Configureer een IKEv2-tunnel tussen twee ASA's met behulp van IKEv2 Multiple Key Exchanges

Inleiding

In dit document wordt beschreven hoe u een Site-To-Site IKEv2 VPN-verbinding kunt configureren tussen twee Cisco ASA's met behulp van IKEv2 Multiple Key Exchanges.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Adaptive Security Appliance (ASA)
• Algemene IKEv2-concepten

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco ASA's met 9.20.1.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Beperkingen

De IKEv2 Multiple Key Exchange heeft deze beperkingen:

• Alleen ondersteund op de ASA CLI
• Ondersteund op Multi-Contexted en HA-apparaten
• Niet ondersteund op geclusterde apparaten

vergunning

De licentievereisten zijn dezelfde als voor Site-to-Site VPN op de ASA's.

Achtergrondinformatie

Behoefte aan aanvullende sleuteluitwisselingen

De komst van grote kwantumcomputers vormt een groot risico voor beveiligingssystemen, met name die met behulp van cryptografie met openbare sleutels. Cryptografische methoden waarvan werd gedacht dat ze erg moeilijk waren voor gewone computers, kunnen gemakkelijk worden gebroken door kwantumcomputers. De switch naar nieuwe, kwantumresistente methoden, ook wel post-kwantumcryptografie (PQC) algoritmen genoemd, is dus noodzakelijk. Het doel is om de beveiliging van IPsec-communicatie te verbeteren door meerdere sleuteluitwisselingen te gebruiken. Dit houdt in dat een traditionele sleuteluitwisseling wordt gecombineerd met een post-kwantumuitwisseling. Deze aanpak zorgt ervoor dat de resulterende uitwisseling minstens zo sterk is als de traditionele sleuteluitwisseling, waardoor een extra beveiligingslaag wordt geboden.

Het plan is om IKEv2 te verbeteren door ondersteuning toe te voegen voor meerdere sleuteluitwisselingen. Deze extra sleuteluitwisselingen kunnen omgaan met algoritmen die veilig zijn voor kwantumbedreigingen. Om informatie over deze extra sleutels uit te wisselen, wordt een nieuw berichttype met de naam Intermediate Exchange geïntroduceerd. Deze belangrijke uitwisselingen worden onderhandeld met behulp van de reguliere IKEv2-methode, via de SA-payload.

Configureren

In dit gedeelte worden de ASA-configuraties beschreven.

Netwerkdiagram

De informatie in dit document maakt gebruik van deze netwerkconfiguratie:

ASA-configuratie

De ASA-interfaces configureren

Als de ASA-interfaces niet zijn geconfigureerd, moet u ervoor zorgen dat u ten minste de IP-adressen, interfacenamen en beveiligingsniveaus configureert:

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.10.10.10 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0

Opmerking: Zorg ervoor dat er connectiviteit is met zowel de interne als externe netwerken, met name met de externe peer die wordt gebruikt om een site-to-site VPN-tunnel te maken. U kunt een ping gebruiken om basisconnectiviteit te verifiëren.

IKEv2-beleid configureren met Multiple Key Exchange en IKEv2 inschakelen op de externe interface

Voer de volgende opdrachten in om het IKEv2-beleid voor deze verbindingen te configureren:

crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 20
 prf sha256
 lifetime seconds 86400

Extra sleuteluitwisselingstransformaties kunnen worden geconfigureerd onder crypto ikev2 policy met behulp van de additional-key-exchange opdracht. In totaal kunnen zeven extra uitwisselingstransformaties worden geconfigureerd. In dit voorbeeld zijn twee extra uitwisselingstransformaties geconfigureerd (met DH-groepen 21 en 31).

 additional-key-exchange 1
  key-exchange-method 21
 additional-key-exchange 2
  key-exchange-method 31

Het uiteindelijke IKEv2-beleid ziet er als volgt uit:

crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 20
 prf sha256
 lifetime seconds 86400
 additional-key-exchange 1
  key-exchange-method 21
 additional-key-exchange 2
  key-exchange-method 31

Opmerking: Er bestaat een IKEv2-beleidsovereenkomst wanneer beide beleidsregels van de twee peers dezelfde waarden voor verificatie, codering, hash, Diffie-Hellman-parameter en Additional Key Exchange-parameter bevatten.

U moet IKEv2 inschakelen op de interface die de VPN-tunnel beëindigt. Meestal is dit de externe (of internet) interface. Als u IKEv2 wilt inschakelen, voert u de opdracht crypto ikev2 enable outside in globale configuratiemodus in.

De tunnelgroep configureren

Voor een Site-to-Site-tunnel is het type verbindingsprofiel IPSec-l2l. Voer de volgende opdrachten in om de vooraf gedeelde IKEv2-sleutel te configureren:

tunnel-group 10.20.20.20 type ipsec-l2l
tunnel-group 10.20.20.20 ipsec-attributes
 ikev2 remote-authentication pre-shared-key cisco
 ikev2 local-authentication pre-shared-key cisco

Interessant verkeer en Crypto ACL configureren

De ASA maakt gebruik van Access Control Lists (ACL's) om het verkeer dat moet worden beveiligd met IPSec-codering te onderscheiden van het verkeer dat geen bescherming vereist. Het beschermt de uitgaande pakketten die overeenkomen met een vergunning Application Control Engine (ACE) en zorgt ervoor dat de inkomende pakketten die overeenkomen met een vergunning ACE bescherming hebben.

object-group network local-network
 network-object 192.168.0.0 255.255.255.0
object-group network remote-network
 network-object 172.16.10.0 255.255.255.0

access-list asa-vpn extended permit ip object-group local-network object-group remote-network

Opmerking: de VPN-peer moet dezelfde ACL hebben in een gespiegeld formaat.

Een NAT-identiteit configureren (optioneel)

Typisch is een identiteit NAT nodig om te voorkomen dat het interessante verkeer de dynamische NAT raakt. De Identity NAT die in dit geval is geconfigureerd, is:

nat (inside,outside) source static local-network local-network destination static remote-network remote-network no-proxy-arp route-lookup

IKEv2 IPSec-voorstel configureren

Het IKEv2 IPSec-voorstel wordt gebruikt om een reeks versleutelings- en integriteitsalgoritmen te definiëren om het gegevensverkeer te beschermen. Dit voorstel moet overeenkomen met beide VPN-peers om een IPSec SA succesvol te bouwen. De commando's die in dit geval worden gebruikt zijn:

crypto ipsec ikev2 ipsec-proposal IKEV2_TSET
 protocol esp encryption aes-256
 protocol esp integrity sha-256

Configureer een Crypto-kaart en bind deze aan de interface

Een crypto-kaart combineert alle vereiste configuraties en moet noodzakelijkerwijs het volgende bevatten:

• Een toegangslijst die overeenkomt met het verkeer dat moet worden gecodeerd (meestal aangeduid als Crypto ACL)
• peer-identificatie
• Minstens één IKEv2 IPSec-voorstel

De configuratie die hier wordt gebruikt is:

crypto map outside_map 1 match address asa-vpn
crypto map outside_map 1 set peer 10.20.20.20
crypto map outside_map 1 set ikev2 ipsec-proposal IKEV2_TSET

Het laatste deel is het toepassen van deze crypto-kaart op de externe (openbare) interface met behulp van het crypto map outside_map interface outside commando.

Lokale ASA-eindconfiguratie

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.10.10.10 255.255.255.0 
!           
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 20
 prf sha256
 lifetime seconds 86400
 additional-key-exchange 1
  key-exchange-method 21
 additional-key-exchange 2
  key-exchange-method 31
!
crypto ikev2 enable outside
!
tunnel-group 10.20.20.20 type ipsec-l2l
tunnel-group 10.20.20.20 ipsec-attributes
 ikev2 remote-authentication pre-shared-key cisco
 ikev2 local-authentication pre-shared-key cisco
!
object-group network local-network
 network-object 192.168.0.0 255.255.255.0
!
object-group network remote-network
 network-object 172.16.10.0 255.255.255.0
!
access-list asa-vpn extended permit ip object-group local-network object-group remote-network
!
nat (inside,outside) source static local-network local-network destination static remote-network remote-network no-proxy-arp route-lookup
!
crypto ipsec ikev2 ipsec-proposal IKEV2_TSET
 protocol esp encryption aes-256
 protocol esp integrity sha-256
!
crypto map outside_map 1 match address asa-vpn
crypto map outside_map 1 set peer 10.20.20.20 
crypto map outside_map 1 set ikev2 ipsec-proposal IKEV2_TSET
!
crypto map outside_map interface outside

Externe ASA-eindconfiguratie

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.20.20.20 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.10.1 255.255.255.0
!
crypto ikev2 policy 10
encryption aes-256
integrity sha256
group 20
prf sha256
lifetime seconds 86400
additional-key-exchange 1
key-exchange-method 21
additional-key-exchange 2
key-exchange-method 31
!
crypto ikev2 enable outside
!
tunnel-group 10.10.10.10 type ipsec-l2l
tunnel-group 10.10.10.10 ipsec-attributes
ikev2 remote-authentication pre-shared-key cisco
ikev2 local-authentication pre-shared-key cisco
!
object-group network local-network
network-object 172.16.10.0 255.255.255.0
!
object-group network remote-network
network-object 192.168.0.0 255.255.255.0
!
access-list asa-vpn extended permit ip object-group local-network object-group remote-network
!
nat (inside,outside) source static local-network local-network destination static remote-network remote-network no-proxy-arp route-lookup
!
crypto ipsec ikev2 ipsec-proposal IKEV2_TSET
protocol esp encryption aes-256
protocol esp integrity sha-256
!
crypto map outside_map 1 match address asa-vpn
crypto map outside_map 1 set peer 10.10.10.10
crypto map outside_map 1 set ikev2 ipsec-proposal IKEV2_TSET
!
crypto map outside_map interface outside

Opmerking: De ACL is in het gespiegelde formaat en de vooraf gedeelde sleutels zijn aan beide uiteinden hetzelfde.

Verifiëren

Voordat u controleert of de tunnel op is en dat deze het verkeer passeert, moet u ervoor zorgen dat interessant verkeer naar de ASA's wordt gestuurd.

Opmerking: De packet tracer werd gebruikt om de verkeersstroom te simuleren. Het kan worden gedaan met behulp van de packet-tracer opdracht; packet-tracer input inside icmp 192.168.0.11 8 0 172.16.10.11 gedetailleerd op de Local-ASA.

Om de extra sleuteluitwisselingen te valideren, kunt u de opdracht gebruiken show crypto ikev2 sa. Zoals te zien is in de uitvoer, kunt u de AKE-parameters controleren om de geselecteerde uitwisselingsalgoritmen te valideren.

Local-ASA# show crypto ikev2 sa

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                     fvrf/ivrf     Status         Role
   246015 10.10.10.10/500                                   10.20.20.20/500                                            READY    INITIATOR
      Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Additional Key Exchange Group: AKE1: 21 AKE2: 31 
      Life/Active Time: 86400/7 sec
Child sa: local selector  192.168.0.0/0 - 192.168.0.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xf41ca3b5/0xda0e693b 

Problemen oplossen

De genoemde debugs kunnen worden gebruikt om problemen met de IKEv2-tunnel op te lossen:

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127

Opmerking: Als u slechts één tunnel wilt oplossen (wat het geval moet zijn als het apparaat in productie is), moet u foutopsporingsfouten voorwaardelijk inschakelen met behulp van de opdracht foutopsporingscryptomunt peer X.X.X.X.