовок, але додає новий зверху.
ESP номер вкладення в IP - 50. AH - 51.
IKE.
IKE використовує 500 порт UDP (ISAKMP).
IKE використовує 2 фази узгодження для створення SA (Security Associations).
- Фаза 1 (Phase 1) - створення безпечного каналу.
- Фаза 2 (Phase 2) - створення безпечного тунелю.
AH / ESP використовує SA для передачі даних поверх тунелю.
Phase 1 погоджує 5 атрибутів, званих політикою (policy) створення безпечного каналу.
Є 2 модифікації (mode) узгодження політик (policy):
- Main Mode - більш повільна і більш безпечна модифікація.
- Aggressive Mode - швидша і трохи менше безпечна модифікація.
ISAKMP політика включає 5 атрибутів, які повинні збігатися для створення SA.
- Метод Аутентифікації - PSK, RSA-SIG, RSA-ENC.
- алгоритм хешування - MD5, SHA.
- Група Діффі-Хеллмана - 1, 2, 5.
- Тип Шифрування - DES, 3DES, AES.
- Час життя тунелю - в кілобайтах або в секундах.
Аутентифікація буває 3 видів:
- Pre-Shared Key (PSK) - обидва учасники знають однаковий ключ (пароль).
- RSA Signatures - обидва учасники довіряють сертифікатами один одного.
- RSA Encripted nonces (IOS only) - використовуються RSA ключі.
Хешування.
Використовується, щоб переконається, що пакети не були модифіковані.
Буває 2-х типів:
- MD5 - 128 bit.
- SHA - 160 bit. Більш безпечний тип.
Групи Діффі-Хеллмана.
Використовується для спільної генерації ключа, який надалі і буде тим самим симетричним ключем для шифрування. Використовує логіку Public / Private Key.
Групи мають наступній довгою:
- Group 1 - 768-bit.
- Group 2 - 1024-bit.
- Froup 3 - 1536-bit.
Шифрування.
DES - Data Encryption Standard. 56 bit.
3DES - Triple Data Encryption Standard. 168 bit.
AES - Advanced Encryption Standard. 128, 192, 256 bit. Більш швидкий і більш безпечний, ніж інші.
IKE Phase 2.
Під час першої фази створюється безпечний канал для взаємодії між IPSEC бенкетами.
Тепер SA може бути створена, і згенерований ключовий матеріал.
SAs - це 2 односпрямовані сесії.
У другій фазі використовуються спеціальні "Transform Set". Вони вже описують обробку трафіку.
У Transform Set входить:
- ACL, що описує цікавий для трафік.
- Як відправляти трафік:
* AH - тільки аутентифікація MD5, SHA.
* ESP - аутентифікація MD5 / SHA і шифрування DES / 3DES / AES.
- Як довго ключ буде вважатися дійсним. (IPSEC SA LIFETIME).
Пакет виглядає наступним чином в режимі tunnel:
У режимі tunnel ESP захищає весь вихідний пакет, включаючи його оригінальний заголовок.
Так пакет виглядає в режимі transport:
У режимі transport ESP переносить оригінальний заголовок IP в початок пакета.
ESP складається з наступних компонентів і полів:
- ESP HEADER (32 біта Security Parameters Index, 32 біта Sequence Number)
- ESP Trailer (0-2040 біт Padding, 8 біт Padding Length, 8 біт Next Header)
- ESP Authentication (Змінна довжина)
DMVPN - це Point-to-Multipoint overlay VPN технологія.
Дизайн DMVPN:
Дистанційні сайти будують статичні тунелі до центрального сайту (hub-and-spoke).
Споки передають маршрутну інформацію до Хаба через статичні тунелі. Для цього може використовуватися EIGRP, OSPF, BGP.
Споки до Хаба маршрутизируют трафік через статичні тунелі. Споки до інших Спок маршрутизируют трафік через динамічні туннелі.Зачем використовувати DMVPN?
- Споки використовують стандартний шаблон конфігурації (простіше управління конфіг).
- Додавання нового Спока не вимагає додаткової настройки на хабі або інших Спок.
- Підтримується IPv4, IPv6, unicast multicast, статична і динамічна маршрутизація.
Компоненти DMVPN:
1) Маршрутизація трафіку:
- Multipoint GRE (mGRE).
- Next Hop Resolution Protocol (NHRP).
2) Шифрування трафіку:
- IPSEC.
DMVPN може застосовуватися і без IPSEC, але в більшості випадків шифрування все-таки буде потрібно.