Comunidade de Suporte da Cisco - Webcast ao Vivo:

Transcrição

1 Comunidade de Suporte da Cisco - Webcast ao Vivo: GET VPN (Group Encrypted Transport VPN): Configuração e Troubleshooting Itzcoatl Espinosa Cisco Support Engineer 04/06/14

2 Webcast com Especialistas em Tecnologia da Comunidade Cisco Especialista de hoje: Itzcoatl Espinosa, Cisco Support Engineer Engenheiro TAC Cisco Confidential 2

3 Webcast com Especialistas em Tecnologia da Comunidade Cisco Especialistas ajudantes de hoje: Ricardo Prado Engenheiro TAC Paulo de Aguiar Engenheiro TAC Cisco Confidential 3

4 Obrigado por estar com a gente hoje! Durante a apresentação, serão feitas algumas perguntas para o público. Dê suas respostas, participe! Cisco Confidential 4

5 Obrigado por estar com a gente hoje! Se você quiser baixar uma cópia da apresentação de hoje, basta clicar no link abaixo ou ir até a Comunidade de Suporte e buscar este webcast na aba Canto dos especialistas. Cisco Confidential 5

6 Primeira Pergunta Você sabe o qué é GETVPN (Group Encrypted Transport VPN)? a) Eu tenho uma idéia básica do que é e como funciona. b) Eu tenho conhecimento teórico sobre o tema, mas sem experiência prática. c) Eu já trabalhei com GETVPN no laboratório. d) Eu tenho GETVPN em uma rede de produção. Cisco Confidential 6

7 Agenda O qué é GETVPN? Conceitos básicos Implementação e Configuração Key Server em modo cooperativo (COOP KS) Verificação e solução de problemas Demo lab Cisco Confidential 7

8 Cisco Confidential 8

9 GETVPN: Group Encrypted Transport Virtual Private Network Nova geração de VPNs para WAN que não utiliza túneis tradicionais ponto-aponto. Baseado em um modelo de membros confiáveis. Os membros de um grupo GETVPN podem comunicar-se uns com os outros usando uma política comum, de modo que a negociação IPSec entre GMs não é necessária. Escalável (conexão any-to-any). Preserva a origem e o destino do endereço IP no cabeçalho do pacote. Fornece segurança para conexões privadas WAN. Criptografa o tráfego em redes MPLS. Cisco Confidential 9

10 Conceitos básicos GDOI. (Group Domain of Interpretation). Protocolo ISAKMP utilizado para o gerenciamento de chaves. Ele é utilizado na comunicação entre os KS e GMs sobre a porta UDP 848. Key Server (KS). Controla e estabelece Associações de Segurança (SAs.) Manutenção das políticas e chaves do grupo. Group Member (GM). Cadastra-se com o servidor para obter o IPSEC SAs (associações de segurança) que são necessários para criptografar o tráfego. Cisco Confidential 10

11 Conceitos básicos KEK (Key Encryption Key). Criptografa as mensagens de rekey entre o servidor e os membros do grupo. Tempo de vida KEK. Pelo menos 3 vezes a TEK. crypto gdoi group GDOI-GROUP1 server local rekey lifetime seconds TEK (Traffic Encryption Key). IPSEC SA usado para a comunicação dos membros do grupo (GMs). Tempo de vida TEK. Valor recomendado: 2 horas: crypto IPSec profile profile1 set security-association lifetime seconds 7200 Cisco Confidential 11

12 Equipamentos e requisitos IOS imagem: 12.4(15)T8 e 12.4(22)T2 IOS-XE imagem: 12.2(33)XNC Referência: GETVPN_DIG_version_1_0_External.pdf Cisco Confidential 12

13 GETVPN GETVPN utiliza os seguintes passos: Key Server GM 1 GM 2 1.Cadastro do GM ao Key Server 2. Autenticação e envio de políticas de criptografia KS (SAs) (KEK) 3. Envio de tráfego entre os GMs. (TEK) 4. Envio do Rekey. Cisco Confidential 13

14 Configuração do Key Server Instale a chave RSA para o rekey. Exemplo: crypto key generate rsa modulus 1024 label REKEYRSA Verifique o status da chave show crypto key mypubkey rsa Se co-op KS será feito, a chave deve ser exportable. crypto key generate rsa modulus 1024 label REKEYRSA exportable Cisco Confidential 14

15 Rekey (Distribuição de Chaves) Usado para enviar políticas. O KS monitora o tempo de vida (lifetime) da SA, e envia um rekey antes que ela expirar. As chaves podem ser distribuídas da forma unicast ou multicast. Multicast. Usado em uma grande implantação. É escalável, mas requer uma infra-estrutura de roteamento em multicast. Unicast. A GM precisa confirmar o recebimento do rekey ao KS. Cisco Confidential 15

16 Rekey (Distribuição de Chaves) As seguintes alterações gerarão rekey pelo Key Server. Altere a crypto ACL. Modifique o IPSec transformar set. Altere o tipo de rekey (unicast para multicast, ou vice-versa). Mude o endereço multicast do rekey. Alterar chave RSA. Modificar as configurações de perfil do crypto Ativar ou desativar a detecção de anti-replay. Cisco Confidential 16

17 Implementação do GETVPN Instale KS em locais geograficamente separados. Pode ser usado o rekey unicast em implantações até GMs. Use certificados em vez de chave pre-shared para escalabilidade e segurança. Quando há mais de 1000 GMs e as políticas são grandes, as mensagens do rekey podem ser muito grandes também. Às vezes, é recomendado aumentar o tamanho da memória dos buffers no KS. buffers huge size Cisco Confidential 17

18 Implementação do GETVPN A rede deve ser acessível entre os KS e os membros do grupo. O roteador CE (Customer Edge) deve ter o hardware de criptografia apropriado para lidar com a quantidade de tráfego esperado. Se houver um firewall no meio, certifique-se que não estão bloqueados os seguintes protocolos : GDOI (UDP 848). ESP (IP 50). O servidor de NTP e a Autoridade Certificadora (CA) devem ser acessíveis. O cadastro dos membros pode ser equilibrada entre os Key Servers. Cisco Confidential 18

19 Configuração do ACL do crypto Recomenda-se reduzir a configuração tanto quanto seja possível. Colocar entradas de permit e ao final ter o deny any any implícito. Não utilizar portas para definir o ACL. Há um limite de 100 entradas na ACL, contudo, ter visto problemas de desempenho em configurações menores. Utilizar uma configuração simétrica e resumir redes para evitar o consumo da memória: Ejemplo: permit ip Cisco Confidential 19

20 Configuração do Key Server KS1#show run crypto isakmp policy 1 encr 3des! crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac! crypto ipsec profile profile1 set transform-set 3des-sha! crypto gdoi group group1 identity number 1111 server local rekey address ipv4 rekey_mul rekey retransmit 10 number 2 rekey authentication mypubkey rsa REKEYRSA sa ipsec 1 profile profile1 match address ipv4 getvpn_acl replay time window-size 40 address ipv Políticas Fase I Perfil que utiliza o transform set Gerar o grupo do GETVPN Identificador do grupo Tipo de rekey utilizado Chave usada para o rekey Políticas de Fase II (IPSEC) Crypto ACL Endereço do servidor Cisco Confidential 20

21 Configuração do Key Server Continuação! ip access-list extended getvpn_acl permit ip host host permit ip host host !! ip access-list extended rekey_mul permit ip host host permit ip host host !! ntp source Loopback0 ntp master 1 ACL do criptografado ACL para o rekey em multicast Configuração do NTP Cisco Confidential 21

22 Configuração do Group Member (GM) GM#show run crypto isakmp policy 1 encr 3des! crypto gdoi group group1 identity number 1111 server address ipv server address ipv ! crypto map gdoi_map 1 gdoi set group group1! interface Loopback0 ip address ! interface Ethernet0/0 ip address crypto map gdoi_map Políticas de Fase I Gerar o grupo do GETVPN Identificador do grupo Servidor primário para o cadastro Servidor secundário Aplicação do grupo no crypto map Aplicação do crypto map na interface Cisco Confidential 22

23 Cisco Confidential 23

24 Segunda Pergunta Você sabe o que é GETVPN em modo cooperativo? a) Conheço o conceito. b) Eu tenho o conhecimento teórico necessário. c) Eu fiz o GETVPN no laboratório. d) Eu tenho GETVPN em modo cooperativo em uma rede em produção. Cisco Confidential 24

25 Coop Key Server Usado em grandes implantações para garantir redundância e cadastro de todos os GMs. O KS principal é responsável pela criação e distribuição das políticas de criptografia. Ele envia atualizações para os outros KS para manter a sincronia. O KS secundário mantém o controle do estado do KS primário (Alive o Dead). Se os KS secundários param de receber mensagens do COOP. O KS secundário muda para o estado primário. O cadastro pode ser feito em qualquer KS para realizar o balanceamento de carga, no entanto, apenas o KS primário faz a distribuição das mensagens do rekey. Cisco Confidential 25

26 Coop Key Server Gerar uma chave RSA e exporta-la para os outros Key Servers. A escolha do KS primário se baseia na mais alta prioridade. Ativar os ISAKMP keepalives (Dead Peer Detection - DPD). As configurações de GETVPN devem ser iguais entre os Key Servers. Se certificados PKI são usados para autenticar a Fase I, recomendamos o uso de uma chave RSA diferente. Key Server 1 Key Server 2 GM 1 GM 2 Cisco Confidential 26

27 Configuração do Coop Key Server Gerar um tipo de chave exportável crypto key generate rsa modulus 1024 label REKEYRSA exportable Exporte a chave RSA crypto key export rsa REKEYRSA pem terminal 3des <pass code> Importar a chave em outros KSs. crypto key import rsa REKEYRSA pem terminal <pass code> Configure o Key Server em modo cooperativo crypto isakmp keepalive 15 periodic! crypto gdoi group GDOI-GROUP1 server local address ipv redundancy local priority 250 peer address ipv Ativar keepalive Endereço do KS local Ativar redundância Prioridade para a escolha Endereço do KS secundário Cisco Confidential 27

28 Cisco Confidential 28

29 Cadastro do Group Member Cadastro com sucesso de um membro May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS for group group1 using address May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads May 10 22:56:24.055: ISAKMP:(1005): sending packet to my_port 848 peer_port 848 (I) GDOI_IDLE May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS complete for group group1 using address May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1. Cisco Confidential 29

30 Verificação do Key Server KS1_CA#show cry gdoi GROUP INFORMATION Group Name : group1 (Multicast) Group Identity : 1111 Group Members : 2 IPSec SA Direction : Both Active Group Server : Local Redundancy : Configured Local Address : Local Priority : 250 Local KS Status : Alive Local KS Role : Primary Group Rekey Lifetime : secs Group Rekey Remaining Lifetime : secs Rekey Retransmit Period : 10 secs Rekey Retransmit Attempts: 2 Group Retransmit Remaining Lifetime : 0 secs IPSec SA Number : 1 IPSec SA Rekey Lifetime: 3600 secs Profile Name : profile1 Replay method : Time Based Replay Window Size : 40 SA Rekey Remaining Lifetime : 2516 secs ACL Configured : access-list getvpn_acl Group Server list : Local Cisco Confidential 30

31 Verificação do Group Member GM1#show crypto gdoi GROUP INFORMATION Group Name : group1 Group Identity : 1111 Rekeys received : 0 IPSec SA Direction : Both Active Group Server : Group Server list : GM Reregisters in Rekey Received Rekeys received Cumulative : 0 After registration : 0 : 2426 secs : never KEK POLICY: Rekey Transport Type : Multicast Lifetime (secs) : Encrypt Algorithm : 3DES Key Size : 192 Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1024 TEK POLICY for the current KS-Policy ACEs Downloaded: Ethernet0/0: IPsec SA: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac sa timing:remaining key lifetime (sec): (2549) Anti-Replay(Time Based) : 40 sec interval ACL Downloaded From KS : access-list permit ip host host access-list permit ip host host Cisco Confidential 31

32 Verificação do Group Member Uma vez cadastrado, verifique o rekey: GM1#show cry isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status GDOI_REKEY 1006 ACTIVE GDOI_IDLE 1005 ACTIVE Os GMs devem receber periodicamente o rekey. GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 1 GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 2 GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 3 Cisco Confidential 32

33 Verificação do Coop KS KS1_CA#show cry gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: , Local Key Server handle: Local Address: Local Priority: 250 Local KS Role: Primary, Local KS Status: Alive Primary Timers: Peer Sessions: Session 1: Server handle: Peer Address: Peer Priority: 100 Peer KS Role: Secondary, Peer KS Status: Alive Antireplay Sequence Number: 4 IKE status: Established Counters: KS2#show crypto gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: , Local Key Server handle: Local Address: Local Priority: 100 Local KS Role: Secondary, Local KS Status: Alive Secondary Timers: Peer Sessions: Session 1: Server handle: Peer Address: Peer Priority: 250 Peer KS Role: Primary, Peer KS Status: Alive Antireplay Sequence Number: 183 IKE status: Established Counters: Cisco Confidential 33

34 Tráfego criptografado nos GMs GM2#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: gdoi_map, local addr local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 848 PERMIT, flags={origin_is_acl,} #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x22AF9D8E( ) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac, outbound esp sas: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac Cisco Confidential 34

35 Comandos úteis No Key Server Show crypto gdoi Show crypto gdoi ks acl Show crypto gdoi ks coop Show crypto gdoi ks members Show crypto gdoi ks policy No Group Member Show crypto gdoi Show crypto gdoi gm acl Show crypto gdoi gm rekey Show crypto gdoi ipsec sa Show crypto isakmp sa Show crypto ipsec sa Cisco Confidential 35

36 Comandos úteis Limpar o túnel Clear crypto sa Clear crypto isakmp Clear crypto gdoi Nota: O comando clear crypto gdoi" executado no Key Server, limpa todos os cadastros. Debugs debug crypto gdoi? error Error level event Event level gm ks Group Member Key Server packet Packet level NOTA: A ativação dos debugs em um ambiente de produção pode causar problemas de desempenho nos roteadores. Cisco Confidential 36

37 Problemas no cadastro do Group Member Verifique a conectividade entre os GMs e KS (ping). Se o KS está atrás de um firewall, verifique se o GDOI (UDP 848) estar permitido. Se você tiver rekey em multicast, verifique se o roteador está ativado para roteamento em multicast. A fase 1 de IKE é usada para o cadastro, verifique que as políticas entre o KS e GM são iguais. Se existe um grande número de GMs tentando se cadastrar ao mesmo tempo pode causar high CPU no KS. Ao usar certificados, verifique se eles estão corretos e são válidos. Cisco Confidential 37

38 Falha de criptografia no GM A falha pode ser causada por uma diferença no SPI(Security Payload Index) entre os GMs por alguma divisão na rede. Essa divisão faz com que os Key Servers percam a sincronia e cada um envia as suas próprias chaves TEK. Verifique se eles estão usando o mesmo SPI e restaure a comunicação entre os Key Servers. Cisco Confidential 38

39 Pergunta 3 Qual das seguintes alterações não irão gerar um tiro do rekey? a) Mudar a ACL crypto b) Alterar o tipo de unicast para multicast rekey.. c) Alterar o endereço IP do rekey multicast. d) Mudar o tamanho da janela de anti-replay. Cisco Confidential 39

40 Cisco Confidential 40

41 Lab Demo: Topología Cisco Confidential 41

42 Referências GETVPN deployment guide 07_ html GETVPN Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide %2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transportvpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability Cisco Confidential 42

43 Envie sua pergunta agora! Use o painel Q&A para enviar suas perguntas, os especialistas irão responder ao vivo!

44 Evento Pergunte aos Especialistas com Itzcoatl Espinosa Se você quiser tirar mais dúvidas com o nosso especialista, ele estará respondendo a perguntas entre os dias 04 e 13 de Junho, neste link: O vídeo, a apresentação e as perguntas e respostas serão disponibilizados até a terça-feira da semana que vem no link: Cisco Confidential 44

45 Qualifique o conteúdo da Cisco Support Community em Português Agora é possível qualificar discussões, documentos, blogs e vídeos!!! Cisco Confidential 45

46 Spotlight Awards (Prêmio Participantes em Detaque) O prêmio participantes em destaque foi criado em 2012 na comunidade global da Cisco e é usado para reconhecer àqueles membros que dão um contribuição significativa para a comunidade de suporte da Cisco e que além de tudo exercem um papel de liderança dentro da comunidade em distintas categorias Foi lançado na comunidade em português, em 1 de dezembro de 2013 e conta com a categoria O Novato. Mais detalhes sobre o premio, podem ser consultados no link: Cisco Confidential 46

47 Convidamos você a participar da CSC em português e em nossas redes sociais Portugal: Brasil: Portugal: Brasil: Portugal: /user/ciscoportugal Brasil: Portugal: Cisco Confidential 47

48 Muito Obrigado por assistir. Por favor complete o formulário de avaliação e dê sugestões de temas para os próximos webcasts!

49