Segurança : Dispositivos de segurança Cisco PIX 500 Series

Exemplo de Configuração de Túnel IPsec Entre o PIX 7.x e o VPN 3000 Concentrator

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (16 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configuração do PIX
      Configuração do VPN 3000 Concentrator
Verificação
      Verificação do PIX
      Verificação do VPN 3000 Concentrator
Troubleshooting
      Troubleshooting do PIX
      Troubleshooting do VPN 3000 Concentrator
      PFS
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de como se estabelecer um túnel VPN IPsec LAN para LAN entre um PIX Firewall 7.x e um Cisco VPN 3000 Concentrator.

Consulte Exemplo de Configuração de VPN Spoke-to-Client Avançada com Autenticação TACACS+ no PIX/ASA 7.x para aprender mais sobre o cenário onde o túnel LAN para LAN entre os PIXs também permite que um cliente VPN acesse o PIX do spoke a partir do PIX do hub.

Consulte Exemplo de Configuração de Túnel IPsec LAN para LAN do PIX/ASA 7.x Security Appliance para um IOS Router para aprender mais sobre o cenário onde o túnel LAN para LAN é criado entre o PIX/ASA e um IOS Router.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco PIX 500 Series Security Appliance com software versão 7.1(1)

  • Cisco VPN 3060 Concentrator com software versão 4.7.2(B)

Nota: O PIX 506/506E não oferece suporte à versão 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Para configurar o PIX 6.x, consulte Exemplo de Configuração de Túnel IPsec LAN para LAN entre o Cisco VPN 3000 Concentrator e o PIX Firewall.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa esta configuração de rede:

ipsec-pix7x-vpn-con-1.gif

Configuração do PIX

PIX

PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configura a interface externa do PIX.


!--- Por padrão, o nível de segurança da interface externa é 0.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!

!--- Configura a interface interna do PIX.


!--- Por padrão, o nível de segurança da interface interna é 100.

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- Define os endereços IP que não devem ser traduzidos pelo NAT.

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- Define os endereços IP que não podem se comunicar via túnel IPsec.

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Saída suprimida.


!--- Estes são os parâmetros de IPsec negociados com o cliente.

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- Estes são os parâmetros da Fase I negociados com os dois peers.

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- Um grupo de túneis consiste em um conjunto de registros
!--- que contêm políticas de conexão de túneis. Os dois atributos
!--- são General e IPsec. Use o endereço IP do peer remoto como o
!--- o nome do grupo de túneis. Neste exemplo, 172.30.1.1 é o endereço IP do peer.
!--- Consulte Grupo de Túneis para obter mais informações.

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
 pre-shared-key *

!--- Saída suprimida.

!
: end
PIX7#

Configuração do VPN 3000 Concentrator

Os VPN Concentrator não são pré-programados com endereços IP em suas configurações de fábrica. Você precisa utilizar a porta de console para definir as configurações iniciais em uma interface de linha de comando (CLI) baseada em menus. Consulte Configurando VPN Concentrators a partir do Console para obter informações sobre como fazer a configuração a partir do console.

Após configurar o endereço IP na interface Ethernet 1 (privada), você pode configurar o resto com a CLI ou por meio da interface de navegador. A interface de navegador oferece suporte a HTTP e HTTP sobre Secure Socket Layer (SSL).

Estes parâmetros são configurados por meio do console:

  • Hora/Data — A hora e a data correta são muito importantes. Elas ajudam a garantir que as entradas de log e de contabilidade sejam precisas e que o sistema possa criar um certificado de segurança válido.

  • Interface Ethernet 1 (privada) — O endereço IP e a máscara (da topologia de rede 172.16.5.100/16).

O VPN Concentrator agora pode ser acessado por meio de um navegador HTML a partir da rede interna. Consulte Usando a Interface de Linha de Comando para Configurações Rápidas para obter informações sobre como configurar o VPN Concentrator no modo de CLI.

Digite o endereço IP da interface privada no navegador da Web para ativar a interface gráfica do usuário.

Clique no ícone save needed para salvar as alterações na memória. O nome de usuário e a senha padrão de fábrica são admin. Ambos diferenciam maiúsculas de minúsculas.

  1. Inicie a interface gráfica e selecione Configuration > Interfaces para configurar o endereço IP da interface pública e o gateway padrão.

    ipsec-pix7x-vpn-con-2.gif

  2. Selecione Configuration > Policy Management > Traffic Management > Network Lists > Add or Modify para criar as listas de redes que definem que o tráfego seja criptografado.

    Adicione as redes local e remota aqui. Os endereços IP devem espelhar aqueles da lista de acesso configurada no PIX remoto.

    Neste exemplo, as duas listas de redes são remote_network e VPN Client Local LAN.

    ipsec-pix7x-vpn-con-3.gif

  3. Selecione Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add para configurar o túnel LAN para LAN IPsec. Clique em Apply quando tiver concluído.

    Digite o endereço IP do peer, as listas de redes criadas no passo 2, os parâmetros de IPsec e ISAKMP e a chave pré-compartilhada.

    Neste exemplo, o endereço IP do peer é 10.1.1.1, as listas de redes são remote_network e VPN Client Local LAN e cisco é a chave pré-compartilhada.

    ipsec-pix7x-vpn-con-4.gif

  4. Selecione Configuration > User Management > Groups > Modify 10.1.1.1 para exibir as informações de grupo geradas automaticamente.

    Nota: Não modifique essas configurações de grupo.

    ipsec-pix7x-vpn-con-5.gif

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

Verificação do PIX

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show isakmp sa — Exibe todas as associações de segurança (SAs) do IKE em um peer. O estado MM_ACTIVE indica que o Modo Principal foi utilizado para configurar o túnel VPN IPsec.

    Neste exemplo, o PIX Firewall inicia a conexão IPsec. O endereço IP do peer é 172.30.1.1 e ele utiliza o Modo Principal para estabelecer a conexão.

    PIX7#show isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.30.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
  • show ipsec sa — Exibe as configurações utilizadas pelas SAs atuais. Verifique os endereços IP do peer, as redes acessíveis nas extremidades local e remota e o conjunto de transformações utilizado. Há dois ESP SAs, um em cada direção.

    PIX7#show ipsec sa
    interface: outside
        Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1
    
          access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
    
          local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
          current_peer: 172.30.1.1
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1
    
          path mtu 1500, ipsec overhead 76, media mtu 1500
          current outbound spi: 136580F6
    
        inbound esp sas:
          spi: 0xF24F4675 (4065281653)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28747)
             IV size: 16 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x136580F6 (325419254)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28745)
             IV size: 16 bytes
             replay detection support: Y

    Utilize os comandos clear ipsec sa e clear isakmp sa para redefinir o túnel.

Verificação do VPN 3000 Concentrator

Selecione Monitoring > Statistics > IPsec para verificar se o túnel foi estabelecido no VPN 3000 Concentrator. Isso contém as estatísticas dos parâmetros de IKE e IPsec.

ipsec-pix7x-vpn-con-6.gif

Você pode monitorar a sessão ativamente em Monitoring > Sessions. Você pode redefinir o túnel IPsec aqui.

ipsec-pix7x-vpn-con-7.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Troubleshooting do PIX

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Os comandos debug do PIX para túneis VPN são:

Troubleshooting do VPN 3000 Concentrator

Da mesma forma que com os comandos debug dos roteadores Cisco, você pode configurar classes de eventos para exibir todos os alarmes. Selecione Configuration > System > Events > Classes > Add para ativar o log de classes de eventos.

Selecione Monitoring > Filterable Event Log para monitorar os eventos ativos.

ipsec-pix7x-vpn-con-8.gif

PFS

Nas negociações de IPsec, o Perfect Forward Secrecy (PFS) garante que cada nova chave criptográfica não tenha relação com nenhuma chave anterior. Habilite ou desabilite o PFS em ambos os peers do túnel. Caso contrário, o túnel IPsec LAN para LAN (L2L) não será estabelecido no PIX/ASA.

O PFS é desabilitado por padrão. Para habilitá-lo, utilize o comando pfs com a palavra-chave enable no modo de configuração de política de grupo. Para desabilitar o PFS, digite a palavra-chave disable.

hostname(config-group-policy)#pfs {enable | disable}

Para remover o atributo de PFS da configuração em execução, insira a forma no desse comando. Uma política de grupo pode herdar um valor para o PFS de outra política de grupo. Insira a forma no desse comando para evitar que um valor seja herdado.

hostname(config-group-policy)#no pfs 

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 69115