IPsec-Konfiguration - WLAN-Router

IPsec-Konfiguration

· Tunneling macht es möglich, einen öffentlichen TCP / IP-Netzwerk, wie das Internet zu benutzen, um sichere Verbindungen zwischen entfernten Benutzer erstellen. Jeder sichere Verbindung wird als ein Tunnel.

· Die Security Appliance nutzt die ISAKMP und IPsec Tunnel Standards zum Erstellen und Verwalten Tunnel.

· Die Security Appliance fungiert als bidirektionale Tunnelendpunkt. Es können einfache Pakete aus dem privaten Netzwerk zu empfangen, kapseln sie, erstellen Sie einen Tunnel, und senden Sie sie an das andere Ende des Tunnels, wo sie nicht verkapselten und an ihren Bestimmungsort geschickt werden.

· Es kann auch eingekapselt erhalten Pakete aus dem öffentlichen Netz, unencapsulate sie und senden Sie sie an ihrem Bestimmungsort auf dem privaten Netzwerk.

· IPsec bietet Authentifizierungs- und Verschlüsselungsdienste zu unberechtigten Zugriff oder Änderung der Daten im Netzwerk oder als verhindern, dass es über Reisen ein ungeschütztes Netzwerk, wie zum Beispiel das öffentliche Internet

· Zwei Arten von Verbindungen von IPSEC unterstützt:.. LAN-LAN-VPN, CLIENT, um LAN vpn

· Während der Tunnelaufbau, die beiden Peers verhandeln Sicherheitszuordnungen, die Authentifizierung, Verschlüsselung, Einkapselung und Schlüsselverwaltung regieren

· Diese Verhandlungen betreffen zwei Phasen. Zuerst den Tunnel (die IKE SA) zu schaffen; und zum anderen für den Verkehr im Tunnel (der IPsec SA) regeln. [1.999.003] [1.999.002] · Ein LAN-zu-LAN-VPN verbindet Netzwerke in verschiedenen geografischen Standorten. In IPsec LAN-zu-LAN-Verbindungen kann der Sicherheits-Appliance als Initiator oder Responder funktionieren.

· In IPsec Client-zu-LAN-Verbindungen, die Security-Appliance-Funktionen nur als Responder.

· Initiator (Router oder Client) vorzuschlagen SAs (Router); Responder akzeptieren, ablehnen oder Gegenvorschläge zu machen, alles in Übereinstimmung mit konfiguriert SA Parameter. Um eine Verbindung herzustellen, müssen beide Einheiten auf der SAs zustimmen. (Security Verbände) [1.999.003] [1.999.002] · Unsere erste Aufgabe ist die Angabe einer Internet Key Exchange (IKE) Politik. [1.999.003] [1.999.002] · IKE basiert auf ISAKMP an Einführung einer einleitenden sicheren Kanal / Tunnel, über den die IPSec-Tunnel ausgehandelt werden können.

· Ein IKE-Richtlinie regelt die Attribute des ISAKMP-Sitzung, einschließlich der Verschlüsselungstyp und Hashing-Methoden.

· Wir müssen in diesem Fall manuell definieren die Authentifizierungsmethode, Ie PresharedKeys.

R1 (config) # Krypto isakmp Politik 10

R1 (config-isakmp) # Authentifizierung preshare

R1 (config-isakmp) # ^ Z

R1 # sh Krypto isakmp Politik [1.999.003] [1.999.002] Globale IKE-Richtlinie [1.999.003] [1.999.002] Schutz Suite der Priorität 10 [1.999.003] [1.999.002] Verschlüsselungsalgorithmus: DES – Data Encryption Standard (56-Bit-Schlüssel).

(Zweck: Scramble, unscramble Daten) [1.999.003] [1.999.002] Hash-Algorithmus: Secure Hash Standard (Zweck: stellen die Datenintegrität) [1.999.003] [1.999.002] Authentifizierungsmethode: Pre-Shared Key [1.999.003] [1.999.002] Diffie -Hellman Gruppe: # 1 (768 Bit) (Zweck:. Bestimmung der Stärke der in der Schlüsselaustauschprozess verwendet Schlüsselobergruppennummern (Diffie-Hellman-2, Diffie-Hellman-5, Diffie-Hellman-14 etc.) sind sicherer , aber brauchen mehr Zeit, um den Schlüssel zu berechnen.)

Lebensdauer ist 86.400 Sekunden, keine Volumenbegrenzung [1.999.003] [1.999.002] · Wie bereits erwähnt, müssen wir einen vorinstallierten Schlüssel gegen die Umsetzung stärker aber noch zu definieren ( komplexe öffentliche Keying). Der Schlüssel ist eine Textkette verwendet, um die IKE-Tunnel, auf beiden Routern konfiguriert identisch zu initialisieren. In unserem Beispiel wird der String CISCO verwendet wird; In der Praxis würde ich natürlich eine viel stärkere Schlüssel vor.

· Die, die die Schlüsseldefinition folgt die IP-Adresse den Host an, für die der Schlüssel zu verwenden.

R1 (config) # crypto isakmp Taste 0 CISCO-Adresse 172.16.0.6 [1.999.003] [1.999.002] · Achten Sie darauf, diese Konfiguration auf der gegenüberliegenden Ende des Tunnels zu R3 reflektieren (172.16.0.1 verwenden statt of.6). [1.999.003] [1.999.002] R3 (config ) # Krypto isakmp Taste 0 CISCO-Adresse 172.16.0.1 [1.999.003] [1.999.002] · Sobald unsere IKE-Richtlinie eingerichtet wurde können wir definieren eine IPsec Transformationssatz bewegen. [1.999.003] [1.999.002] · Der Transformationssatz definiert die Parameter die werden die aktuellen Daten zu tragen.

· Im Gegensatz zu definieren, eine IKE-Richtlinie, die eine Standard bietet für alle Attribute, müssen wir ausdrücklich die Verschlüsselungs- und Hash-Typ wir mit unseren Transformationssatz verwendet werden soll. In unserem Beispiel wird ESP-Kapselung mit 3DES-Verschlüsselung und SHA-1-Authentifizierung durchzuführen. [1.999.003] [1.999.002] · Im Transformationssatz-Konfiguration, haben wir die Möglichkeit, IPSEC MODE (Tunnel- oder Transportmodus) wählen, aber Tunnelmodus ist der Standardmodus.

können wir kontrollieren unsere neu geschaffene Transformation mit Show-Krypto ipsec transform-set gesetzt:

R1 (config) # crypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac

R1 (cfg-Krypto-trans) # ^ Z

R1 # show crypto ipsec transform-set

Transformationssatz MyTransformSet: {esp-3des esp-sha-hmac}

wird nun, da wir unsere IPsec Transformationssatz erstellt verhandeln = {Tunnel,},

· Wir geben Hinweis auf sie aus einer IPsec-Profil, um auf eine Tunnelschnittstelle angewendet werden:

[1999002 ] R1 (config) # crypto ipsec Profil Meinprofil

R1 (ipsec-Profil) # set-Transformation-Set MyTransformSet

R1 (ipsec-Profil) # ^ Z

R1 # zeigen Krypto ipsec Profil

IPSEC Profil Meinprofil

Sicherheitsverband Lebensdauer: 4608000 Kilobyte / 3.600 Sekunden

PFS (Y / N): N

Transform-Sets = {

MyTransformSet,

}

· Der letzte Schritt ist, die Tunnelschnittstellen auf Router 1 und Router 3 für die IPsec-Betrieb konfigurieren [1.999.003] [1.999.002] R1 (config) # interface tun0

R1 (config-if) # Tunnelmodus ipsec ipv4

R1 (config-if) # Tunnelschutz ipsec Profil Meinprofil [1.999.003] [1.999.002] Abschluss Konfigurationen [1.999.003] [1.999.002] R1

Krypto isakmp Politik 10

Authentifizierung Pre-Aktie

Krypto isakmp Schlüssel CISCO-Adresse 172.16.0.6 (Konfiguration Pre-Shared Key)

!

Krypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac (Erstellen verwandeln zusammen mit Verschlüsselungs- und Hash-Typ setzen wir verwenden möchten)

!

Krypto ipsec Profil Meinprofil

Transformationssatz-Set MyTransformSet (Referenz für die Transformation von einem IPsec-Profil soll am Tunnelschnittstelle angewendet werden)

!

Schnittstelle Tunnel0

ip Adresse 10.0.0.1 255.255.255.252

Tunnelquelle 172.16.0.1

Tunnel Ziel 172.16.0.6

Tunnelmodus ipsec ipv4

Tunnelschutz ipsec Profil Meinprofil

!

Schnittstelle FastEthernet0 / 0

IP-Adresse 172.16.0.1 255.255.255.252 [1.999.003] [1.999.002] R3

Krypto isakmp Politik 10

Authentifizierung Pre-Aktie

Krypto isakmp Schlüssel CISCO-Adresse 172.16.0.1

!

Krypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac

!

Krypto ipsec Profil Meinprofil

Transformationssatz-Set MyTransformSet

!

Schnittstelle Tunnel0

IP-Adresse 10.0.0.2 255.255.255.252

Tunnelquelle 172.16.0.6

Tunnel Ziel 172.16.0.1

Tunnelmodus ipsec ipv4

Tunnelschutz ipsec Profil Meinprofil

!

Schnittstelle FastEthernet0 / 0

IP-Adresse 172.16.0.6 255.255.255.252 [1.999.003] [1.999.139]