IPsec-profielmodus met handmatige toetsmodus configureren op RV160 en RV260
Doel
Het doel van dit document is om u te tonen hoe u IPsec-profiel voor handmatige toetsmodus kunt configureren op routers uit de RV160- en RV260-reeksen.
Inleiding
IPsec garandeert beveiligde privé-communicatie via het internet. Het geeft twee of meer hosts privacy, integriteit en authenticiteit voor het verzenden van gevoelige informatie via het internet. IPsec wordt veel gebruikt in een Virtual Private Network (VPN), geïmplementeerd op de IP-laag en kan veel toepassingen zonder beveiliging ondersteunen. Een VPN wordt gebruikt om een veilig communicatiemechanisme te bieden voor gevoelige gegevens en IP-informatie die worden verzonden via een onveilig netwerk zoals het internet. Het biedt een flexibele oplossing voor externe gebruikers en de organisatie om gevoelige informatie te beschermen tegen andere partijen op hetzelfde netwerk.
De handmatige toetsmodus vermindert de flexibiliteit en opties van IPsec. Het vereist dat de gebruiker het sleutelmateriaal en de noodzakelijke veiligheidsassociatie informatie aan elk apparaat verstrekt dat wordt gevormd. Handmatig afsluiten schraapt niet zo goed als het meestal het best wordt gebruikt in een kleine omgeving.
Het is alleen aan te raden deze methode te gebruiken als de implementatie van Internet Key Exchange (IKE)v1 of IKEv2 op deze router niet hetzelfde is als uw externe router of als een van de routers IKE niet ondersteunt. In deze gevallen kunt u de toetsen handmatig invoeren. Aanbevolen wordt om de automatische toetsmodus voor IPsec-profiel te configureren in plaats van de handmatige toetsmodus als uw router zowel IKEv1 als IKEv2 ondersteunt en dezelfde standaarden volgt.
Wanneer u handmatige toetsmodus gebruikt, zorg ervoor dat uw Key In op uw lokale router de Key Out is op de externe router en de Key In op uw externe router is de Key Out op uw lokale router.
Een voorbeeld van de configuratie voor de twee routers zou zijn:
| Veld | Router A | Router B |
| SIP-inkomend | 100 | 100 |
| Uitgaande SPI | 100 | 100 |
| Versleuteling | AES-256 router | AES-256 router |
| Sleutel-in | ...91bb2b489ba0d28c741b | ...858b8c5ec355505650b16 |
| Sleutel | ...858b8c5ec355505650b16 | ...91bb2b489ba0d28c741b |
| Verificatie | SHA2-256. | SHA2-256. |
| Sleutel-in | A00997ec3a195061c81e4 | ...2f2de681af020b9ad5f3e3 |
| Sleutel | ...2f2de681af020b9ad5f3e3 | A00997ec3a195061c81e4 |
Aanvullende informatie over Cisco IPsec-technologie kunt u vinden in deze link: Inleiding tot Cisco IPSec-technologie.
Klik hier voor informatie over het configureren van IPsec-profielen met behulp van de automatische toetsmodus op de RV160 en RV260.
Klik hier voor informatie over het configureren van site-to-site VPN op de RV160 en RV260.
Raadpleeg het artikel op om site-to-site VPN te configureren met de installatiewizard: De VPN Setup-wizard configureren op de RV160 en RV260.
Toepasselijke apparaten
· RV160
·RV260
Softwareversie
·1.0.00.15
IPsec-profiel configureren met handmatige toetsmodus
Stap 1. Meld u aan bij het hulpprogramma voor webconfiguratie.
Stap 2. Navigeer naar VPN > IPSec VPN > IPSec-profielen.
Stap 3. Druk op het plus-pictogram om een nieuw IPsec-profiel te maken.
Stap 4. Voer een profielnaam in het veld Profielnaam in.
Stap 5. Selecteer Handmatig voor de toetsmodus.
Stap 6. Voer in het gedeelte IPSec Configuration de index voor beveiligingsparameters (SPI) in bij Inkomend en Uitgaand SPI. De SPI is een identificatietag die aan de header wordt toegevoegd tijdens het gebruik van IPsec voor het tunnelen van het IP-verkeer. Deze tag helpt de kernel te onderscheiden tussen de twee verkeersstromen waar verschillende coderingsregels en algoritmen in gebruik kunnen zijn. Het hexadecimale bereik is van 100-FFFFFF.
We gebruiken de standaardwaarde van 100 voor zowel inkomende als uitgaande SPI.
Stap 7. Selecteer een codering (3DES, AES-128, AES-192 of AES-256) in de vervolgkeuzelijst. Deze methode bepaalt het algoritme dat wordt gebruikt om ESP/ISAKMP-pakketten te versleutelen of te ontsleutelen. Triple Data Encryption Standard (3DES) maakt drie keer gebruik van DES-encryptie, maar is nu een legacy algoritme. Dit betekent dat het alleen mag worden gebruikt als er geen betere alternatieven zijn, aangezien het nog steeds een marginaal maar acceptabel veiligheidsniveau biedt. Gebruikers zouden het alleen moeten gebruiken als het nodig is voor achterwaartse compatibiliteit, aangezien het kwetsbaar is voor sommige "block collision"-aanvallen. Het gebruik van 3DES wordt niet aangeraden omdat het niet als veilig wordt beschouwd.
Advanced Encryption Standard (AES) is een cryptografisch algoritme dat beter beveiligd is dan 3DES. AES gebruikt een grotere sleutelgrootte die ervoor zorgt dat de enige bekende benadering om een bericht te decrypteren voor een indringer is om elke mogelijke sleutel te proberen. AES gebruiken als uw apparaat het kan ondersteunen wordt aanbevolen.
In dit voorbeeld gebruiken we AES-256 als onze encryptie.
Stap 8. Voer een hexadecimaal nummer van 64 tekens in het veld Key In. Dit is de sleutel voor het decrypteren van ESP pakketten die in hexuitdraai formaat worden ontvangen.
Best practices: Gebruik een willekeurige hex generator om uw sleutel in en uit te configureren. Zorg ervoor dat de externe router hetzelfde hexadecimale nummer heeft.
Stap 9. Voer een hexadecimaal nummer van 64 tekens in het veld Key Out. Dit is de sleutel voor het versleutelen van onbewerkte pakketten in hexuitdraai formaat.
Stap 10. De verificatiemethode bepaalt hoe de ESP-headerpakketten worden gevalideerd. Dit is het hashing algoritme dat gebruikt wordt in de authenticatie om te bevestigen dat kant A en kant B echt zijn wie ze zeggen te zijn.
De MD5 is een one-way hashing algoritme dat een 128-bit samenvatting produceert en sneller is dan SHA1. SHA1 is een one-way hashing algoritme dat een 160-bit samenvatting produceert terwijl SHA2-256 een 256-bit samenvatting produceert. SHA2-256 wordt aanbevolen omdat het veiliger is. Zorg ervoor dat beide uiteinden van de VPN-tunnel dezelfde verificatiemethode gebruiken. Selecteer een verificatie (MD5, SHA1 of SHA2-256).
In dit voorbeeld, zullen wij SHA2-256 selecteren.
Stap 1. Voer in het veld Key In een hexadecimaal nummer van 64 tekens in. Dit is de sleutel voor het decrypteren van ESP pakketten die in hexuitdraai formaat worden ontvangen.
Stap 12. Voer in het veld Key Out een hexadecimaal nummer van 64 tekens in. Dit is de sleutel voor het versleutelen van onbewerkte pakketten in hexuitdraai formaat.
Stap 13. Druk op Toepassen om het nieuwe IPsec-profiel te maken.
Stap 14. Klik boven aan de pagina op de knop Opslaan. U wordt naar de pagina Configuration Management geleid.
Stap 15. Alle configuraties die de router momenteel gebruikt zijn in het actieve configuratiebestand. De configuratie gaat verloren als het apparaat de stroom verliest of opnieuw wordt opgestart. Door het bestand Running Configuration te kopiëren naar het bestand Startup Configuration wordt ervoor gezorgd dat de configuratie wordt opgeslagen. Zorg er onder Configuratiebeheer voor dat de Source is Run Configuration en dat de Bestemming Startup Configuration is. Klik op Apply (Toepassen).
Conclusie
U moet nu met succes IPsec-profiel hebben geconfigureerd met handmatige toetsmodus op uw RV160 of RV260.
Feedback