Безопасность : Cisco FlexVPN

FlexVPN между маршрутизатором и ASA с примером настройки шифрования следующего поколения

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание

ASA
ASA

Введение

Этот документ описывает, как настроить VPN между маршрутизатором с FlexVPN и Устройством адаптивной защиты (ASA), которое поддерживает алгоритмы Шифрования следующего поколения (NGE) Cisco.

Примечание: Внесенный Грэмом Бартлеттом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Аппаратные средства : Поколение 2 IOS (G2) Маршрутизатор, который выполняет лицензию безопасности.

  • Программное обеспечение: Cisco Версия релиза ПО 15.2-3. T2 IOS�. Любой выпуск M или T для версий позже, чем Cisco, Версия релиза ПО 15.1.2T IOS� может использоваться, потому что это включено с введением режима Galois/Counter (GCM).

  • Аппаратные средства : ASA, который поддерживает NGE.

    Примечание: Только многожильные платформы поддерживают Расширенный стандарт шифрования (AES) GCM.

  • Программное обеспечение: Выпуск ПО ASA 9.0 или позже который поддерживает NGE.

  • OpenSSL.

Для получения дополнительной информации обратитесь к Cisco Feature Navigator.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Динамично создайте сопоставления безопасности IPSec

Рекомендуемым интерфейсом IPSec на IOS является Виртуальный туннельный интерфейс (VTI), который создает интерфейс универсальной инкапсуляции маршрутизации (GRE), который защищен IPSec. Для VTI, Селектор трафика (какой трафик должен быть защищен Сопоставлениями безопасности IPSec (SA)), состоит из Трафика GRE от точки начала туннеля к назначению туннеля. Поскольку ASA не внедряет интерфейсы GRE, но вместо этого создает КОНТЕКСТЫ БЕЗОПАСНОСТИ IPSEC на основе трафика, определенного в списке контроля доступа (ACL), мы должны включить метод, который позволяет маршрутизатору отвечать на инициирование IKEv2 с зеркалом предложенных селекторов трафика. Использование Динамического интерфейса виртуальных туннелей (DVTI) на маршрутизаторе FlexVPN позволяет этому устройству отвечать на Селектор трафика, которому предоставляют, с зеркалом Селектора трафика, который был представлен.

Данный пример шифрует трафик между обеими внутренними сетями. Когда ASA представляет селекторы трафика внутренней сети ASA к внутренней сети IOS, 192.168.1.0/24 к 172.16.10.0/24, интерфейс DVTI отвечает зеркалом селекторов трафика, которое является 172.16.10.0/24 к 192.168.1.0/24.

Центр сертификации

В настоящее время IOS и ASA не поддерживают локальный сервер Центра сертификации (CA) с сертификатами Алгоритма цифровой подписи эллиптической кривой (ECDSA), который требуется для Комплекта-B. Так независимый поставщик CA Сервер должен быть внедрен. Например, используйте OpenSSL для действия как Приблизительно

Конфигурация

Топология сети

Это руководство основывается на топологии, показанной в этой схеме. Необходимо исправить IP-адреса для удовлетворения.

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-01.jpg

Примечание: Настройка включает прямое подключение маршрутизатора и ASA. Они могли быть разделены многими переходами. Раз так удостоверьтесь, что существует маршрут для получения до IP - адреса адресуемого точки. Придерживающаяся конфигурация только детализирует используемое шифрование.

Шаги, Требуемые, чтобы Позволить Маршрутизатору использовать ECDSA

Центр сертификации

  1. Создайте пару ключей эллиптической кривой.

    openssl ecparam -out ca.key -name secp256r1 -genkey
  2. Создайте подписанный сертификат эллиптической кривой.

    openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650

FlexVPN

  1. Создайте domain-name и имя хоста, которые являются предварительными условиями для создания пары ключей эллиптической кривой (EC).

    ip domain-name cisco.com
    hostname Router1
    crypto key generate ec keysize 256 label router1.cisco.com
  2. Создайте локальную точку доверия для получения сертификата от Приблизительно

    crypto pki trustpoint ec_ca
     enrollment terminal
     subject-name cn=router1.cisco.com
     revocation-check none
     eckeypair router1.cisco.com
     hash sha256

    Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть включена для максимальной безопасности в производственной среде.

  3. Подтвердите подлинность точки доверия. Это получает копию сертификата CA, который содержит открытый ключ.

    crypto pki authenticate ec_ca
  4. Вам тогда предлагают ввести ядро 64 закодированных сертификата Приблизительно, Это - файл ca.pem, который был создан с OpenSSL. Для просмотра этого файла откройте его в редакторе или с командой openssl x509 OpenSSL - в ca.pem. Введите выход при вставке этого. Затем введите да для принятия.

  5. Зарегистрируйте маршрутизатор в Инфраструктуру открытых ключей (PKI) на Приблизительно

    crypto pki enrol ec_ca
  6. Выходные данные, что вы получаете потребности, которые будут использоваться, для отправки запроса сертификата Приблизительно Это может быть сохранено как текстовый файл (flex.csr) и подписано с командой OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
  7. Импортируйте сертификат, который содержится в файле flex.pem, генерируется от CA в маршрутизатор после ввода этой команды. Затем введите выход, когда завершено.

    crypto pki import ec_ca certificate

ASA

  1. Создайте domain-name и имя хоста, которые являются предварительными условиями для создания пары ключей EC.

    domain-name cisco.com
    hostname ASA1
    crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
  2. Создайте локальную точку доверия для получения сертификата из Приблизительно

    crypto ca trustpoint ec_ca
     enrollment terminal
     subject-name cn=asa1.cisco.com
     revocation-check none
     keypair asa1.cisco.com

    Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть включена для максимальной безопасности в производственной среде.

  3. Подтвердите подлинность точки доверия. Это получает копию сертификата CA, который содержит открытый ключ.

    crypto ca authenticate ec_ca
  4. Вам тогда предлагают ввести ядро 64 закодированных сертификата Приблизительно, Это - файл ca.pem, который был создан с OpenSSL. Для просмотра этого файла откройте его в редакторе или с командой openssl x509 OpenSSL - в ca.pem. Введите выход, когда вы вставите этот файл, и затем введете да для принятия.

  5. Зарегистрируйте ASA в PKI на Приблизительно

    crypto ca enrol ec_ca
  6. Выходные данные, которые вы получаете, должны использоваться для отправки запроса сертификата Приблизительно, Это может быть сохранено как текстовый файл (asa.csr) и затем подписано с командой OpenSSL.

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
  7. Импортируйте сертификат, который содержится в файле как a.pem, генерируется от CA в маршрутизатор после того, как введена эта команда. Затем введите выход, когда завершено.

    crypto ca import ec_ca certificate

Конфигурация

FlexVPN

Создайте карту сертификата для соответствия с сертификатом однорангового устройства.

crypto pki certificate map certmap 10
 subject-name co cisco.com

Введите эти команды для Предложения IKEv2 по конфигурации Комплекта-B:

Примечание: Для максимальной безопасности настройте с командой aes-cbc-256 with sha512 hash.

crypto ikev2 proposal default
 encryption aes-cbc-128
 integrity sha256
 group 19

Совпадите с профилем IKEv2 к карте сертификата и используйте ECDSA с точкой доверия, ранее определенной.

crypto ikev2 profile default
 match certificate certmap
 identity local dn
 authentication remote ecdsa-sig
 authentication local ecdsa-sig
 pki trustpoint ec_ca
 virtual-template 1

Настройте Команду IPsec transform set для использования режима Galois/Counter (GCM).

crypto ipsec transform-set ESP_GCM esp-gcm
 mode transport

Настройте Профиль IPSEC с параметрами, ранее настроенными.

crypto ipsec profile default
 set transform-set ESP_GCM
 set pfs group19
 set ikev2-profile default

Настройте туннельный интерфейс:

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

Вот конфигурация интерфейса:

interface GigabitEthernet0/0
 ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0

ASA

Используйте эту конфигурацию интерфейса:

interface GigabitEthernet3/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

Введите эту команду списка доступа для определения трафика, который будет зашифрован:

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0

Введите эту команду предложения IPSec с NGE:

crypto ipsec ikev2 ipsec-proposal prop1
 protocol esp encryption aes-gcm
 protocol esp integrity null

Команды карты криптографии:

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 10.10.10.1
crypto map mymap 10 set ikev2 ipsec-proposal prop1
crypto map mymap 10 set trustpoint ec_ca
crypto map mymap interface outside

Эта команда настраивает политику IKEv2 с NGE:

crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Туннельная группа настроила для одноранговых команд:

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 peer-id-validate cert
 ikev2 remote-authentication certificate
 ikev2 local-authentication certificate ec_ca

Проверка соединения

Проверьте, что успешно генерировались ключи ECDSA.

Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
 Storage Device: private-config
 Usage: Signature Key
 Key is not exportable.
 Key Data:
<...omitted...>
 
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
 Usage: General Purpose Key
 EC Size (bits): 256
 Key Data&colon;
<...omitted...>

Проверьте, что сертификат был успешно импортирован и что используется ECDSA.

Router1#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 0137
  Certificate Usage: General Purpose
  Issuer:
<...omitted...>
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    EC Public Key:  (256 bit)
  Signature Algorithm: SHA256 with ECDSA

 
ASA-1(config)#show crypto ca certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 00a293f1fe4bd49189
  Certificate Usage: General Purpose
  Public Key Type: ECDSA (256 bits)
  Signature Algorithm: SHA256 with ECDSA Encryption
 <...omitted...>

Проверьте, что IKEv2 SA успешно созданы и используют настроенные алгоритмы NGE.

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.10.10.1/500        10.10.10.2/500        none/none            READY
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      Life/Active Time: 86400/94 sec
 
  
ASA-1#show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
268364957        10.10.10.2/500        10.10.10.1/500      READY    INITIATOR
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      <...omitted...>
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xe847d8/0x12bce4d
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

Проверьте, что КОНТЕКСТ БЕЗОПАСНОСТИ IPSEC успешно создан и использует настроенные алгоритмы NGE.

Примечание: FlexVPN может завершить IP - безопасные соединения от клиентов не-IOS, которые поддерживают и IKEv2 и Протоколы IPSec.

Router1#show crypto ipsec sa

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.10.2 port 500
     PERMIT, flags={origin_is_acl,}
<...omitted...>

     inbound esp sas:
      spi: 0x12BCE4D(19648077)
        transform: esp-gcm ,
        in use settings ={Tunnel, }
     
ASA-1#show crypto ipsec sa detail
interface: outside
    Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2

      access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
        255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
      current_peer: 10.10.10.1
<...omitted...>
     

    inbound esp sas:
      spi: 0x00E847D8 (15222744)
         transform: esp-aes-gcm esp-null-hmac no compression
         in use settings ={L2L, Tunnel, IKEv2, }

Для получения дополнительной информации на реализации Cisco Комплекта-B, сошлитесь на Описание технологических решений Шифрования Следующего поколения.

Обратитесь к странице Next Generation Encryption Solution для узнавания больше о реализации Cisco Шифрования Следующего поколения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения