Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Быстрая миграция IKEv1 к конфигурации туннеля IKEv2 L2L на коде ASA 8.4

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ содержит сведения о IKEv2 и процессе перехода с IKEv1.

Примечание: Внесенный Гербертом Бэертеном, Атри Basu, и Gori Dawodu, специалисты службы технической поддержки Cisco.

Предварительные условия

Требования

Гарантируйте, что у вас есть Устройство безопасности Cisco ASA, которое выполняет IPsec с методом аутентификации Предварительного общего ключа (PSK) IKEv1, и гарантируйте, что Туннель IPSec находится в операционном состоянии.

Для примера конфигурации Устройства безопасности Cisco ASA, которое выполняет IPsec с методом аутентификации IKEv1 PSK, обратитесь к PIX/ASA 7.x и выше: Пример конфигурации VPN-туннеля ОТ PIX К PIX.

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения.

  • Устройство безопасности Серии Cisco ASA 5510, которое выполняется с версией 8.4.x и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Почему мигрируют на IKEv2?

  • IKEv2 предоставляет лучшую упругость сетевой атаки. IKEv2 может смягчить атаку DoS на сеть, когда это проверяет инициатора IPsec. Для создания уязвимости DoS трудной использовать, респондент может попросить cookie инициатору, который должен уверить респондента, что это - обычное подключение. В IKEv2 cookie респондента смягчают атаку DoS так, чтобы респондент не поддерживал состояние инициатора IKE или не выполнял операцию D-H, пока инициатор не возвращает cookie, передаваемый респондентом. Респондент использует минимальный ЦП и не передает состояния Сопоставлению безопасности (SA), пока он не может полностью проверить инициатора.

  • IKEv2 уменьшает сложность в установлении IPsec между другими Продуктами VPN. Это увеличивает совместимость и также позволяет стандартный способ для устаревших методов аутентификации. IKEv2 предоставляет бесшовную совместимость IPsec среди поставщиков, так как он предлагает встроенные технологии, такие как Dead Peer Detection (DPD), прохождение NAT (NAT-T) или Исходный контакт.

  • IKEv2 имеет меньше издержек. С меньшим количеством издержек это предлагает улучшенную задержку настройки SA. Множественные запросы позволены в пути (например, когда множитель дочерних SA установлен параллельно).

  • IKEv2 имеет уменьшенную задержку SA. В IKEv1 задержка создания SA усиливает, как пакетная громкость усиливает. Когда пакетная громкость усиливает, IKEv2 поддерживает ту же среднюю задержку. Когда пакетная громкость усиливает, время, чтобы зашифровать и обработать заголовок пакета усиливает. Когда новое установление SA должно быть создано, больше времени требуется. SA, генерируемый IKEv2, является меньше, чем тот, генерируемый IKEv1. Для усиленного размера пакета время, потраченное для создания SA, является почти постоянным.

  • IKEv2 имеет, быстрее повторно вводят время. V1 IKE занимает больше времени для смены ключа SA, чем IKEv2. IKEv2 повторно вводят для SA, предлагает производительность повышенной безопасности и сокращает число пакетов, потерянных в переходе. Из-за переопределения определенных механизмов IKEv1 (таких как информационное наполнение ToS, выбор срока действия SA и уникальность SPI) в IKEv2, меньше пакетов потеряно и дублировано в IKEv2. Поэтому существует меньше потребности повторно ввести SA.

Примечание: Поскольку сетевая безопасность может только быть столь же сильной как самая слабая ссылка, IKEv2 не взаимодействует с IKEv1.

Обзор схемы переноса

Если ваш IKEv1, или даже SSL, конфигурация уже существует, ASA делает процесс переноса простым. На командной строке введите переместить команду:

migrate {l2l | remote-access {ikev2 | ssl} | overwrite}

Знаменитые вещи:

  • Определения ключевого слова:

    • l2l - Это преобразовывает текущие туннели IKEv1 l2l в IKEv2.

    • удаленный доступ - Это преобразовывает конфигурацию удаленного доступа. Можно преобразовать или IKEv1 или туннельные группы SSL к IKEv2.

    • перезапись - Если у вас есть конфигурация IKEv2, которую вы хотите перезаписать, затем это ключевое слово, преобразовывает текущую конфигурацию IKEv1 и удаляет лишнюю конфигурацию IKEv2.

  • Следует отметить, что IKEv2 имеет способность использовать оба симметричных, а также асимметричных ключа для аутентификации PSK. Когда команда миграции введена в ASA, ASA автоматически создает IKEv2 VPN с симметричным PSK.

  • После того, как команда введена, текущие конфигурации IKEv1 не удалены. Вместо этого и IKEv1 и конфигурации IKEv2 работают параллельно и на той же криптокарте. Можно сделать это вручную также. Когда и IKEv1 и IKEv2 работают параллельно, это позволяет инициатору IPSec VPN нейтрализации от IKEv2 до IKEv1, когда протокол или проблема конфигурации существуют с IKEv2, который может привести к сбою попытки подключения. Когда и IKEv1 и IKEv2 работают параллельно, это также предоставляет механизм отката и делает миграцию легче.

  • Когда и IKEv1 и IKEv2 работают параллельно, ASA использует модуль, названный туннельным менеджером/IKE, распространенным на инициаторе для определения криптокарты и версии протокола IKE для использования для соединения. ASA всегда предпочитает инициировать IKEv2, но если это не может, это переключиться на IKEv1.

  • Множественные одноранговые телефонные соединения, используемые для резервирования, не поддерживаются с IKEv2 на ASA. При вводе команду set peer, в IKEv1, для обеспечений резервирования, можно иметь несколько узлов под той же криптокартой. Первый узел будет основным и если это откажет, то второй узел умрет. См. идентификатор ошибки Cisco CSCud22276 (только зарегистрированные клиенты), ENH: Множественные одноранговые телефонные соединения поддерживают для IKEv2.

Процесс переноса

!--- конфигурацию

В данном примере IKEv1 VPN, который использует аутентификацию Предварительного общего ключа (PSK), существует на ASA.

Примечание: Конфигурация, показанная здесь, только относится к VPN-туннелю.

Конфигурация ASA с текущим IKEv1 VPN (перед миграцией)

ASA-2(config)# sh run
ASA Version 8.4(2)
!
hostname ASA-2
!
crypto ipsec IKEv1 transform-set goset esp-3des esp-sha-hmac
crypto map vpn 12 match address NEWARK
crypto map vpn 12 set pfs group5
crypto map vpn 12 set peer <peer_ip-address>
crypto map vpn 12 set IKEv1 transform-set goset
crypto map vpn interface outside
crypto isakmp disconnect-notify
crypto IKEv1 enable outside
crypto IKEv1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 86400
!
tunnel-group <peer_ip-address> type ipsec-l2l
tunnel-group <peer_ip-address> ipsec-attributes
 IKEv1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 3

Конфигурация ASA IKEv2 (после миграции)

Примечание: Изменения отметили полужирным курсив.

ASA-2(config)# migrate l2l
ASA-2(config)# sh run
ASA Version 8.4(2)
!
hostname ASA-2
!
crypto ipsec IKEv1 transform-set goset esp-3des esp-sha-hmac

crypto ipsec IKEv2 ipsec-proposal goset
 protocol esp encryption 3des
 protocol esp integrity sha-1

crypto map vpn 12 match address NEWARK
crypto map vpn 12 set pfs group5
crypto map vpn 12 set peer <peer_ip-address>
crypto map vpn 12 set IKEv1 transform-set goset

crypto map vpn 12 set IKEv2 ipsec-proposal goset

crypto map vpn interface outside
crypto isakmp disconnect-notify

crypto IKEv2 policy 1
 encryption 3des
 integrity sha 
 group 5
 prf sha
 lifetime seconds 86400
crypto IKEv2 enable outside

crypto IKEv1 enable outside
crypto IKEv1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 86400
!
tunnel-group <peer_ip-address> type ipsec-l2l
tunnel-group <peer_ip-address> ipsec-attributes
 IKEv1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 3
 
IKEv2 remote-authentication pre-shared-key *****
 IKEv2 local-authentication pre-shared-key *****

Проверка установки туннеля IKEv2

ASA1# sh cry IKEv2 sa detail

IKEv2 SAs:
Session-id:12, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id   Local                Remote     Status        Role
102061223 192.168.1.1/500  192.168.2.2/500  READY    INITIATOR
     Encr: 3DES, Hash: SHA96, DH Grp:5, Auth sign: PSK,Auth verify: PSK
     Life/Active Time: 86400/100 sec
     Status Description: Negotiation done
     Local spi: 297EF9CA996102A6       Remote spi: 47088C8FB9F039AD
     Local id: 192.168.1.1
     Remote id: 192.168.2.2
      DPD configured for 10 seconds, retry 3
     NAT-T is not detected
Child sa: local selector  10.10.10.0/0 - 10.10.10.255/65535
         remote selector 10.20.20.0/0 - 10.20.20.255/65535
         ESP spi in/out: 0x637df131/0xb7224866
         
ASA1# sh crypto ipsec sa
interface: outside
   Crypto map tag: vpn, seq num: 12, local addr: 192.168.1.1
     access-list NEWARK extended permit ip 10.10.10.0 255.255.255.0 
     10.20.20.0 255.255.255.0
     local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
     current_peer: 192.168.2.2
     #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

Проверка PSK после миграции

Для проверки PSK можно выполнить эту команду в режиме глобальной конфигурации:

more system: running-config | beg tunnel-group

IKEv2 и туннельный процесс менеджера

Как упомянуто прежде, ASA использует модуль, названный туннельным менеджером/IKE, распространенным на инициаторе для определения криптокарты и версии протокола IKE для использования для соединения. Введите эту команду для мониторинга модуля:

debug crypto ike-common <level>

Когда трафик передают для инициирования туннеля IKEv2, отладка, регистрация, и команды показа были собраны. Для ясности были опущены некоторые выходные данные.

ASA1(config)# logging enable
ASA1(config)# logging list IKEv2 message 750000-752999
ASA1(config)# logging console IKEv2
ASA1(config)# exit
ASA1# debug crypto IKEv2 platform 4
ASA1# debug crypto IKEv2 protocol  4
ASA1# debug crypto ike-common 5

%ASA-5-752003: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2.
Map Tag = vpn.  Map Sequence Number = 12.
%ASA-5-750001: Local:192.168.1.1:500 Remote:192.168.2.2:500 Username:Unknown
Received request to establish an IPsec tunnel; local traffic selector = Address Range: 
10.10.10.11-10.10.10.11 Protocol: 0 
Port Range: 0-65535; remote traffic selector = Address Range: 
10.20.20.21-10.20.20.21 Protocol: 0 Port Range: 0-65535
Mar 22 15:03:52 [IKE COMMON DEBUG]Tunnel Manager dispatching a KEY_ACQUIRE 
message to IKEv2.  Map Tag = vpn.  Map Sequence Number = 12.
IKEv2-PLAT-3: attempting to find tunnel group for IP: 192.168.2.2
IKEv2-PLAT-3: mapped to tunnel group 192.168.2.2 using peer IP
    26%ASA-5-750006: Local:192.168.1.1:500 Remote:192.168.2.2:500 
Username:192.168.2.2 SA UP. Reason: New Connection Established
43%ASA-5-752016: IKEv2 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
%ASA-7-752002: Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.
IKEv2-PLAT-4: SENT PKT [IKE_SA_INIT] [192.168.1.1]:500->[192.168.2.2]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x0000000000000000 MID=00000000
IKEv2-PROTO-3: (12): Insert SA
IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.2.2]:500->[192.168.1.1]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000000
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [192.168.1.1]:500->[192.168.2.2]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000001
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.2.2]:500->[192.168.1.1]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000001
IKEv2-PROTO-3: (12): Verify peer's policy
IKEv2-PROTO-3: (12): Get peer authentication method
IKEv2-PROTO-3: (12): Get peer's preshared key for 192.168.2.2
IKEv2-PROTO-3: (12): Verify authentication data
IKEv2-PROTO-3: (12): Use preshared key for id 192.168.2.2, key len 5
IKEv2-PROTO-2: (12): SA created; inserting SA into database
IKEv2-PLAT-3:
CONNECTION STATUS: UP... peer: 192.168.2.2:500, phase1_id: 192.168.2.2
IKEv2-PROTO-3: (12): Initializing DPD, configured for 10 seconds
IKEv2-PLAT-3: (12) DPD Max Time will be: 10
IKEv2-PROTO-3: (12): Checking for duplicate SA
Mar 22 15:03:52 [IKE COMMON DEBUG]IKEv2 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
Mar 22 15:03:52 [IKE COMMON DEBUG]Tunnel Manager Removed entry.  
Map Tag = vpn.  Map Sequence Number = 12.

IKEv2 к механизму восстановления IKEv1

И с IKEv1 и с IKEv2 параллельно, ASA всегда предпочитает инициировать IKEv2. Если ASA не может, это переключиться на IKEv1. Туннельный менеджер/IKE общий модуль управляет этим процессом. В данном примере на инициаторе были очищены IKEv2 SA, и IKEv2 теперь намеренно неправильно сконфигурирован (предложение IKEv2 удалено) продемонстрировать механизм нейтрализации.

ASA1# clear  crypto  IKEv2 sa
%ASA-5-750007: Local:192.168.1.1:500 Remote:192.168.2.2:500 
Username:192.168.2.2 SA DOWN. Reason: operator request
ASA1(config)# no crypto map vpn 12 set IKEv2 ipsec-proposal GOSET
ASA1# (config ) logging enable
ASA1# (config ) logging list IKEv2 message 750000-752999
ASA1# (config ) logging console IKEv2
ASA1# (config ) exit
ASA1# debug crypto IKEv2 platform 4
ASA1# debug crypto IKEv2 protocol  4
ASA1# debug crypto ike-common 5
%ASA-5-752004: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1.  
Map Tag = vpn.  Map Sequence Number = 12.
%ASA-4-752010: IKEv2 Doesn't have a proposal specified
Mar 22 15:11:44 [IKE COMMON DEBUG]Tunnel Manager dispatching a KEY_ACQUIRE 
message to IKEv1.  Map Tag = vpn.  Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]IKEv2 Doesn't have a proposal specified
%ASA-5-752016: IKEv1 was successful at setting up a tunnel.  Map Tag = vpn. 
Map Sequence Number = 12.
%ASA-7-752002: Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]IKEv1 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.

ASA1(config)# sh cry IKEv2 sa
There are no IKEv2 SAs
ASA1(config)# sh cry IKEv1 sa
IKEv1 SAs:
  Active SA: 1
  Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 192.168.2.2
   Type    : L2L             Role    : initiator
   Rekey   : no              State   : MM_ACTIVE

Укрепите IKEv2

Для обеспечения дополнительных мер безопасности, когда IKEv2 используется, эти дополнительные команды настоятельно рекомендованы:

  • Крипто-ikev2 проблема cookie: Позволяет ASA передать вызовы cookie одноранговым устройствам в ответ на инициируемые пакеты полуоткрытого SA.

  • Крипто-IKEv2 ограничивают макс.-sa: Ограничивает количество соединений IKEv2 на ASA. По умолчанию максимум позволил, что соединение IKEv2 равняется максимальному числу соединений, заданных лицензией ASA.

  • Крипто-IKEv2 ограничивают max-in-negotiation-sa: Ограничивает количество IKEv2 в согласовании (открытые) SA на ASA. Когда используется в сочетании с командой crypto IKEv2 cookie-challenge, гарантируйте, что порог проблемы cookie ниже, чем этот предел.

  • Используйте асимметричные ключи. После миграции конфигурация может модифицироваться для использования асимметричных ключей как показано здесь:

    ASA-2(config)# more system:running-config
    tunnel-group <peer_ip-address> type ipsec-l2l
    tunnel-group <peer_ip-address> ipsec-attributes
     IKEv1 pre-shared-key cisco1234
     IKEv2 remote-authentication pre-shared-key cisco1234
     IKEv2 local-authentication pre-shared-key cisco123
    

Важно понять, что конфигурация должна быть отражена на другом узле для предварительного общего ключа IKEv2. Если вы выберете и вставите конфигурацию с одной стороны до другого, это не будет работать.

Примечание: Эти команды отключены по умолчанию.


Дополнительные сведения


Document ID: 113597