Seguridad : Cisco FlexVPN

FlexVPN entre un router y un ASA con el ejemplo de la configuración de encripción de la última generación

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido

ASA
ASA

Introducción

Este documento describe cómo configurar un VPN entre un router con FlexVPN y un dispositivo de seguridad adaptante (ASA) ese soporta los algoritmos del cifrado de la última generación de Cisco (NGE).

Nota: Contribuido por Graham Bartlett, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Hardware Router de la generación 2 IOS (G2) que ejecuta la licencia de la Seguridad.

  • Software: Versión de software 15.2-3.T2 de Cisco IOS�. Cualquier versión de M o de T para las versiones que la versión de software 15.1.2T de Cisco IOS� puede ser utilizada más adelante porque esto se incluye con la introducción del modo del contador de Galois (GCM).

  • Hardware ASA que soporta NGE.

    Nota: Solamente Advanced Encryption Standard (AES) multifilar GCM del soporte de Plataformas.

  • Software: Software Release 9.0 o Posterior ASA que soporta NGE.

  • OpenSSL.

Para los detalles, refiera al Cisco Feature Navigator.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Cree dinámicamente a las asociaciones de seguridad IPSec

La interfaz recomendada del IPSec en el IOS es una interfaz del túnel virtual (VTI), que crea una interfaz del Generic Routing Encapsulation (GRE) que sea protegida por el IPSec. Para un VTI, el selector del tráfico (qué tráfico se debe proteger por las asociaciones de seguridad IPSec (el SA)), consiste en el tráfico GRE del origen de túnel al destino del túnel. Porque el ASA no implementa las interfaces GRE, sino que por el contrario crea el SA de IPSec basado en el tráfico definido en un Access Control List (ACL), debemos habilitar un método que permita que el router responda al lanzamiento IKEv2 con un espejo de los selectores propuestos del tráfico. El uso de la interfaz del túnel virtual dinámica (DVTI) en el router de FlexVPN permite que este dispositivo responda al actual selector del tráfico con un espejo del selector del tráfico que fue presentado.

Este ejemplo cifra el tráfico entre ambas redes internas. Cuando el ASA presenta los selectores del tráfico de la red interna ASA a la red interna IOS, 192.168.1.0/24 a 172.16.10.0/24, la interfaz DVTI responde con un espejo de los selectores del tráfico, que es 172.16.10.0/24 a 192.168.1.0/24.

Certificate Authority

Actualmente, el IOS y el ASA no soportan un servidor local del Certificate Authority (CA) con los Certificados elípticos del Digital Signature Algorithm de la curva (ECDSA), que se requiere para la habitación-B. Un servidor de tercera persona CA debe ser implementado tan. Por ejemplo, utilice el OpenSSL para actuar como CA.

Configuración

Topología de red

Esta guía se basa en la topología mostrada en este diagrama. Usted debe enmendar los IP Addresses para adaptarse.

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-01.jpg

Nota: La configuración incluye una conexión directa del router y del ASA. Éstos se podían separar por muchos saltos. Si aseegurese tanto como hay una ruta a conseguir al IP Address de Peer. La configuración siguiente detalla solamente el cifrado usado.

Pasos requeridos para permitir al router para utilizar el ECDSA

Certificate Authority

  1. Cree un keypair elíptico de la curva.

    openssl ecparam -out ca.key -name secp256r1 -genkey
  2. Cree un certificado autofirmado elíptico de la curva.

    openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650

FlexVPN

  1. Cree el Domain Name y el nombre de host, que son requisitos previos para crear un keypair elíptico de la curva (EC).

    ip domain-name cisco.com
    hostname Router1
    crypto key generate ec keysize 256 label router1.cisco.com
  2. Cree un trustpoint local para ganar un certificado de CA.

    crypto pki trustpoint ec_ca
     enrollment terminal
     subject-name cn=router1.cisco.com
     revocation-check none
     eckeypair router1.cisco.com
     hash sha256

    Nota: Porque CA es offline, se inhabilita el marcar de la revocación; el marcar de la revocación se debe habilitar para la seguridad máxima en un entorno de producción.

  3. Autentique el trustpoint. Esto obtiene una copia del certificado de CA, que contiene el clave pública.

    crypto pki authenticate ec_ca
  4. A le entonces indican que ingrese el certificado codificado base64 del CA. Éste es el archivo ca.pem, que fue creado con el OpenSSL. Para ver este archivo, ábralo en un editor o con el comando opensslx509 del OpenSSL - en ca.pem. Ingrese salido cuando usted pega esto. Entonces teclee sí el toaccept.

  5. Aliste al router en el Public Key Infrastructure (PKI) en CA.

    crypto pki enrol ec_ca
  6. La salida que usted recibe las necesidades de ser utilizado para presentar un pedido de certificado a CA. Esto se puede guardar como archivo de texto (flex.csr) y firmar con el comando del OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
  7. Importe el certificado, que se contiene dentro del archivo flex.pem, generado del CA, en el router después de que usted ingrese este comando. Entonces, ingrese quitwhen completado.

    crypto pki import ec_ca certificate

ASA

  1. Cree el Domain Name y el nombre de host, que son requisitos previos para crear un keypair EC.

    domain-name cisco.com
    hostname ASA1
    crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
  2. Cree un trustpoint local para obtener un certificado de CA.

    crypto ca trustpoint ec_ca
     enrollment terminal
     subject-name cn=asa1.cisco.com
     revocation-check none
     keypair asa1.cisco.com

    Nota: Porque CA es offline, se inhabilita el marcar de la revocación; el marcar de la revocación se debe habilitar para la seguridad máxima en un entorno de producción.

  3. Autentique el trustpoint. Esto obtiene una copia del certificado de CA, que contiene el clave pública.

    crypto ca authenticate ec_ca
  4. A le entonces indican que ingrese el certificado codificado base64 del CA. Éste es el archivo ca.pem, que fue creado con el OpenSSL. Para ver este archivo, ábralo en un editor o con el comando opensslx509 del OpenSSL - en ca.pem. Ingrese salido cuando usted pega este archivo, y después teclee sí el toaccept.

  5. Aliste el ASA en el PKI en CA.

    crypto ca enrol ec_ca
  6. La salida que usted recibe se debe utilizar para presentar un pedido de certificado a CA. Esto se puede guardar como archivo de texto (asa.csr) y después firmar con el comando del OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
  7. Importe el certificado, que se contiene dentro del archivo como a.pem, generado del CA en el router después de que se ingrese este comando. Entonces enterquit cuando está completado.

    crypto ca import ec_ca certificate

Configuración

FlexVPN

Cree una correspondencia del certificado para hacer juego el certificado del dispositivo de peer.

crypto pki certificate map certmap 10
 subject-name co cisco.com

Ingrese estos comandos para la oferta IKEv2 para la configuración de la habitación-B:

Nota: Para la seguridad máxima, configuración con el aes-cbc-256 con el comando hash sha512.

crypto ikev2 proposal default
 encryption aes-cbc-128
 integrity sha256
 group 19

Haga juego el perfil IKEv2 a la correspondencia del certificado y utilice ECDSA con el trustpoint definido previamente.

crypto ikev2 profile default
 match certificate certmap
 identity local dn
 authentication remote ecdsa-sig
 authentication local ecdsa-sig
 pki trustpoint ec_ca
 virtual-template 1

El IPSec de la configuración transforma el conjunto para utilizar el modo contrario de Galois (GCM).

crypto ipsec transform-set ESP_GCM esp-gcm
 mode transport

Configure el perfil de ipsec con los parámetros configurados previamente.

crypto ipsec profile default
 set transform-set ESP_GCM
 set pfs group19
 set ikev2-profile default

Configure la interfaz del túnel:

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

Aquí está la configuración de la interfaz:

interface GigabitEthernet0/0
 ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0

ASA

Utilice esta configuración de la interfaz:

interface GigabitEthernet3/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

Ingrese este comando access list para definir el tráfico que se cifrará:

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0

Ingrese este comando de la propuesta IPSec con NGE:

crypto ipsec ikev2 ipsec-proposal prop1
 protocol esp encryption aes-gcm
 protocol esp integrity null

Comandos map de la criptografía:

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 10.10.10.1
crypto map mymap 10 set ikev2 ipsec-proposal prop1
crypto map mymap 10 set trustpoint ec_ca
crypto map mymap interface outside

Este comando configura la directiva IKEv2 con NGE:

crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Grupo de túnel configurado para los comandos peer:

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 peer-id-validate cert
 ikev2 remote-authentication certificate
 ikev2 local-authentication certificate ec_ca

Verificación de la conexión

Verifique que las claves ECDSA se hayan generado con éxito.

Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
 Storage Device: private-config
 Usage: Signature Key
 Key is not exportable.
 Key Data:
<...omitted...>
 
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
 Usage: General Purpose Key
 EC Size (bits): 256
 Key Data&colon;
<...omitted...>

Verifique que el certificado se haya importado con éxito y que ECDSA está utilizado.

Router1#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 0137
  Certificate Usage: General Purpose
  Issuer:
<...omitted...>
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    EC Public Key:  (256 bit)
  Signature Algorithm: SHA256 with ECDSA

 
ASA-1(config)#show crypto ca certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 00a293f1fe4bd49189
  Certificate Usage: General Purpose
  Public Key Type: ECDSA (256 bits)
  Signature Algorithm: SHA256 with ECDSA Encryption
 <...omitted...>

Verifique que IKEv2 SA esté creado y utilice con éxito los algoritmos configurados NGE.

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.10.10.1/500        10.10.10.2/500        none/none            READY
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      Life/Active Time: 86400/94 sec
 
  
ASA-1#show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
268364957        10.10.10.2/500        10.10.10.1/500      READY    INITIATOR
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      <...omitted...>
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xe847d8/0x12bce4d
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

Verifique que IPSec SA esté creado y utilice con éxito los algoritmos configurados NGE.

Nota: FlexVPN puede terminar las conexiones del IPSec de los clientes del no IOS que soportan el IKEv2 y los Protocolos IPSec.

Router1#show crypto ipsec sa

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.10.2 port 500
     PERMIT, flags={origin_is_acl,}
<...omitted...>

     inbound esp sas:
      spi: 0x12BCE4D(19648077)
        transform: esp-gcm ,
        in use settings ={Tunnel, }
     
ASA-1#show crypto ipsec sa detail
interface: outside
    Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2

      access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
        255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
      current_peer: 10.10.10.1
<...omitted...>
     

    inbound esp sas:
      spi: 0x00E847D8 (15222744)
         transform: esp-aes-gcm esp-null-hmac no compression
         in use settings ={L2L, Tunnel, IKEv2, }

Para más información sobre la implementación de Cisco de la habitación-B, refiera al White Paper del cifrado de la última generación.

Refiera a la página de la solución del cifrado de la última generación para aprender más sobre la implementación de Cisco del cifrado de la última generación.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 116008