Segurança : Cisco FlexVPN

FlexVPN entre um roteador e um ASA com exemplo da configuração de criptografia da próxima geração

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice

ASA
ASA

Introdução

Este documento descreve como configurar um VPN entre um roteador com FlexVPN e uma ferramenta de segurança adaptável (ASA) essa apoia os algoritmos da criptografia da próxima geração de Cisco (NGE).

Nota: Contribuído por Graham Bartlett, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Hardware: Roteador da geração 2 IO (G2) que executa a licença da Segurança.

  • Software: Software Release Version 15.2-3.T2 do ½ do ¿  de Cisco IOSïÂ. Toda a liberação de M ou de T para liberações mais tarde do que o Software Release Version 15.1.2T do ½ do ¿  de Cisco IOSï pode ser usada porque esta é incluída com a introdução do modo do contador de Galois (GCM).

  • Hardware: ASA que apoia NGE.

    Nota: Somente Advanced Encryption Standard (AES) GCM do apoio de Plataformas do multi-núcleo.

  • Software: Software Release 9.0 ou Mais Recente ASA que apoia NGE.

  • OpenSSL.

Para detalhes, refira o Cisco Feature Navigator.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Crie dinamicamente associações de segurança IPSec

A relação recomendada do IPsec em IO é uma interface de túnel virtual (VTI), que crie uma relação do Generic Routing Encapsulation (GRE) que seja protegida pelo IPsec. Para um VTI, o seletor do tráfego (que tráfego deve ser protegido pelas associações de segurança IPSec (o SA)), consiste no tráfego GRE do origem de túnel ao destino de túnel. Porque o ASA não executa relações GRE, mas cria pelo contrário o sas de IPSec baseado no tráfego definido em um Access Control List (ACL), nós devemos permitir um método que permita que o roteador responda à iniciação IKEv2 com um espelho dos seletores propostos do tráfego. O uso da interface de túnel virtual dinâmica (DVTI) no roteador de FlexVPN permite que este dispositivo responda ao seletor apresentado do tráfego com um espelho do seletor do tráfego que foi apresentado.

Este exemplo cifra o tráfego entre ambas as redes internas. Quando o ASA apresenta os seletores do tráfego da rede interna ASA à rede interna IO, 192.168.1.0/24 a 172.16.10.0/24, a relação DVTI respondem com um espelho dos seletores do tráfego, que seja 172.16.10.0/24 a 192.168.1.0/24.

Certificate Authority

Atualmente, os IO e o ASA não apoiam um server local do Certificate Authority (CA) com os Certificados elípticos do Digital Signature Algorithm da curva (ECDSA), que seja exigido para a série-b. Assim um server da terceira de CA deve ser executado. Por exemplo, use o OpenSSL para atuar como CA.

Configuração

Topologia de rede

Este guia é baseado na topologia mostrada neste diagrama. Você deve alterar endereços IP de Um ou Mais Servidores Cisco ICM NT para serir.

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-01.jpg

Nota: A instalação inclui uma conexão direta do roteador e do ASA. Estes podiam ser separados por muitos saltos. Se se certifique assim de que há uma rota a obter ao endereço IP do peer. A seguinte configuração detalha somente a criptografia usada.

Etapas exigidas para permitir o roteador de usar o ECDSA

Certificate Authority

  1. Crie um keypair elíptico da curva.

    openssl ecparam -out ca.key -name secp256r1 -genkey
  2. Crie um certificado auto-assinado elíptico da curva.

    openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650

FlexVPN

  1. Crie o Domain Name e o hostname, que são condições prévias a fim criar um keypair elíptico da curva (EC).

    ip domain-name cisco.com
    hostname Router1
    crypto key generate ec keysize 256 label router1.cisco.com
  2. Crie um ponto confiável local a fim ganhar um certificado de CA.

    crypto pki trustpoint ec_ca
     enrollment terminal
     subject-name cn=router1.cisco.com
     revocation-check none
     eckeypair router1.cisco.com
     hash sha256

    Nota: Porque CA é autônomo, a verificação da revogação é desabilitada; a verificação da revogação deve ser permitida para a segurança máxima em um ambiente de produção.

  3. Autentique o ponto confiável. Isto obtém uma cópia do certificado de CA, que contém a chave pública.

    crypto pki authenticate ec_ca
  4. Você é alertado então entrar no certificado codificado da base 64 de CA. Este é o arquivo ca.pem, que foi criado com o OpenSSL. A fim ver este arquivo, abra-o em um editor ou com o comando opensslx509 do OpenSSL - em ca.pem. Entre parado quando você cola este. Datilografe então sim o toaccept.

  5. Registre o roteador no Public Key Infrastructure (PKI) em CA.

    crypto pki enrol ec_ca
  6. A saída que você recebe necessidades de ser usado a fim submeter um pedido do certificado a CA. Isto pode ser salvar como um arquivo de texto (flex.csr) e ser com o comando do OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
  7. Importado o certificado, que está contido dentro do arquivo flex.pem, gerado de CA, no roteador depois que você incorpora este comando. Então, entre quitwhen terminado.

    crypto pki import ec_ca certificate

ASA

  1. Crie o Domain Name e o hostname, que são condições prévias a fim criar um keypair EC.

    domain-name cisco.com
    hostname ASA1
    crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
  2. Crie um ponto confiável local a fim obter um certificado de CA.

    crypto ca trustpoint ec_ca
     enrollment terminal
     subject-name cn=asa1.cisco.com
     revocation-check none
     keypair asa1.cisco.com

    Nota: Porque CA é autônomo, a verificação da revogação é desabilitada; a verificação da revogação deve ser permitida para a segurança máxima em um ambiente de produção.

  3. Autentique o ponto confiável. Isto obtém uma cópia do certificado de CA, que contém a chave pública.

    crypto ca authenticate ec_ca
  4. Você é alertado então entrar no certificado codificado da base 64 de CA. Este é o arquivo ca.pem, que foi criado com o OpenSSL. A fim ver este arquivo, abra-o em um editor ou com o comando opensslx509 do OpenSSL - em ca.pem. Entre parado quando você cola este arquivo, e datilografe então sim o toaccept.

  5. Registre o ASA no PKI em CA.

    crypto ca enrol ec_ca
  6. A saída que você recebe deve ser usada a fim submeter um pedido do certificado a CA. Isto pode ser salvar como um arquivo de texto (asa.csr) e então ser com o comando do OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
  7. Importado o certificado, que é contido dentro do arquivo como a.pem, gerado de CA no roteador depois que este comando é incorporado. Então enterquit quando terminado.

    crypto ca import ec_ca certificate

Configuração

FlexVPN

Crie um mapa do certificado para combinar o certificado do dispositivo de peer.

crypto pki certificate map certmap 10
 subject-name co cisco.com

Incorpore estes comandos para a proposta IKEv2 para a configuração da série-b:

Nota: Para a segurança máxima, configurar com o aes-cbc-256 com comando hash sha512.

crypto ikev2 proposal default
 encryption aes-cbc-128
 integrity sha256
 group 19

Combine o perfil IKEv2 ao mapa do certificado e use ECDSA com o ponto confiável definido previamente.

crypto ikev2 profile default
 match certificate certmap
 identity local dn
 authentication remote ecdsa-sig
 authentication local ecdsa-sig
 pki trustpoint ec_ca
 virtual-template 1

Configurar o IPsec transformam o grupo para usar o modo contrário de Galois (GCM).

crypto ipsec transform-set ESP_GCM esp-gcm
 mode transport

Configurar o perfil IPSec com os parâmetros configurados previamente.

crypto ipsec profile default
 set transform-set ESP_GCM
 set pfs group19
 set ikev2-profile default

Configurar a interface de túnel:

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

Está aqui a configuração da interface:

interface GigabitEthernet0/0
 ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0

ASA

Use esta configuração da interface:

interface GigabitEthernet3/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

Inscreva este comando de lista de acesso a fim definir o tráfego a ser cifrado:

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0

Incorpore este comando do propósito de IPSec com NGE:

crypto ipsec ikev2 ipsec-proposal prop1
 protocol esp encryption aes-gcm
 protocol esp integrity null

Comandos map da criptografia:

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 10.10.10.1
crypto map mymap 10 set ikev2 ipsec-proposal prop1
crypto map mymap 10 set trustpoint ec_ca
crypto map mymap interface outside

Este comando configura a política IKEv2 com NGE:

crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Grupo de túneis configurado para comandos peer:

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 peer-id-validate cert
 ikev2 remote-authentication certificate
 ikev2 local-authentication certificate ec_ca

Verificação da conexão

Verifique que as chaves ECDSA estiveram geradas com sucesso.

Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
 Storage Device: private-config
 Usage: Signature Key
 Key is not exportable.
 Key Data:
<...omitted...>
 
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
 Usage: General Purpose Key
 EC Size (bits): 256
 Key Data&colon;
<...omitted...>

Verifique que o certificado esteve importado com sucesso e que ECDSA está usado.

Router1#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 0137
  Certificate Usage: General Purpose
  Issuer:
<...omitted...>
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    EC Public Key:  (256 bit)
  Signature Algorithm: SHA256 with ECDSA

 
ASA-1(config)#show crypto ca certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 00a293f1fe4bd49189
  Certificate Usage: General Purpose
  Public Key Type: ECDSA (256 bits)
  Signature Algorithm: SHA256 with ECDSA Encryption
 <...omitted...>

Verifique que IKEv2 SA com sucesso está criado e usa os algoritmos configurados NGE.

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.10.10.1/500        10.10.10.2/500        none/none            READY
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      Life/Active Time: 86400/94 sec
 
  
ASA-1#show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
268364957        10.10.10.2/500        10.10.10.1/500      READY    INITIATOR
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      <...omitted...>
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xe847d8/0x12bce4d
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

Verifique que IPsec SA com sucesso está criado e usa os algoritmos configurados NGE.

Nota: FlexVPN pode terminar conexões IPSec dos clientes não-IOS que apoiam o IKEv2 e protocolos IPSec.

Router1#show crypto ipsec sa

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.10.2 port 500
     PERMIT, flags={origin_is_acl,}
<...omitted...>

     inbound esp sas:
      spi: 0x12BCE4D(19648077)
        transform: esp-gcm ,
        in use settings ={Tunnel, }
     
ASA-1#show crypto ipsec sa detail
interface: outside
    Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2

      access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
        255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
      current_peer: 10.10.10.1
<...omitted...>
     

    inbound esp sas:
      spi: 0x00E847D8 (15222744)
         transform: esp-aes-gcm esp-null-hmac no compression
         in use settings ={L2L, Tunnel, IKEv2, }

Para mais informações sobre da aplicação de Cisco da série-b, refira o White Paper da criptografia da próxima geração.

Refira a página da solução da criptografia da próxima geração para aprender mais sobre a aplicação de Cisco da criptografia da próxima geração.


Informações Relacionadas


Document ID: 116008