Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Ventana contra repetición del IPSec: Expansión e Inhabilitación
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 212 KB | Inglés (24 Marzo 2011) | Comentarios

Contenidos

Ventana contra repetición del IPSec: Extensión
e Inhabilitación

Encontrar la información de la característica

Contenido

Prerrequisitos de IPsec Anti-Replay Window: Extensión
e Inhabilitación

Información sobre IPsec Anti-Replay Window: Extensión
e Inhabilitación

IPsec Anti-Replay Window

Cómo Configurar IPsec Anti-Replay Window: Extensión
e Inhabilitación

Configuración de IPsec Anti-Replay Window: Extensión y el inhabilitar global

Configuración de IPsec Anti-Replay Window: Expansión e Inhabilitación
en una correspondencia de criptografía

Consejos de Troubleshooting

Ejemplos de configuración para la Anti-respuesta del IPSec
Ventana: Expansión e Inhabilitación

Ampliación e Inhabilitación Global de una Ventana Contra Repetición: Ejemplo:

Ampliación e Inhabilitación de una Ventana Anti-Reproducción para un Crypto Map, Crypto Map Dinámico o Perfil Crypto: Ejemplo:

Referencias adicionales

Documentos Relacionados

MIB

RFC

Asistencia Técnica

Información de la característica para la ventana contra repetición del IPSec: Expansión e Inhabilitación


Ventana contra repetición del IPSec: Extensión
e Inhabilitación


Primera publicación: De febrero el 28 de 2005
Última actualización: De marzo el 24 de 2011

La autenticación de la seguridad IP de Cisco (IPSec) proporciona la Protección Anti-Replay contra los paquetes encriptados de duplicación de un atacante asignando un número de secuencia único a cada paquete encriptado. El decryptor no pierde de vista que los paquetes él han visto en base de estos números. Actualmente, los tamaños predeterminados de la ventana son 64 paquetes. Generalmente, este número (tamaños de la ventana) es suficiente, pero allí es las épocas en que usted puede querer ampliar estos tamaños de la ventana. IPsec Anti-Replay Window: La función de expansión e inhabilitación le permite expandir el tamaño de la ventana, permitiendo que el descifrador haga un seguimiento de más de 64 paquetes.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la “información de la característica para la ventana contra repetición del IPSec: Ampliando y inhabilitando la” sección.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de IPsec Anti-Replay Window: Expansión e Inhabilitación

Información sobre IPsec Anti-Replay Window: Expansión e Inhabilitación

Cómo Configurar IPsec Anti-Replay Window: Expansión e Inhabilitación

Ejemplos de configuración para la ventana contra repetición del IPSec: Expansión e Inhabilitación

Referencias adicionales

Referencia de comandos, página 9

Prerrequisitos de IPsec Anti-Replay Window: Extensión
e Inhabilitación

Antes de configurar esta característica, usted debe haber creado ya una correspondencia de criptografía o un perfil crypto.

Información sobre IPsec Anti-Replay Window: Extensión
e Inhabilitación

Para configurar la ventana contra repetición del IPSec: Ampliando y inhabilitando la característica, usted debe entender el concepto siguiente:

IPsec Anti-Replay Window

IPsec Anti-Replay Window

La autenticación del IPSec de Cisco proporciona la Protección Anti-Replay contra los paquetes encriptados de duplicación de un atacante asignando un número de secuencia único a cada paquete encriptado. (La anti-respuesta del [SA] de la asociación de seguridad es un servicio de seguridad en quien el receptor puede rechazar viejo o los paquetes duplicados para protegerse contra los ataques con paquetes copiados.) El decryptor comprueba los números de secuencia que ha visto antes. El encryptor asigna los números de secuencia en una orden cada vez mayor. El decryptor recuerda el valor X del número de secuencia más alto que ha considerado ya. N es los tamaños de la ventana, y el decryptor también recuerda si ha visto los paquetes el tener de números de secuencia de X-N+1 a través del X. Cualquier paquete con el número de secuencia X-N se desecha. Actualmente, N se fija en 64, tan solamente 64 paquetes se puede seguir por el decryptor.

A veces, sin embargo, los tamaños de la ventana 64-packet no son suficientes. Por ejemplo, el Calidad de Servicio (QoS) de Cisco da la prioridad a los paquetes con prioridad altas, que podrían hacer algunos paquetes de prioridad bajas ser desechado aunque podrían ser uno de los paquetes del último 64 recibidos por el decryptor. IPsec Anti-Replay Window: La función de expansión e inhabilitación le permite expandir el tamaño de la ventana, permitiendo que el descifrador haga un seguimiento de más de 64 paquetes.

El aumento de los tamaños de la ventana contra repetición no tiene ningún impacto en la producción y la Seguridad. El impacto en la memoria es insignificante porque solamente los bytes adicionales un 128 por IPSec entrante SA son necesarios salvar el número de secuencia en el decryptor. Se recomienda que usted utiliza los tamaños de la ventana completos 1024 para eliminar cualquier problema futuro de la anti-respuesta.

Cómo Configurar IPsec Anti-Replay Window: Extensión
e Inhabilitación

Configuración de IPsec Anti-Replay Window: Extensión y el inhabilitar global (opcional)

Configuración de IPsec Anti-Replay Window: Extensión y el inhabilitar en una correspondencia de criptografía (opcional)

Configuración de IPsec Anti-Replay Window: Extensión y el inhabilitar global

Para configurar IPsec Anti-Replay Window: La extensión y el inhabilitar global (de modo que afecte a todos los SA se creen que — a excepción de los que se reemplazan específicamente sobre una base por-crypto de la correspondencia), realicen los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto ipsec security-association replay window-size []N

4. crypto ipsec security-association replay disable

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ipsec security-association replay window-size [N]

Example:

Router (config)# crypto ipsec security-association replay window-size 256

Fija los tamaños de la ventana de la respuesta SA global.

Observela configuración este comando o el comando disable crypto de la respuesta de la asociación de seguridad IPSec. Los dos comandos no se utilizan al mismo tiempo.

Paso 4 

crypto ipsec security-association replay disable

Example:

Router (config)# crypto ipsec security-association replay disable

Neutralizaciones que marcan global.

Observela configuración este comando o el comando crypto de los tamaños de la ventana de la respuesta de la asociación de seguridad IPSec. Los dos comandos no se utilizan al mismo tiempo.

Configuración de IPsec Anti-Replay Window: Expansión e Inhabilitación
en una correspondencia de criptografía

Para configurar IPsec Anti-Replay Window: La extensión y el inhabilitar en una correspondencia de criptografía de modo que afecte a esos SA que se han creado usando una correspondencia de criptografía o un perfil específica, realizan los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map map-name seq-num []ipsec-isakmp

4.set security-association replay window-size []N

5. set security-association replay disable

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-num [ipsec-isakmp]

Example:

Router (config)# crypto map ETHO 17 ipsec-isakmp

Ingresa al modo de configuración de la correspondencia de criptografía y crea un perfil crypto que proporcione una plantilla para la configuración de las correspondencias de criptografía dinámicamente creadas.

Paso 4 

set security-association replay window-size [N]

Example:

Router (crypto-map)# set security-association replay window-size 128

Controla los SA que se crean usando la directiva especificada por una correspondencia de criptografía, una correspondencia cifrada dinámica, o un perfil determinada del cyrpto.

Observela configuración este comando o el comando disable de la respuesta de la asociación de seguridad del conjunto. Los dos comandos no se utilizan al mismo tiempo.

Paso 5 

set security-association replay disable

Example:

Router (crypto-map)# set security-association replay disable

Las neutralizaciones juegan de nuevo marcar para saber si hay una correspondencia de criptografía determinada, una correspondencia cifrada dinámica, o un perfil crypto.

Observela configuración este comando o el comando de los tamaños de la ventana de la respuesta de la asociación de seguridad del conjunto. Los dos comandos no se utilizan al mismo tiempo.

Consejos de Troubleshooting

Si sus tamaños de la ventana de la respuesta no se han fijado a un número que está arriba bastante para el número de paquetes recibidos, usted recibirá un mensaje del sistema tal como el siguiente:

*Nov 17 19:27:32.279: %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed 
connection id=1

Se genera el mensaje antedicho cuando un paquete recibido se juzga para estar fuera de la ventana contra repetición.

Ejemplos de configuración para la Anti-respuesta del IPSec
Ventana: Expansión e Inhabilitación

Ampliación e Inhabilitación Global de una Ventana Contra Repetición: Ejemplo:

Ampliación e Inhabilitación de una Ventana Anti-Reproducción para un Crypto Map, Crypto Map Dinámico o Perfil Crypto: Ejemplo:

Ampliación e Inhabilitación Global de una Ventana Contra Repetición: Ejemplo:

El siguiente ejemplo muestra que los tamaños de la ventana contra repetición se han fijado global a 1024:

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN-Gateway1
!

boot-start-marker
boot-end-marker
!
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 192.165.201.2 !
crypto ipsec security-association replay window-size 1024 !
crypto ipsec transform-set basic esp-des esp-md5-hmac !
crypto map mymap 10 ipsec-isakmp
 set peer 192.165.201.2
 set transform-set basic
 match address 101
!
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0
!
interface Serial1/0
 ip address 192.165.200.2 255.255.255.252  serial restart-delay 0  crypto map mymap !
ip classless
ip route 0.0.0.0 0.0.0.0 192.165.200.1
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 101 
remark Crypto ACL 
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Ampliación e Inhabilitación de una Ventana Anti-Reproducción para un Crypto Map, Crypto Map Dinámico o Perfil Crypto: Ejemplo:

El siguiente ejemplo muestra que el marcar de la anti-respuesta está inhabilitado para las conexiones del IPSec a 172.17.150.2 pero habilitado (y los tamaños predeterminados de la ventana son 64) para las conexiones del IPSec a 172.17.150.3 y a 172.17.150.4:

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname networkserver1
!
enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1 enable password ww !
ip subnet-zero
!
cns event-service server

crypto isakmp policy 1
authentication pre-share

crypto isakmp key cisco170 address 172.17.150.2 crypto isakmp key cisco180 address 
172.17.150.3 crypto isakmp key cisco190 address 172.17.150.4

crypto ipsec transform-set 170cisco esp-des esp-md5-hmac crypto ipsec transform-set 
180cisco esp-des esp-md5-hmac crypto ipsec transform-set 190cisco esp-des esp-md5-hmac

crypto map ETH0 17 ipsec-isakmp
 set peer 172.17.150.2
 set security-association replay disable set transform-set 170cisco match address 170 
crypto map ETH0 18 ipsec-isakmp  set peer 192.168.1.3 set transform-set 180cisco match 
address 180 crypto map ETH0 19 ipsec-isakmp set peer 192.168.1.4 set transform-set 
190cisco match address 190 !
interface Ethernet0
 ip address 172.17.150.1 255.255.255.0
 no ip directed-broadcast
 no ip route-cache
 no ip mroute-cache
 no mop enabled
 crypto map ETH0
!
interface Serial0
 ip address 172.16.160.1 255.255.255.0
 no ip directed-broadcast
 no ip mroute-cache
 no fair-queue
!
ip classless
ip route 172.18.170.0 255.255.255.0 172.17.150.2 ip route 172.19.180.0 255.255.255.0 
172.17.150.3 ip route 172.20.190.0 255.255.255.0 172.17.150.4 no ip http server !

access-list 170 permit ip 172.16.160.0 0.0.0.255 172.18.170.0 0.0.0.255 access-list 180 
permit ip 172.16.160.0 0.0.0.255 172.19.180.0 0.0.0.255 access-list 190 permit ip 
172.16.160.0 0.0.0.255 172.20.190.0 0.0.0.255 !
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
end

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

Referencia de Comandos de Seguridad de Cisco IOS

Seguridad IP y cifrado

Configurar directivo de seguridad para los VPN con el IPSec


MIB

MIB
Link del MIB

Ninguno.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la ventana contra repetición del IPSec: Expansión e Inhabilitación

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la ventana contra repetición del IPSec: Expansión e Inhabilitación

Nombre de la función
Versiones
Información sobre la Función

Ventana contra repetición del IPSec: Expansión e Inhabilitación

12.3(14)T
12.2(33)SRA
12.2(33)SRA

La autenticación de la seguridad IP de Cisco (IPSec) proporciona la Protección Anti-Replay contra los paquetes encriptados de duplicación de un atacante asignando un número de secuencia único a cada paquete encriptado. El decryptor no pierde de vista que los paquetes él han visto en base de estos números. Actualmente, los tamaños predeterminados de la ventana son 64 paquetes. Generalmente, este número (tamaños de la ventana) es suficiente, pero allí es las épocas en que usted puede querer ampliar estos tamaños de la ventana. IPsec Anti-Replay Window: La función de expansión e inhabilitación le permite expandir el tamaño de la ventana, permitiendo que el descifrador haga un seguimiento de más de 64 paquetes.

Esta característica fue introducida en el Cisco IOS Release 12.3(14)T.

Esta función se integró en Cisco IOS Release 12.2(33)SRA.

Esta característica era integrada en el Cisco IOS Release 12.2(18)SXF6.

Se han insertado o modificado los siguientes comandos: crypto ipsec security-association replay disablecrypto ipsec security-association replay window-sizeset security-association replay disableset security-association replay window-size.