Sécurité : Cisco FlexVPN

FlexVPN entre un routeur et une ASA avec l'exemple de configuration de chiffrement de nouvelle génération

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu

ASA
ASA

Introduction

Ce document décrit comment configurer un VPN entre un routeur avec FlexVPN et une appliance de sécurité adaptable (ASA) cette prend en charge les algorithmes du cryptage de nouvelle génération de Cisco (NGE).

Remarque: Contribué par Graham Bartlett, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Matériel : Routeur de la génération 2 IOS (G2) qui exécute le permis de Sécurité.

  • Logiciel : Version de logiciel 15.2-3.T2 de Cisco IOSÝ. N'importe quelle version de M ou de T pour des versions plus tard que la version de logiciel 15.1.2T de Cisco IOSÝ peut être utilisée parce que ceci est inclus avec l'introduction du mode de compteur de Galois (GCM).

  • Matériel : ASA qui prend en charge NGE.

    Remarque: Seulement Norme AES (Advanced Encryption Standard) multinucléaire GCM de support de Plateformes.

  • Logiciel : Version de logiciel 9.0 ou ultérieures ASA qui prend en charge NGE.

  • OpenSSL.

Pour des détails, référez-vous au navigateur de caractéristique de Cisco.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Créez dynamiquement les associations de sécurité IPSec

L'interface recommandée d'IPSec sur l'IOS est une interface de tunnel virtuelle (VTI), qui crée une interface d'Encapsulation de routage générique (GRE) qui est protégée par IPsec. Pour un VTI, le sélecteur du trafic (quel trafic devrait être protégé par les associations de sécurité d'IPSec (SA)), se compose du trafic GRE de la source du tunnel à la destination de tunnel. Puisque l'ASA n'implémente pas des interfaces GRE, mais crée à la place IPSec SAS basé sur le trafic défini dans une liste de contrôle d'accès (ACL), nous devons activer une méthode qui permet au routeur pour répondre à l'initiation IKEv2 avec un miroir des sélecteurs proposés du trafic. L'utilisation de l'interface de tunnel virtuelle dynamique (DVTI) sur le routeur de FlexVPN permet à ce périphérique pour répondre au sélecteur présenté du trafic avec un miroir du sélecteur du trafic qui a été présenté.

Cet exemple chiffre le trafic entre les deux réseaux internes. Quand l'ASA présente les sélecteurs du trafic du réseau interne ASA au réseau interne IOS, 192.168.1.0/24 à 172.16.10.0/24, l'interface DVTI répond avec un miroir des sélecteurs du trafic, qui est de 172.16.10.0/24 à 192.168.1.0/24.

Autorité de certification

Actuellement, l'IOS et l'ASA ne prennent en charge pas un serveur local d'Autorité de certification (CA) avec les Certificats elliptiques de l'algorithme de signature numérique de curve (ECDSA), qui est prié pour la suite-b. Ainsi un serveur de la tierce partie CA doit être mis en application. Par exemple, utilisation OpenSSL d'agir en tant que CA.

Configuration

Topologie du réseau

Ce guide est basé sur la topologie représentée dans ce diagramme. Vous devriez modifier des adresses IP pour adapter.

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-01.jpg

Remarque: L'installation inclut une liaison directe du routeur et de l'ASA. Ceux-ci ont pu être séparés par beaucoup de sauts. Si assurez-vous ainsi qu'il y a une artère à obtenir à l'adresse IP de pair. La configuration suivante détaille seulement le cryptage utilisé.

Étape nécessaire pour permettre au routeur d'utiliser l'ECDSA

Autorité de certification

  1. Créez un keypair elliptique de curve.

    openssl ecparam -out ca.key -name secp256r1 -genkey
  2. Créez un certificat auto-signé par curve elliptique.

    openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650

FlexVPN

  1. Créez le domain-name et l'adresse Internet, qui sont des conditions préalables afin de créer un keypair elliptique de la curve (l'EC).

    ip domain-name cisco.com
    hostname Router1
    crypto key generate ec keysize 256 label router1.cisco.com
  2. Créez un point de confiance local afin de gagner un certificat du CA.

    crypto pki trustpoint ec_ca
     enrollment terminal
     subject-name cn=router1.cisco.com
     revocation-check none
     eckeypair router1.cisco.com
     hash sha256

    Remarque: Puisque le CA est hors ligne, vérifier de révocation est désactivé ; vérifier de révocation devrait être activé pour la sécurité maximale dans un environnement de production.

  3. Authentifiez le point de confiance. Ceci obtient une copie du certificat de Ca, qui contient la clé publique.

    crypto pki authenticate ec_ca
  4. Vous êtes alors incité à entrer dans le certificat encodé de la base 64 du CA. C'est le fichier ca.pem, qui a été créé avec OpenSSL. Afin de visualiser ce fichier, ouvrez-le dans un éditeur ou avec la commande opensslx509 d'OpenSSL - dans ca.pem. Entrez quitté quand vous collez ceci. Puis de type toaccept oui.

  5. Inscrivez-vous le routeur dans l'Infrastructure à clés publiques (PKI) sur le CA.

    crypto pki enrol ec_ca
  6. La sortie que vous recevez les besoins d'être utilisé afin de soumettre une demande de certificat au CA. Ceci peut être enregistré comme fichier texte (flex.csr) et être signé avec la commande d'OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
  7. Importez le certificat, qui est contenu dans le fichier flex.pem, généré du CA, dans le routeur après que vous sélectionniez cette commande. Puis, entrez quitwhen terminé.

    crypto pki import ec_ca certificate

ASA

  1. Créez le domain-name et l'adresse Internet, qui sont des conditions préalables afin de créer un keypair EC.

    domain-name cisco.com
    hostname ASA1
    crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
  2. Créez un point de confiance local afin d'obtenir un certificat du CA.

    crypto ca trustpoint ec_ca
     enrollment terminal
     subject-name cn=asa1.cisco.com
     revocation-check none
     keypair asa1.cisco.com

    Remarque: Puisque le CA est hors ligne, vérifier de révocation est désactivé ; vérifier de révocation devrait être activé pour la sécurité maximale dans un environnement de production.

  3. Authentifiez le point de confiance. Ceci obtient une copie du certificat de Ca, qui contient la clé publique.

    crypto ca authenticate ec_ca
  4. Vous êtes alors incité à entrer dans le certificat encodé de la base 64 du CA. C'est le fichier ca.pem, qui a été créé avec OpenSSL. Afin de visualiser ce fichier, ouvrez-le dans un éditeur ou avec la commande opensslx509 d'OpenSSL - dans ca.pem. Entrez quitté quand vous collez ce fichier, et puis tapez oui le toaccept.

  5. Inscrivez-vous l'ASA dans le PKI sur le CA.

    crypto ca enrol ec_ca
  6. La sortie que vous recevez doit être utilisée afin de soumettre une demande de certificat au CA. Ceci peut être enregistré comme fichier texte (asa.csr) et puis être signé avec la commande d'OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
  7. Importez le certificat, qui est contenu dans le fichier comme a.pem, généré du CA dans le routeur après que cette commande soit sélectionnée. Puis enterquit une fois terminé.

    crypto ca import ec_ca certificate

Configuration

FlexVPN

Créez une carte de certificat pour apparier le certificat du périphérique de pair.

crypto pki certificate map certmap 10
 subject-name co cisco.com

Sélectionnez ces commandes pour la proposition IKEv2 pour la configuration de suite-b :

Remarque: Pour la sécurité maximale, configurez avec l'aes-cbc-256 avec la commande des informations parasites sha512.

crypto ikev2 proposal default
 encryption aes-cbc-128
 integrity sha256
 group 19

Appariez le profil IKEv2 à la carte de certificat et utilisez ECDSA avec le point de confiance précédemment défini.

crypto ikev2 profile default
 match certificate certmap
 identity local dn
 authentication remote ecdsa-sig
 authentication local ecdsa-sig
 pki trustpoint ec_ca
 virtual-template 1

Configurez le jeu de transformations d'IPSec pour utiliser le contre- mode de Galois (GCM).

crypto ipsec transform-set ESP_GCM esp-gcm
 mode transport

Configurez le profil IPSec avec les paramètres précédemment configurés.

crypto ipsec profile default
 set transform-set ESP_GCM
 set pfs group19
 set ikev2-profile default

Configurez l'interface de tunnel :

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

Voici la configuration d'interface :

interface GigabitEthernet0/0
 ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0

ASA

Utilisez cette configuration d'interface :

interface GigabitEthernet3/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

Sélectionnez cette commande de liste d'accès afin de définir le trafic à chiffrer :

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0

Sélectionnez cette commande de proposition d'IPSec avec NGE :

crypto ipsec ikev2 ipsec-proposal prop1
 protocol esp encryption aes-gcm
 protocol esp integrity null

Commandes de carte de chiffrement :

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 10.10.10.1
crypto map mymap 10 set ikev2 ipsec-proposal prop1
crypto map mymap 10 set trustpoint ec_ca
crypto map mymap interface outside

Cette commande configure la stratégie IKEv2 avec NGE :

crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Groupe configuré de tunnel pour des ordres de pair :

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 peer-id-validate cert
 ikev2 remote-authentication certificate
 ikev2 local-authentication certificate ec_ca

Vérification de connexion

Vérifiez que les clés ECDSA ont été avec succès générées.

Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
 Storage Device: private-config
 Usage: Signature Key
 Key is not exportable.
 Key Data:
<...omitted...>
 
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
 Usage: General Purpose Key
 EC Size (bits): 256
 Key Data&colon;
<...omitted...>

Vérifiez que le certificat a été avec succès importé et qu'ECDSA soit utilisé.

Router1#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 0137
  Certificate Usage: General Purpose
  Issuer:
<...omitted...>
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    EC Public Key:  (256 bit)
  Signature Algorithm: SHA256 with ECDSA

 
ASA-1(config)#show crypto ca certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 00a293f1fe4bd49189
  Certificate Usage: General Purpose
  Public Key Type: ECDSA (256 bits)
  Signature Algorithm: SHA256 with ECDSA Encryption
 <...omitted...>

Vérifiez qu'IKEv2 SA est avec succès créé et utilise les algorithmes configurés NGE.

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.10.10.1/500        10.10.10.2/500        none/none            READY
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      Life/Active Time: 86400/94 sec
 
  
ASA-1#show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
268364957        10.10.10.2/500        10.10.10.1/500      READY    INITIATOR
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      <...omitted...>
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xe847d8/0x12bce4d
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

Vérifiez qu'IPSec SA est avec succès créé et utilise les algorithmes configurés NGE.

Remarque: FlexVPN peut terminer des connexions d'IPSec des clients non-IOS qui prennent en charge l'IKEv2 et des protocoles IPsecs.

Router1#show crypto ipsec sa

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.10.2 port 500
     PERMIT, flags={origin_is_acl,}
<...omitted...>

     inbound esp sas:
      spi: 0x12BCE4D(19648077)
        transform: esp-gcm ,
        in use settings ={Tunnel, }
     
ASA-1#show crypto ipsec sa detail
interface: outside
    Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2

      access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
        255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
      current_peer: 10.10.10.1
<...omitted...>
     

    inbound esp sas:
      spi: 0x00E847D8 (15222744)
         transform: esp-aes-gcm esp-null-hmac no compression
         in use settings ={L2L, Tunnel, IKEv2, }

Pour plus d'informations sur l'implémentation de Cisco de la suite-b, référez-vous à Livre Blanc de cryptage de nouvelle génération.

Référez-vous à la page de solution de cryptage de nouvelle génération pour se renseigner plus sur l'implémentation de Cisco du cryptage de nouvelle génération.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 116008