Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x para apoiar o IPsec sobre o TCP em algum exemplo da configuração de porta

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar sessões de VPN de acesso remoto entre um PIX Firewall e VPN Hardware Clients. Esta configuração de exemplo demonstra uma configuração para o IPsec sobre o TCP em toda a porta. Esta característica é introduzida na versão de PIX 7.x.

O comando port do isakmp IPsec-sobre-TCP permite o PIX de conectar a um software de VPN Cisco e a um cliente da ferragem em toda a porta para o IPsec sobre o TCP.

Refira o VPN 3002 Hardware Client ao exemplo de configuração PIX 6.x a fim aprender uma encenação mais mais ou menos idêntica onde a ferramenta de segurança PIX execute a versão de software 6.x.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • As necessidades do PIX Firewall de executar versão de código 7.0 ou mais atrasado.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 7.0.4 do PIX 515

  • Cisco VPN 3002 Hardware Client 4.7.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Este documento pode igualmente ser usado com a ferramenta de segurança adaptável do Cisco 5500 Series (ASA) essa versão de software 7.0 das corridas e mais atrasado.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-1.gif

Configurações

Este documento utiliza as seguintes configurações:

PIX 7.x
PIX Version 7.0(4)
!
hostname pix
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 speed 10
 nameif outside
 security-level 0
 ip address 172.30.200.1 255.255.0.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.5.10 255.255.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
!
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any
access-list outside extended permit icmp any any
access-list OUT extended permit ip any any
!
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 172.30.200.2 1
!

!--- Output is suppressed.

group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec

!--- This specifies the VPN protocol used by this group. 
!--- The two options are IPsec and WebVPN. IPsec is configured for this example. 

 password-storage enable

!--- This allows the users to store passwords on VPN Client devices. 
!--- Password storage is disabled by default for security reasons. 
!--- Enable password storage only on systems that you know to be in secure sites.

 ip-comp disable
 re-xauth disable
 group-lock none
 pfs disable
 ipsec-udp disable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem enable

!--- Enter the nem command with the enable keyword in 
!--- group-policy configuration mode to enable network 
!--- extension mode for hardware clients. 
!--- This is disabled by default.

 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 
!--- Refer to Group Policies for more information.

!
crypto ipsec transform-set my-set esp-3des esp-md5-hmac
crypto dynamic-map dyn_outside 20 set transform-set my-set
crypto map mymap 20 ipsec-isakmp dynamic dyn_outside
crypto map mymap interface outside

!--- These are the IPsec parameters that are 
!--- negotiated with the client. In this example, dynamic maps are 
!--- used since the client IP address is not known.

isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

!--- These are the Phase 1 parameters negotiated by the two peers.

isakmp ipsec-over-tcp port 10000

!--- Use the isakmp ipsec-over-tcp command 
!--- in global configuration mode to enable IPsec over TCP.

tunnel-group DefaultRAGroup general-attributes

!--- A tunnel group consists of a set of records that 
!--- contain tunnel connection policies. The two attributes 
!--- are General and IPsec. 

 authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
: end 

Cisco VPN 3002 Hardware Client

Conclua estes passos:

  1. Selecione o configuração > interfaces para configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT para ambas as relações.

    Neste exemplo a interface pública tem um endereço dinamicamente atribuído:

    /image/gif/paws/68326/pix7x-ipsec-tcp-anyport-2.gif

  2. Selecione o Configuration > System > Tunneling Protocols > IPsec para configurar os parâmetros relevantes ao túnel de IPsec.

    Certifique-se de você selecionar o IPsec sobre o TCP e configurar o número de mesma porta similar a esse configurado no PIX. Este exemplo usa a porta 10000.

    O nome do grupo do túnel e da senha é configurado igualmente neste exemplo. Isto está exigido somente no caso das chaves pré-compartilhada, isto não é exigido se você usa Certificados. O nome do grupo é DefaultRAGroup neste exemplo.

    pix7x-ipsec-tcp-anyport-3.gif

  3. Desabilite a PANCADINHA a fim configurar o túnel de IPsec no modo de extensão de rede (NEM). O configuração > gerenciamento de política > gerenciamento de tráfego > a PANCADINHA seletos > permitem.

    O NEM permite que os clientes da ferragem apresentem um único, rede roteável à rede privada remota sobre o túnel VPN. O IPsec encapsula todo o tráfego da rede privada atrás do cliente da ferragem às redes atrás da ferramenta de segurança.

    pix7x-ipsec-tcp-anyport-4.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verifique a configuração PIX 7.x

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto isakmp sa — Exibe todas as associações de segurança atuais (SAs) de IKE em um peer. O estado AM_ACTIVE denota que o modo assertivo esteve usado para estabelecer o túnel do IPSec VPN.

    pix#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.1.1.5
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    
  • mostre IPsec cripto sa — Indica os ajustes usados por SA atuais. Verifique para ver se há os endereços IP do peer, as redes acessíveis no local e em extremidades remotas, e a transformação ajustada que é usada. Há dois ESP SA, um em cada sentido.

    pix#show crypto ipsec sa
    interface: outside
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (172.30.200.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.1.1.5/255.255.255.255/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 3B091B02
    
        inbound esp sas:
          spi: 0x4B73C095 (1265877141)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28607
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x3B091B02 (990452482)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28605
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 02E893BC
    
        inbound esp sas:
          spi: 0x67593523 (1733899555)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x02E893BC (48796604)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
  • mostre o stat cripto do isakmp IPsec-sobre-TCP — Use este comando verificar o IPsec sobre parâmetros TCP.

    pix#show crypto isakmp ipsec-over-tcp stat
    
    Global IPSec over TCP Statistics
    --------------------------------
    Embryonic connections: 0
    Active connections: 1
    Previous connections: 80
    Inbound packets: 803
    Inbound dropped packets: 0
    Outbound packets: 540
    Outbound dropped packets: 0
    RST packets: 87
    Recevied ACK heart-beat packets: 7
    Bad headers: 0
    Bad trailers: 0
    Timer failures: 0
    Checksum errors: 0
    Internal errors: 0

Verifique a configuração de Cisco VPN 3002 Hardware Client

Selecione a monitoração > as estatísticas > o IPsec para verificar se o túnel veio acima no Cisco VPN 3002 Hardware Client. Este indicador mostra as estatísticas para o IKE e os parâmetros IPSec:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-5.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Porta 10000 IKE para o IPsec UDP já reservado na relação fora

Recebeu o %ASA-6-713905: Porta 10000 IKE para o IPsec UDP já reservado na relação fora do mensagem de registro.

Solução

Este é um mensagem informativa que possa com segurança ser ignorado. Este mensagem informativa é usado para manter-se a par dos eventos que ocorreram. Para obter mais informações sobre desta mensagem, refira 713905.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Os comandos debug no PIX para túneis VPN:

  • debug crypto isakmp sa — Depura negociações de SA ISAKMP

  • debug crypto ipsec sa — Debuga negociações IPsec SA.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 68326