Segurança e VPN : Negociação IPSec/Protocolos IKE

Configuração de um túnel de IPSec entre um Cisco Secure PIX Firewall e um Checkpoint NG Firewall

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento demonstra como configurar um túnel de IPsec com chaves pré-compartilhada para comunicar-se entre duas redes privadas. Neste exemplo, as redes de comunicação são a rede privada 192.168.10.x dentro do firewall PIX segura Cisco e a rede privada 10.32.x.x dentro do Firewall da próxima geração do ponto de verificaçãoTM (NG).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Trafique do interior do PIX e do interior que o ponto de verificaçãoTM NG ao Internet (representado aqui pelas redes 172.18.124.x) deve fluir antes que você comece esta configuração.

  • Os usuários devem ser familiares com a negociação de IPSec. Este processo pode ser dividido em cinco etapas, incluindo duas fases de intercâmbio de chave de Internet (IKE).

    1. Um túnel de IPsec é iniciado pelo tráfego interessante. O tráfego está considerado interessante quando viaja entre os ipsec peer.

    2. Na fase 1 IKE, os ipsec peer negociam a política estabelecida da associação de segurança IKE (SA). Quando os correspondentes forem autenticados, um túnel seguro é criado, com uso da associação de segurança da Internet e protocolo de gerenciamento chave (ISAKMP).

    3. Na fase 2 IKE, os ipsec peer usam o túnel seguro e autenticado para negociar IPsec SA transformam. A negociação da política compartilhada determina como o túnel de IPsec é estabelecido.

    4. O túnel de IPsec é criado e os dados são transferidos entre os ipsec peer baseados nos parâmetros IPSec configurados no IPsec transformam grupos.

    5. O túnel de IPsec termina quando o sas de IPSec é suprimido ou quando sua vida expira.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de software de PIX 6.2.1

  • Firewall do ponto de verificaçãoTM NG

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/23785/pix-checkpt-01.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configure o PIX

Esta seção apresenta-o com a informação para configurar as características descritas neste documento.

Configuração de PIX
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

Configurar o NG ponto de verificação

Os objetos de rede e as regras são definidos no ponto de verificaçãoTM NG para compor a política que se refere a configuração de VPN a se estabelecer. Esta política é instalada então usando o editor de política do ponto de verificaçãoTM NG para terminar o lado do ponto de verificaçãoTM NG da configuração.

  1. Crie os dois objetos de rede para a rede de ponto de controle e o firewall network PIX que cifram o tráfego interessante.

    A fim fazer isto, selecione Manage > Network Objects, a seguir selecione New > Network. Incorpore a informação de rede apropriada, a seguir clique a APROVAÇÃO.

    Estes exemplos mostram estabelecido dos objetos de rede chamados CP_inside (rede interna do ponto de verificaçãoTM NG) e PIXINSIDE (rede interna do PIX).

    pix-checkpt-02.gif

    pix-checkpt-03.gif

  2. Crie objetos da estação de trabalho para o ponto de verificaçãoTM NG e PIX. A fim fazer isto, selecione Manage > Network Objects > New > Workstation.

    Note que você pode usar o objeto da estação de trabalho do ponto de verificaçãoTM NG criado durante a instalação do ponto de verificação inicialTM NG. Selecione as opções para ajustar a estação de trabalho como o gateway e o dispositivo interoperáveis VPN, e clique então a APROVAÇÃO.

    Estes exemplos mostram estabelecido dos objetos chamados ciscocp (CheckpointTM NG) e PIX (PIX Firewall).

    /image/gif/paws/23785/pix-checkpt-04.gif

    pix-checkpt-05.gif

  3. Selecione Manage > Network Objects > Edit para abrir a janela Propriedades de estação de trabalho para a estação de trabalho do ponto de verificaçãoTM NG (ciscocp neste exemplo).

    Selecione a topologia das escolhas no lado esquerdo do indicador, a seguir selecione a rede para ser cifrado. O clique edita para ajustar as propriedades da relação.

    /image/gif/paws/23785/pix-checkpt-06.gif

  4. Selecione a opção para designar a estação de trabalho como interna, a seguir especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT apropriado. Clique em OK.

    Nesta configuração, a CP_inside é a rede interna do ponto de verificaçãoTM NG. As seleções de topologia mostradas aqui designam a estação de trabalho tão interna e especificam o endereço quanto a CP_inside.

    /image/gif/paws/23785/pix-checkpt-07.gif

  5. Da janela Propriedades de estação de trabalho, selecione a interface externa no ponto de verificaçãoTM NG que isso conduz para fora ao Internet, a seguir clique-a editam para ajustar as propriedades da relação. Selecione a opção para designar a topologia como externo, a seguir clique a APROVAÇÃO.

    pix-checkpt-08.gif

  6. Da janela Propriedades de estação de trabalho no ponto de verificaçãoTM NG, o VPN seleto das escolhas no lado esquerdo do indicador, seleciona então parâmetros IKE para criptografia e algoritmos de autenticação. O clique edita para configurar as propriedades IKE.

    pix-checkpt-10.gif

  7. Configurar as propriedades IKE:

    • Selecione a opção para a criptografia 3DES de modo que as propriedades IKE sejam compatíveis com o comando isakmp policy - encryption 3des.

    • Selecione a opção para o MD5 de modo que as propriedades IKE sejam compatíveis com o comando crypto isakmp policy - hash md5.

      pix-checkpt-11.gif

  8. Selecione a opção de autenticação para segredos pré-compartilhados, a seguir clique-a editam segredos para ajustar a chave pré-compartilhada como compatível com o netmask do netmask do endereço endereço da chave da chave do isakmp do comando pix. O clique edita para incorporar como mostrado sua chave aqui e para clicar o grupo, APROVAÇÃO.

    /image/gif/paws/23785/pix-checkpt-12.gif

  9. Do indicador das propriedades IKE, clique avançado… e mude estes ajustes:

    • Deselect a opção para o modo assertivo de suporte.

    • Selecione a opção para trocas de chave do apoio para sub-redes.

    Clique a APROVAÇÃO quando você é feito.

    /image/gif/paws/23785/pix-checkpt-13.gif

  10. Selecione Manage > Network Objects > Edit para abrir a janela Propriedades de estação de trabalho para o PIX. Topologia seleta das escolhas no lado esquerdo do indicador para definir manualmente o domínio de VPN.

    Nesta configuração, o PIXINSIDE (rede interna do PIX) é definido como o domínio de VPN.

    pix-checkpt-09.gif

  11. O VPN seleto das escolhas no lado esquerdo do indicador, seleciona então o IKE como o esquema de criptografia. O clique edita para configurar as propriedades IKE.

    /image/gif/paws/23785/pix-checkpt-14.gif

  12. Configurar as propriedades IKE como mostrado aqui:

    • Selecione a opção para a criptografia 3DES de modo que as propriedades IKE sejam compatíveis com o comando isakmp policy - encryption 3des.

    • Selecione a opção para o MD5 de modo que as propriedades IKE sejam compatíveis com o comando crypto isakmp policy - hash md5.

    pix-checkpt-15.gif

  13. Selecione a opção de autenticação para segredos pré-compartilhados, a seguir clique-a editam segredos para ajustar a chave pré-compartilhada como compatível com o netmask do netmask do endereço endereço da chave da chave do isakmp do comando pix. O clique edita para incorporar sua chave, a seguir clica o grupo, APROVAÇÃO.

    /image/gif/paws/23785/pix-checkpt-16.gif

  14. Do indicador das propriedades IKE, clique avançado… e mude estes ajustes.

    • Selecione o grupo Diffie-Hellman apropriado para propriedades IKE.

    • Deselect a opção para o modo assertivo de suporte.

    • Selecione a opção para trocas de chave do apoio para sub-redes.

    Clique a APROVAÇÃO, APROVAÇÃO quando você é feito.

    /image/gif/paws/23785/pix-checkpt-17.gif

  15. Selecione o Regras > Adicionar Regras > Parte Superior para configurar as regras de criptografia para a política.

    Na janela de editor de política, introduza uma regra com uma fonte da CP_inside (rede interna do ponto de verificação TM NG) e do PIXINSIDE (rede interna do PIX) em ambos a coluna de origem e de destino. Os valores determinados para o serviço = alguns, ação = cifram, e trilha = log. Quando você adicionou a seção da ação da criptografia da regra, clicar com o botão direito a ação e selecione-a Edit Properties.

    pix-checkpt-18.gif

  16. Com o IKE selecionado e destacado, o clique edita.

    pix-checkpt-19.gif

  17. No indicador das propriedades IKE, mude as propriedades para concordar com o PIX IPSec transforma no comando crypto ipsec transform-set rtptac esp-3des esp-md5-hmac.

    Ajuste a opção da transformação ao Encryption + Data Integrity (ESP), ajuste o algoritmo de criptografia ao 3DES, ajuste a integridade de dados ao MD5, e ajuste o gateway de peer permitido para combinar o PIX gateway externo (chamado PIX aqui). Clique em OK.

    /image/gif/paws/23785/pix-checkpt-20.gif

  18. Depois que você configura o ponto de verificaçãoTM NG, salvar a política e a política seleta > instala para permiti-la.

    pix-checkpt-21.gif

    A janela de instalação indica notas de andamento enquanto a política é compilada.

    /image/gif/paws/23785/pix-checkpt-22.gif

    Quando a janela de instalação indicar que a instalação de política está completa. Clique perto do revestimento o procedimento.

    /image/gif/paws/23785/pix-checkpt-23.gif

Verificar

Verificar a configuração do PIX

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Inicie um sibilo de uma das redes privadas à outra rede privada para testar uma comunicação entre as duas redes privadas. Nesta configuração, um sibilo foi enviado do lado PIX (192.168.10.2) à rede interna do ponto de verificaçãoTM NG (10.32.50.51).

  • show crypto isakmp sa – Exibe todas as SAs de IKE atuais em um correspondente.

    show crypto isakmp sa
    Total    : 1
    Embryonic : 0
                 dst                      src                     state     pending   created
      172.18.124.157   172.18.124.158   QM_IDLE         0          1
  • mostre IPsec cripto sa — Indica os ajustes usados por SA atuais.

    PIX501A#show cry ipsec sa
    
    interface: outside
        Crypto map tag: rtprules, local addr. 172.18.124.158
    
       local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
       current_peer: 172.18.124.157
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
        #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0
    
         local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6b15a355
    
         inbound esp sas:
          spi: 0xced238c7(3469883591)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
         inbound ah sas:
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x6b15a355(1796580181)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
         outbound pcp sas:

Status de túnel da vista no NG ponto de verificação

Vá ao editor de política e selecione o Janela > Status de Sistema para ver o status de túnel.

pix-checkpt-24.gif

Troubleshooting

Pesquise defeitos a configuração de PIX

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Use estes comandos permitir debuga no PIX Firewall.

  • motor do debug crypto — Os indicadores debugam mensagens sobre as crypto-engines, que executam a criptografia e a descriptografia.

  • debug crypto isakmp - Exibe mensagens sobre eventos IKE.

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

Sumarização da rede

Quando as redes internas adjacentes do múltiplo são configuradas no domínio da criptografia no ponto de verificação, o dispositivo pôde automaticamente resumi-las no que diz respeito ao tráfego interessante. Se o Access Control List cripto (ACL) no PIX não é configurado para combinar, o túnel é provável falhar. Por exemplo, se as redes internas de 10.0.0.0 /24 e de 10.0.1.0 /24 são configuradas para ser incluídas no túnel, podem ser resumidas a 10.0.0.0 /23.

Logs do NG ponto de verificação da vista

Selecione o Janela > visor de Log para ver os logs.

/image/gif/paws/23785/pix-checkpt-25.gif

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 23785