[Dr.WoW] [No.35] Modelo IPSec

94 0 0 0

De manera similar a la política IPSec de IKE, la política IPSec de plantilla también debe confiar en un túnel IPSec negociado IKE. La mejora más importante que viene con la política de IPSec de la plantilla es que no requiere direcciones IP pares fijas: una dirección IP igual puede ser estrictamente designada (IP única), designada en forma amplia (segmento de dirección IP) o simplemente no designada (es decir, la IP igual) puede ser cualquier IP).

 

La plantilla de política IPSec es como un general valiente, que no deja una IP igual detrás de las líneas enemigas; Fijo, dinámico, privado ... todos son bienvenidos a unirse a las filas. Es precisamente debido a este comportamiento que la plantilla de politica IPSec es adecuada para los hosts de Tiandihui porque les permite responder a una multitud de solicitudes de negociación de sub hostes. Los beneficios se vuelven cada vez más obvios a medida que las filas de los sub host comienzan a aumentar:

 

Se utiliza la política IPSec IKE. Los hosts deben configurar un número n de políticas IPSec y pares IKE, donde n es igual al número de sub-hosts.

l   Se utiliza la política IPSec IKE. Los hosts deben configurar un número n de políticas IPSec y pares IKE, donde n es igual al número de sub-hosts.

l   Plantilla IPSec se utiliza la política. Los hosts solo necesitan configurar una política IPSec y un igual IKE, independientemente de n.

En conclusión, las dos ventajas principales de la política IPSec de la plantilla aseguran su boleto para el "Hall of Fame" de IPSec:

l   Para raras veces las solicitudes de inicio, las IP públicas no fijas están bien

l   Configuración simple; solo se necesita un par IKE

Sin embargo, incluso las estrellas tienen sus propias dificultades tácitas; Las políticas de IPSec de plantilla solo pueden responder a solicitudes de negociación iniciadas por pares y no pueden iniciar negociaciones de forma activa.

1 Aplicaciones de red punto a multipunto

 

Como se muestra en la Figura 1-1, las interfaces del sub-host 1 y del sub-host 2 utilizan el método dinámico de recuperación de direcciones IP públicas. Se deben establecer túneles IPSec respectivos entre el host secundario 1 y el host y el host secundario 2 y el host. Además, el host secundario 1 y el host secundario 2 también pueden comunicarse a través de la VPN IPSec.

 

Figura 1-1 Red punto a multipunto IPSec VPN


185522hn77hff3gpi3365s.png?image.png


La lógica detrás de la configuración de la plantilla de política IPSec es la que se muestra en la Figura 1-2.


Figura 1-2 Esquema de la configuración de la plantilla de política IPSec


185532fjjtfb5u7bt0szj7.png?image.png

La configuración de la política IPSec de la plantilla se muestra en la Tabla 1-1. No volveremos a revisar las configuraciones predeterminadas de las propuestas IKE e IPSec. La configuración del host secundario 2 es similar a la del host secundario 1. Simplemente consulte la configuración del host secundario 1.

Tabla 1-1 configuración de la plantilla VPN IPSec

 

 

Configuracion

Host FW_A    (con política IPSec de plantilla)

Sub-Host 1    FW_B (con política IPSec de plantilla)

IKE propuesta de configuración

ike proposal 10

ike proposal 10

IKE Configuración Peer

ike peer a

 ike-proposal 10

pre-shared-key tiandihui1

//can forego   remote-address configuration; the remote-address can also be used to   designate the IP address segment.

ike peer a

 ike-proposal 10

remote-address 1.1.1.1

 pre-shared-key tiandihui1

ACL

acl number 3000

rule 5 permit ip destination 172.16.1.0 0.0.0.255

rule 10 permit ip destination 172.16.2.0   0.0.0.255

acl number 3000

rule 5 permit ip source 172.16.1.0 0.0.0.255

IPSec Proposal

IPSec proposal a

IPSec proposal a

Politica IPSec

IPSec policy-template tem1 1 //configuration IPSec policy   template

 security acl 3000

 proposal a

 ike-peer a

IPSec policy policy1 12 isakmp template tem1//configuration   template IPSec policy

IPSec policy policy1 1 isakmp

 security acl 3000

 proposal a

 ike-peer a

Aplicación de politica IPSec

interface GigabitEthernet0/0/2

ip address 1.1.1.1 255.255.255.0

IPSec policy policy1

interface GigabitEthernet0/0/2

ip address 2.2.2.2 255.255.255.0

IPSec policy policy1 auto-neg //once auto-neg is   configured, traffic trigger is not needed; IPSec tunnel is established   directly.

Ruta

Configuración de ruta requerida para cada red   privada de intercambio de visitas.

Configuración de ruta requerida para cada red   privada de intercambio de visitas.

La configuración anterior tiene dos diferencias con el método IKE estándar; nota lo siguiente:

·           Host FW utiliza la política IPSec plantilla.

La política de IPSec de la plantilla no requiere que los compañeros de IKE configuren direcciones remotas; o las direcciones remotas se pueden usar para designar segmentos de direcciones IP.

En 32.IKEv1 "Fase 1: Establecimiento de IKE SA (Modo principal)", discutimos los tres usos de direcciones remotas, comandos y direcciones IP designadas. Ahora, consideremos por un momento: si la política IPSec de la plantilla no configura el comando de dirección remota, ¿causará confusión? Incluso si el anfitrión cede sus derechos, no habrá ningún problema:

 

·         Si el host no configura un comando de dirección remota, no habrá una dirección IP de par de túnel designada. En este momento, el host solo puede aceptar el acceso de sub-host activo y no puede realizar la autenticación de sub-host ni puede acceder activamente al sub-host.

 

·         Si el host utiliza una dirección remota para designar el segmento de la dirección IP del interlocutor del túnel, el host puede verificar si el ID del dispositivo sub-host (dirección IP) está contenido en el segmento de la dirección IP; solo se aceptarán solicitudes cuando el ID esté de hecho dentro del segmento. Incluso en este momento, el host aún no puede acceder activamente al sub-host.

 

De los dos puntos anteriores se puede ver que la política de IPSec de la plantilla parece permitir que los hosts superen el problema de los pares "sin IP fija" y "sin IP pública". Pero, de hecho, esto solo se logra cuando el anfitrión cede activamente dos derechos.

 

·         Configuración de ACL es específica; Con más sub-hosts, la configuración de ACL del host se vuelve más complicada. Los requisitos de ACL de FW_A del host incluyen dos reglas:

 

o    Para permitir que el sub-host 2 y el host FW accedan al sub-host 1 FW, la fuente debe incluir el sub-host 2 y el segmento de red del host, y el destino debe ser el segmento de red del sub-host 1. En este caso, la fuente no está designada, lo que significa que la fuente puede ser el host secundario 2 o el host u otro segmento de dirección IP.

o    Para permitir que el sub-host 1 y el host FW accedan al sub-host 2, la fuente debe incluir el sub-host 1 y el segmento de red del host, y el destino debe ser el segmento de red del sub-host 2. En este caso, no hay una fuente designada, lo que significa que la fuente puede ser un host secundario 1 o el host u otro segmento de dirección IP.

 

·         Sub-host FW requisito de ACL:

Para permitir que el FW del host secundario 1 tenga acceso al host secundario 2 y los FW del host, la fuente debe ser el segmento de red del host secundario 1, y el destino debe ser el segmento secundario 2 y los segmentos de red del host. En este caso, no hay un destino designado, lo que significa que la fuente puede ser el host secundario 2 o el host u otro segmento de dirección IP.

 

La autenticación se realiza cuando la configuración está completa:

 

1. En el host FW_A, las SA de primera y segunda fase se establecen normalmente entre el host y el sub-host 1 y los sub-host 2 FW.

 

2. El subhost 1, el subhost 2 y el host pueden comunicarse de un lado a otro.

 

Pregunta: Si los parámetros de negación automática no están configurados en la política IPSec de la interfaz FW_B, ¿pueden comunicarse directamente el host secundario 1 y el host secundario 2?

 

3. Una vez que las políticas de IPSec se cancelan en los FW del host secundario 1 y del host secundario 2, cuando se vuelven a aplicar, los parámetros de negación automática no están configurados. Si la PC_B del host secundario 1 hace ping a la PC_C del host secundario 2, el ping no se realizará.

 

4. Verifique el estado del sub-host 1 FW_B's SA.

<FW_B> display ike sa

current ike sa number: 2

-------------------------------------------------------------------------

conn-id peer flag phase vpn

-------------------------------------------------------------------------

40022 1.1.1.1 RD|ST v2: 2 public

7 1.1.1.1 RD|ST v2: 1 public

 

La SA establecida entre el host secundario 1 y el host es normal.

 

5. Verifique el estado del sub-host 2 FW_ C's SA.

<FW_C> display ike sa

current sa Num: 0

No hay SA establecida entre el host secundario 2 y el host FW. Esto se debe a que el host FW configuró la política IPSec de la plantilla y solo puede responder a las negociaciones. Como tal, el sub-host 1 creó una SA normal con el FW del host, pero el host no puede establecer una SA con el FW del sub-host 2. Una vez que los parámetros de negación automática se configuran en la política de IPSec aplicada por los FW de host secundario 1 y host secundario 2, se creará automáticamente el SA de IPSec. Debido a que los SA ya están implementados desde el host secundario 1 al host FW y el host al host host 2 FW, el host secundario 1 puede comunicarse con el host secundario 2. Del mismo modo, el anfitrión puede enviar pings al servidor secundario. Hospedadores.

En este punto, ya hemos introducido tres políticas IPSec diferentes: la política IPSec manual, la política IPSec IKE y la política IPSec de plantilla. Las tres políticas IPSec se pueden configurar en un solo grupo de políticas IPSec. Este llamado grupo de políticas IPSec es un grupo de políticas IPSec con el mismo nombre. A lo sumo, solo puede haber una plantilla IPSec en un solo grupo de políticas IPSec, cuyo número de serie también debe ser el más grande, establecido en prioridad mínima. De lo contrario, la política de IPSec de la plantilla recibirá primero la solicitud de acceso; las políticas de IKE IPSec de baja prioridad no tendrán ninguna manera de mostrar su talento.

Tanto la plantilla como las políticas de IKE IPSec deben negociar los túneles IPSec con IKE. El proceso de negociación es el mismo, y no es necesario que el Dr. WoW lo repita de nuevo. A continuación, centraremos nuestra discusión en las "características" de la política IPSec de la plantilla.

 

2 Claves pre compartidas personalizadas (solo firewall USG9500-Series)

 

Solo se puede citar un par de IKE en la plantilla IPSec. Además, un único IKE Peer solo puede tener una clave precompartida configurada. Como tal, todos los pares interconectados deben configurarse con la misma clave precompartida. Debido a esto, si incluso un solo firewall pierde la clave compartida previamente, la seguridad de todos los demás firewalls se ve comprometida.

 

Entonces, si un host desea establecer una red interconectada de punto a multipunto con múltiples sub-hosts, ¿pueden los firewalls de sub-host configurar diferentes claves pre-compartidas? Dado que la clave precompartida está asociada con la generación de claves y la autenticación de identidad, la clave precompartida solo debe estar vinculada a la identidad del dispositivo, y la autenticación de identidad se puede realizar con el método de autenticación de clave precompartida para la dirección IP local o nombre del dispositivo. Cuando se utiliza una dirección IP o un nombre de dispositivo para designar una clave precompartida, se puede configurar una "clave precompartida personalizada" para cada servidor de seguridad de host secundario.

 

·         Designación de clave precompartida personalizada a través de la dirección IP del par para cada servidor de seguridad de host secundario

 

Este método es adecuado para servidores de seguridad de host secundario con direcciones IP fijas. El firewall del host, como la dirección remota y la clave compartida previamente configuradas, se eliminan y cambian globalmente para que cada cortafuegos secundario tenga su propia dirección remota y clave compartida. De esta manera, el método de plantilla puede adelantarse al juego y sortear inteligentemente sus limitaciones.

 

Tabla 1-2 Designación de clave precompartida personalizada a través de la dirección IP del par

 

 

Configuración

Host FW_A

Sub-Host 1 FW_B

Configuración IKE Peer

ike   peer a

 local-id-type   ip

ike-proposal 10

ike   peer a

 local-id-type   ip

ike-proposal   10

remote-address   1.1.1.1

 pre-shared-key   tiandihui1

Configuración de clave pre compartida personalizada

ike   remote-address 2.2.2.2 pre-shared-key tiandihui1

ike   remote-address 2.2.3.2 pre-shared-key tiandihui2

-

Designación de nombre de clave precompartida a través del dispositivo peer

Cuando el servidor de seguridad de host secundario no tiene una dirección IP fija, el nombre del dispositivo se puede usar para verificar la identidad (como nombre local). En este momento, el servidor de seguridad del host puede configurar globalmente una identificación remota única y una clave precompartida para cada servidor de seguridad de host secundario.

 

Tabla 1-3 Designación de nombre de clave precompartida personalizada a través del dispositivo peer

 

Configuración

Host FW_A

sub-host 1    FW_B

Configuracion IKE Peer

ike peer a

 local-id-type ip

ike-proposal 10

ike peer a

 local-id-type fqdn // cuando   la autenticación de identidad se realiza a través del nombre del dispositivo,   la autenticación local debe configurarse como FQDN o USER-FQDN.

ike-proposal 10

remote-address 1.1.1.1

 pre-shared-key tiandihui1

Configuración nombre Local

-

ike local-name tdhfd1

Configuración de clave precompartida   personalizada

ike remote-id tdhfd1 pre-shared-key tiandihui1

ike remote-id tdhfd2 pre-shared-key tiandihui2

-

 

 

NOTA: El host FW_A configurado "ike remote-id" debe ser el mismo que el host secundario 1 FW_B configurado "ike local-name".

 

3 Uso de Nombre de Dominio Peer Designado

 

Cuando se accede a un servidor de seguridad de host secundario con una dirección IP dinámica, ¿están atadas las manos de la política IPSec de IKE?

 

De hecho, también hay un método que puede ayudar a la política IPSec de IKE: cuando la dirección IP del par no es fija, naturalmente, no se puede configurar una dirección remota, pero el host aún puede aprender la dirección IP a través de otros métodos indirectos tal como a través del nombre de dominio. En otras palabras, el host puede usar un dominio remoto designado para reemplazar la dirección remota; El DNS configurado del servidor de seguridad del host secundario obtendrá una relación de asignación entre el nombre de dominio y la dirección IP, y utilizará el DDNS para garantizar que la relación de asignación se actualice constantemente. Por supuesto, los nombres de dominio configurados dinámicamente también se pueden usar con la política IPSec de la plantilla.

 

Tabla 1-4 Designación de nombre de dominio de igual en igual IKE

 

 

Ajustes de    Configuración

Host FW_A

Sub-Host 1    FW_B

Configuración IPSec

Solo cambios en la configuración IKE Peer

ike peer a

ike-propuesta 10

clave pre- shared-key tiandihui1   dominio remoto www.adcd.3322.org

Sin Cambios

Configuracion Adicional

-

1.    Iniciar resolución de nombre de dominio dns   resolver servidor dns 200.1.1.1

2.    Configure DDNS policy // La siguiente   configuración requiere contacto con el proveedor de servicios DDNS y debe   realizarse de acuerdo con las instrucciones del proveedor de servicios DDNS.

ddns   policy abc

ddns   cliente www.adcd.3322.org

servidor ddns   www.3322.org

ddns nombre de   usuario abc123 contraseña abc123

3.    Apply DDNS policy // dialer port es la   interfaz lógica que corresponde a la interfaz ADSL. Esta solución tiene   relativamente más aplicaciones para los puertos de acceso telefónico ADSL   sub-host; en este caso, la política DDNS del host secundario se aplicará al   puerto del marcador.

ddns cliente   habilitado

marcador de   interfaz 1

ddns aplicar la política abc

 

La limitación de esta solución es que las partes de acceso dinámico deben tener un nombre de dominio fijo y también deben agregar configuraciones de DNS y DDNS, lo cual es un poco complicado. Como tal, no es tan útil como la política IPSec de la plantilla. Utilice este método solo cuando no tenga otra opción.

 

4 Resumen

 

Entonces, ¿cuán grande es la política IPSec de la plantilla? En situaciones prácticas, no es solo pelear la batalla, y la guerra solo se puede ganar si la plantilla y las políticas IPSec de IKE trabajan juntas. Su compatibilidad es la que se muestra en la Tabla 1-5.

Tabla 1-5 Política de plantillas IPSec y compatibilidad de políticas IKE IPSec

 

 

Escenario

Host FW_A

Sub-Host FW_B

Dirección IP del host fija + dirección IP del sub-host fija

Política de IKE IPSec o plantilla Política de IPSec

Política IPSec IKE

Dirección IP del host fija + dirección IP del host secundario asignada   dinámicamente

Política de plantilla IPSec o política de IKE IPSec (nombre de dominio   de igual designado)

Política IPSec IKE

Dirección IP del host asignada dinámicamente + dirección IP del host   secundario asignada dinámicamente

Política de plantilla IPSec o política de IKE IPSec (nombre de dominio   de igual designado)

Política IKE IPSec (nombre de dominio de igual designado)

 

 

 

 

La política de IPSec de la plantilla es verdaderamente poderosa, y solo con este escudo en la mano, el FW del host se puede conectar a los FW del sub-host, sin preocuparse, ya sea que estén utilizando direcciones IP públicas, configuración fija o incluso direcciones dinámicas. Sin embargo, después de analizarlo más detenidamente, podemos ver que la política IPSec de la plantilla tiene diferentes enfoques para las direcciones IP públicas y privadas. Cuando el par es una dirección IP privada, la política de IPSec de la plantilla todavía tiene que tomar algunos otros pasos para poner todo en orden.

 

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba