Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка туннеля IPSec между межсетевым экраном Cisco Secure PIX и межсетевым экраном Checkpoint NG

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ демонстрирует, как настроить Туннель IPSec с предварительными общими ключами для передачи между двумя частными сетями. В данном примере связывающиеся сети 192.168.10.x частная сеть в межсетевом экране Cisco Secure PIX и 10.32. x . x частная сеть в Межсетевом экране Следующего поколения (NG) CheckpointTM.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Трафик из PIX и в NG CheckpointTM к Интернету (представленный здесь 172.18.124.x сети) должен течь перед началом этой конфигурации.

  • Пользователи должны быть знакомы с принципами согласования IPSec. Этот процесс может быть разделен на пять этапов, включая две фазы Протокола IKE.

    1. Туннель IPSec инициирован содержательным трафиком. Трафик считается содержательным при передаче между двумя одноранговыми узлами IPsec.

    2. На первом этапе обмена ключами (IKE) одноранговые узлы IPSec согласуют установленную политику сопоставлений безопасности (SA) IKE. По завершении аутентификации одноранговых узлов создается защищенный туннель с применением протокола ISAKMP.

    3. На втором этапе обмена ключами (IKE) одноранговые узлы IPsec используют проверенный и безопасный туннель для согласования преобразований IPSec SA. Согласование общей политики определяет то, как будет установлен туннель IPSec.

    4. Туннель IPsec создан, и данные передаются между узлами IPsec на основании параметров IPsec, настроенных в наборах преобразования IPsec.

    5. Разъединение туннеля IPSec выполняется при удалении сопоставлений безопасности (IPSec SA) или по истечении срока их действия.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение PIX версии 6.2. 1

  • Межсетевой экран NG CheckpointTM

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/23785/pix-checkpt-01.gif

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка PIX

Этот раздел предоставляет вам информацию по настройке функций, описанную в этом документе.

Конфигурация PIX
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

Настройте контрольную точку NG

Сетевые объекты и правила определены на NG CheckpointTM для составления политики, которая принадлежит конфигурации VPN, которая будет установлена. Эта политика тогда установлена с помощью Редактора политики NG CheckpointTM для завершения стороны NG CheckpointTM конфигурации.

  1. Создайте эти два сетевых объекта для сети Сеть Checkpoint и PIX Firewall, которые шифруют представляющий интерес трафик.

    Чтобы сделать это, выберите Manage> Network Objects, затем выберите New> Network. Введите соответствующую информацию о сети, затем нажмите OK.

    Эти примеры показывают установленный из сетевых объектов под названием CP_inside (внутренняя сеть NG CheckpointTM) и PIXINSIDE (внутренняя сеть PIX).

    pix-checkpt-02.gif

    pix-checkpt-03.gif

  2. Создайте объекты рабочей станции для NG CheckpointTM и PIX. Чтобы сделать это, выберите Manage> Network Objects> New> Workstation.

    Обратите внимание на то, что можно использовать объект рабочей станции NG CheckpointTM, созданный во время начальной настройки NG CheckpointTM. Выберите опции, чтобы установить рабочую станцию как шлюз и взаимодействующее устройство VPN, и затем нажать OK.

    Эти примеры показывают установленный из объектов, названных ciscocp (NG CheckpointTM) и PIX (Межсетевой экран PIX).

    /image/gif/paws/23785/pix-checkpt-04.gif

    pix-checkpt-05.gif

  3. Выберите Manage> Network objects> Edit для открытия Окна Workstation Properties для рабочей станции NG CheckpointTM (ciscocp в данном примере).

    Выберите Topology от выборов на левой части окна, затем выберите сеть, которая будет зашифрована. Нажмите Edit для установки интерфейсных свойств.

    /image/gif/paws/23785/pix-checkpt-06.gif

  4. Выберите опцию, чтобы определять рабочую станцию как внутреннюю, затем задать соответствующий IP-адрес. Нажмите кнопку ОК.

    В этой конфигурации CP_inside является внутренней сетью NG CheckpointTM. Выборы топологии, показанные здесь, называют рабочую станцию столь же внутренней и задают адрес как CP_inside.

    /image/gif/paws/23785/pix-checkpt-07.gif

  5. От Окна Workstation Properties выберите внешний интерфейс на NG CheckpointTM, который выводит к Интернету, затем нажмите Edit для установки интерфейсных свойств. Выберите опцию, чтобы определять топологию как внешнюю, затем нажать OK.

    pix-checkpt-08.gif

  6. От Окна Workstation Properties на NG CheckpointTM выберите VPN от выборов на левой части окна, затем выберите параметры IKE для шифрования и алгоритмы аутентификации. Нажмите Edit для настройки Свойств ike.

    pix-checkpt-10.gif

  7. Настройте Свойства ike:

    • Выберите опцию для шифрования 3DES так, чтобы Свойства ike были совместимы с политикой ISAKMP # шифрование 3des команда.

    • Выберите опцию для MD5 так, чтобы Свойства ike были совместимы с crypto isakmp policy # команда md5 хэша.

      pix-checkpt-11.gif

  8. Выберите параметр проверки подлинности для Предварительных общих ключей, затем нажмите Edit Secrets для установки предварительного общего ключа как совместимого с маской подсети маски подсети адреса основного адреса ключа isakmp команды PIX . Нажмите Edit, чтобы ввести ключ как показано здесь и нажать Set, OK.

    /image/gif/paws/23785/pix-checkpt-12.gif

  9. Из окна Свойств ike нажмите Advanced... и измените эти настройки:

    • Отмените выбор опции для Поддержки агрессивного режима.

    • Выберите опцию для обмена ключами Поддержки для подсетей.

    Закончив все действия, нажмите кнопку OK.

    /image/gif/paws/23785/pix-checkpt-13.gif

  10. Выберите Manage> Network objects> Edit для открытия Окна Workstation Properties для PIX. Выберите Topology от выборов на левой части окна для ручного определения домена VPN.

    В этой конфигурации PIXINSIDE (внутренняя сеть PIX) определен как домен VPN.

    pix-checkpt-09.gif

  11. Выберите VPN от выборов на левой части окна, затем выберите IKE как схему шифрования. Нажмите Edit для настройки Свойств ike.

    /image/gif/paws/23785/pix-checkpt-14.gif

  12. Настройте Свойства ike как показано здесь:

    • Выберите опцию для шифрования 3DES так, чтобы Свойства ike были совместимы с политикой ISAKMP # шифрование 3des команда.

    • Выберите опцию для MD5 так, чтобы Свойства ike были совместимы с crypto isakmp policy # команда md5 хэша.

    pix-checkpt-15.gif

  13. Выберите параметр проверки подлинности для Предварительных общих ключей, затем нажмите Edit Secrets для установки предварительного общего ключа как совместимого с маской подсети маски подсети адреса основного адреса ключа isakmp команды PIX . Нажмите Edit, чтобы ввести ключ, затем нажать Set, OK.

    /image/gif/paws/23785/pix-checkpt-16.gif

  14. Из окна Свойств ike нажмите Advanced... и измените эти настройки.

    • Выберите Группу Диффи-Хеллмана, соответствующую Свойствам ike.

    • Отмените выбор опции для Поддержки агрессивного режима.

    • Выберите опцию для обмена ключами Поддержки для подсетей.

    Нажмите OK, ОК когда вы будете сделаны.

    /image/gif/paws/23785/pix-checkpt-17.gif

  15. Выберите Rules> Add Rules> Top для настройки правил шифрования для политики.

    В Окне редактора политики вставьте правило с источником CP_inside (внутренняя сеть NG TM Контрольной точки) и PIXINSIDE (внутренняя сеть PIX) и на источнике и на столбцах назначения. Значения набора для Сервиса = Любой, Действие = Шифрует, и Дорожка = Журнал. Когда вы добавили Зашифровать раздел Действия правила, щелкаете правой кнопкой мыши по Действию и выбираете Edit Properties.

    pix-checkpt-18.gif

  16. С IKE, выбранным и выделенным, нажмите Edit.

    pix-checkpt-19.gif

  17. На окне IKE Properties изменитесь, свойства для согласия с PIX IPSEC преобразовывает в команду crypto ipsec transform-set rtptac esp-3des esp-md5-hmac.

    Установите опцию Transform в Шифрование + Целостность данных (ESP), установите Алгоритм шифрования в 3DES, установите Целостность данных в MD5 и заставьте Позволенный Шлюз одноранговой сети совпадать с внешним шлюзом PIX (названный PIX здесь). Нажмите кнопку ОК.

    /image/gif/paws/23785/pix-checkpt-20.gif

  18. После того, как вы настраиваете NG CheckpointTM, сохраняете политику и выбираете Policy> Install для включения его.

    pix-checkpt-21.gif

    Замечания о ходе работы показов окна установки как политика скомпилированы.

    /image/gif/paws/23785/pix-checkpt-22.gif

    Когда окно установки указывает, что установка политики завершена. Нажмите Close to заканчивают процедуру.

    /image/gif/paws/23785/pix-checkpt-23.gif

Проверка.

Проверьте конфигурацию PIX

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Инициируйте эхо-запрос от одной из частных сетей к другой частной сети для тестирования связи между этими двумя частными сетями. В этой конфигурации эхо-запрос передавался от стороны PIX (192.168.10.2) к внутренней сети NG CheckpointTM (10.32.50.51).

  • show crypto isakmp sa — отображает все текущие IKE SA на одноранговом узле.

    show crypto isakmp sa
    Total    : 1
    Embryonic : 0
                 dst                      src                     state     pending   created
      172.18.124.157   172.18.124.158   QM_IDLE         0          1
  • show crypto ipsec sa — отображает настройки, используемые текущими SA.

    PIX501A#show cry ipsec sa
    
    interface: outside
        Crypto map tag: rtprules, local addr. 172.18.124.158
    
       local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
       current_peer: 172.18.124.157
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
        #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0
    
         local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6b15a355
    
         inbound esp sas:
          spi: 0xced238c7(3469883591)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
         inbound ah sas:
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x6b15a355(1796580181)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
         outbound pcp sas:

Обзорный статус туннеля на контрольной точке NG

Перейдите к Редактору политики и выберите Window> System Status для просмотра статуса туннеля.

pix-checkpt-24.gif

Устранение неполадок

Устраните неполадки конфигурации PIX

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Используйте эти команды для включения отладок на Межсетевом экране PIX.

  • debug crypto engine сообщения отладки о ядрах шифрования, которые выполняют шифрование и расшифровку.

  • {\f3 debug crypto isakmp}–{\f3 показывает сообщения, касающиеся событий IKE.}

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

Суммирование сетей

При настройке нескольких смежных внутренних сетей в домене шифрования на устройстве Checkpoint последнее может автоматически суммировать сети с точки зрения трафика, представляющего интерес. Если крипто-список контроля доступа (ACL) на PIX не будет настроен для соответствия, то туннель, вероятно, откажет. Например, если внутренние сети 10.0.0.0 / 24 и 10.0.1.0 / 24 настроены, чтобы быть включенными в туннель, они могут быть суммированы к 10.0.0.0 / 23.

Обзорные журналы контрольной точки NG

Выберите Window> Log Viewer для просмотра журналов.

/image/gif/paws/23785/pix-checkpt-25.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 23785