Het configureren van een site-to-site VPN-tunnel tussen RV Series routers en ASA 5500 Series adaptieve security applicaties

Doel

Beveiliging is van essentieel belang om de intellectuele eigendom van een bedrijf te beschermen en tegelijkertijd de bedrijfscontinuïteit te waarborgen en de mogelijkheid te bieden de bedrijfswerkplek uit te breiden tot werknemers die te allen tijde en overal toegang tot bedrijfsmiddelen nodig hebben.

VPN-beveiligingsoplossingen worden belangrijker voor kleine en middelgrote bedrijven. Een VPN is een privaat netwerk dat binnen een openbare netwerkinfrastructuur, zoals het wereldwijde internet, is geconstrueerd. Een VPN breidt een privaat netwerk uit tussen geografisch afzonderlijke kantoorlocaties. Het stelt een host-computer in staat gegevens over openbare netwerken te verzenden en te ontvangen, aangezien deze een integraal onderdeel van het particuliere netwerk vormen met alle functionaliteit. VPN's verhogen de beveiliging van een gedistribueerde organisatie waardoor het voor personeel gemakkelijker wordt om van verschillende sites te werken zonder het netwerk te frustreren. De beweegredenen om VPN te gebruiken zijn de vereisten om een deel van de communicatie van een organisatie en de economie van de communicatie te 'virtualiseren'.

Er zijn verschillende VPN-topologieën: Hub en sprak, punt-tot-punt en volledige maaswijdte. Deze slimme tip bestrijkt site-to-site (point-to-point) VPN, dat een op internet gebaseerde infrastructuur biedt om netwerkbronnen uit te breiden naar afgelegen kantoren, thuiskantoren en bedrijfspartners-sites. Al verkeer tussen sites is versleuteld met het IP Security-protocol (IPsec) en netwerkfuncties zoals routing, Quality of Service (QoS) en multicast ondersteuning worden geïntegreerd.

De Cisco RV Series routers leveren robuuste en eenvoudig beheerde VPN-oplossingen voor prijsbewuste kleine bedrijven. De Cisco ASA 5500 Series adaptieve security applicaties helpen organisaties om security met productiviteit in balans te brengen. Deze combinatie combineert de meest gebruikte stateful inspection firewall van de industrie met uitgebreide next-generation netwerkbeveiligingsservices, waaronder: zichtbaarheid en korrelcontrole van toepassingen en microtoepassingen, webbeveiliging, inbraakpreventiesystemen (IPS), zeer beveiligde toegang op afstand, en andere.
Deze korte handleiding beschrijft een voorbeeld van het ontwerp om een Site-to-Site IPsec VPN te bouwen tussen RV Series routers en een ASA 5500 Series adaptieve security applicaties en biedt configuratievoorbeelden.

Toepasselijke apparaten

・ Cisco RV0xx Series VPN-routers
・ Cisco ASA 5500 Series adaptieve security applicaties

Softwareversie

・ 4.2.2.08 [Cisco RV0xx Series VPN-routers]

Voorconfiguratie

De volgende afbeelding toont een voorbeeldimplementatie van een Site-to-Site VPN-tunnel met een RV-Series router (Remote Site) en een ASA 5500 (Hoofdkantoor).



Met deze configuratie kan een host in het netwerk van de afgelegen locatie van 122.166.12.x en een host in VLAN 1at in het hoofdkantoor veilig met elkaar communiceren.

Belangrijkste kenmerken

Internet Key Exchange (IKE)

Internet Key Exchange (IKE) is het protocol dat wordt gebruikt om een Security Association (SA) in de IPsec-protocolreeks in te stellen. IKE bouwt voort op het Oakley Protocol en Internet Security Association en Key Management Protocol (ISAKMP), en gebruikt een Diffie-Hellman sleuteluitwisseling om een gedeeld sessiegeheim op te zetten, waarvan cryptografische sleutels zijn afgeleid. Een beveiligd beleid voor elke peer moet handmatig worden onderhouden.

Internet Protocol Security (IPSec)

IPsec gebruikt cryptografische beveiligingsservices om communicatie via IP-netwerken (Internet Protocol) te beschermen. IPsec ondersteunt verificatie op netwerkniveau, verificatie van gegevensbronnen, gegevensintegriteit, gegevensvertrouwelijkheid (encryptie) en herspeelbescherming. IPSec omvat vele component technologieën en encryptiemethoden. Toch kan de werking van IPSec worden opgesplitst in vijf hoofdstappen:
Stap 1. "Interessant verkeer" initieert het IPSec-proces - verkeer wordt interessant geacht wanneer het IPSec-beveiligingsbeleid dat in de IPSec-peers is geconfigureerd het IKE-proces start.
Stap 2. IKE fase 1 - IKE is authentiek op IPSec-peers en onderhandelt over IKE SA’s tijdens deze fase, waarbij een beveiligd kanaal wordt opgezet voor onderhandelingen over IPSec SA’s in fase 2.
Stap 3. IKE fase 2 - IKE onderhandelt over parameters van IPSec SA en stelt overeenkomende IPSec SA’s in de peers in.
Stap 4. Gegevensoverdracht - Gegevens worden overgedragen tussen IPSec-peers op basis van de IPSec-parameters en de in de SA-database opgeslagen sleutels.
Stap 5. Afronding van IPSec-tunnels - IPSec SA’s eindigen door middel van schrapping of door timing buiten.

ISAKMP

Internet Security Association en Key Management Protocol (ISAKMP) worden gebruikt om te onderhandelen over de tunnel tussen de twee eindpunten.  Het definieert de procedures voor authenticatie, communicatie en sleutelgeneratie, en wordt door het IKE protocol gebruikt om encryptiesleutels uit te wisselen en de veilige verbinding tot stand te brengen.

Ontwerptips

VPN-topologie — Met een site-to-site VPN wordt een beveiligde IPsec-tunnel geconfigureerd tussen elke site en elke andere site. Een multisite topologie wordt gewoonlijk geïmplementeerd als een volledig netwerk van site-to-site VPN-tunnels (dwz, elke site heeft tunnels naar elke andere site ingesteld). Als er geen communicatie tussen externe vestigingen nodig is, wordt een op een hub gebaseerde VPN-topologie gebruikt om het aantal VPN-tunnels te verminderen (dwz, elke site stelt alleen een VPN-tunnel in naar het hoofdkantoor).
WAN IP-adressering en DDNS — De VPN-tunnel moet tussen twee openbare IP-adressen worden ingesteld. Als de WAN-routers statische IP-adressen van de Internet Service Provider (ISP) ontvangen, kan de VPN-tunnel rechtstreeks worden geïmplementeerd via statische openbare IP-adressen. Maar de meeste kleine bedrijven gebruiken rendabele breedbandinternetservices zoals DSL of kabelmodems en ontvangen dynamische IP-adressen van hun ISP's. In dergelijke gevallen kan DDNS worden gebruikt om het dynamische IP-adres in kaart te brengen naar een volledig gekwalificeerde domeinnaam (FQDN).
LAN IP-adressering - Het privé LAN IP-netwerkadres van elke site mag geen overlappingen hebben. Het standaard LAN IP-netwerkadres op elke externe site moet altijd worden gewijzigd.
VPN-verificatie - Het IKE-protocol wordt gebruikt om VPN-peers te authentiseren bij het maken van een VPN-tunnel. Er bestaan verschillende IKE-authenticatiemethoden en een vooraf gedeelde sleutel is de meest handige methode. Cisco raadt het toepassen van een sterke voorgedeelde toets aan.
VPN-encryptie - Om de vertrouwelijkheid van gegevens die over VPN worden getransporteerd te waarborgen, worden encryptie-algoritmen gebruikt om de lading IP-pakketten te versleutelen. DES, 3DES en AES zijn drie gemeenschappelijke coderingsstandaarden. AES wordt als het meest beveiligde beschouwd in vergelijking met DES en 3DES. Cisco raadt het toepassen van AES-128 bits of hogere encryptie (bijvoorbeeld AES-192 en AES-256) sterk aan. Hoe sterker het encryptie-algoritme is, hoe meer verwerkingsmiddelen het vereist.

Tips voor configuratie

Selectieknop vooraf configureren
Stap 1. Controleer dat de ASA en de RV-router allebei op de internetgateway (de ISP-router of -modem) zijn aangesloten.
Stap 2. Sluit de Cisco RV-router aan en sluit vervolgens interne pc’s, servers en andere IP-apparaten aan op de LAN-switch of de switchpoorten op de RV-router.
Stap 3. Doe hetzelfde voor het netwerk achter de ASA. Stap 4. Controleer of de LAN IP-netwerkadressen op elke locatie zijn geconfigureerd en of ze onverschillende subnetwerken zijn. In dit voorbeeld gebruikt het hoofdkantoor LAN 192.168.10.0/24,and dat op de externe site LAN wordt gebruikt 12.166.12.0/24.
Stap 4. Zorg ervoor dat lokale pc’s en servers met elkaar en met de router kunnen communiceren.

WAN-verbinding identificeren

U moet weten of uw ISP een dynamisch IP-adres uitstuurt of of u een statisch IP hebt ontvangen. Gewoonlijk geeft de ISP een dynamisch IP aan, maar u moet dit bevestigen om de configuratie te voltooien.

RV042G configureren op het afstandsbediening

Stap 1. Meld u aan bij Web UI en ga naar VPN > Gateway to Gateway sectie. Aangezien wij een LAN-to-LAN verbinding toevoegen, zullen de endpoints de gateway van elk netwerk zijn.



Stap 2. Het configureren van de lokale en Remote Endpoints op de router
a) Configureer de tunnelnaam om deze te identificeren uit elke andere tunnels die u mogelijk al hebt ingesteld.



b) Local Group Setup vormt de lokale host(s) die toegestaan moet worden in de VPN-tunnel. Zorg dat u het juiste Subnet en het masker voor het netwerk hebt u over de tunnel wilt worden toegestaan.



C) Remote Group Setup stelt het externe eindpunt en netwerkverkeer in zodat de router op zoek kan gaan.  Voer het statische IP van de Remote Gateway in om de verbinding in het veld IP-adres van de gateway op te zetten.  Voer vervolgens het toegestane subtype op VPN in vanaf de externe site (het hoofdkantoor LAN).



Stap 3. Het configureren van de tunnelinstellingen.
a) U wilt een vooraf gedeelde toets configureren voor een optimaal resultaat.
Fase 1 en Fase 2 zijn verschillende fasen van authenticatie, Fase 1 creëert de eerste tunnel en start onderhandeling, en Fase 2 voltooit de encryptie - sleutelonderhandeling en beschermt de gegevensoverdracht zodra de tunnel tot stand is gebracht.
b) De DH-groep zal corresponderen met de crypto-isakmp-beleidsgroep voor de ASA, die u in de volgende sectie ziet.  Op de ASA is het standaard groep 2 en nieuwere versies van ASA code vereisen minstens DH Groep 2. De wisselwerking is dat het een hoger beetje is en dus meer CPU tijd vergt.
c) Fase 1 Encryption definieert het gebruikte encryptiealgoritme.  De standaardinstelling op de RV-serie is DES, maar de standaardinstelling op de ASA zal 3DES zijn. Dit zijn echter oudere standaarden en zijn niet efficiënt in de huidige implementatie.  AES-encryptie is sneller en veiliger en Cisco raadt ten minste AES-128 (of gewoonweg AES) aan voor de beste resultaten.
d) Fase 1-verificatie verifieert de pakketintegriteit.  De opties zijn SHA-1 en MD5 en ze moeten werken terwijl ze vergelijkbare resultaten opleveren.
De configuratie van fase 2 volgt dezelfde regels als fase 1.  Bij het configureren van de IPSec-instellingen moet u in gedachten houden dat de instellingen op de ASA deze op de RV042G moeten aanpassen. Als er afwijkingen zijn, kunnen de apparaten niet onderhandelen over de encryptiesleutel en zal de verbinding mislukken.

Opmerking: Zorg ervoor dat u de instellingen opslaat voordat u niet op deze pagina navigeert!

ASA 5500 configureren op het hoofdkantoor (CLI)

Opmerking: Zorg ervoor dat u de opdracht "schrijfmachine" vaak gebruikt om configuratie te vermijden. Ten eerste, hier zijn de interfaces die we hebben ingesteld op de ASA.  Uw instellingen kunnen afwijken, en de configuraties dus wijzigen.



Stap 1. Configuratie-beheer (ISAKMP)
De eerste stap is het opzetten van het ISAKMP-beleid dat gebruikt wordt om te onderhandelen over de encryptie van de tunnel.  Deze configuratie moet IDENTIEK zijn op beide eindpunten.  Dit is waar u de coderingsinstellingen zult configureren om fase 1 uit de RV-configuratie te evenaren.



Stap 2. Selectie van verkeer
Dit is hetzelfde als de Local and Remote Security Group op de RV042G. In de ASA gebruiken we access-list(s) om te definiëren wat het netwerk "interessant verkeer" acht om toe te staan op VPN.
Stel eerst de netwerkobjecten voor de website en de lokale site in:



Stel vervolgens de toegangslijst in om deze objecten te gebruiken:



In plaats hiervan kunt u de subnetten zelf gebruiken, maar in grotere implementaties is het gemakkelijker om objecten en objectgroepen te gebruiken.
Stap 3. IPsec-tunnelconfiguratie (fase 2-verificatie)
Hier configureren we de "Transformeer Set" en de tunnelgroep, die de fase-2 verificatie zal instellen.  Als u fase 2 instelt om anders te zijn dan fase 1, dan hebt u een andere transformatie-set.  Deze esp-aes definieert de codering en esp-sha-hmac de hash.
De tunnel-groep opdracht vormt de verbinding-specifieke tunnelinformatie, zoals de pre-gedeelde sleutel.  Gebruik de openbare IP van de externe peer als de tunnelnaam.



Stap 4. Configuratie van de cryptografische kaarten
Nu moeten we de configuratie fase-1 en fase-2 toepassen op een "crypto kaart" die de ASA in staat zal stellen om VPN op te zetten en het juiste verkeer te versturen.  Zie dit als het samenbinden van de stukken van VPN.



Stap 5. Controleer de VPN-status
Controleer tot slot de eindpunten om te verifiëren dat de VPN-verbinding in bedrijf is.  De verbinding zal niet op zichzelf komen, u zal verkeer moeten doorgeven zodat de ASA het kan detecteren en de verbinding kan proberen te vestigen. Gebruik de opdracht "show crypto isakmpsa" om de status weer te geven.



Ga in de RV42G naar VPN > Summary pagina en controleer de status.

Alternatief scenario: Meervoudige subnetten op het netwerk

Geen paniek. Dit kan een zeer gecompliceerd proces lijken wanneer u het netwerk installeert, maar u hebt het harde bovenstaande al gedaan. Het configureren van VPN voor meerdere subnetten vereist enige extra configuratie, maar zeer weinig extra complexiteit (tenzij uw subnetschema uitgebreid is). Het voorbeeld dat we voor deze sectie hebben gebruikt, gebruikt 2 subnetten op elke locatie. De bijgewerkte netwerktopologie is zeer gelijkaardig:

RV042G configureren

Net zoals daarvoor, zullen we eerst de RV042G configureren. RV042G kan geen meerdere subnetten via één tunnel configureren, dus zullen we een extra ingang voor het nieuwe net moeten toevoegen. Deze sectie heeft alleen betrekking op de VPN-configuratie voor meerdere subnetten en niet op enige extra setup-configuratie voor meerdere subnetten.
Stap 1. Configuratie van de eerste tunnel
We zullen dezelfde configuratie voor elke tunnel gebruiken als voor het enkele-net voorbeeld.  Zoals eerder, vormt u dit door naar VPN > Gateway te gaan om een nieuwe tunnel toe te voegen of als u een bestaande tunnel gebruikt om naar VPN > Summary page te gaan en de bestaande te bewerken.
a) Het configureren van de tunnelnaam, maar verandering aangezien we meer dan één wijziging van de naam hebben om beschrijvend te zijn.



b) Daarna zullen we de lokale groep configureren, op dezelfde manier als voorheen.  Configureer dit voor slechts één van de subnetten die toegang nodig hebben.  We hebben een tunnelingang voor 122.166.12.x en een andere voor het 122.166.13.x subnet.



c) Configureer nu de externe site opnieuw met behulp van dezelfde procedure als hierboven.



d) Stel tenslotte de encryptie-instellingen in.  Onthoud deze instellingen omdat u wilt dat ze hetzelfde zijn op beide tunnels die we configureren.



Stap 2. De tweede tunnel configureren
Nu Subnet 1 voor de tunnel van VPN wordt gevormd, moeten we naar VPN > Gateway naar Gateway en een tweede tunnel toevoegen.  Deze tweede ingang zal ongeveer het zelfde als de eerste worden gevormd, maar met de secundaire subnetten van elke plaats. 
a) zorg ervoor dat u iets onderscheidt dat u weet welke verbinding het is.



b) Gebruik het tweede subnet als de groep "Lokale beveiliging".



C) en gebruik tweede afstandssubnet als de groep "Afstandsbeveiliging".



d) Het configureren van de codering voor fase 1 en fase 2 is hetzelfde als voor de eerste tunnel.

De ASA configureren

Nu zullen we de configuratie van de ASA wijzigen.  Deze configuratie is ongelooflijk eenvoudig.  U kunt dezelfde configuratie gebruiken als hierboven, omdat alle dezelfde encryptie-instellingen worden gebruikt, met slechts een kleine verandering.  We moeten extra verkeer als 'interessant' voor de firewall taggen om het via VPN te verzenden.   Omdat we een toegangslijst gebruiken om interessant verkeer te identificeren, moeten we deze toegangslijst alleen maar aanpassen.
Stap 1.  Om te beginnen, verwijder de oude toegangslijst, zodat we de voorwerpen in de ASA kunnen wijzigen.  Gebruik de opdracht "nee" om configuraties in de CLI te verwijderen.
Stap 2.  Zodra ACL wordt verwijderd, willen we nieuwe objecten voor de betrokken nieuwe subnetten creëren (ervan uitgaande dat u dit nog niet gedaan hebt in het instellen van deze subnetten).  We willen ze ook duidelijker omschrijven.
Gebaseerd op onze onderstaande VLAN-configuratie:



We hebben een doelgroep nodig voor het interne hoofdnetwerk (192.168.10.x) en het technische netwerk (192.168.20.x).  Het configureren van de netwerkobjecten is als volgt:



Stap 3.  Nu de relevante netwerkobjecten zijn geconfigureerd kunnen we de toegangslijst configureren om het juiste verkeer te markeren.  U wilt ervoor zorgen dat u een toegang-lijst ingang voor beide netwerken achter de ASA heeft tot beide afstandssubnetten.  Het eindresultaat moet er zo uitzien.



Stap 4.  Omdat we de oude toegangslijst hebben geschrapt, moeten we ze opnieuw toepassen op de crypto kaart met dezelfde opdracht als voorheen:

Controleer de verbinding

En dat is het! Je tunnel zou nu operationeel moeten zijn. Start de verbinding en controleer de status met behulp van de opdracht "show crypto isakmpsa" in de ASA.



In de RV-serie zal de status in VPN > Summary pagina worden weergegeven.