セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

IPSec トンネル設定 - Cisco Secure PIX Firewall を Checkpoint 4.1 へ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例は、事前共有キーを使用する IPSec トンネルを 2 つのプライベート ネットワークに参加するように構成する方法を示しています。 この例で参加するネットワークは、Cisco Secure Pix Firewall(PIX)内部の 192.168.1.X プライベート ネットワークと Checkpoint 内部の 10.32.50.X プライベート ネットワークです。 ここでは、この設定を始める前に、PIX 内部および Checkpoint 4.1 Firewall 内部からインターネットへのトラフィック(ここでは 172.18.124.X ネットワークと表現しています)が流れていると仮定しています。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX ソフトウェア リリース 5.3.1

  • Checkpoint 4.1 Firewall

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

この文書では、次のダイヤグラムに示すネットワーク設定を使用します。

/image/gif/paws/16512/cp-p-01.gif

設定

このドキュメントでは、このセクションで示す設定を使用しています。

PIX の設定
PIX Version 5.3(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname cisco_endpoint
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names
access-list 115 permit ip 192.168.1.0 255.255.255.0 
10.32.50.0 255.255.255.0 
access-list 115 deny ip 192.168.1.0 255.255.255.0 any 
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
logging monitor debugging
no logging buffered
logging trap debugging
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.35 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 172.18.124.36
nat (inside) 0 access-list 115
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.34 1
timeout xlate 3:00:00g SA 0x80bd6a10, conn_id = 0
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- IPSec configuration

sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set myset esp-des esp-sha-hmac 
crypto map rtpmap 10 ipsec-isakmp
crypto map rtpmap 10 match address 115
crypto map rtpmap 10 set peer 172.18.124.157 
crypto map rtpmap 10 set transform-set myset
crypto map rtpmap 10 set security-association lifetime seconds 
3600 kilobytes 4608000
crypto map rtpmap interface outside

!--- IKE configuration

isakmp enable outside
isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:dc43c44e4513d3633a3fc7b1c3802c79
: end
[OK] 

Checkpoint Firewall

  1. IKE と IPSec のデフォルトのライフタイムは各ベンダーによって異なるため、 Properties > Encryption を選択して、Checkpoint のライフタイムを PIX のデフォルトと一致するように設定します。

    PIX デフォルト IKE ライフタイムはこれによって 86400 秒(=1440 分)、変更可能コマンド行います: isakmp policy # lifetime 86400

    PIX IKEライフタイムは 60-86400 秒の間に設定することができます。

    PIXデフォルト IPSecライフタイムはこれによって 28800 秒、変更可能コマンド行います: crypto ipsec security-association lifetime seconds #

    120-86400 秒間の PIX IPSec ライフタイムを設定できます。

    /image/gif/paws/16512/cp-p-02.gif

  2. Manage > Network objects > New (or Edit) > Network の順に選択し、Checkpoint の背後にある内部(「cpinside」)ネットワークのオブジェクトを設定します。

    これはこの PIX コマンドの宛先(セカンド)ネットワークと一致する必要があります: access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0

    cp-p-03.gif

  3. このコマンドのに PIX ポイントそのゲートウェイ(「RTPCPVPN」Checkpoint)エンドポイントのためのオブジェクトを編集するために Manage > Network objects > Edit の順に選択 して下さい: crypto map name # set peer ip_address

    Location の下で Internal を選択します。 Type で Gateway を選択します。 インストールされるモジュールの下で VPN 1 及び FireWall-1 チェックボックスを選択し、また管理ステーション チェックボックスを選択して下さい:

    cp-p-04.gif

  4. Manage > Network objects > New > Network の順に選択し、PIX の背後にある外部(「inside_cisco」)ネットワークのオブジェクトを設定します。

    これはこの PIX コマンドのソース(最初)ネットワークと一致する必要があります: access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0

    cp-p-05.gif

  5. Manage > Network objects > New > Workstation の順に選択し、外部(「cisco_endpoint」)PIX ゲートウェイのオブジェクトを追加します。 これはこのコマンドが適用する PIXインターフェイスです: crypto map name interface outside

    Location の下で External を選択します。 Type で Gateway を選択します。

    注: VPN-1/FireWall-1 チェックボックスを選択しないで下さい。

    /image/gif/paws/16512/cp-p-06.gif

  6. Manage > Network objects > Edit の順に選択し、Checkpoint ゲートウェイ エンドポイント(「RTPCPVPN」という名前)の VPN タブを編集します。 Domain の下で Other を選択してから、Checkpoint ネットワークの内側(「cpinside」という名前)をドロップダウン リストから選択します。 Encryption schemes defined の下で、IKE を選択してから Edit をクリックします。

    スクリーン キャプチャ

  7. このコマンドで一致するために DES 暗号化のための IKEプロパティを変更して下さい:

    isakmp policy # encryption des

  8. このコマンドで一致するために SHA1 ハッシュに IKEプロパティを変更して下さい:

    isakmp policy # hash sha

    これらの設定を変更して下さい:

    1. Aggressive Mode を選択解除します。

    2. サポート サブネット チェックボックスを選択して下さい。

    3. 認証方式の下で、事前共有秘密チェックボックスを選択して下さい。 これはこのコマンドで一致します:

      isakmp policy # authentication pre-share

      スクリーン キャプチャ

  9. 事前共有キーを PIX コマンドで一致するために設定 するために『Edit Secrets』 をクリック して下さい:

    isakmp key key address address netmask netmask

    スクリーン キャプチャ

  10. Manage > Network objects > Edit の順に選択し、「cisco_endpoint」の VPN タブを編集します。 Domain の下で、Other を選択してから PIX ネットワークの内側(「inside_cisco」という名前)を選択します。 Encryption schemes defined の下で、IKE を選択してから Edit をクリックします。

    /image/gif/paws/16512/cp-p-10.gif

  11. このコマンドで一致するために IKEプロパティ DES 暗号化を変更して下さい:

    isakmp policy # encryption des

  12. このコマンドで一致するために SHA1 ハッシュに IKEプロパティを変更して下さい:

    crypto isakmp policy # hash sha

    これらの設定を変更して下さい:

    1. Aggressive Mode を選択解除します。

    2. サポート サブネット チェックボックスを選択して下さい。

    3. 認証方式の下で、事前共有秘密チェックボックスを選択して下さい。 この操作はこのコマンドで一致します:

      isakmp policy # authentication pre-share

      /image/gif/paws/16512/cp-p-11.gif

  13. 事前共有キーをこの PIX コマンドで一致するために設定 するために『Edit Secrets』 をクリック して下さい:

    isakmp key key address address netmask netmask

    スクリーン キャプチャ

  14. Policy Editor ウィンドウで、Source と Destination の両方に「inside_cisco」と「cpinside」(双方向)を設定したルールを挿入します。 Service=Any、Action=Encrypt、および Track=Long を設定します。

    スクリーン キャプチャ

  15. 先頭に立つ処理の下でグリーン の Encrypt アイコンをクリックし、暗号化ポリシーを設定するために『Edit properties』 を選択 して下さい。

    /image/gif/paws/16512/cp-p-14.gif

  16. IKE を選択してから Edit をクリックします。

    /image/gif/paws/16512/cp-p-15.gif

  17. IKE Properties 画面で、このコマンドの PIX IPSec トランスフォームと一致するためにこれらの特性を変更して下さい:

    crypto ipsec transform-set myset esp-des esp-sha-hmac

    Transform の下で Encryption + Data Integrity(ESP) を選択します。 暗号化アルゴリズムはデータ統合 SHA1 である必要があります DES であり許可されたピアゲートウェイは外部 PIXゲートウェイ必要があります(「cisco_endpoint」と呼ばれるである)。 [OK] をクリックします。

    /image/gif/paws/16512/cp-p-16.gif

  18. Checkpoint が設定された後、変更が実施されることができるように Checkpoint メニューで Policy > Install の順に選択 して下さい。

debug、show、および clear コマンド

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

Cisco PIX ファイアウォール

  • debug crypto engine - 暗号化と復号化を実行する暗号化エンジンに関するデバッグ メッセージを表示します。

  • debug crypto isakmp - IKE イベントに関するメッセージを表示します。

  • debug crypto ipsec - IPSec イベントに関するメッセージを表示します。

  • show crypto isakmp sa:ピア上の現在の IKE セキュリティ アソシエーション(SA)をすべて表示します。

  • show crypto ipsec sa - 現在のセキュリティ結合で使用されている設定を表示します。

  • clear crypto isakmp - (設定モードから)アクティブな IKE 接続をすべてクリアーします。

  • clear crypto sa - (設定モードから)IPSec セキュリティ結合をすべて削除します。

Checkpoint:

トラッキングがステップ 14 で示されている Policy Editor ウィンドウのために長く設定 されたので拒否されたトラフィックはログ ビューアのレッドに現われます。 より多くの冗長なデバッグは入力によって得ることができます:

C:\WINNT\FW1\4.1\fwstop
C:\WINNT\FW1\4.1\fw d -d

さらに、別のウィンドウで次のコマンドを実行します。

C:\WINNT\FW1\4.1\fwstart

注: これは Microsoft Windows NT インストールでした。

これらのコマンドで Checkpoint の SA をクリアできます:

fw tab -t IKE_SA_table -x
fw tab -t ISAKMP_ESP_table -x
fw tab -t inbound_SPI -x
fw tab -t ISAKMP_AH_table -x

そして Are you sure ではい答えますか。 というプロンプトでスタックされることがあります。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

ネットワーク 集約

mutliple 隣接した内部ネットワークが Checkpoint の暗号化 ドメインで設定されるとき、デバイスは関連 トラフィックに関して自動的にそれらを要約できます。 PIX の暗号 ACL が一致するために設定されない場合トンネルは多分失敗します。 たとえば、10.0.0.0 /24 および 10.0.1.0 /24 の内部ネットワークがトンネルに含まれているために設定されれば 10.0.0.0 /23 に要約することができます。

PIX からの debug の出力例

cisco_endpoint# show debug
debug crypto ipsec 1
debug crypto isakmp 1
debug crypto engine
debug fover status
        tx      Off
        rx      Off
        open    Off
        cable   Off
        txdmp   Off
        rxdmp   Off
        ifc     Off
        rxip    Off
        txip    Off
        get     Off
        put     Off
        verify  Off
        switch  Off
        fail    Off
        fmsg    Off
cisco_endpoint# term mon
cisco_endpoint# 
ISAKMP (0): beginning Quick Mode exchange, 
M-ID of 2112882468:7df00724IPSEC(key_engine):
 got a queue event...
IPSEC(spi_response): getting spi 0x9d71f29c(2641490588) for SA 
        from  172.18.124.157 to   172.18.124.35 for prot 3
70
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.35
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 2112882468

ISAKMP : Checking IPSec proposal 1

ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (basic) of 28800
ISAKMP:      SA life type in kilobytes
ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
ISAKMP:      authenticator is HMAC-SHA
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): 
proposal part #1,
  (key eng. msg.) dest= 172.18.124.157, src= 172.18.124.35, 
    dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

ISAKMP (0): processing NONCE payload. message ID = 2112882468

ISAKMP (0): processing ID payload. message ID = 2112882468
ISAKMP (0): processing ID payload. message ID = 2112882468map_alloc_entry: 
allocating entry 3
map_alloc_entry: allocating entry 4

ISAKMP (0): Creating IPSec SAs
        inbound SA from  172.18.124.157 to   172.18.124.35 (proxy
      10.32.50.0 to 192.168.1.0)
        has spi 2641490588 and conn_id 3 and flags 4
        lifetime of 28800 seconds
        lifetime of 4608000 kilobytes
        outbound SA from   172.18.124.35 to  172.18.124.157 (proxy
     192.168.1.0 to 10.32.50.0)
        has spi 3955804195 and conn_id 4 and flags 4
        lifetime of 28800 seconds
        lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 172.18.124.35, src= 172.18.124.157, 
    dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 28800s and 4608000kb, 
    spi= 0x9d71f29c(2641490588), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
  (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, 
    src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 28800s and 4608000kb, 
    spi= 0xebc8c823(3955804195), conn_id= 4, keysize= 0, flags= 0x4

return status is IKMP_NO_ERROR2303: sa_request, (key eng. msg.) 
src= 172.18.124.35, dest= 172.18.124.157, 
src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 
10.32.50.0/255.255.255.0/0/0 (type=4), 
protocol= ESP, 
transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, 
spi= 0x0(0), conn_id= 0, keysize= 0, 
flags= 0x4004

602301: sa created, (sa) sa_dest= 172.18.124.35, sa_prot= 50, sa_spi= 
0x9d71f29c(2641490588), 
sa_trans= esp-des esp-sha-hmac , sa_conn_id= 3

602301: sa created, (sa) sa_dest= 172.18.124.157, sa_prot= 50, sa_spi= 
0xebc8c823(3955804195), 
sa_trans= esp-des esp-sha-hmac , sa_conn_id= 4

cisco_endpoint# sho cry ips sa

interface: outside
    Crypto map tag: rtpmap, local addr. 172.18.124.35

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer: 172.18.124.157
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, 
    #pkts decompress failed: 0 #send errors 0, #recv errors 0

     local crypto endpt.: 172.18.124.35, 
     remote crypto endpt.: 172.18.124.157
     path mtu 1500, ipsec overhead 0, media mtu 1500
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.32.50.0/255.255.255.0/0/0)
   current_peer: 172.18.124.157
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

   local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157
     path mtu 1500, ipsec overhead 56, media mtu 1500
     current outbound spi: ebc8c823

     inbound esp sas:
      spi: 0x9d71f29c(2641490588)
        transform: esp-des esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 3, crypto map: rtpmap
        sa timing: remaining key lifetime (k/sec): (4607999/28777)
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xebc8c823(3955804195)
        transform: esp-des esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 4, crypto map: rtpmap
        sa timing: remaining key lifetime (k/sec): (4607999/28777)
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

cisco_endpoint# sho cry is sa
        dst            src         state     pending    created
  172.18.124.157   172.18.124.35    QM_IDLE        0           2

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 16512