FlexVPN com exemplo da configuração de criptografia da próxima geração

Documentos relacionados
AnyConnect ao final do cabeçalho IO sobre o IPsec com IKEv2 e exemplo de configuração dos Certificados

Dinâmico ao exemplo de configuração dinâmico do túnel de IPsec

Cisco recomenda que você tem o conhecimento da configuração de VPN SSL no Roteadores do Cisco IOS.

Migração de FlexVPN: Legado EzVPN-NEM+ e FlexVPN no mesmo server

IKEv2 com o cliente VPN ágil de Windows 7 IKEv2 e certificado de autenticação em FlexVPN

Client e configuração Nenhum-MODE

Desenvolvimento zero do toque (ZTD) do exemplo de configuração dos escritórios remotos/spokes VPN

Configurando perfis IPSec (auto modo fechando) no RV160 e no RV260

Configurar Virtual Private Network (VPN) avançado Setup no Firewall RV110W

Configurar o IPSEC ISE 2.2 para fixar uma comunicação NAD (IO)

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Roteador e cliente VPN para Internet públicas em um exemplo de configuração da vara

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

Configurar um túnel do IPSec local a local IKEv1 entre um ASA e um roteador do Cisco IOS

Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W

Local dinâmico para situar um túnel IKEv2 VPN entre um exemplo de configuração dois ASA

Exemplo de configuração da site para site de FlexVPN

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Virtual Private Network (VPN)

Chave manual do IPsec entre o exemplo de configuração do Roteadores

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Configurando IPSec de IOS para IOS usando criptografia de AES

FlexVPN falou no projeto redundante do hub com um exemplo de configuração duplo da aproximação da nuvem

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configurando IPSec entre três roteadores usando endereços privados

Estabelecer um túnel de acesso remoto (cliente ao gateway) para clientes VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Configuração do acesso remoto VPN de AnyConnect em FTD

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Exemplo de Configuração de Roteador que Permite Clientes VPN se Conectarem via IPsec e à Internet Usando a Separação de Túneis

Configurando um Cisco 827 para o PPPoE com sobrecarga NAT do IPSec de VPN

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV180 e RV180W VPN

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Configurar o fluxo de chamadas detalhado UCCE 11.6 com SIP/TLS (CA assinou)

Configurar o IPSEC ISE 2.2 para fixar uma comunicação NAD (ASA)

Mensagem de Erro do Syslog "%CRYPTO-4- RECVD_PKT_MAC_ERR:" com perda do sibilo sobre o Troubleshooting do túnel de IPsec

Este documento não se restringe a versões de software e hardware específicas.

Configurar o único cliente ao Virtual Private Network (VPN) do gateway na série do VPN Router RV320 e RV325

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Criação de túnel redundante entre Firewall usando o PDM

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Migração do EzVPN do legado ao exemplo de configuração aumentado do EzVPN

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Eliminação de erros do intercâmbio de pacotes IKEv2 e do nível de protocolo

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Auxilio a Resolução da Lista de Exercícios

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Configurar o acesso HTTPS para a ferramenta diagnóstica do pórtico da estrutura UCCE com certificado assinado do Certificate Authority (CA)

IOS Router como o Easy VPN Server usando o exemplo de configuração do profissional da configuração

Cisco Jabber para Windows no exemplo de configuração expresso do CallManager

Configurar uma sessão de ebgp segura com um IPsec VTI

Use o cliente VPN macio do musaranho para conectar com o server do IPSec VPN em RV130 e em RV130W

Configurando um túnel IPSec - Cisco VPN 3000 Concentrator para Checkpoint 4.1 Firewall

Configurando o roteador para roteador, o Preshared do IPsec, sobrecarga NAT entre um privado e uma rede pública

Configuração de exemplo utsando o comando ip nat outside source static

OSPF como técnicas do protocolo e da Laçoprevenção PE-CE no exemplo da configuração de VPN MPLS L3

SSLVPN com exemplo de configuração dos Telefones IP

Mobilidade DHCP interno expresso

Configurando o hub and spoke do roteador para roteador do IPsec

Configurando o assistente de instalação VPN no RV160 e no RV260

Túnel IPSec de LAN para LAN entre um Cisco VPN 3000 Concentrator e um roteador com exemplo de configuração AES

Configurando o VPN de Site-para-Site no RV160 e no RV260

Use o cliente VPN de TheGreenBow para conectar com o roteador do RV34x Series

Configurando o Protocolo de Túnel da Camada 2 (L2TP) sobre IPSec

Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W

Configuração de WPA/WPA2 com chave précompartilhada:

IPSEC. IP Security Protocol. *Utilize este material para fins educativos e não comerciais*

Configurar o Acesso remoto ASA IKEv2 com EAP-PEAP e cliente das janelas nativas

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

What Do EIGRP "Not On Common Subnet" Messages Mean?

Processos do intercâmbio de pacotes IKEv1 e IKEv2 IO para perfis com certificados múltiplos

Configurando o IPSec dinâmico a estático de roteador a roteador com NAT

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Exemplo da configuração de cliente de FlexVPN e de Anyconnect IKEv2

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Instale um certificado confiável para o gerente do chassi FXO

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar o Balanceamento de carga em PFRv3

Configurar Certificados de server de aplicativo CA-assinados do abastecimento para aprontar o abastecimento da Colaboração

Falhas da verificação da Anti-repetição do IPsec

PIX/ASA 7.x e mais tarde: VPN fácil com Split Tunneling ASA 5500 como o server e Cisco 871 como o exemplo de configuração do Easy VPN Remote

Desenvolvimento de FlexVPN: Acesso remoto de AnyConnect IKEv2 com EAP-MD5

Papel da autenticação chap configurado sob a relação celular

Utilização de Números de Porta FTP Não- Padrão com NAT

Configurar o Path MTU Discovery CAPWAP

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Configurar o escape da rota VRF no Switches do nexo de Cisco

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

FlexVPN falou no projeto redundante do hub com o exemplo de configuração do bloco do cliente de FlexVPN

Configurar o Access point de pouco peso como um suplicante do 802.1x

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Configurar o proxy WebRTC com o CMS sobre a via expressa com domínio duplo

Responder as questões propostas e relatar as principais observações feitas durante a prática.

Transcrição:

FlexVPN com exemplo da configuração de criptografia da próxima geração Índice Introdução Criptografia da próxima geração Série Suite-B-GCM-128 Pré-requisitos Requisitos Componentes Utilizados Certificate Authority Configurar Topologia de rede Etapas exigidas para permitir o roteador de usar o Digital Signature Algorithm elíptico da curva Configuração Verifique a conexão Troubleshooting Conclusão Introdução Este documento descreve como configurar um FlexVPN entre dois Roteadores que apoia a criptografia da próxima geração de Cisco (NGE) se ajusta dos algoritmos. Criptografia da próxima geração A criptografia de Cisco NGE fixa a informação que viaja sobre as redes que usam quatro configuráveis, bem conhecido, e os algoritmos criptográficos do public domain: Criptografia baseada no Advanced Encryption Standard (AES), que usa o 128-bit ou as chaves do 256-bit Assinaturas digital com o Digital Signature Algorithm elíptico da curva (ECDSA) que esse uso se curva com 256-bit e os módulos principais do 384-bit Trocas de chave que usam o método elíptico de Diffie-Hellman da curva (ECDH) Picar (impressões digitais digitais) baseado no algoritmo de mistura segura 2 (SHA-2) O National Security Agency (NSA) indica que estes quatro algoritmos na combinação oferecem a garantia da informação adequada para a informação secreta. A criptografia da série B NSA para o IPsec foi publicada como um padrão no RFC 6379 e ganhou a aceitação na indústria.

Série Suite-B-GCM-128 Conforme o RFC 6379, estes algoritmos são exigidos para a série Suite-B-GCM-128. Esta série fornece a proteção e a confidencialidade da integridade do Encapsulating Security Payload (ESP) o 128-bit AES-GCM (veja o RFC4106). Esta série deve ser usada quando a proteção da integridade ESP e a criptografia ambos são precisadas. ESP Criptografia AES com chaves do 128-bit e valor da verificação de integridade 16-octet (ICV) em Galois/modo contrário (GCM) (RFC4106) ZERO da integridade IKEv2 Criptografia AES com chaves do 128-bit no modo do Cipher Block Chaining (CBC) (RFC3602) função Pseudo--aleatória HMAC-SHA-256 (RFC4868) Integridade HMAC-SHA-256-128 (RFC4868) Grupo aleatório do 256-bit ECP do grupo Diffie-Hellman (RFC5903) Mais informação na série B e NGE pode ser encontrada na criptografia da próxima geração. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: FlexVPN Versão 2 do intercâmbio de chave de Internet (IKEv2) IPsec Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Hardware: Esse da geração 2 do Roteadores dos Serviços integrados (ISR) (G2) executado a licença da Segurança. Software: Liberação 15.2.3T2 do Cisco IOS Software. Toda a liberação do Cisco IOS Software Release M ou 15.1.2T ou mais tarde pode ser usada desde que esta é quando GCM foi introduzido. Para detalhes, refira o navegador da característica. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Certificate Authority Atualmente, o Cisco IOS Software não apoia um server local do Certificate Authority (CA) que execute ECDH, que é exigido para a série B. Um server de CA da terceira parte deve ser executado. Este exemplo usa Microsoft CA baseado na série B PKI Configurar Topologia de rede Este guia é baseado nesta topologia ilustrada. Os endereços IP de Um ou Mais Servidores Cisco ICM NT devem ser alterados para serir suas exigências. Notas: A instalação consiste em dois Roteadores conectados diretamente, que puderam ser separados por muitos saltos. Em caso afirmativo, assegure-se de que haja uma rota a obter ao endereço IP do peer. Esta configuração detalha somente a criptografia usada. O roteamento IKEv2 ou um protocolo de roteamento devem ser executados sobre o IPSec VPN. Etapas exigidas para permitir o roteador de usar o Digital Signature Algorithm elíptico da curva 1. Crie o Domain Name e o hostname, que são condições prévias para criar um keypair EC. ip domain-name cisco.com hostname Router1 crypto key generate ec keysize 256 label Router1.cisco.com Note: A menos que você executar uma versão com o reparo para a identificação de bug Cisco CSCue59994, o roteador não permitirá que você registre um certificado com um keysize menos de 768. 2. Crie um ponto confiável local a fim ganhar um certificado de CA. crypto pki trustpoint ecdh enrollment terminal revocation-check none eckeypair Router1.cisco.com Note: Desde que CA era autônomo, as verificações da revogação foram desabilitadas. As verificações da revogação devem ser permitidas para a segurança máxima em um ambiente de produção. 3. Autentique o ponto confiável (isto obtém uma cópia do certificado de CA que contém a

chave pública). crypto pki authenticate ecdh 4. Entre no certificado codificado da base 64 de CA na alerta. Entre parado e entre então sim para aceitar. 5. Registre o roteador no PKI em CA. crypto pki enrol ecdh 6. A saída indicada é usada a fim submeter um pedido do certificado a CA. Para Microsoft CA, conecte à interface da WEB de CA e seleto submeta um pedido do certificado. 7. Importe o certificado recebido de CA no roteador. Entre parado uma vez que o certificado é importado. crypto pki import ecdh certificate Configuração A configuração fornecida aqui é para o roteador1. O roteador2 exige um espelho da configuração onde somente os endereços IP de Um ou Mais Servidores Cisco ICM NT na interface de túnel são originais. 1. Crie um mapa do certificado para combinar o certificado do dispositivo de peer. crypto pki certificate map certmap 10 subject-name co cisco.com 2. Configurar a proposta IKEv2 para a série B. crypto ikev2 proposal default encryption aes-cbc-128 integrity sha256 group 19 Note: Os padrões IKEv2 espertos executam um número de algoritmos preconfigured dentro da proposta do padrão IKEv2. Desde que aes-cbc-128 e sha256 são exigidos para a série Suite-B-GCM-128, você deve remover aes-cbc-256, sha384, e sha512 dentro destes algoritmos. A razão para esta é que IKEv2 escolhe o algoritmo o mais forte quando apresentado com uma escolha. Para a segurança máxima, use aes-cbc-256 e sha512. Contudo, isto não é exigido para Suite-B-GCM-128. A fim ver a proposta IKEv2 configurada, incorpore o comando cripto da proposta ikev2 da mostra. 3. Configurar o perfil IKEv2 para combinar o mapa do certificado e para usar ECDSA com o

ponto confiável definido mais cedo. crypto ikev2 profile default match certificate certmap identity local dn authentication remote ecdsa-sig authentication local ecdsa-sig pki trustpoint ecdh 4. Configurar o IPsec transformam para usar GCM. crypto ipsec transform-set ESP_GCM esp-gcm mode transport 5. Configurar o perfil IPSec com os parâmetros configurados mais cedo. crypto ipsec profile default set transform-set ESP_GCM set pfs group19 set ikev2-profile default 6. Configurar a interface de túnel. interface Tunnel0 ip address 172.16.1.1 255.255.255.0 tunnel source Gigabit0/0 tunnel destination 10.10.10.2 tunnel protection ipsec profile default Verifique a conexão Use esta seção para confirmar se a sua configuração funciona corretamente. 1. Verifique que as chaves ECDSA estiveram geradas com sucesso. Router1#show crypto key mypubkey ec % Key pair was generated at: 04:05:07 JST Jul 6 2012 Key name: Router1.cisco.com Key type: EC KEYS Storage Device: private-config Usage: Signature Key Key is not exportable. Key Data: 30593013 06072A86 48CE3D02 0106082A 8648CE3D 03010703 4200048F 2B0B5B5E (...omitted...) 2. Verifique que o certificado esteve importado com sucesso e que ECDH está usado. Router1#show crypto pki certificates verbose ecdh Certificate Status: Available Version: 3

Certificate Serial Number (hex): 6156E3D5000000000009 (...omitted...) 3. Verifique que IKEv2 SA esteve criado com sucesso e use os algoritmos da série B. Router1#show crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-CBC, keysize: 128, Hash: SHA256, DH Grp:19, Auth sign: ECDSA, Auth verify: ECDSA Life/Active Time: 86400/20 sec 4. Verifique que IKEv2 SA esteve criado com sucesso e use os algoritmos da série B. Router1#show crypto ipsec sa interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr 10.10.10.1 (...omitted...) local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.10.10.2 plaintext mtu 1466, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0xAC5845E1(2891466209) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xAEF7FD9C(2935487900) transform: esp-gcm, in use settings ={Transport, } conn id: 6, flow_id: SW:6, sibling_flags 80000000, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4341883/3471) IV size: 8 bytes replay detection support: N Status: ACTIVE(ACTIVE) Note: Nesta saída, ao contrário na versão 1 do intercâmbio de chave de Internet (IKEv1), o valor de grupo do Diffie-Hellman (DH) do discrição perfeita adiante (PFS) mostra como o PFS (Y/N): N, grupo DH: nenhuns durante a primeira negociação do túnel, mas depois que um rekey ocorre, os valores direitos mostram. Este não é um erro mesmo que o comportamento seja descrito na identificação de bug Cisco CSCug67056. A diferença entre IKEv1 e IKEv2 é que, nos últimos, as associações de segurança da criança (SA) estão criadas como parte da troca própria do AUTH. O grupo DH configurado sob o crypto map é usado somente durante o rekey. Daqui, você vê o PFS (Y/N): N, grupo DH: nenhuns até os primeiros rekey. Mas com IKEv1, você vê um comportamento diferente porque a criação criança SA acontece durante o Quick Mode e a mensagem CREATE_CHILD_SA tem uma disposição para levar o payload das trocas de chave que especifica os parâmetros DH para derivar um segredo compartilhado novo. Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração. Conclusão Os algoritmos criptográficos eficientes e fortes definidos em NGE oferecem a garantia a longo prazo que os dados confidencialmente e a integridade estão fornecidos e mantidos a baixos custos para processar. NGE pode facilmente ser executado com FlexVPN, que fornece a criptografia do padrão da série B. A informação adicional na aplicação de Cisco da série B pode ser encontrada na criptografia da próxima geração.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback