Конфігурування site-to-site IPsec VPN

↑

▷ Содержание

⇐ ПредыдущаяСтр 6 из 8Следующая ⇒

Цілісність

Дані, що проходять по Інтернету потенційно можуть бути перехоплені та змінені. Цілісність даних, гарантує, що вміст даних не було змінено.

HMAC – (Hashed Message Authentication Codes – хеш-код ідентифікації повідомлень) – це алгоритм цілісності даних, який  використовує хеш-значення і гарантує цілісність повідомлення. На локальному пристрої за допомогою хеш-алгоритму обробляються повідомлення та загальний секретний ключ, в результаті отримуємо хеш-значення. Це значення додається до повідомлення, і надсилається  мережею. На віддаленому пристрої хеш-значення перераховується і порівнюється з відправленим. Якщо обидва хеші збігаються ­– цілісність гарантована, інакше – ні.

Є два поширених алгоритми HMAC:

1. HMAC-MD5 (HMAC-Message Digest 5) – використовує 128-бітовий загальний секретний ключ. Повідомлення змінної довжини і 128-розрядний загальний секретний ключ комбінуються і обробляються хеш-алгоритмом HMAC-MD5. Виходом є 128-бітний хеш.

2. HMAC-SHA-1 (HMAC-Secure Hash Algorithm 1) – використовує 160-бітний секретний ключ. Повідомлення змінної довжини і 160-бітний загальний секретний ключ комбінуються і обробляються хеш-алгоритмом HMAC-SHA-1. Виходом є 160-бітний хеш.

HMAC-SHA-1 вважається криптографічно потужнішим, ніж HMAC-MD5 і рекомендується, коли потрібен дещо вищий рівень безпеки

Автентифікація

При веденні ділових справ шляхом спілкування через Інтернет – необхідно знати хто знаходиться на тому кінці лінії. Те ж саме вірно для мереж VPN. Пристрій на іншому кінці тунелю VPN повинен пройти перевірку справжності (автентифікуватись), перш ніж канал зв’язку вважається безпечним.

В наш час документи засвідчуються печаткою та підписом. В електронну еру, документ підписується за допомогою закритого ключа шифрування (private encryption key) відправника, що називається цифровим підписом (digital signature). Підпис автентифікується шляхом розшифровки підпису за допомогою відкритого ключа відправника.

Є два основні методи конфігурування аутентифікації пристроїв.

Pre-shared Keys (PSKs) – загальний секретний ключ значення вводиться в кожен вузол вручну і використовується для перевірки автентичності вузлів. На кожному кінці, PSK в поєднанні з іншими даними формує ключ аутентифікації. Кожен пристрій повинен аутентифікуватись, перш ніж тунель буде вважається безпечним. Загальні ключі легко налаштовуються вручну, але не масштабуються, оскільки на кожному вузлі IPsec повинен бути сконфігурований загальний ключ всіх інших пристроів, з якими він спілкується.

Підписи RSA – обмін цифровими сертифікатами автентичності віддалених пристроїв. Локальний пристрій визначає хеш і шифрує його закритим ключем (private key). Зашифрований хеш додається до повідомлення і передається на віддалений кінець і діє як підпис. На віддаленому кінці, зашифрований хеш розшифровується за допомогою відкритого ключа. Якщо хеші збігаються ­– підписи є справжніми. Кожен партнер повинен аутентифікації свою протилежність, перед тим, як тунель буде вважатись секретним.

Третій спосіб – це виконати перевірку справжності за допомогою RSA-encrypted nonces. nonce ­– це випадкове число, яке генерується віддаленим пристроєм. RSA-encrypted nonces використовує RSA для шифрування nonce та інші значення. Цей метод потребує, щоб відкритий ключ з двох пристроїв був присутнім на іншому пристрої перед тим, як може бути досягнуто третє і четверте повідомлення обміну IKE. Тому відкриті ключі повинні бути вручну скопійовані в кожному вузлі як частина процесу конфігурування. Цей метод є наименш використовуваним серед методів автентифікації.

Обмін секретними ключами

Алгоритми шифрування, такі як DES, 3DES, AES, а також  алгоритми хешування MD5 і SHA-1 потребують симетричний, загальний секретний ключ для виконання шифрування і дешифрування. Як пристроям шифрування та розшифрування отримати загальний секретний ключ? Для надсилання загальних секретних ключів для адміністраторів пристроїв може використовуватись електронна пошта, кур'єр, або нічний експрес. Але найпростіший методом обміну ключів  між пристроями є метод обміну загальних ключів (public key exchange method).

Ключові угоди Діффі-Хеллмана (DH – Diffie-Hellman) – це методом обміну відкритого ключа який надає можливість двом вузлам встановити загальний секретний ключ, який знають тільки вони, навіть якщо спілкуються по незахищеному каналу.

Варіації DH алгоритму обміну ключами, відомі як групи DH. Є чотири DH групи: 1, 2, 5 та 7.

Для конфігурування site-to-site IPsec VPN слід виконати такі кроки

1. Слід впевнитись, що на інтерфейсі сконфігуровано ACLи, і сумісні з конфігурацією IPsec. Зазвичай на інтерфейсі дозволяється тільки трафік VPN, наприклад, слід заблокувати весь трафік, який не є IPsec або IKE.
2. Створити політику ISAKMP з метою визначення параметрів ISAKMP для встановлення тунелю.
3. Визначити набір перетворень IPsec шляхом встановлення параметрів, які використовуватиме тунель IPsec. Такий набір може включати алгоритми шифрування та забезпечення цілісності.
4. Створити крипто ACL, котрий визначає, який трафік може може надсилатись через тунель IPsec та захищатись.
5. Створити та застосувати крипто карту. Така карта групує попередньо сконфігуровані параметри разом і визначає IPsec на пристроях. Крипто карту застосовують на вихідному інтерфейсі пристрою VPN.

Зупинемось детальніше на кожному з цих кроків. Отже.

1. На першому кроці конфігурування ISAKMP слід гарантувати, що існуючі ACLи на маршрутизаторах, файрволах не блокують трафік IPsec (зазвичай на граничних маршрутизаторах настроєні ACLи, які дозволяють лише визначений трафік. А весь інший – блокують). Отже, ACLи слід сконфігурувати так, щоб не блокувався трафік: ISAKMP (використовує потр 500 по протоколу UDP), ESP (використовує 50-й порт по протоколу IP) та AH (використовує 51-й порт по пртоколу IP).

Нижче наведено команди створення та застосування списка доступу, що задовольняє вищенаведеним вимогам.

R1(config)#access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2

R1(config)#access-list 102 permit esp host 172.30.2.2 host 172.30.1.2

R1(config)#access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp

R1(config)#access-list 102 permit ospf any any {для роботи OSPF}

R1(config)#access-list 102 permit icmp any any {для роботи рing}

Даний список слід застосувати на інтерфейсі маршрутизатора R1, що спрямований в Інтернет:

R1(config)#interface Serial0/3/0

R1(config-if)# ip address 172.30.1.2 255.255.255.0

R1(config-if)# ip access-group 102 in

1. На другому кроці слід сконфігурувати ISAKMP для визначення параметрів політики ІКЕ. ІКЕ використовує ці параметри під час переговорів для встановлення ISAKMP рівноправного інформаційного обміну між двома точками IPsec.

Множинні політики ISAKMP можуть бути сконфігуровані на кожній точці, що бере участь у підтримці IPsec. При конфігуруванні політики, кожна політика повинна отримати унікальний пріоритетний номер. За допомогою команди crypto isakmp policy priority  (де – номер від 1 до 10000 (1 має найвищий пріоритет, 10000 – найнижчий) , який унікально ідентифікує політику ІКЕ та призначає їй пріоритет). Рекомендується призначати найбільш секретній політиці менший номер.

Команда crypto isakmp policy дозволяє перейти в режим конфігурування політики ISAKMP, де можна встановлювати різні параметри ISAKMP. Якщо команда явно не сконфігурована – то використовуються значення за замовчанням. Наприклад, якщо явно не сконфігурована команда hash – то IKE за замовчанням використовує SHA.

Приклад конфігурування наведено нижче

R1(config)#crypto isakmp policy 110

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption des

R1(config-isakmp)#group 1

R1(config-isakmp)#hash md5

R1(config-isakmp)#lifetime 86400

Взагалі, можливі параметри конфігурування наведено у таблиці 1.

Перш ніж вузли будуть вести обмін по IPsec, вони повинні узгодити політики ISAKMP. Таке узгодження починається з головного режиму (main mode) І фази ІКЕ, коли ініціатор зв’язку надсилає усі параметри своєї політики віддаленому пристрою, з яким хоче спілкуватись. І цей віддалений пристрій порівнює власні параметри політики з отриманими. Відповідність політик означає, що обидва вузли використовують однакові алгоритми шифрування, хеш, автентифікації, значення параметра DH. Потім порівнюються значення lifetimes. Якщо вони різні – використовуватиметься найменше значення серед цих двох.

Найбезпечнішій політиці слід присвоювати найменший номер пріоритету, так, щоб була вибрана найбезпечніша політика до конфігурування менш безпечної.

Якщо прийнятні значення не знадені ISAKMP відхиляє процес домовлення Якщо ж прийнятні значення знайдені – головний режим І фази ІКЕ завершується і протягом швидкого режиму (quick mode) ІІ фази ІКЕ створюється IPsec SAs.

Сконфігуруємо політики на наших маршрутизаторах:

R1(config)#crypto isakmp policy 110

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 2

R1(config-isakmp)#hash sha

R1(config-isakmp)#lifetime 43200

Наприклад, R1 є ініціатором зв’язку. І на ньому настройки наведено вище. Тоді для успішного зв’язку на R2 повинні бути сконфігуровано політику ISAKMP з аналогічними параметрами:

R2(config)#crypto isakmp policy 100

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#group 2

R2(config-isakmp)#hash sha

R2(config-isakmp)#lifetime 43200

Таблиця 1 – Пареметри ISAKMP

При цьому номери політик мають лише локальні значення і не повинні бути однаковими (хоча і можуть).

PSK потрібне для шифрування. Для даного вузла повинен бути сконфігурований той самий ключ, що й на віддалених вузлах. Більш секретний підхід визначає різні ключі, використовувані між різними парами вузлів. 

Конфігурування PSK за допомогою команди crypto isakmp key виконується в глобальному режимі конфігурування. Цей ключ повинен бути сконфігурований, якщо для політики ISAKMP була задана команда (config-isakmp)#authentication pre-share.

За замовчанням ISAKMP настроєний на використання IP-адреси.

Rt(config)# crypto isakmp key keystring address peer-address

Для використання ж імені (hostname) ISAKMP слід сконфігурувати на використання імені хоста за допомогою команди

Rt(config)#crypto isakmp key keystring hostname hostname.

Крім того, для розрішення hostname повинна бути настроена служба DNS. Для нашого прикладу для маршрутизатора R1 команда буде мати вигляд

R1(config)#crypto isakmp key cisco123 address 172.30.2.2,

А для R2:

R2(config)#crypto isakmp key cisco123 address 172.30.1.2.

Отже, усі команди конфігурування на маршрутизаторах будуть:

R1(config)#crypto isakmp policy 110

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 2

R1(config-isakmp)#hash sha

R1(config-isakmp)#lifetime 43200

R1(config-isakmp)#exit

R1(config)#crypto isakmp key cisco123 address 172.30.2.2

R2(config)#crypto isakmp policy 110

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#group 2

R2(config-isakmp)#hash sha

R2(config-isakmp)#lifetime 43200

R2(config-isakmp)#exit

R2(config)#crypto isakmp key cisco123 address 172.30.1.2

3. Конфігурування набору перетворень. Набір перетворень – це комбінування індивідуальних IPsec перетворень, для прийняття конкретної політики безпеки для трафіку. Протягом ISAKMP IPsec SA переговорів, що відбувається у фазі ІІ IKE швидкого режиму, віддалений пристрій використовує певний набір перетворень для захисту потоку даних.

Множина перетворень складаються з поєднання перетворення АН, перетворення ESP і режиму IPsec (або в режимі тунелю, або – транспорту). Множина перетворень обмежена одним АН перетворенням і одним або двома ESP перетвореннями. Можна сконфігурувати кілька перетворень. Тоді один або більше з цих перетворень можуть бути зазначені в екземплярах крипто карти. Переговори IPsec SA використовують набір перетворень, що визначений в екземплярах крипто карти для захисту потоків даних, які вказані в ACL цього екземпляру крипто карти.

Для того, щоб визначити набір перетворень, слід задати від одного до чотирьох перетворень за допомогою команди

Rt(config)#crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4], де

transform-set-name – параметр, який визначає ім’я набору перетворень.

transform1, transform2, transform3, transform4 – тип набору перетворень. Визначте до 4 перетворень: одне – AH, одне – ESP (Encapsulating Security Payload) шифрування, oднe автентифікація ESP. Ці перетворення визначають протоколи та алгоритми безпеки IPsec

Допустимі комбінації перетворень наведено нижче у таблиці:

Кожне перетворення представляє собою протокол секретності IPsec (AH або ESP) з відповідним алгоритмом. Ці протоколи та алгоритми, задаються у відповідному специфічному режимі конфігурування. У набір перетворень, вкажіть протокол AH, протокол ESP, або обидва. Якщо у наборі перетворень визначений протокол ESP – то повинні бути задані набір перетворень шифрування ESP, або набір перетворень шифрування ESP і набір перетворень аутентифікації ESP.

У ході переговорів, пристрій шукає віддалений пристрій, з аналогічним набором перетворень тобто комбінацією протоколів, алгоритмів та інших параметрів. Коли набір перетворень знайдений – він вибирається і застосовується для захищеного трафіку як частина IPsec SA.

Коли ISAKMP не використовуються для встановлення SA – повинен бути використаний один набір перетворень. У цьому випадку, набір перетворень не буде узгоджуватись шляхом переговорів.

Набір перетворень узгоджується шляхом переговорів під час фази 2 IKE швидкого режиму (quick mode). При настройці кількох наборів перетворень, конфігуруйте перетворення від найбільш до найменш захищених, відповідно до політики безпеки мережі.

Пристрій IPsec шукає набір перетворень, однаковий з обох кінців і погоджується на одне однонаправлене перетворення на SA. Наприклад, припустимо, що R1 і R2 переговорюються стосовно набору перетворень. R1 має настроєні набори перетворень ALPHA, BETA та CHARLIE, а R2 – RED, BLUE тa YELLOW. Кожен набір перетворень R1, порівнюється з кожним набір перетворень R2 до факту успіху. Процес узгодження, з вказанням послідовності (за допомогою номерів) зображено нижче.

Коли набір перетворень знайдений – він вибирається і застосовується для захищеного трафіку в рамках IPsec SA.

Команди настроювання маршрутизаторів такі:

R1(config)#crypto ipsec transform-set MYSET esp-aes 128

R2(config)#crypto ipsec transform-set OTHERSET esp-aes 128

4. Конфігурування крипто ACL. Крипто ACL ідентифікують трафік для захисту.

Вихідні ACL визначають вихідний трафік, який повинен бути захищений за допомогою IPsec. Не визначений же трафік, передається у відкритому вигляді. При бажанні, можуть бути створені вхідні ACL для фільтрації та відхилення трафіку, який повинен були захищений IPsec.

Розширені IP ACL вибирають IP-трафік для шифрування на основі: протоколу, IP-адреси, мережі, підмережі та порту. Хоча синтаксис крипто-ACL схожий на синтаксис розширених IP ACL, між ними є невелика різниця. Наприклад, дозвіл (permit) вказує, що відповідні пакети повинні бути зашифровані, а заборона (deny) – що таке шифрування непотрібне. При забороні трафік не обов’язково відхиляється. Крипто ACL обробляються аналогічно обробці розширеного IP ACL на інтерфейсі, який застосовано для вихідного трафіку.

Синтаксис команди для основної форми розширеного IP ACL такий:

access-list access-list-number {permit | deny} protocol source source-wildcard destination destination-wildcard

Вихідні крипто ACLи визначають трафік, що слід шифрувати. Весь інший трафік проходить у відкритому вигляді

Вхідні крипто ACLи інформують маршрутизатор, який трафік повинен бути отриманий як зашифрований трафік. Коли трафік відповідає дозвольній умові (permit), маршрутизатор очікує на зашифрований трафік. Якщо вхідний незашифрований трафік відповідає дозвольній умові (permit) крипто ACL – то він відкидається. Таке відкидання відбувається внаслідок того, що трафік, який повинен був бути захищений IPsec і зашифрований, був у відкритому вигляді.

Адміністратор може захотіти отримувати певний трафік з однією комбінацією захисту IPsec (наприклад, тільки аутентифікація), а інший трафік – з другою комбінацією (наприклад, аутентифікація та шифрування). Для цього слід створити два різних крипто ACL і визначити два різних типи трафіку. Потім різні записи крипто-карти використовують ці списки ACL, для того, щоб вказати різні політики IPsec.

При визначенні, які пакети слід захистити в крипто ACL намагайтесь використати максимально можливі обмеження. Для вказання адреси джерела або призначення не рекомендується використання ключового слова any. Вираз типу permit any any використовувати вкрай не рекомендується, оскільки це приводить до того, що весь вихідний трафік буде захищатись і потім надсилатись на пункт призначення, що вказаний у відповідному записі крипто-карти. Тоді всі вхідні пакети, що не захищені IPsec, мовчки „відхиляються”, в тому числі пакети протоколів маршрутизації, NTP, echo, echo response та інші. Якщо у дозволяючому (permit) правилі повинно бути використане ключове слово any – то до цього правила повинна бути присутня серія забороняючих (deny) правил для фільтрації трафіку, який не повинен бути захищений.

Крипто ACL пов'язується з крипто-картою, яка в свою чергу, присвоюється певному інтерфейсу.

Симетричні крипто ACLи повинні бути сконфігуровані для використання IPsec. Коли маршрутизатор отримує зашифровані пакети назад від віддаленого IPsec пристрою, він використовує той же самий ACL, щоб визначити, які вхідні пакети розшифровувати шляхом перегляду адрес джерела і призначення в ACL у зворотному порядку. Критерії ACL застосовуються в прямому напрямку для трафіку, що виходить з маршрутизатора, а у зворотному напрямку для трафіку, що входить до маршрутизатора, так що джерело вихідного ACL стає призначенням вхідного ACL.

Наприклад, припустимо, що для сайту 1 (див. рис.), захист IPsec застосовується для трафіку між вузлами мережі 10.0.1.0/24 як даних, що виходять з порта S0/0/0 маршрутизатора R1 і входять до комп'ютерів мережі 10.0.2.0/24 сайту 2.

рис.

Для трафіку хостів мережі 10.0.1.0/24 сайту 1, що йде до хостів мережі 10.0.2.0/24 сайту 2, запис ACL на R1 обчислюється за такою схемою: джерело = 10.0.1.0/24, пункт призначення = 10.0.2.0/24

Для вхідного трафіку від комп'ютерів мережі 10.0.2.0/24 сайту 2 до хостів мережі 10.0.1.0/24 сайту 1, той же запис ACL на R1 обчислюється за такою схемою: джерело = 10.0.2.0/24, пункт призначення = 10.0.1.0/24

Отже, відповідні команди конфігурування ACL для маршрутизаторів будуть:

R1(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

R2(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

5.Застосування крипто-карти.Записи крипто-карти, які створені для IPsec об'єднують необхідні параметри конфігурації IPsec SA, в тому числі такі параметри:

• Який трафік захищати за допомогою крипто-ACL.
• Ступінь деталізації потоку, що повинен бути захищений набором SA.
• Який з віддалених IPsec пристроїв визначає, де передається захищений трафік IPsec.
• Локальна адреса, що використовується для IPsec трафіку (опціонально).
• Який тип безпеки IPsec, вибраний зі списку одного або більшої кількості множин перетворень.

Записи крипто-карти з тим же самим ім’ям крипто-карти, але різними порядковими номерами карти групуються в набори (множини) крипто-карти.

Тільки одна крипто-карта може бути встановлена на одному інтерфейсі. Набір крипто-карти може включати в себе поєднання технології шифрування Cisco (CET – Cisco Encryption Technology) та IPsec з використанням IKE. Кілька інтерфейсів можуть спільно використовувати один і той же набір крипто-карти, якщо однакова політика застосовується до кількох інтерфейсів. Якщо більше ніж однин запис крипто-карти створюється для даного інтерфейсу – слід використовувати порядковий номер (seq-num) кожного запису карти в ранг елемента таблиці. (If more than one crypto map entry is created for a given interface, use the sequence number (seq-num) of each map entry to rank the map entries.) Чим менше порядковий номер, тим вищий пріоритет. На інтерфейсі, де встановлено крипто-карту, трафік оцінюється, в першу чергу, за записом карти з більш високим пріоритетом.

Для заданого інтерфейсу слід створити кілька записів крипто-карти, якщо виконується будь-яка з цих умов:

• Розділяйте окремі пристрої IPsec, що обробляють різні потоки даних.
• для різних типів трафіку повинні застосовуватися різні безпеки IPsec (на тому ж самому або на окремих IPsec-пристроях). Наприклад, якщо трафік між одним набором підмереж необхідно пройти автентифікацію, а трафік між іншим набором підмереж повинен бути як аутентифікований,так і зашифрований. У цьому випадку слід визначити різні типи трафіку в двох окремих ACL та створити окремий запис крипто-карти для кожного крипто ACL.
• IKE не слід використовувати, щоб встановити певний набір SA, але слід визначити кілька екземплярів ACL – треба створити окремі ACL (по одному на одне дозволяюче правило) і визначити окремий запис крипто-карти для кожного ACL. {IKE is not used to establish a particular set of SAs, and multiple ACL entries must be specified, create separate ACLs (one per permit entry) and specify a separate crypto map entry for each ACL.}
  
  

Для створення або змінення запису крипто-карти використовуйте команду глобального режиму конфігурування crypto map та увійдіть у специфічний режим конфігурування крипто-карти. Встановіть записи крипто-карти, які посилаються на динамічні карти на найнижчий пріоритет у наборі крипто-карти (вони повинні мати найбільші послідовнісні номера). {Set the crypto map entries that reference dynamic maps to the lowest priority in a crypto map set (they should have the largest sequence numbers)}.

Синтаксис команд і параметрів такі:

crypto mapmap-name seq-num cisco,

crypto mapmap-name seq-num ipsec-manual,

crypto mapmap-name seq-num ipsec-isakmp[dynamicdynamic-map-name]

no crypto mapmap-name [seq-num], де

map-name – ім’я, що буде мати набір крипто-карти, або ім’я критпо-карти, яку треба редагувати,

seq-num – число, призначене запису крипто-карти,

ipsec-manual– показує, що ISAKMP не буде використовувати встановлення ІPsec SAs,

ipsec-isakmp– показує, що ISAKMP буде використовувати встановлення ІPsec SAs,

cisco ­– (значення за замовчанням) – показує, що для захисту трафіку замість ІPsec буде використовуватись технологія шифрування Cisco (СЕТ – Cisco Encryption Technology),

dynamic (опціонально) – визначає, що цей запис корито-карти посилається на вже створену статичну крипто-карту. Якщо використовується це ключове слово – то команди конфігурування крипто-карти недоступні,

dynamic-map-name (опціонально) – визначає ім’я набору динамічної крипто-карти, що буде використовуватись як шаблон політики.

Використовуючи команду глобального режиму конфігурування crypto map увійдіть в режим конфігурування крипто-карти. Звідси, можна конфігурувати різні компоненти IPsec, в тому числі, які крипто ACL, адресу віддаленого пристрою, і набір перетворень.

Таблиця – Команди режиму конфігурування крипто-карти

Команда

Опис

Познавательные статьи:



Коммуникативные барьеры и пути их преодоления

Рынок недвижимости. Сущность недвижимости

Решение задач с использованием генеалогического метода

История происхождения и развития детской игры