ipsec – RSNET.PL

DMVPN faza 1 + IPSEC – konfiguracja

admin — Tue, 02 Jan 2018 19:36:21 +0000

We wpisie https://kubsoo.github.io/rsnet-website/dmvpn-faza-1-konfiguracja/ pokazałem jak skonfigurować DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP. W tym wpisie pokażę jak do tak przygotowanej konfiguracji dodać konfigurację IPSEC, tak żeby łączność pomiędzy urządzeniami była zabezpieczona przy wykorzystaniu IPSEC.

Przypomnijmy jeszcze raz topologię oraz konfigurację DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP.

Topologia

Konfiguracja DMVPN

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

KONFIGURACJA IPSEC

Przed przystąpieniem do konfigurowania IPSEC sprawdźmy jak wygląda ruch w DMVPN widziany na interfejsie fa0/0 routera R1. Posłużymy się do tego wiresharkiem:

Po uruchomieniu wiresharka spingujmy router R3 (SPOKE-2) z routera R2 (SPOKE-1). W tym celu wydajmy polecene ping 172.22.10.3 na routerze R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

Sprawdźmy jak wygląda ten ruch w wiresharku:

Widzimy, że ruch nie jest szyfrowany i możemy go podsłuchać. Spróbujmy go teraz zabezpieczyć przy pomocy IPSECa.

Konfiguracja IPSEC na każdym routerze wygląda tak samo:

R1 (HUB), R2 (SPOKE1), R3 (SPOKE2), R4 (SPOKE3)

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROFILE
 set transform-set TSET
!
int tunnel 0
 tunnel protection ipsec profile IPSEC_PROFILE

Po skonfigurowaniu IPSEC sprawdźmy czy zestawił się on poprawnie (isakmp sa i ipsec sa). Wystarczy, że dokonamy sprawdzenia na routerze R1 (HUB), ponieważ routery R2, R3, R4 zestawiają tunele tylko z nim.

R1 (HUB)

HUB#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.10.4 192.168.10.1 QM_IDLE 1005 ACTIVE
192.168.10.1 192.168.10.4 QM_IDLE 1004 ACTIVE
192.168.10.1 192.168.10.3 QM_IDLE 1003 ACTIVE
192.168.10.1 192.168.10.2 QM_IDLE 1001 ACTIVE
192.168.10.2 192.168.10.1 QM_IDLE 1002 ACTIVE
192.168.10.3 192.168.10.1 QM_IDLE 1006 ACTIVE

HUB#show crypto ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 192.168.10.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.3/255.255.255.255/47/0)
 current_peer 192.168.10.3 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.3
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x4D074ABE(1292323518)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xA8B99213(2830733843)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 7, flow_id: 7, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x81E2FE13(2179137043)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 9, flow_id: 9, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x7BDEB7FE(2078193662)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 17, flow_id: 17, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x2B6C154D(728503629)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 8, flow_id: 8, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x1A5D7249(442331721)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 10, flow_id: 10, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x4D074ABE(1292323518)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 18, flow_id: 18, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/47/0)
 current_peer 192.168.10.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.2
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x72B18574(1924236660)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0x532102AC(1394672300)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 1, flow_id: 1, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xA0B95616(2696500758)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 3, flow_id: 3, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D891B1C(1032395548)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 5, flow_id: 5, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x8888EE44(2290675268)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 2, flow_id: 2, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x85FE093(140501139)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 4, flow_id: 4, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x72B18574(1924236660)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 6, flow_id: 6, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.4/255.255.255.255/47/0)
 current_peer 192.168.10.4 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.4
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0xD87AECE3(3631934691)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xFCF21C61(4243725409)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 11, flow_id: 11, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x8DACF8C3(2376923331)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 13, flow_id: 13, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xF7D288AB(4157769899)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 15, flow_id: 15, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xE7B4AE5B(3887378011)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 12, flow_id: 12, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D9E28E5(1033775333)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 14, flow_id: 14, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xD87AECE3(3631934691)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 16, flow_id: 16, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać z wyników powyższych komend wszystkie tunele zestawiły się poprawnie.

WERYFIKACJA

Sprawdźmy teraz co widać w wiresharku przy pingowaniu routera R3 (SPOKE-2) z routera R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

PODSUMOWANIE

Jak widać zgodnie z teorią IPSEC w wiresharku przy pingowaniu widzimy adresy 192.168.10.X (ponieważ skonfigurowaliśmy IPSEC w trybie transportowym), ponadto nie widzimy jaki ruch jest przesyłany. Widzimy tylko pakiety ESP które składają się z ESP SPI oraz numeru sekwencyjnego. DMVPN w połączeniu z IPSEC jest bardzo dobrą kombinacją do budowania skalowanych sieci VPN między oddziałami firmy, ponieważ przy dodawaniu nowego oddziału (SPOKE) dzięki zastosowaniu DMVPN nie musimy nic konfigurować na naszym HUBie i taki nowy oddział po skonfigurowaniu będzie miał łączność pomiędzy innymi oddziałami a IPSEC pozwoli dodatkowo zabezpieczyć transmisję.

IPSEC VPN – teoria

admin — Sun, 17 Dec 2017 20:41:10 +0000

Czym jest IPSEC ?

IPSEC jest zestawem protokołów, który pozwala na zestawianie bezpiecznego szyfrowanego tunelu pomiędzy dwoma urządzeniami sieciowymi za pośrednictwem internetu. IPSEC zapewnia uwierzytelnianie stron biorących udział w zestawieniu tunelu oraz integralność, poufność przesyłanych danych i ochronę przed atakimi powtórzeniowymi (replay protection). IPSEC służy do budowania sieci VPN w Internecie.

Funkcje bezpieczeństwa IPSEC:

1. Uwierzytelnianie

Obie strony biorące udział w zestawianiu tunelu muszą zostać uwierzytelnione, które potwierdzania tożsamości obu stron podczas komunikacji. W IPSEC istnieją 3 metody uwierzytelniania:

wstępnie uzgodnione klucze (preshared keys)
klucze RSA (klucze prywatne i publiczne)
certyfikaty

2. Integralność danych

Ta funkcja zapewnia, że dane nie zostały zmienione podczas stransmisji. Służą do tego algorytmy haszujące (SHA, MD5)

3. Poufność przesyłanych danych

Poufność przesyłanych danych w IPSEC otrzymuje się poprzez szyfrowanie danych. Rodzaje stosowanego szyfrowania (DES, 3DES, AES)

4. Ochrona odtwarzania

Zapewnia otrzymanie danego pakietu tylko raz. Jest to realizowane przez numer sekwencyjny. Każdemu pakietowi nadawany jest numer sekwencyjny. Numer sekwencyjny jest losowany i zwiększany o 1 z każdym wysłanym przez dany kanał pakietem i służy do rozpoznawania pakietów o kolejności przestawionej podczas wędrówki po sieci oraz chroni przed atakami powtórzeniowymi

Tryby IPSEC

IPSEC VPN może być skonfigurowane w dwóch trybach:

tryb tunelowy

domyślny tryb, cały pakiet IP jest szyfrowany przez IPSEC, włącznie z nagłówkiem IP, dodawany jest nowy nagłówek IP. Mówiąc to w prostych słowach, w tym trybie nie widzimy kto ze sobą rozmawia ani o czym.

tryb transportowy

obejmuje szyfrowanie samych danych, pozostawiając oryginalny nagłówek IP, nowy nagłówek jest dodawany pomiędzy nagłówkiem IP a nagłówkiem transportowym (L4)

Tryb tunelowy stosuje się między routerami/gatewayami, natomiast tryb transportowy stosuje się do tworzenia sieci VPN pomiędzy komputerami.

Nagłówki IPSEC

Protokoły wykorzystywane przez IPSEC

IPSEC korzysta z trzech podstawowych protokołów:

IKE (Internet Key Exchange)
ESP (Encapsulating Security Payload
AH (Authentication Header)

IKE (Internet Key Exchange)

Przed zestawieniem tunelu IPSec konieczne jest ustalenie związków bezpieczeństwa (Security Association). Może być to realizowane ręcznie albo przy użyciu protokołu IKE. IKE posiada dwie wersje (IKEv1 oraz IKEv2). W tym wpisie będę odwoływał się do wersji IKEv1. Wszystkie informacje o IKE można znaleźć w poniższych RFC:

https://www.ietf.org/rfc/rfc5996.txt

https://www.ietf.org/rfc/rfc2409.txt

Protokół IKE bazuje na algorytmie Diffiego-Hellmana, który pozwala w bezpieczny sposób wyznaczyć bezpieczny klucz sesji.

Nawiązanie bezpiecznej sesji IKE składa się z z dwóch faz.

faza 1 – ISAKMP phase 1 w trakcie której tworzy się IKE SA
faza 2 – w trakcie której tworzy się IPSEC SA

W fazie 1 następuje uwierzytelnienie stron komunikujących się między sobą, wybór algorytmów uwierzytelniania, ochrony poufności, integralności, sposób wyboru klucza sesji, ustalenie klucza sesji itp. Wynikiem tej fazy jest ISAKMP SA – security association, które służy dalszej ochronie komunikacji odbywającej się w fazie 2. Utworzone w fazie pierwszej SA jest dwukierunkowe. Standardowo kanał wymiany kluczy działa na porcie UDP/500. Faza 1 może być przeprowadzana w jednym z dwóch trybów:

main mode
aggressive mode

W trybie main mode przy preshared keys wymienianych jest 6 wiadomości pomiędzy stronami do utworzenia IKE SA. W trybie aggressive mode IKE SA jest tworzone po 3 wiadomościach.

LEGENDA:

SA (Security Association) – propozycje algorytmów szyfrowania, funkcji skrótu, metod uwierzytelniania, grupy DH…

klucz – służy do wygenerowania algorytmem Diffie Hellman współdzielonego klucza do szyfrowania transmisji

Ni, Nr – losowy numer, który jest użyty tylko raz i zapobiega atakom powtórzeniowym

IDii, IDir – tożsamość stron biorących udział w negocjacji IKE SA, mogą to być adresy IP lub FQDN

Hash_I, Hash_R – hash który powstaje na podstawie klucza, IDii/IDir i danych.

Nagłówek ISAKMP* – oznacza że jest to nagłówek zaszyfrowany

W fazie 2 zostanie utworzone IPSEC SA, które będzie służyć do ochrony ruchu między komunikującymi się stronami, wykorzystując protokoły ESP i AH. SA w fazie drugiej jest jednokierunkowe, więc tworzone są 2 SA dla komunikacji w obie strony.

ESP i AH

ESP (Encapsulating Security Payload):

ESP zapewnia szyfrowanie, uwierzytelnianie i integralność danych
protokół IP numer 50
większy narzut niż w AH

AH (Authentication Header):

AH zapewnia uwierzytelnianie, integralność danych, ale nie zapewnia poufności jak ESP.
protokół IP numer 51
mniejszy narzut niż w ESP

Nagłówki ESP i AH w trybie transportowym:

Konfiguracja tunelu IPSEC VPN

W moich poprzednich wpisach pokazałem jak skonfigurować tunel IPSEC pomiędzy dwoma routerami CISCO link, oraz pomiędzy routerem CISCO a firewallem Palo Alto link

IPSec S2S VPN Palo Alto – Cisco

admin — Thu, 14 Dec 2017 20:08:07 +0000

W poniższym wpisie pokażę konfigurację tunelu IPSEC VPN pomiędzy firewallem Palo Alto a routerem CISCO. Konfigurację wykonam w labie GNS3, w którym wykorzystam następujące obrazy:

CISCO CSR1000v3.17 – obraz routera CISCO
PA-VM7.1.1.0-1 – obraz firewalla Palo Alto w wersji 7.1.1.0-1
gns3-webterm – kontener dockera do zarządzania firewallem

LAB

Topologia laba GNS3 wygląda nastepująco:

Adresacja

Cisco

Gi1 – 150.1.1.1/30

Tunnel1 – 10.0.0.1/24

Palo Alto

ethernet1/1 – 150.1.1.2/30

tunnel.1 – 10.0.0.2/24

Konfiguracja CISCO

INTERFACES

Router(config)#interface Gi1
Router(config-if)#ip address 150.1.1.1 255.255.255.252
Router(config)#interface Tunnel1
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#tunnel source 150.1.1.1
Router(config-if)#tunnel destination 150.1.1.2

ISAKMP POLICY

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash sha256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 14
Router(config-isakmp)#lifetime 86400
Router(config-isakmp)#encryption aes 256

KLUCZ SZYFRUJĄCY

Router(config)#crypto isakmp key 0 palo_to_cisco! address 150.1.1.2

IP TRANSFORM SET

Router(config)#crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256

IPSEC PROFILE

Router(config)#crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)#set transform-set TSET
Router(ipsec-profile)#set pfs group14
Router(ipsec-profile)#set security-association lifetime seconds 3600

IPSEC TUNNEL

Router(config-if)#tunnel mode ipsec ipv4
Router(config-if)#tunnel protection ipsec profile IPSEC-PROFILE

Cała konfiguracja CISCO

crypto isakmp policy 10
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400
 encryption aes 256
!
crypto isakmp key 0 palo_to_cisco! address 150.1.1.2
!
crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256
!
crypto ipsec profile IPSEC-PROFILE
 set transform-set TSET
 set pfs group14
 set security-association lifetime seconds 3600
!
interface Gi1
 ip address 150.1.1.1 255.255.255.252
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0 
 tunnel source 150.1.1.1
 tunnel destination 150.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-PROFILE
!

Konfiguracja PALO ALTO

INTERFACE MANAGEMENT PROFILE

Network -> Network Profiles -> Interface Mgmt

INTERFACES

Network -> Interfaces -> ethernet1/1

Network -> Interfaces -> tunnel.1

IKE CRYPTO PROFILE

Network -> Network Profiles -> IKE Crypto

IKE GATEWAY

Network -> Network Profiles -> IKE Gateways

IPSEC CRYPTO

Network -> Network Profiles -> IPSec Crypto

IPSEC TUNNEL

Network -> IPSec Tunnels

COMMIT

Teraz wystarczy zrobić commit.

WERYFIKACJA

Sprawdźmy czy tunel się zestawił. Spróbujmy na routerze CISCO spingować adres tunelu na Palo Alto:

Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/8/29 ms

Udało się, teraz sprawdźmy teraz jak wyglądają wyniki następujących komend:

show crypto isakmp sa (faza 1 – IKE SA)
show crypto ipsec sa -(faza 2 – IPSEC SA)

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
150.1.1.2 150.1.1.1 QM_IDLE 1001 ACTIVE

Router#show crypto ipsec sa
interface: Tunnel1
 Crypto map tag: Tunnel1-head-0, local addr 150.1.1.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 current_peer 150.1.1.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 150.1.1.1, remote crypto endpt.: 150.1.1.2
 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
 current outbound spi: 0xA402847E(2751628414)
 PFS (Y/N): Y, DH group: group14

inbound esp sas:
 spi: 0x1AB4F9C2(448068034)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xA402847E(2751628414)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać od strony CISCO wszystko działa, sprawdźmy teraz jak wygląda tunel IPSEC od strony firewalla Palo Alto.

Najpierw spingujmy adres tunelu na CISCO:

admin@PA-VM> ping source 10.0.0.2 host 10.0.0.1
PING 10.0.0.1 (10.0.0.1) from 10.0.0.2 : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=1.91 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=1.81 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=2.16 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=255 time=2.50 ms

Teraz sprawdźmy status intefejsu. Robimy to w interfejsie webowym w zakładce Network -> IPSec Tunnels

Jeśli w polach Status widnieją zielone kropki to znaczy, że tunel zestawił się poprawnie.

PODSUMOWANIE

Tunel IPSEC między urządzeniami CISCO i PALO ALTO jest bardzo łatwy w konfiguracji i mam nadzieję, że po przeczytaniu powyższego wpisu nie powinien sprawić nikomu kłopotu.

CISCO IPSEC VPN – konfiguracja

admin — Sat, 02 Dec 2017 13:20:57 +0000

Jak skonfigurować tunel IPSEC VPN pomiędzy dwoma routerami CISCO?

Tunel IPSEC VPN pomiędzy dwoma routerami CISCO konfigurujemy w następujących krokach:

Globalne uruchomienie usługi
Konfiguracja ISAKMP Policy
Konfiguracja kluczy szyfrujących
Konfiguracja IP transform set
Stworzenie ACL wskazującej na ruch, który chcemy szyfrować
Stworzenie crypto-mapy i wskazanie IP transform set
Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

PRZYKŁAD

Tunel IPSEC VPN zestawimy pomiędzy routerami R1 i R3 z poniższej topologii:

Konfiguracja podstawowa:

hostname R1
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any

hostname R3
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.23.3 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any

KONFIGURACJA IPSEC VPN

1. Globalne uruchomienie usługi

R1(config)#crypto isakmp enable

R3(config)#crypto isakmp enable

2. Konfiguracja ISAKMP Policy

R1(config)#crypto isakmp 
R1(config)#policy 10
R1(config)#encr 3des
R1(config)#hash md5
R1(config)#authentication 
R1(config)#pre-share
R1(config)#group 15

R3(config)#crypto isakmp 
R3(config)#policy 10
R3(config)#encr 3des
R3(config)#hash md5
R3(config)#authentication 
R3(config)#pre-share
R3(config)#group 15

Na obu routerach ISAKMP policy musi być taka sama w celu zestwienia fazy 1 ISAKMP.

3. Konfiguracja kluczy szyfrujących

R1(config)#crypto isakmp key cisco123 address 192.168.23.3

R3(config)#crypto isakmp key cisco123 address 192.168.12.1

W kluczach szyfrujących podajemy adres IP peer’a, z którym chcemy nawiązać tunel IPSEC VPN.

4. Konfiguracja IP transform set

R1(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel

R3(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R3(cfg-crypto-trans)#mode tunnel

5. Stworzenie ACL wskazującej na ruch, który chcemy szyfrować

R1(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

R3(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

6. Stworzenie crypto-mapy i wskazanie IP transform set

R1(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R1(config-crypto-map)#set peer 192.168.23.3
R1(config-crypto-map)#set transform-set TSET
R1(config-crypto-map)#match address 101

R3(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R3(config-crypto-map)#set peer 192.168.12.1
R3(config-crypto-map)#set transform-set TSET
R3(config-crypto-map)#match address 101

7. Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

R1(config)#int fastEthernet 0/0
R1(config-if)#crypto map CMAP

R3(config)#int fastEthernet 0/0
R3(config-if)#crypto map CMAP

PODSUMOWANIE

Cała konfiguracja wygląda następująco:

R1#show run
!
hostname R1
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.23.3
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.23.3
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any
access-list 101 permit ip host 1.1.1.1 host 3.3.3.3
!

R3#show run
!
hostname R3
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.12.1
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.12.1
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.23.3 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any
access-list 101 permit ip host 3.3.3.3 host 1.1.1.1
!

Tunel IPSEC VPN zestawi się tylko wtedy kiedy router zobaczy na ruch który pasuje do ACL 101 w crypto-mapie. Spróbujmy więc wydać komendę ping ip 3.3.3.3 source 1.1.1.1 na routerze R1:

R1#ping ip 3.3.3.3 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 28/32/44 ms

Łączność jest, czyli tunel się zestawił. Sprawdźmy to wydając nastepujące komendy:

show crypto isakmp sa
show crypto ipsec sa

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.23.3 192.168.12.1 QM_IDLE 1001 ACTIVE

R1#show crypto ipsec sa
interface: FastEthernet0/0
    Crypto map tag: CMAP, local addr 192.168.12.1
   
protected vrf: (none)
   local  ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)
   current_peer 192.168.23.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
    #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x34978E4A(882347594)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6DB519C5(1840585157)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: 1, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x34978E4A(882347594)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: 2, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Zobaczmy teraz co widać na interfejsie FastEthernet 0/0 routera R3 w trakcie pingu:

Jak widać na powyższych zrzutach ekranu z programu Wireshark widzimy tylko pakiety protokołu ESP, które zawierają tylko ESP SPI i ESP Sequence. Czyli ruch jest zaszyfrowany zgodnie z założeniami i z konfiguracją.