Segurança e VPN : Negociação IPSec/Protocolos IKE

Uma Introdução à Criptografia de IP Security (IPSec)

7 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (19 Maio 2008) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Informações Complementares
Cripto Língua (Vocabulário)
Configurar ISAKMP
     1. Chaves Pré-compartilhadas
     2. Usar um CA
Configurar o IPsec
     Criar ACL Estendido.
     Criar Transformação(ões) de IPsec
     Criar Mapa de Criptografia
     Aplicar Mapa de Criptografia à Interface.
Considerações de CPU e Memória
Saída dos comandos show
     Saída Relacionada ao IKE
     Comandos show Relacionados ao IPsec
Configurações Amostrais
     Diagrama de Rede
     Configurações
Informações de Depuração
Dicas de Implementação para IPsec
Ajuda e Links Relevantes
     Informação IPSec
     Mais Configurações de Exemplo por IPsec
Referências
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento apresenta o IPsec para usuários em um formato rápido, mas sucinto. Este documento contém configurações básicas do Internet Key Exchange (IKE) com chaves pré-compartilhadas, IKE com uma Autoridade de Certificação e IPsec. Este não é um documento completo. Porém, este documento ajuda você a entender as tarefas e a ordem em que elas são realizadas.

advertência Advertência: Há restrições severas à exportação de criptografia forte. Se você violar a Lei federal dos EUA, então você, não a Cisco, será responsabilizado. Se você tiver perguntas relacionadas ao controle de exportação, envie um e-mail para export@cisco.com.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

Este documento não está restrito a versões específicas de software e de hardware.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Informações Complementares

IPsec é a plataforma de criptografia da camada de rede da próxima geração para as plataformas de segurança da Cisco (Cisco IOS® Software, PIX e assim por diante). Originalmente descrito nos RFCs 1825 a 1829, que hoje são obsoletos, o IPsec é atualmente discutido em vários documentos apresentados pelo Grupo de Trabalho do IETF IP Security leavingcisco.com. O IPsec atualmente oferece suporte para pacotes do unicast de IP versão 4. O suporte ao IPv6 e ao multicast será fornecido posteriormente.

O IPsec tem estes pontos fortes comparado com as ofertas de criptografia atuais da Cisco:

  1. Vários fornecedores — Como a estrutura do IPsec é padronizada, os clientes não ficam presos a nenhum produto de fornecedor específico. O IPsec é encontrado em roteadores, firewalls e desktops de cliente (Windows, Mac e assim por diante).

  2. Escalabilidade — O IPsec é desenhado tendo em vista grandes empresas. Portanto, ele possui gerenciamento chave embutido.

Observação: Embora diversas plataformas Cisco possam usar IPsec, este documento é voltado para o Cisco IOS Software.

Cripto Língua (Vocabulário)

Você precisa conhecer esses termos para entender o IPsec e para ler o restante deste documento. Quando você vir acrônimos em outras partes deste documento, consulte está página para saber as definições.

Padrão de Criptografia Avançado (AES) — AES foi finalizado como um algoritmo de criptografia aprovado pelo Padrão de Processamento de Informações Federal (FIPS) para ser usado para proteger a transmissão eletrônica de dados (FIPS PUB 197). O AES é baseado no algoritmo Rijndael, que especifica como usar as chaves com tamanho de 128, 192 ou 256 bits para criptografar blocos com um tamanho de 128, 192 ou 256 bits. Todas as nove combinações de tamanho de chave e de tamanho de bloco são possíveis.

Cabeçalho de Autenticação (AH) — Este é um protocolo de segurança que fornece autenticação e serviços opcionais de detecção de replay. O AH é embutido nos dados a serem protegidos, por exemplo, um datagrama IP completo. O AH pode ser usado sozinho ou com Encryption Service Payload (ESP). Consulte o RFC 2402 leavingcisco.com.

Autenticação — Essa é uma das funções da estrutura do IPsec. A autenticação estabelece a integridade de fluxo de dados e verifica se ele não é alterado em trânsito. Ela também fornece a confirmação sobre a origem de fluxo de dados.

Certification Authority (CA) — Essa é uma entidade de terceiros com a responsabilidade de executar e revogar certificados. Cada dispositivo que tem seu próprio certificado e chave pública de CA pode autenticar qualquer outro dispositivo dentro de um domínio de CA determinado. Esse termo também se aplica ao software de servidor que fornece esses serviços.

Certificado — Um objeto assinado de forma criptográfica que contém uma identidade e uma chave pública associada a essa identidade.

Criptografia clássica — Esse é um mecanismo de criptografia proprietário da Cisco usado no Cisco IOS Software Release 11.2. A criptografia clássica está disponível no Cisco IOS Software Release 11.3. Porém, o IPsec não é retroajustado para Cisco IOS Software Release 11.2. Você pode também ver a criptografia clássica de nome chamada Encryption Express ou Cisco Encryption Technology (CET) na literatura de marketing.

Lista Revogação de Certificado (CRL) — Essa é uma mensagem assinada digitalmente que lista todos os certificados atuais, mas revogados, listados por um determinado CA. Isso é análogo a um catálogo de números de cartão de carga que permita armazenamentos para rejeitar cartões de crédito inválidos.

Mapa de criptografia — Essa é uma entidade de configuração do Cisco IOS Software que executa duas funções principais. Primeiro, ela seleciona fluxos de dados que precisam de processamento de segurança. Em seguida, ela define a política para esses fluxos e o correspondente de criptografia onde o tráfego precisa ir.

Um mapa de criptografia é aplicado a uma interface. O conceito de um mapa de criptografia foi introduzido na criptografia clássica, mas foi expandido para IPsec.

Integridade de dados — São mecanismos de integridade de dados, através do uso de algoritmos baseados em chave secreta ou chave pública, que permitem que o destinatário de dados protegidos verifique que esses dados não foram modificados em trânsito.

Confidencialidade de dados — Esse é o método em que dados protegidos são manipulados de forma que nenhum invasor possa lê-los. Essa proteção geralmente é fornecida pela criptografia de dados e chaves que só estão disponíveis para as partes envolvidas na comunicação.

Autenticação de origem de dados — Esse é um serviço de segurança onde o receptor pode verificar que os dados protegidos só poderiam ter sido originados do remetente. Esse serviço requer um serviço de integridade de dados e um mecanismo de distribuição chave, no qual uma chave de segredo é compartilhada apenas com o remetente e o receptor.

Criptografia Padrão de Dados (DES) — O DES foi publicado em 1977 pelo Instituto Nacional de Padrão e é um esquema de criptografia de chave secreta baseado no algoritmo Lucifer da IBM. O contraste do DES é a chave pública. O Cisco usa DES na criptografia clássica (tamanho de chave de 40 bits e de 56 bits), na criptografia IPsec (chave de 56 bits) e no PIX Firewall (chave de 56 bits).

Diffie-Hellman — Esse é um método do estabelecimento de uma chave compartilhada em uma mídia insegura. Diffie-Hellman é um componente de Oakley, que é definido nesta lista de definições.

DSS — Um algoritmo de assinatura digital desenhado pelo US National Institute of Standards and Technology (NIST) com base na criptografia de chave pública. O DSS não faz a criptografia de datagrama de usuário. O DSS é um componente na criptografia clássica, bem como o cartão IPsec Redcreek, mas não no Cisco IOS Software implementado com IPsec.

Encryption Service Adapter (ESA)— Esse é um acelerador de criptografia com base em hardware que é usado em:

  • Routers Cisco 7204 e 7206

  • VIP2-40s (Versatile Interface Processor2-40s) de segunda geração em todos os Cisco 7500 Series Routers

  • VIP2-40 nos Cisco 7000 Series Routers que têm cartões do Route Switch Processor da série Cisco 7000 (RSP 7000) e da Chassis Interface da série Cisco 7000 (RSP7000CI) instalados.

O IPsec não usa a aceleração do ESA, mas ele não funciona em uma caixa que tenha uma cartão de ESA com base apenas em software.

Encapsulating Security Payload (ESP) — Um protocolo de segurança que fornece confidencialidade e proteção de dados com serviços opcionais de autenticação e detecção de replay. O ESP encapsula completamente os dados do usuário. O ESP pode ser usado sozinho ou em conjunto com o AH. Consulte RFC 2406: IP Encapsulating Security Payload (ESP) leavingcisco.com.

Hash — Essa é uma função unidirecional que usa uma mensagem de entrada de tamanho arbitrário e produz um digest de tamanho fixo. O Cisco usa os hashes Secure Hash Algorithm (SHA) e Message Digest 5 (MD5) dentro de nossa implementação da estrutura do IPsec. Veja a definição de HMAC para obter mais informações.

HMAC — Esse é um mecanismo para autenticação de mensagens que usa hashes criptográficos como SHA e MD5. Consulte RFC 2104 leavingcisco.com para ver uma discussão abrangente de HMAC.

Intercâmbio de Chave de Internet (IKE) — Um protocolo híbrido que usa parte Oakley e parte de outro conjunto de protocolos chamado SKEME dentro da estrutura do Internet Security Association and Key Management Protocol (ISAKMP). O IKE é chamado para estabelecer uma política de segurança compartilhada e chaves autenticadas para serviços, como IPsec, que exigem chaves. Antes que qualquer tráfego de IPsec pode ser passado, cada roteador/firewall/host deve poder verificar a identidade de seu correspondente. Para isso, insira manualmente chaves pré-compartilhadas em ambos os hosts, por meio de um serviço CA ou DNS seguro futuro (DNSSec). Esse é o protocolo anteriormente conhecido como ISAKMP/Oakley, e está definido em RFC 2409: Internet Key Exchange (IKE) leavingcisco.com. Um possível ponto de confusão é que os acrônimos ISAKMP e IKE são ambos usados no Cisco IOS Software para referir-se à mesma coisa. Esses dois itens são um pouco diferentes.

Internet Security Association and Key Management Protocol (ISAKMP) — Essa é uma estrutura de protocolo que define o mecanismo de implementação de um protocolo de intercâmbio chave e negociação de uma política de segurança. O ISAKMP está definido no Internet Security Association and Key Management Protocol (ISAKMP).

Transparência de NAT de IPsec — O recurso Transparência de NAT de IPsec apresenta suporte para tráfego de IP Security (IPsec) para percorrer pontos de Network Address Translation (NAT) ou Point Address Translation (PAT) na rede tratando de muitas incompatibilidades conhecidas entre NAT e IPsec. NAT Traversal é um recurso que é detectado automaticamente pelos dispositivos VPN. Não há etapas de configuração para um roteador que executa Cisco IOS Software Release 12.2(13)T e posteriores. Se os dois dispositivos VPN forem habilitados para NAT-T, o NAT Traversal é detectado e negociado automaticamente.

ISAKMP/Oakley — Consulte IKE.

Digest de Mensagem 5 (MD5) — Esse é um algoritmo de hash unidirecional que produz um hash de 128 bits. Tanto MD5 quanto Secure Hash Algorithm (SHA) são variações de MD4, que é desenhado para fortalecer a segurança desse algoritmo de hash. SHA é mais seguro que MD4 e MD5. O Cisco usa os hashes para autenticação na estrutura do IPsec.

Oakley — Esse é um protocolo de intercâmbio chave que define como adquirir material de chaveamento autenticado. O mecanismo básico para o Oakley é o algoritmo de intercâmbio chave Diffie-Hellman. Você pode descobrir o padrão no RFC 2412: Protocolo de Determinação de chave de OAKLEY leavingcisco.com.

Discrição Perfeita Adiante (PFS) — A PFS garante que uma chave de SA IPsec determinada não era derivada de nenhum outro segredo, como algumas outras chaves. Em outras palavras, se alguém viola uma chave, a PFS garante que o invasor não pode derivar de outra chave. Se a PFS não estiver habilitada, alguém poderá violar potencialmente a chave de segredo SA de IKE, copiar todos os dados protegidos do IPsec e, em seguida, usar conhecimento do segredo da SA de IKE para comprometer a configuração de SAs do IPsec por essa SA de IKE. Com a PFS, romper o IKE não dá a um invasor acesso imediato ao IPsec. O invasor precisa romper cada SA do IPsec individualmente. A implementação de IPsec do Cisco IOS usa PFS group 1 (D-H 768 bit) por padrão.

Detecção de replay — Esse é um serviço de segurança em que o receptor pode rejeitar pacotes duplicados ou antigos para defender-se de ataques de replay. Invasões de replay baseiam-se no envio pelo invasor de pacotes duplicados ou antigos ao receptor e na crença do receptor de que o tráfego falso é legítimo. A detecção de replay é feita pelo uso de números de seqüência combinados com autenticação, e é um recurso padrão do IPsec.

RSA — Esse é um algoritmo criptográfico de chave pública, cujo nome advém de seus inventores, Rivest, Shamir e Adleman, com um tamanho de chave variável. O principal ponto fraco do RSA é que ele é significativamente lento para calcular em comparação com algoritmos populares de chaves secretas, como o DES. A implementação de IKE Cisco usa um intercâmbio Diffie-Hellman para obter as chaves secretas. Esse intercâmbio pode ser autenticado com RSA, ou chaves pré-compartilhadas. Com o intercâmbio Diffie-Hellman, a chave DES nunca passa pela rede, nem mesmo em formato criptografado, que não é o caso da técnica de assinatura e criptografia RSA. RSA não é um domínio público e deve ser licenciado por RSA Data Security.

Associação de Segurança (SA) — Essa é uma instância de política de segurança e material de chaveamento aplicada a um fluxo de dados. O IKE e o IPsec usam SAs, embora SAs sejam independentes uma da outra. SAs de IPsec são unidirecionais e são exclusivas em cada protocolo de segurança. Um conjunto de SAs é necessário para uma tubulação de dados protegidos, um por direção por protocolo. Por exemplo, se você tiver uma tubulação que oferece suporte ESP entre correspondentes, uma SA de ESP será necessária para cada direção. As SAs são exclusivamente identificadas pelo endereço de destino (ponto final de IPsec), protocolo de segurança (AH ou ESP) e Security Parameter Index (SPI).

O IKE negocia e estabelece SAs em nome de IPsec. Um usuário pode também estabelecer SAs de IPsec manualmente.

Um SA de IKE é usado pelo IKE somente. Ao contrário de SA de IPsec, ele é bidirecional.

Secure Hash Algorithm (SHA) — Esse é um hash unidirecional enviado pelo NIST. SHA está modelado rigorosamente de acordo com o MD4 e produz um digest de 160 bits. Como SHA produz um digest de 160 bits, ele é mais resistente para ataques de força bruta que hashes de 128 bits (como MD5), mas é mais lento.

Túnel em Divisão — Esse é o processo de permitir que um usuário de VPN remoto acesse uma rede pública, mais comumente a Internet, ao mesmo tempo em que o usuário pode acessar recursos no escritório remoto. Esse método de acesso de rede permite que o usuário acesse dispositivos remotos, como uma impressora e servidores de rede, ao mesmo tempo em que acessa a rede pública (Internet). Uma vantagem do uso de túnel em divisão é que ele alivia gargalos e conserva largura de banda uma vez que o tráfego de Internet não precisa passar pelo servidor VPN. Uma desvantagem desse método é que ele essencialmente torna o VPN vulnerável a ataques, pois é acessível pele rede pública, não segura.

Transformação — Uma transformação descreve um protocolo de segurança (AH ou ESP) com seus algoritmos correspondentes. Por exemplo, ESP com o algoritmo de cifra DES e HMAC-SHA para autenticação.

Modo de Transporte — Esse é um modo de encapsulamento para AH/ESP. O Modo de Transporte encapsula o payload de camada superior, como Protocolo de Controle de Transmissão (TCP) ou Protocolo de Datagrama de Usuário (UDP), do datagrama IP original. Esse modo só pode ser usado quando os correspondentes forem pontos finais da comunicação. O contraste do Modo de Transporte é Modo de Túnel.

Modo de Túnel — Esse é o encapsulamento do Datagrama IP completo para IPsec. O Modo de Túnel é usada para proteger datagramas originados em ou destinados a sistemas não IPsec, como em um cenário de Virtual Private Network (VPN).

Configurar ISAKMP

O IKE existe somente para estabelecer SAs para IPsec. Para fazer isso, o IKE deve negociar um relacionamento de SA (um SA de ISAKMP) com o correspondente. Como o IKE negocia sua própria política, é possível configurar várias instruções de política com instruções de configuração diferentes, depois permitir que os dois hosts cheguem a um acordo. O ISAKMP negocia:

  • Um Algoritmo de Criptografia — Isso é limitado a DES de 56 bits somente.

  • Um Algoritmo de Hashing — MD5 ou SHA

  • Autenticação — Assinaturas RSA, momentos criptografados de RSA (números aleatórios) ou chaves pré-compartilhadas

  • Tempo de Vida da SA — Em segundos

Atualmente, há dois métodos que podem ser usados para configurar o ISAKMP:

  1. Usar chaves pré-compartilhadas, que são simples de configurar.

  2. Usar um CA, que é escalável pelo Empreendimento.

Observação: A negociação de IKE é feito em UDP 500. O IPsec usa protocolos IP 50 e 51. Verifique se eles são permitidos em todas as listas de acesso que você tem entre os correspondentes.

1. Chaves Pré-compartilhadas

Esse é o método rápido e complexo usado para configurar o IKE. Embora a configuração de IKE seja simples e você não use um CA, ele não é dimensionado muito bem.

Você precisa fazer isso para configurar o IKE:

  • Configurar os conjunto(s) de proteção ISAKMP.

  • Configurar a chave de ISAKMP.

Configurar os conjunto(s) de proteção ISAKMP.

Esse comando cria um objeto de política de ISAKMP. É possível ter várias políticas, mas só há uma neste exemplo:

dt3-45a(config)#crypto isakmp policy 1

dt3-45a(config-isakmp)#

Com o comando group, você pode declarar o módulo de tamanho a ser usado para cálculo de Diffie-Hellman. O grupo 1 tem tamanho de 768 bits e o grupo 2, de 1024 bits. Por que você escolheria um e não o outro? Nem todos os fornecedores oferecem suporte ao grupo 2. Além disso, o grupo 2 tem também uma utilização de CPU maior que a do grupo um. Por esse motivo, você não deseja usar o grupo 2 ou roteadores low-end como os Cisco da série 2500 ou anteriores. Porém, o grupo 2 é mais seguro que o grupo 1. Como esse exemplo usa um Cisco 4500, o grupo 2 é usado e verifica que o correspondente esteja também configurado para usar o grupo 2. O padrão é grupo 1. Se você selecionar as propriedades padrão, as linhas do grupo 1 não serão exibidas quando você executar o comando write terminal.

dt3-45a(config-isakmp)#group 2
         

O MD5 é nosso algoritmo de hashing nessa linha. Embora a implementação de SHA e MD5 seja obrigatória, nem todos os correspondentes podem ser configurados para negociar um ou o outro. O padrão no Cisco IOS é SHA, que é mais seguro do que MD5.

dt3-45a(config-isakmp)#hash md5
         

O tempo de vida do SA, 500 segundos neste caso, é mostrado neste comando. Se você não definir um tempo de vida, ele assume o padrão de 86400 segundos ou um dia. Quando o tempo de vida do temporizador expirar, o AS será renegociado como medida de segurança.

dt3-45a(config-isakmp)#lifetime 500
         

Neste comando, o IKE é informado manualmente sobre qual chave deve ser usada. Portanto, o comando pre-share é usado. Duas opções, além do comando pre-share, são os comandos rsa-encr e rsa-sig. O comando rsa-encr configura os momentos criptografados do RSA e o comando rsa-sig configura a Assinatura do RSA. Os comandos rsa-encr e rsa-sig são abordados na seção Usar um CA. Por hora, lembre-se de que rsa-sig é o padrão.

dt3-45a(config-isakmp)#authentication pre-share
         

Configurar a chave de ISAKMP

Nestes comandos, o IKE é informado sobre qual chave deve usar. O correspondente, 192.168.10.38 neste caso, deve ter a mesma chave Slurpee-Machine nesta configuração.

dt3-45a(config-isakmp)#exit
dt3-45a(config)#crypto isakmp key Slurpee-Machine address 192.168.10.38
         

Você concluiu a configuração de IKE. Essas linhas são a configuração de IKE do correspondente. As configurações completas para os dois roteadores estão na seção Configurações de Exemplo deste documento:

crypto isakmp policy 1
 hash md5
 group 2
 authentication pre-share
crypto isakmp key Slurpee-Machine address 192.168.10.66

2. Usar um CA

O uso de um CA é um método complexo usado para configurar o IKE. Como o IPsec é muito escalável, você precisa usar o IPsec em vez da criptografia clássica. Quando Cisco IOS Software Release 11.3(3) for lançado, só haverá alguns fornecedores de CA que enviam produtos. Inicialmente, a maior parte das configurações é feita como uso das chaves pré-compartilhadas. VeriSign, Entrust, Microsoft e Netscape e provavelmente muitos outros estão trabalhando em produtos de CA. Neste exemplo, um CA VeriSign é usado.

Você precisa fazer o seguinte para usar um CA:

  • Criar par(es) de chaves RSA para o roteador.

  • Solicitar certificado de CA.

  • Inscrever certificados no roteador cliente.

  • Configurar o(s) conjunto(s) de proteção ISAKMP.

Criar Par(es) de Chaves RSA para o Roteador.

O comando crypto key gen rsa usage-keys pode confundir você. Esse comando cria dois pares de chaves para RSA:

  • um par de chaves para criptografia

  • um par de chaves para assinaturas digitais

Um par de chaves refere-se a uma chave pública e sua chave de segredo correspondente. Se você não especificar chaves de uso no final do comando, o roteador gera somente um par de chaves RSA e o utiliza para criptografia e assinaturas digitais. Como um aviso de que esse comando pode ser usado para criar chaves DSS. Mas DSS é uma parte da criptografia clássica, não IPsec.

dt3-45a(config)#crypto key gen rsa usage-keys
The name for the keys will be: dt3-45a.cisco.com
%You already have RSA keys defined for dt3-45a.cisco.com.
%Do you really want to replace them? [yes/no] yes

Como algumas chaves RSA já existem nesta caixa, ela pergunta se você deseja descartar as chaves existentes. Como a resposta é sim, confirme o comando. Esse prompt é retornado:

Choose the size of the key modulus in the range of
   360 to 2048 for your Signature keys.
Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: <return>
Generating RSA keys...
[OK]

Choose the size of the key modulus in the range of
   360 to 2048 for your Encryption keys.
Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: <return>
Generating RSA keys...
[OK]
dt3-45a(config)#

Os pares de chaves de RSA com o módulo de 512 bits padrão são agora criados. Saia do modo de configuração e insira um comando show crypto key mypubkey rsa. Você pode ver agora suas chave(s) pública(s) de RSA. A porção de chave privada do par de chaves nunca é vista. Mesmo se você não tiver chaves pré-existentes, você verá o mesmo que anteriormente.

Observação: Lembre-se de salvar sua configuração quando tiver gerado seus pares de chaves.

Solicitar um Certificado de CA.

Você agora precisa configurar o roteador para comunicar-se com um CA. Isso envolve várias etapas. Você precisa se coordenar, por fim, com seu administrador de CA.

Nessas linhas de configuração, um nome de domínio é adicionado ao roteador. Isso cria um nome de host ciscoca-ultra, e informa ao roteador qual é seu endereço IP, e os servidores de nome. Você precisa ter nomes de host definidos para a CA ou um DNS que funcione na caixa. A Cisco recomenda que você tenha um DNS que funcione na caixa.

dt3-45a(config)#ip host ciscoca-ultra 171.69.54.46
dt3-45a(config)#ip domain-name cisco.com
dt3-45a(config)#ip name-server 171.692.132
dt3-45a(config)#ip name-server 198.92.30.32
         

Comece a configurar os parâmetros de CA. verisign-ca é só um nome arbitrário.

dt3-45a(config)#crypto ca identity verisign-ca
dt3-45a(ca-identity)#

Nesta saída, o protocolo de inscrição da Cisco usa HTTP para comunicar-se com a CA. O comando dt3-45a(ca-identity)#enrollment url http://ciscoca-ultra informa ao roteador para ir à URL especificada para interagir com a CA. O comando dt3-45a(ca-identity)#crypto ca authenticate verisign-ca instrui os roteadores a buscar o certificado de CA. Para poder inscrever-se no CA, você precisa garantir que você se comunica com a CA real. Verifique o certificado da CA com o administrador de CA para garantir a autenticidade.

dt3-45a(ca-identity)#enrollment url http://ciscoca-ultra
dt3-45a(ca-identity)#exit
dt3-45a(ca-identity)#crypto ca authenticate verisign-ca
         

Inscrever Certificados para o Roteador Cliente

Execute o comando crypto ca enroll verisign-ca para começar a inscrição na CA. Há várias etapas para fazer isso. Primeiro, você precisa verificar a identidade da CA, em seguida, a CA precisa verificar a identidade do roteador. Se você precisar revogar seu certificado antes que ele expire, se você renumerar as interfaces de seu roteador ou se você acreditar que seu certificado está comprometido, você precisará fornecer uma senha ao administrador de CA. Insira a senha, conforme ilustrado nesta saída. Depois de inserir sua senha, o roteador continua.

dt3-45a(config)#crypto ca enroll verisign-ca
%Start certificate enrollment ..
%Create a challenge password. You will need to verbally provide this password
to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.

Password:
Re-enter password:

Você pode agora ver a(s) impressão(ões) digital(is) da CA. Verifique se a(s) impressão(ões) digital(is) são corretas com o administrador da CA. Além disso, se você executar um comando show crypto ca cert, você verá o(s) certificado(s) da CA, além de seus próprios certificados. Os certificados de CA são listados como pendentes neste momento.

% The subject name for the keys will be: dt3-45a.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: 01204044
% Include an IP address in the subject name? [yes/no]: yes
Interface: Ethernet 0
Request certificate from CA? [yes/no]: yes

Entre em contato com o administrador da CA porque essa pessoa deseja confirmar a identidade do hose antes que um certificado seja emitido. Depois que a CA executar o certificado, o status de nosso certificado é alterado de pendente para disponível. Com isso, a inscrição CA está concluída. No entanto, você não terminou. Você ainda precisa configurar o(s) objeto(s) de política de ISAKMP.

Configurar os conjunto(s) de proteção ISAKMP.

O rsa-sig padrão é usado nessa saída. É possível que haja várias suites de proteção, mas nesse exemplo há somente uma. No caso de suites de proteção múltipla, as políticas são apresentadas para o correspondente na ordem numérica e o correspondente negocia qual deve ser usada. Você precisará fazer isso se você souber que nenhum dos seus correspondentes oferece certos recursos. O roteador não tenta negociar coisas que não fazem sentido. Por exemplo, se você configurar sua política para rsa-sig e você não tiver certificados, o roteador não negociará isso.

dt3-45a(config)#crypto isakmp policy 1
dt3-45a(config-isakmp)#hash md5
dt3-45a(config-isakmp)#lifetime 4000
dt3-45a(config-isakmp)#exit
         

Configurar o IPsec

Se você usar chaves pré-compartilhadas ou configurar uma CA, depois de configurar o Internet Key Exchange (IKE), você ainda terá que configurar o IPsec. Seja qual for o método IKE que você use, as etapas de configuração do IPsec são as mesmas.

Você precisa executar o seguinte para configurar o IPsec:

Criar ACL Estendido.

Esse comando é um ACL muito simples que permite que os roteadores se comuniquem entre si, por exemplo, um Telnet de um roteador com o seguinte.

dt3-45a(config)#access-list 101 permit ip host 192.168.10.38
                  host 192.168.10.66
         

Um ACL mais realista é parecido com esse comando. Esse comando é um ACL comum estendido, em que 192.168.3.0 é uma sub-rede atrás do roteador em questão, e 10.3.2.0 é uma sub-rede em algum lugar atrás do roteador do correspondente. Lembre-se de que permit significa criptografar e deny significa não criptografar.

dt3-45a(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255
                  10.3.2.0 0.0.0.255
         

Criar Transformação(ões) de IPsec

Criar três conjuntos de transformações. O primeiro usa somente ESP, o segundo usa AH combinado com ESP e o último usa somente AH. Durante a negociação de SA de IPsec, todos os três são oferecidos para o correspondente, que opta por um. Além disso, para todos os três conjuntos de transformação, use o tunnel mode padrão. O modo de transporte pode ser usado apenas quando os pontos finais de criptografia forem também pontos finais da comunicação. O modo de transporte pode ser especificado pelo comando mode transport sob a configuração do grupo de transformação. O modo de túnel é utilizado principalmente no cenário VPN. Observe também que esp-rfc1829 e ah-rfc1828 são baseados nos RFCs originais dessa tecnologia e são transformações obsoletas incluídas para compatibilidade reversa. Nem todos os fornecedores oferecem suporte a essas transformações, mas outros fornecedores só oferecem suporte a essas transformações.

Os conjuntos de transformação nesses comandos não são necessariamente os mais práticos. Por exemplo, PapaBear e BabyBear têm conjuntos de transformações subpadrão. Use esp-rfc1829 e ah-rfc1828 juntos no mesmo conjunto de transformação.

dt3-45a(config)#crypto ipsec transform-set PapaBear esp-rfc1829
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#crypto ipsec transform-set MamaBear ah-md5-hmac esp-des
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#crypto ipsec transform-set BabyBear ah-rfc1828
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#

Criar Mapa de Criptografia

O tag ipsec-isakmp informa ao roteador que esse mapa de criptografia é um mapa de criptografia de IPsec. Embora haja somente um correspondente declarado nesse mapa de criptografia, você tem vários correspondentes em um mapa de criptografia determinado. O tempo de vida de chave de sessão pode ser expresso em quilobytes (após uma quantia x de tráfego, altera a chave) ou segundos, conforme é medido nesses comandos. O objetivo disso é tornar mais difíceis os esforços de um invasor potencial. O comando set transform-set é onde você associa as transformações ao mapa de criptografia. Além disso, a ordem em que você declara as transformações é significativa. MamaBear é a preferida nesta configuração e, em seguida, o restante em ordem decrescente de preferência até BabyBear. O comando match address 101 significa usar a lista de acesso 101 para determinar qual tráfego é relevante. Você pode ter vários mapas de criptografia com o mesmo nome, que é armadillo, neste exemplo, e números de seqüência diferente, que são 10, neste exemplo. A combinação de vários mapas de criptografia e os números diferentes de seqüência permite combinar criptografia clássica e de IPSec. Também é possível modificar as configurações do PFS aqui. O group1 do PFS é o padrão neste exemplo: Você pode alterar o PFS para group2, ou desativá-lo por completo, o que você não deve fazer.

dt3-45a(config)#crypto map armadillo 10 ipsec-isakmp
dt3-45a(config-crypto-map)#set peer 192.168.10.38
dt3-45a(config-crypto-map)#set session-key lifetime seconds 4000
dt3-45a(config-crypto-map)#set transform-set MamaBear PapaBear BabyBear
dt3-45a(config-crypto-map)#match address 101
         

Aplicar Mapa de Criptografia à Interface.

Esses comandos aplicam-se ao mapa de criptografia para a interface. Aplique o mapa de criptografia à interface de saída, não à de entrada. Se você tiver vários mapas de criptografia que você deseja aplicar a essa interface, colocar o nome na lista no comando crypto map.

dt3-45a(config)#interface e0
dt3-45a(config-if)#crypto map armadillo
         

Considerações de CPU e Memória

Os pacotes que são processados pelo IPsec são mais lentos que pacotes que são processados por criptografia clássica. Há diversos motivos para isto e eles podem causar problemas significativos de desempenho:

  1. O IPsec apresenta expansão de pacote, que é a mais provável de exigir fragmentação e a remontagem correspondente de datagramas de IPsec.

  2. Os pacotes criptografados são provavelmente autenticados, o que significa que são duas operações criptográficas que são executadas em cada pacote.

  3. Os algoritmos de autenticação são lentos, embora se tenha trabalhado para acelerá-los, como os cálculos de Diffie-Hellman.

Além disso, o intercâmbio de chave do Diffie-Hellman usado no IKE é um expoente de números muito grandes (entre 768 e 1024 bytes) e pode levar até quatro segundos em um Cisco 2500. O desempenho de RSA é dependente do tamanho no número primo escolhido para o par de chaves de RSA.

Para cada roteador, o banco de dados de SA ocupa aproximadamente 300 bytes, mas 120 bytes para cada SA nele. Em situações em que há duas SAs de IPsec, uma de entrada e outra de saída, 540 bytes são necessários, na maioria dos casos. Cada entrada de AS de IKE é aproximadamente 64 bytes. A única vez que você tem um SA de IPsec para um fluxo de dados é quando a comunicação é unidirecional.

IPsec e IKE impactam o desempenho quando ativos. Intercâmbios de chave de Diffie-Hellman, autenticação de chave pública e criptografia/descriptografia consomem uma quantidade significativa de recursos. Embora muito esforço tenha sido feito para minimizar esse impacto.

Há uma pequena diminuição no desempenho para pacotes não criptografados que passam por uma interface que criptografa. Isso porque todos os pacotes têm que ser verificados em relação ao mapa de criptografia. Não há impacto de desempenho no pacote que atravessa o roteador que evita uma interface que não criptografa. O maior impacto é nos fluxos de dados criptografados.

Use Group 1 para intercâmbios de chave de Diffie-Hellman no IKE, use MD5 como algoritmo de hashing e uso tempos de vida maiores para minimizar o impacto do subsistema de criptografia no restante do roteador. Na transação desse ajuste de desempenho, você pode obter a criptografia fraca. Em última análise, fica a critério da política de segurança do cliente determinar quais recursos devem ser utilizados e quais devem ser ignorados.

Saída dos comandos show

Observação: As capturas nessas seções são tiradas de uma série de testes diferentes dos usados nas seções anteriores deste documento. Conseqüentemente, essas capturas podem ter endereços IP diferentes e refletir configurações ligeiramente diferentes. Outra série de comandos show é fornecida na seção Informações de Depuração deste documento.

Saída Relacionada ao IKE

Estude esses comandos para verificar a inscrição de CA VeriSign. Esses comandos mostram as chaves públicas que você usa para criptografia e assinaturas de RSA.

dt1-45a#show crypto key mypubkey rsa
% Key pair was generated at: 11:31:59 PDT Apr 9 1998
Key name: dt1-45a.cisco.com
 Usage: Signature Key
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C11854
39A9C75C
  4E34C987 B4D7F36C A058D697 13172767 192166E1 661483DD 0FDB907B
F9C10B7A
  CB5A034F A41DF385 23BEB6A7 C14344BE E6915A12 1C86374F 83020301 0001
% Key pair was generated at: 11:32:02 PDT Apr 9 1998
Key name: dt1-45a.cisco.com
 Usage: Encryption Key
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DCF5AC
360DD5A6
C69704CF 47B2362D 65123BD4 424B6FF6 AD10C33E 89983D08 16F1EA58
3700BCF9
  1EF17E71 5931A9FC 18D60D9A E0852DDD 3F25369C F09DFB75 05020301 0001

Esse comando mostra os certificados que o roteador reconhece. Um certificado que tem o status pendente foi enviado para a CA para aprovação.

dt1-45a#show crypto ca certificates
Certificate
  Subject Name
    Name: dt1-45a.cisco.com
    Serial Number: 01193485
  Status: Available
  Certificate Serial Number: 650534996414E2BE701F4EF3170EDFAD
  Key Usage: Signature

CA Certificate
  Status: Available
  Certificate Serial Number: 3051DF7169BEE31B821DFE4B3A338E5F
  Key Usage: Not Set

Certificate
  Subject Name
    Name: dt1-45a.cisco.com
    Serial Number: 01193485
  Status: Available
  Certificate Serial Number: 1e621faf3b9902bc5b49d0f99dc66d14
  Key Usage: Encryption

Essa saída mostra as chaves públicas do roteador e onde o roteador tomou conhecimento deles.

dt1-45a#show crypto key pubkey-chain rsa
Codes: M - Manually configured, C - Extracted from certificate

Code Usage   IP-Address       Name
C    Signing                  Cisco SystemsDevtestCISCOCA-ULTRA
C    General 172.21.30.71     dt1-7ka.cisco.com

Essa é a tabela SA ISAKMP (IKE). Aqui você vê que uma SA que existe atualmente entre 172.21.30.71 e 172.21.30.70. O correspondente precisa ter uma entrada de SA no mesmo estado da saída desse roteador.

dt1-7ka#show crypto isakmp sa
    dst           src          state        conn-id   slot
172.21.30.70   172.21.30.71   QM_IDLE           47      5

Essas linhas mostram os objetos de política configurados. Neste caso, as políticas 1, 2 e 4 são usadas, além da padrão. As políticas são propostas ao correspondente de forma ordenada, com a política 1 tendo a maior preferência.

dt1-45a#show crypto isakmp policy
Protection suite of priority 1
encryption algorithm:   DES - Data Encryption Standard (56 bit
keys).
hash algorithm:         Message Digest 5
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               180 seconds, no volume limit

Protection suite of priority 2
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               180 seconds, no volume limit
Protection suite of priority 4
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Message Digest 5
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               180 seconds, no volume limit

Default protection suite
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               86400 seconds, no volume limit

Comandos show Relacionados ao IPsec

Esse comando mostra o mapa de criptografia ToOtherRouter, os ACLs, as propostas de transformação aplicadas a esse mapa de criptografia, os correspondentes e o tempo de vida da chave.

S3-2513-2#show crypto map
Crypto Map "ToOtherRouter" 10 ipsec-isakmp
        Peer = 192.168.1.1
        Extended IP access list 101
            access-list 101 permit ip
                source: addr = 192.168.45.0/0.0.0.255
                dest:   addr = 192.168.3.0/0.0.0.255
        Connection Id = UNSET    (0 established,    0 failed)
        Current peer: 192.168.1.1
        Session key lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform proposals={ Elvis, Bubba, BarneyDino, }

Essa configuração usa o mesmo roteador que a saída anterior, mas comandos diferentes. Você vê todas as propostas de transformação, quais configurações elas negociam e os padrões.

S3-2513-2#show crypto ipsec transform-set
Transform proposal Elvis: { ah-sha-hmac  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

   { esp-des  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

Transform proposal Bubba: { ah-rfc1828  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

   { esp-des esp-md5-hmac  }
supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

Transform proposal BarneyDino: { ah-md5-hmac  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

Esse comando mostra as Associações de Segurança IPsec desse roteador. O roteador tem uma SA AH para entrada e saída.

S3-2513-2#show crypto ip session
Session key lifetime: 4608000 kilobytes/3600 seconds

S3-2513-2#show crypto ipsec sa

interface: Ethernet0
    Crypto map tag: ToOtherRouter, local addr. 192.168.1.2

   local  ident (addr/mask/prot/port): (192.168.45.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   current_peer: 192.168.1.1
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 192.168.1.2, remote crypto endpt.: 192.168.1.1
     path mtu 1500, media mtu 1500
     current outbound spi: 25081A81

     inbound esp sas:


     inbound ah sas:
      spi: 0x1EE91DDC(518594012)
        transform: ah-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 16, crypto map: ToOtherRouter
        sa timing: remaining key lifetime (k/sec): (4608000/3423)
        replay detection support: Y


     outbound esp sas:


     outbound ah sas:
      spi: 0x25081A81(621288065)
        transform: ah-md5-hmac ,
in use settings ={Tunnel, }
        slot: 0, conn id: 17, crypto map: ToOtherRouter
        sa timing: remaining key lifetime (k/sec): (4608000/3424)
        replay detection support: Y

Configurações Amostrais

Essa configuração usa chaves pré-configuradas. Essa configuração de roteador é usada para criar a saída de depuração listada na seção Informações de Depuração. Essa configuração permite que uma rede denominada X e localizada atrás de Source Router (Roteador de Origem) se comunique com uma rede denominada Y e localizada atrás de "Peer Router" (Roteador Correspondente). Consulte a documentação Cisco IOS Software para sua versão de Cisco IOS, ou use Ferramenta de Consulta de Comandos (clientes registrados somente) para obter mais informações sobre um comando determinado. Essa ferramenta permite que o usuário pesquise uma descrição detalhada ou diretrizes de configuração para um comando particular.

Diagrama de Rede

IPSECpart8.gif

Configurações

Roteador de Origem

Current configuration:
!
version 11.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-e4-2513
!
enable secret 5 $1$ZuRD$YBaAh3oIv4iltIn0TMCUX1
enable password ww
!

                     !--- configuração de IKE
                  
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key Slurpee-Machine address 20.20.20.21
!

                     !--- configuração de IPsec
                  
crypto ipsec transform-set BearPapa esp-rfc1829
crypto ipsec transform-set BearMama ah-md5-hmac esp-des
crypto ipsec transform-set BearBaby ah-rfc1828
 !
 crypto map armadillo 1 ipsec-isakmp
 set peer 20.20.20.21
 set security-association lifetime seconds 190
 set transform-set BearPapa BearMama BearBaby

                      !--- Tráfego para criptografia
                  
 match address 101
!
interface Ethernet0
 ip address 60.60.60.60 255.255.255.0
 no mop enabled
!
interface Serial0
 ip address 20.20.20.20 255.255.255.0
 no ip mroute-cache
 no fair-queue
 crypto map armadillo
!
interface Serial1
 no ip address
 shutdown
!
interface TokenRing0
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.21

                     !--- Tráfego para criptografia
                  
access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 password ww
 login
!
end

Roteador Correspondente

Current configuration:
!
version 11.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-c2-2513
!
enable secret 5 $1$DBTl$Wtg2eS7Eb/Cw5l.nDhkEi/
enable password ww
!
ip subnet-zero
!

                     !--- configuração de IKE
                  
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key Slurpee-Machine address 20.20.20.20
!

                     !--- configuração de IPsec
                  
crypto ipsec transform-set PapaBear esp-rfc1829
crypto ipsec transform-set MamaBear ah-md5-hmac esp-des
crypto ipsec transform-set BabyBear ah-rfc1828
!
 !
 crypto map armadillo 1 ipsec-isakmp
 set peer 20.20.20.20
 set security-association lifetime seconds 190
 set transform-set MamaBear PapaBear BabyBear
 
                     !--- Tráfego para criptografia
                  
 match address 101
!
!
!
interface Ethernet0
 ip address 50.50.50.50 255.255.255.0
 no ip directed-broadcast
!
interface Serial0
 ip address 20.20.20.21 255.255.255.0
 no ip directed-broadcast
 no ip mroute-cache
 no fair-queue
 clockrate 9600
 crypto map armadillo
!
interface Serial1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface TokenRing0
 no ip address
 no ip directed-broadcast
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.20

                     !--- Tráfego para criptografia
                  
access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line aux 0
line vty 0 4
 password ww
 login
!
end

Informações de Depuração

Esta seção tem saída de depuração com base em uma sessão IKE/IPsec normal entre dois roteadores. As configurações vêm da seção Configurações de Exemplo deste documento. Os roteadores usam uma chave pré-compartilhada. Os dois roteadores têm os comandos debug crypto isakmp, debug crypto ipsec e debug crypto engine habilitados. Isso foi testado com um ping estendido da interface ethernet do Roteador de Origem para a interface ethernet de Roteador Correspondente (60.60.60.60 to 50.50.50.50).

Observação: As instruções em azul e itálico neste exemplo de saída de depuração são observações para ajudar você a acompanhar o que acontece, não são parte da saída de depuração.

Roteador de Origem

goss-e4-2513#show clock
goss-e4-2513#ping
Protocol [ip]:
Target IP address: 50.50.50.50
Repeat count [5]: 10
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 60.60.60.60
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 50.50.50.50, timeout is 2 seconds:

Apr  2 12:03:55.347: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21,
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 190s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
Apr  2 12:03:55.355: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21,
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-md5-hmac ,
    lifedur= 190s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
Apr  2 12:03:55.363: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21,
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des ,
    lifedur= 190s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysi.ze= 0, flags= 0x4004
Apr  2 12:03:55.375: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21,
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-rfc1828 ,
    lifedur= 190s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004


                     !--- Observe que o roteador oferece ao correspondente todas as
!--- transformações disponíveis.
                  

Apr  2 12:03:55.391: ISAKMP (14): beginning Main Mode exchange
Apr  2 12:03:57.199: ISAKMP (14): processing SA payload. message ID = 0
Apr  2 12:03:57.203: ISAKMP (14): Checking ISAKMP transform 1 against
    priority 1 policy
Apr  2 12:03:57.203: ISAKMP:      encryption DES-CBC
Apr  2 12:03:57.207: ISAKMP:      hash MD5
Apr  2 12:03:57.207: ISAKMP:      default group 1
Apr  2 12:03:57.207: ISAKMP:      auth pre-share
Apr  2 12:03:57.211: ISAKMP (14): atts are acceptable. Next payload is 0
Apr  2 12:03:57.215: Crypto engine 0: generate alg param

Apr  2 12:03:5.8.867: CRYPTO_ENGINE: Dh phase 1 status: 0
Apr  2 12:03:58.871: ISAKMP (14): SA is doing pre-shared key authentication..
Apr  2 12:04:01.291: ISAKMP (14): processing KE payload. message ID = 0
Apr  2 12:04:01.295: Crypto engine 0: generate alg param

Apr  2 12:04:03.343: ISAKMP (14): processing NONCE payload. message ID = 0
Apr  2 12:04:03.347: Crypto engine 0: create ISAKMP SKEYID for conn id 14
Apr  2 12:04:03.363: ISAKMP (14): SKEYID state generated
Apr  2 12:04:03.367: ISAKMP (14): processing vendor id payload
Apr  2 12:04:03.371: ISAKMP (14): speaking to another IOS box!
Apr  2 12:04:03.371: generate hmac context for conn id 14
Apr  2 12:04:03.615: ISAKMP (14): processing ID payload. message ID = 0
Apr  2 12:04:03.615: ISAKMP (14): processing HASH payload. message ID = 0
Apr  2 12:04:03.619: generate hmac context for conn id 14
Apr  2 12:04:03.627: ISAKMP (14): SA has been authenticated
Apr  2 12:04:03.627: ISAKMP (14): beginning Quick Mode exchange, M-ID of 1628162439


                     !--- Essas linhas representam a verificação de que os atributos
!--- da política estão corretos, e a autenticação final da SA IKE.
!--- Depois que a SA IKE é autenticada, uma SA IKE válida existe.
!--- Novo IKE desativa a negociação IPsec:
                  

Apr  2 12:04:03.635: IPSEC(key_engine): got a queue event...
Apr  2 12:04:03.635: IPSEC(spi_response): getting spi 303564824ld for SA
        .!!!from 20.20.20.21     to 20.20.20.20     for prot 3
Apr  2 12:04:03.639: IPSEC(spi_response): getting spi 423956280ld for SA
        from 20.20.20.21     to 20.20.20.20     for prot 2
Apr  2 12:04:03.643: IPSEC(spi_response): getting spi 415305621ld for SA
        from 20.20.20.21     to 20.20.20.20     for prot 3
Apr  2 12:04:03.647: IPSEC(spi_response): getting spi 218308976ld for SA
        from 20.20.20.21     to 20.20.20.20     for prot 2
Apr  2 12:04:03.891: generate hmac context for conn id 14
Apr  2 12:04:04.!!
Success rate is 50 percent (5/10), round-trip min/avg/max = 264/265/268 ms
goss-e4-2513#723: generate hmac context for conn id 14
Apr  2 12:04:04.731: ISAKMP (14): processing SA payload. message ID = 1628162439
Apr  2 12:04:04.731: ISAKMP (14): Checking IPSec proposal 1
Apr  2 12:04:04.735: ISAKMP: transform 1, ESP_DES_IV64
Apr  2 12:04:04.735: ISAKMP:   attributes in transform:
Apr  2 12:04:04.735: ISAKMP:      encaps is 1
Apr  2 12:04:04.739: ISAKMP:      SA life type in seconds
Apr  2 12:04:04.739: ISAKMP:      SA life duration (basic) of 190
Apr  2 12:04:04.739: ISAKMP:      SA life type in kilobytes
Apr  2 12:04:04.743: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
Apr  2 12:04:04.747: ISAKMP (14): atts are acceptable.


                     !--- A depuração de ISAKMP é listada porque IKE é a
!--- entidade que negocia SAs IPsec em nome de IPsec.
                  

Apr  2 12:04:04.747: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20,
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
Apr  2 12:04:04.759: ISAKMP (14): processing NONCE payload. message ID = 1628162439
Apr  2 12:04:04.759: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:04.763: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:04.767: generate hmac context for conn id 14
Apr  2 12:04:04.799: ISAKMP (14): Creating IPSec SAs
Apr  2 12:04:04.803:         inbound SA from 20.20.20.21 to 20.20.20.20
    (proxy 50.50.50.0 to 60.60.60.0)
Apr  2 12:04:04.803:         has spi 303564824 and conn_id 15 and flags 4
Apr  2 12:04:04.807:         lifetime of 190 seconds
Apr  2 12:04:04.807:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.811:         outbound SA from 20.20.20.20 to 20.20.20.21
    (proxy 60.60.60.0 to 50.50.50.0)
Apr  2 12:04:04.811:         has spi 183903875 and conn_id 16 and flags 4
Apr  2 12:04:04.815:         lifetime of 190 seconds
Apr  2 12:04:04.815:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.823: IPSEC(key_engine): got a queue event...
Apr  2 12:04:04.823: IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 20.20.20.20, src= 20.20.20.21,
    dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 190s and 4608000kb,
    spi= 0x12180818(303564824), conn_id= 15, keysize= 0, flags= 0x4
Apr  2 12:04:04.831: IPSEC(initialize_sas): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21,
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 190s and 4608000kb,
    spi= 0xAF62683(183903875), conn_id= 16, keysize= 0, flags= 0x4
Apr  2 12:04:04.839: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.20, sa_prot= 50,
    sa_spi= 0x12180818(303564824),
    sa_trans= esp-rfc1829 , sa_conn_id= 15
Apr  2 12:04:04.843: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.21, sa_prot= 50,
    sa_spi= 0xAF62683(183903875),
    sa_trans= esp-rfc1829 , sa_conn_id= 16


                     !--- Essas linhas mostram que SAs IPsec são criadas e
!--- o tráfego criptografado pode agora passar.
                  
               

Roteador de Origem Saída do Comando show após Negociação IKE/IPsec

goss-e4-2513#
goss-e4-2513#show crypto isakmp sa
    dst           src          state        conn-id   slot
20.20.20.21    20.20.20.20    QM_IDLE           14      0

goss-e4-2513#show crypto ipsec sa

interface: Serial0
    Crypto map tag: armadillo, local addr. 20.20.20.20

   local  ident (addr/mask/prot/port): (60.60.60.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (50.50.50.0/255.255.255.0/0/0)
   current_peer: 20.20.20.21
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest 0
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 20.20.20.20, remote crypto endpt.: 20.20.20.21
     path mtu 1500, media mtu 1500
     current outbound spi: AF62683

     inbound esp sas:
      spi: 0x12180818(303564824)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 15, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/135)
        IV size: 8 bytes
        replay detection support: N


     inbound ah sas:


     outbound esp sas:
      spi: 0xAF62683(183903875)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 16, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/117)
        IV size: 8 bytes
        replay detection support: N


     outbound ah sas:



goss-e4-2513#show crypto isakmp policy
Protection suite of priority 1
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
goss-e4-2513#show crypto map
Crypto Map "armadillo" 1 ipsec-isakmp
        Peer = 20.20.20.21
        Extended IP access list 101
                access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
        Current peer: 20.20.20.21
        Security association lifetime: 4608000 kilobytes/190 seconds
        PFS (Y/N): N
        Transform sets={ BearPapa, BearMama, BearBaby, }

Roteador Correspondente com Mesma Seqüência de Ping, conforme Vistos do Outro Lado

goss-c2-2513#show debug
Cryptographic Subsystem:
  Crypto ISAKMP debugging is on
  Crypto Engine debugging is on
  Crypto IPSEC debugging is on
goss-c2-2513#
Apr  2 12:03:55.107: ISAKMP (14): processing SA payload. message ID = 0
Apr  2 12:03:55.111: ISAKMP (14): Checking ISAKMP transform 1 against
     priority 1 policy
Apr  2 12:03:55.111: ISAKMP:      encryption DES-CBC
Apr  2 12:03:55.111: ISAKMP:      hash MD5
Apr  2 12:03:55.115: ISAKMP:      default group 1
Apr  2 12:03:55.115: ISAKMP:      auth pre-share
Apr  2 12:03:55.115: ISAKMP (14): atts are acceptable. Next payload is 0


                     !--- O IKE executa sua operação e, em seguida, desativa o IPsec.
                  

Apr  2 12:03:55.119: Crypto engine 0: generate alg param

Apr  2 12:03:56.707: CRYPTO_ENGINE: Dh phase 1 status: 0
Apr  2 12:03:56.711: ISAKMP (14): SA is doing pre-shared key authentication
Apr  2 12:03:58.667: ISAKMP (14): processing KE payload. message ID = 0
Apr  2 12:03:58.671: Crypto engine 0: generate alg param

Apr  2 12:04:00.687: ISAKMP (14): processing NONCE payload. message ID = 0
Apr  2 12:04:00.695: Crypto engine 0: create ISAKMP SKEYID for conn id 14
Apr  2 12:04:00.707: ISAKMP (14): SKEYID state generated
Apr  2 12:04:00.711: ISAKMP (14): processing vendor id payload
Apr  2 12:04:00.715: ISAKMP (14): speaking to another IOS box!
Apr  2 12:04:03.095: ISAKMP (14): processing ID payload. message ID = 0
Apr  2 12:04:03.095: ISAKMP (14): processing HASH payload. message ID = 0
Apr  2 12:04:03.099: generate hmac context for conn id 14
Apr  2 12:04:03.107: ISAKMP (14): SA has been authenticated
Apr  2 12:04:03.111: generate hmac context for conn id 14
Apr  2 12:04:03.835: generate hmac context for conn id 14
Apr  2 12:04:03.839: ISAKMP (14): processing SA payload. message ID = 1628162439
Apr  2 12:04:03.843: ISAKMP (14): Checking IPSec proposal 1
Apr  2 12:04:03.843: ISAKMP: transform 1, ESP_DES_IV64
Apr  2 12:04:03.847: ISAKMP:   attributes in transform:
Apr  2 12:04:03.847: ISAKMP:      encaps is 1
Apr  2 12:04:03.847: ISAKMP:      SA life type in seconds
Apr  2 12:04:03.851: ISAKMP:      SA life duration (basic) of 190
Apr  2 12:04:03.851: ISAKMP:      SA life type in kilobytes
Apr  2 12:04:03.855: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
Apr  2 12:04:03.855: ISAKMP (14): atts are acceptable.
Apr  2 12:04:03.859: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20,
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
Apr  2 12:04:03.867: ISAKMP (14): processing NONCE payload. message ID = 1628162439
Apr  2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:03.879: IPSEC(key_engine): got a queue event...
Apr  2 12:04:03.879: IPSEC(spi_response): getting spi 183903875ld for SA
        from 20.20.20.20     to 20.20.20.21     for prot 3
Apr  2 12:04:04.131: generate hmac context for conn id 14
Apr  2 12:04:04.547: generate hmac context for conn id 14
Apr  2 12:04:04.579: ISAKMP (14): Creating IPSec SAs
Apr  2 12:04:04.579:         inbound SA from 20.20.20.20 to 20.20.20.21
    (proxy 60.60.60.0 to 50.50.50.0)
Apr  2 12:04:04.583:         has spi 183903875 and conn_id 15 and flags 4
Apr  2 12:04:04.583:         lifetime of 190 seconds
Apr  2 12:04:04.587:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.587:         outbound SA from 20.20.20.21 to 20.20.20.20
    (proxy 50.50.50.0 to 60.60.60.0)
Apr  2 12:04:04.591:         has spi 303564824 and conn_id 16 and flags 4
Apr  2 12:04:04.591:         lifetime of 190 seconds
Apr  2 12:04:04.595:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.599: IPSEC(key_engine): got a queue event...
Apr  2 12:04:04.599: IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20,
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 190s and 4608000kb,
    spi= 0xAF62683(183903875), conn_id= 15, keysize= 0, flags= 0x4
Apr  2 12:04:04.607: IPSEC(initialize_sas): ,
  (key eng. msg.) src= 20.20.20.21, dest= 20.20.20.20,
    src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 ,
    lifedur= 190s and 4608000kb,
    spi= 0x12180818(303564824), conn_id= 16, keysize= 0, flags= 0x4
Apr  2 12:04:04.615: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.21, sa_prot= 50,
    sa_spi= 0xAF62683(183903875),
    sa_trans= esp-rfc1829 , sa_conn_id= 15
Apr  2 12:04:04.619: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.20, sa_prot= 50,
    sa_spi= 0x12180818(303564824),
    sa_trans= esp-rfc1829 , sa_conn_id= 16


                     !--- As SAs IPsec são criadas e o tráfego ICMP pode fluir.
                  
               

Comandos show do Roteador Correspondente

                  
                     !--- Isso ilustra uma série de saída de comando show depois
!--- que a negociação IKE/IPsec ocorre.
                  

goss-c2-2513#show crypto isakmp sa
    dst           src          state        conn-id   slot
20.20.20.21    20.20.20.20    QM_IDLE           14      0

goss-c2-2513#show crypto ipsec sa

interface: Serial0
    Crypto map tag: armadillo, local addr. 20.20.20.21

   local  ident (addr/mask/prot/port): (50.50.50.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (60.60.60.0/255.255.255.0/0/0)
   current_peer: 20.20.20.20
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest 0
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 20.20.20.21, remote crypto endpt.: 20.20.20.20
     path mtu 1500, media mtu 1500
     current outbound spi: 12180818

     inbound esp sas:
      spi: 0xAF62683(183903875)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 15, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/118)
        IV size: 8 bytes
        replay detection support: N


     inbound ah sas:


     outbound esp sas:
      spi: 0x12180818(303564824)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 16, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/109)
        IV size: 8 bytes
        replay detection support: N


     outbound ah sas:



goss-c2-2513#show crypto isakmp policy
Protection suite of priority 1
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
goss-c2-2513#show crypto map
Crypto Map "armadillo" 1 ipsec-isakmp
        Peer = 20.20.20.20
        Extended IP access list 101
                access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
        Current peer: 20.20.20.20
        Security association lifetime: 4608000 kilobytes/190 seconds
        PFS (Y/N): N
        Transform sets={ MamaBear, PapaBear, BabyBear, }

Dicas de Implementação para IPsec

Essas são algumas dicas de implementação para IPsec:

  • Certifique-se de que você tem conectividade entre os pontos finais da comunicação antes que você configure a criptografia.

  • Certifique-se que o DNS trabalha no roteador ou que você inseriu o nome de host da CA, se você usar uma CA.

  • O IPsec usa protocolos IP 50 e 51 e o tráfego de IKE passa no protocolo 17, porta 500 (UDP 500). Certifique-se de que eles são permitidos adequadamente.

  • Tenha cuidado para não usar a palavra qualquer em seu ACL. Isso gera problemas. Consulte as Diretrizes de Uso para access-list na referência a comando PIX para obter mais informações.

  • As combinações de transformação recomendadas são:

    esp-des and esp-sha-hmac
    	ah-sha-hmac and esp-des
  • Lembre-se de que o AH é apenas um cabeçalho autenticado. O fluxo de dados do usuário real não é criptografado. Você precisa de ESP para criptografia de fluxo de dados. Se você usar apenas AH e ver o texto claro atravessar a rede, não fique surpreso. Use também o ESP se você usar o AH. Observe que ESP pode também executar a autenticação. Portanto, você pode usar uma combinação de transformação, como esp-des e esp-sha-hmac.

  • ah-rfc1828 e esp-rfc1829 são transformações obsoletas incluídas para compatibilidade retrógrada com implementações de IPsec mais antigas. Se o correspondente não oferece suporte a transformações mais novas, tente as seguintes.

  • SHA é mais lento e mais seguro que MD5, enquanto MD5 é mais rápido e menos seguro que SHA. Em algumas comunidades, o nível de conforto com MD5 é muito baixo.

  • Quando em dúvida, use o modo de túnel. O modo de túnel é o padrão é pode ser usado em modo de transporte bem como para os seus recursos de VPN.

  • Para usuários da criptografia clássica que faz atualização para Cisco IOS Software Release 11.3, os métodos de armazenamento de comandos de criptografia na configuração mudaram para permitir IPsec. Conseqüentemente, se os usuários da criptografia clássica sempre revertem para Cisco IOS Software Release 11.2, esses usuários precisam reinserir suas configurações de criptografia.

  • Se você emitir um teste de ping no link criptografado quando concluir sua configuração, o processo de negociação poderá levar algum tempo, cerca de cinco segundos em um Cisco 4500, e cerca de 20 segundos em um Cisco 2500, porque as SAs não foram negociadas ainda. Embora tudo esteja configurado corretamente, seu ping pode falhar inicialmente. Os comandos debug crypto ipsec e debug crypto isakmp mostram a você o que acontece. Depois que seus fluxos de dados criptografados tiverem concluído a configuração, o ping funcionará adequadamente.

  • Se você encontrar problemas com sua(s) negociação(ões) e fizer alterações de configuração, use os comandos clear crypto is e clear crypto sa para descarga dos bancos de dados antes da nova tentativa. Isso força a negociação a começar de novo, sem nenhuma negociação entrar no caminho. Os comandos clear crypto is e clear cry sa são muito úteis para isso.

Ajuda e Links Relevantes

Informação IPSec

Mais Configurações de Exemplo por IPsec

Entre em contato com o Suporte Técnico da Cisco pelo telefone (800) 553-24HR, (408) 526-7209, ou envie um e-mail para tac@cisco.com se você precisar assistência adicional com o IPsec.

Referências

Harkins, D. ISAKMP/Oakley Protocol Feature Software Unit Functional Specification. ENG-0000 Rev A. Cisco Systems.

Madson, C. IPSec Software Unit Functional Specification ENG-17610 Rev F. Cisco Systems.

Kaufman, C. Perlman R. and Spencer, M. Network Security: Private Communication in a Public World. Prentice Hall, 1995.

Schneier, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. Segunda Ed. John Wiley & Sons, Inc.

Vários esboços de trabalho do IP Security IETF leavingcisco.com


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 16439