Sécurité et VPN : Négociation IPSec/protocoles IKE

Configuration d'un tunnel IPSec entre un pare-feu Cisco Secure PIX Firewall et un pare-feu Checkpoint NG

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique comment configurer un tunnel d'IPsec avec des clés pré-partagées pour communiquer entre deux réseaux privés. Dans cet exemple, les réseaux de communication sont le réseau 192.168.10.x privé à l'intérieur du pare-feu Cisco Secure PIX et le réseau 10.32.x.x privé à l'intérieur du Pare-feu de la nouvelle génération duTM de point de reprise (NG).

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Le trafic de l'intérieur du PIX et de l'intérieur que le NG duTM de point de reprise à l'Internet (représenté ici par les réseaux 172.18.124.x) devrait circuler avant que vous commenciez cette configuration.

  • Les utilisateurs devraient être au courant de la négociation IPSec. Ce processus peut être décomposé en cinq étapes, y compris deux phases d'Échange de clés Internet (IKE).

    1. Un tunnel IPSec est lancé par un trafic intéressant. Le trafic est considéré intéressant quand il voyage entre les pairs d'IPsec.

    2. Dans le Phase 1 d'IKE, les pairs d'IPsec négocient la stratégie établie de l'association de sécurité d'IKE (SA). Une fois que les homologues sont authentifiés, un tunnel sécurisé est créé en utilisant Internet Security Association and Key Management Protocol (ISAKMP).

    3. Dans la phase 2 d'IKE, les homologues IPSec utilisent le tunnel authentifié et sécurisé pour négocier des transformations d'association de sécurité IPSec. La négociation de la stratégie partagée détermine comment le tunnel IPSec est établi.

    4. Le tunnel d'IPsec est créé et des données sont transférées entre les pairs d'IPsec basés sur les paramètres d'IPsec configurés dans les jeux de transformations d'IPsec.

    5. Le tunnel IPSec se termine quand les associations de sécurité IPSec sont supprimées ou quand leur durée de vie expire.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version du logiciel PIX 6.2.1

  • Pare-feu NG duTM de point de reprise

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/23785/pix-checkpt-01.gif

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez le PIX

Cette section vous présente avec les informations pour configurer les caractéristiques décrites dans ce document.

Configuration PIX
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

Configurez Checkpoint NG

Des objets de réseau et les règles sont définis sur le NG duTM de point de reprise de composer la stratégie qui concerne la configuration du VPN à installer. Cette stratégie est alors installée utilisant l'éditeur de stratégie NG duTM de point de reprise pour se terminer le côté NG duTM de point de reprise de la configuration.

  1. Créez les deux objets de réseau pour le réseau de points de contrôle et le firewall network PIX qui chiffrent le trafic intéressant.

    Afin de faire ceci, choisi gérez > des objets de réseau, puis sélectionnez nouveau > réseau. Écrivez l'information réseau appropriée, puis cliquez sur OK.

    Ces exemples affichent une installation des objets de réseau appelés CP_Inside (réseau d'intérieur de NG duTM de point de reprise) et le PIXINSIDE (réseau d'intérieur de PIX).

    pix-checkpt-02.gif

    pix-checkpt-03.gif

  2. Créez les objets de poste de travail pour le NG et PIX duTM de point de reprise. Afin de faire ceci, choisi gérez > des objets de réseau > nouveau > poste de travail.

    Notez que vous pouvez utiliser l'objet de poste de travail NG duTM de point de reprise créé pendant l'installation initiale NG duTM de point de reprise. Sélectionnez les options de placer le poste de travail comme passerelle et périphérique VPN interopérable, et puis cliquez sur OK.

    Ces exemples affichent une installation des objets appelés le ciscocp (NG de CheckpointTM) et le PIX (Pare-feu PIX).

    /image/gif/paws/23785/pix-checkpt-04.gif

    pix-checkpt-05.gif

  3. Choisi gérez > des objets de réseau > éditent pour ouvrir la fenêtre de Properties de poste de travail pour le poste de travail NG duTM de point de reprise (ciscocp dans cet exemple).

    La topologie choisie des choix du côté gauche de la fenêtre, sélectionnent alors le réseau à chiffrer. Cliquez sur Edit pour placer les propriétés d'interface.

    /image/gif/paws/23785/pix-checkpt-06.gif

  4. Sélectionnez l'option d'indiquer le poste de travail comme interne, puis spécifiez l'adresse IP appropriée. Cliquez sur OK.

    Dans cette configuration, CP_inside est le réseau intérieur du NG duTM de point de reprise. Les sélections de topologie affichées ici indiquent le poste de travail aussi interne et spécifient l'adresse que CP_inside.

    /image/gif/paws/23785/pix-checkpt-07.gif

  5. De la fenêtre de Properties de poste de travail, sélectionnez l'interface extérieure sur le NG duTM de point de reprise que cela mène à l'Internet, puis cliquez sur Edit pour placer les propriétés d'interface. Sélectionnez l'option d'indiquer la topologie comme externe, puis cliquez sur OK.

    pix-checkpt-08.gif

  6. De la fenêtre de Properties de poste de travail sur le NG duTM de point de reprise, le VPN choisi des choix du côté gauche de la fenêtre, sélectionnent alors des paramètres d'IKE pour des algorithmes de cryptage et d'authentification. Cliquez sur Edit pour configurer les propriétés IKE.

    pix-checkpt-10.gif

  7. Configurez les propriétés IKE :

    • Sélectionnez l'option pour le cryptage 3DES de sorte que les propriétés IKE soient compatibles avec la stratégie d'ISAKMP # la commande du cryptage 3des.

    • Sélectionnez l'option pour le MD5 de sorte que les propriétés IKE soient compatibles avec le crypto isakmp policy # la commande de MD5 d'informations parasites.

      pix-checkpt-11.gif

  8. Sélectionnez l'option d'authentification pour des secrets pré-partagés, puis cliquez sur Edit les secrets pour placer la clé pré-partagée comme compatible avec le netmask de netmask d'address address de clé de clé d'ISAKMP de commande PIX. Cliquez sur Edit pour introduire votre clé comme affiché ici et pour cliquer sur le positionnement, OK.

    /image/gif/paws/23785/pix-checkpt-12.gif

  9. De la fenêtre de propriétés IKE, cliquez sur avancé… et changez ces configurations :

    • Désélectionnez l'option pour le mode agressif de support.

    • Sélectionnez l'option pour l'échange de clé de support pour des sous-réseaux.

    Cliquez sur OK quand vous avez terminé.

    /image/gif/paws/23785/pix-checkpt-13.gif

  10. Choisi gérez > des objets de réseau > éditent pour ouvrir la fenêtre de Properties de poste de travail pour le PIX. Topologie choisie des choix du côté gauche de la fenêtre pour définir manuellement le domaine VPN.

    Dans cette configuration, PIXINSIDE (réseau d'intérieur de PIX) est défini comme domaine VPN.

    pix-checkpt-09.gif

  11. Le VPN choisi des choix du côté gauche de la fenêtre, sélectionnent alors l'IKE comme structure de chiffrement. Cliquez sur Edit pour configurer les propriétés IKE.

    /image/gif/paws/23785/pix-checkpt-14.gif

  12. Configurez les propriétés IKE comme affiché ici :

    • Sélectionnez l'option pour le cryptage 3DES de sorte que les propriétés IKE soient compatibles avec la stratégie d'ISAKMP # la commande du cryptage 3des.

    • Sélectionnez l'option pour le MD5 de sorte que les propriétés IKE soient compatibles avec le crypto isakmp policy # la commande de MD5 d'informations parasites.

    pix-checkpt-15.gif

  13. Sélectionnez l'option d'authentification pour des secrets pré-partagés, puis cliquez sur Edit les secrets pour placer la clé pré-partagée comme compatible avec le netmask de netmask d'address address de clé de clé d'ISAKMP de commande PIX. Cliquez sur Edit pour introduire votre clé, puis cliquez sur le positionnement, OK.

    /image/gif/paws/23785/pix-checkpt-16.gif

  14. De la fenêtre de propriétés IKE, cliquez sur avancé… et changez ces configurations.

    • Sélectionnez le groupe de Diffie-Hellman approprié pour des propriétés IKE.

    • Désélectionnez l'option pour le mode agressif de support.

    • Sélectionnez l'option pour l'échange de clé de support pour des sous-réseaux.

    Cliquez sur OK, CORRECT quand vous êtes fait.

    /image/gif/paws/23785/pix-checkpt-17.gif

  15. Les règles choisies > ajoutent les règles > le dessus pour configurer les règles de cryptage pour la stratégie.

    Dans la fenêtre de l'éditeur de stratégie, insérez une règle avec une source de CP_inside (réseau d'intérieur du NG du TM de point de reprise) et de PIXINSIDE (réseau d'intérieur du PIX) sur les colonnes de source et de destination. Placez les valeurs pour le service =, l'action = chiffrent, et piste = log. Quand vous avez ajouté la section d'action de chiffrer de la règle, cliquez avec le bouton droit l'action et choisi éditez Properties.

    pix-checkpt-18.gif

  16. L'IKE sélectionné et étant mis en valeur, cliquez sur Edit.

    pix-checkpt-19.gif

  17. Sur la fenêtre de propriétés IKE, changez les propriétés pour être d'accord avec le PIX IPsec transforme dans la commande du rtptac esp-3des esp-md5-hmac de crypto ipsec transform-set.

    Placez l'option de transformation au cryptage + à l'intégrité des données (ESP), placez l'algorithme de chiffrement à 3DES, fixez l'intégrité des données au MD5, et placez la passerelle homologue permise pour apparier la passerelle PIX externe (appelée le PIX ici). Cliquez sur OK.

    /image/gif/paws/23785/pix-checkpt-20.gif

  18. Après que vous configuriez le NG duTM de point de reprise, sauvegardez la stratégie et la stratégie choisie > installent pour l'activer.

    pix-checkpt-21.gif

    La fenêtre d'installation affiche des notes en progression pendant que la stratégie est compilée.

    /image/gif/paws/23785/pix-checkpt-22.gif

    Quand la fenêtre d'installation indique que l'installation de stratégie est complète. Clic près de finition la procédure.

    /image/gif/paws/23785/pix-checkpt-23.gif

Vérifiez

Vérifiez la configuration PIX

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Initiez un ping d'un des réseaux privés à l'autre réseau privé pour tester la transmission entre les deux réseaux privés. Dans cette configuration, un ping a été envoyé du côté PIX (192.168.10.2) au réseau interne NG duTM de point de reprise (10.32.50.51).

  • show crypto isakmp sa—Affiche toutes les IKE SA actuelles chez un homologue.

    show crypto isakmp sa
    Total    : 1
    Embryonic : 0
                 dst                      src                     state     pending   created
      172.18.124.157   172.18.124.158   QM_IDLE         0          1
  • show crypto ipsec sa—Affiche les paramètres utilisés par les SA.

    PIX501A#show cry ipsec sa
    
    interface: outside
        Crypto map tag: rtprules, local addr. 172.18.124.158
    
       local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
       current_peer: 172.18.124.157
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
        #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0
    
         local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6b15a355
    
         inbound esp sas:
          spi: 0xced238c7(3469883591)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
         inbound ah sas:
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x6b15a355(1796580181)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
         outbound pcp sas:

État de tunnel de vue sur Checkpoint NG

Allez à l'éditeur de stratégie et sélectionnez la fenêtre > l'état du système pour visualiser l'état de tunnel.

pix-checkpt-24.gif

Dépannez

Dépannez la configuration PIX

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Utilisez ces commandes d'activer met au point sur le Pare-feu PIX.

  • debug crypto engine — Affiche des messages de débogage au sujet des moteurs de chiffrement, qui exécutent le cryptage et le déchiffrement.

  • debug crypto isakmp—Affichage de messages d'événements IKE.

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

Récapitulation de réseau

Quand des réseaux intérieurs adjacents de multiple sont configurés dans le domaine de cryptage sur le point de reprise, le périphérique pourrait automatiquement les récapituler en ce qui concerne le trafic intéressant. Si la crypto liste de contrôle d'accès (ACL) sur le PIX n'est pas configurée pour s'assortir, le tunnel est susceptible d'échouer. Par exemple, si les réseaux intérieurs de 10.0.0.0 /24 et de 10.0.1.0 /24 sont configurés pour être inclus dans le tunnel, ils peuvent être récapitulés à 10.0.0.0 /23.

Logs de Checkpoint NG de vue

Fenêtre > visualiseur choisis de log pour visualiser les logs.

/image/gif/paws/23785/pix-checkpt-25.gif


Informations connexes


Document ID: 23785