1.1.1 Descripción general
En Internet, la mayoría de los datos se transmiten en texto sin formato, lo que genera posibles riesgos de seguridad. Por ejemplo, las cuentas bancarias y las contraseñas pueden ser interceptadas o manipuladas, las identidades de los usuarios pueden ser falsificadas, las redes pueden ser atacadas. IPSec puede proteger los paquetes IP transmitidos, reduciendo los riesgos de fuga de información.
Internet Protocolo Security (IPSec) es un conjunto de protocolos de seguridad definido por Internet Engineering Task Force (IETF). IPSec asegura la transmisión de datos en Internet a través de la autenticación de origen de datos, el cifrado de datos, la verificación de integridad de los datos y las funciones contra repeticiones.
· Autenticación Autenticación del origen de los datos: el receptor verifica la validez del remitente.
· Encripta Cifrado de datos: el remitente cifra los paquetes de datos y los transmite en texto cifrado en Internet. El receptor descifra o reenvía directamente los paquetes recibidos.
· Check Verificación de integridad de datos: el receptor valida los datos recibidos para verificar si los datos han sido manipulados.
· Anti-reproducción: el receptor rechaza paquetes viejos o duplicados, evitando ataques maliciosos iniciados reenviando paquetes obtenidos.
En la Figura 1-26, IPSec VPN permite a los usuarios conectarse a la VPN a través de Internet en cualquier modo sin limitaciones geográficas. IPSec VPN se aplica al acceso de usuarios de oficina móvil y socios, y se utiliza para la comunicación entre sucursales empresariales.
Figura 1-1 Aplicación de IPSec VPN
1.1.2 Precauciones
· La configuración predeterminada de los parámetros de IPSec en los dispositivos de diferentes proveedores puede ser diferente y debe ajustarse según sea necesario. Asegúrese de que las configuraciones de los dispositivos en ambos extremos de un túnel IPSec sean coherentes.
· Los formatos de paquetes DPD compatibles con un firewall de Fortinet y un AR son diferentes. Si la detección de DPD está habilitada, el formato de paquete DPD del enrutador AR debe configurarse en seq-hash-notification.
· Cuando un AR se conecta a un dispositivo que no es Huawei y los protocolos IPSec de ambos dispositivos definen SHA-2, se puede establecer un túnel IPSec pero el reenvío de tráfico falla. La causa posible es que ambos dispositivos utilizan diferentes modos de cifrado / descifrado de SHA-2. En este caso, ejecute la autenticación ipsec sha2 compatible enablecommand en el enrutador AR para que ambos dispositivos utilicen los mismos modos de cifrado / descifrado de SHA-2.
1.1.3 Requerimientos de Red
En la Figura 1-27, el enrutador es una puerta de enlace de sucursal empresarial y el FW (firewall de Fortinet) es una puerta de enlace de la sede y se comunican a través de Internet.
La empresa quiere proteger el tráfico entre la sucursal y la sede. Se puede establecer un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede para asegurar los flujos de datos transmitidos a través de Internet.
Figura 1-2 Establecimiento de un túnel IPSec a través de la negociación iniciada por el dispositivo de sucursal al firewall de Fortinet de la sede.
1.1.4 Plan de datos
Antes de la configuración, planifique los datos de acuerdo con la Tabla 1-17. Los datos en la Tabla 1-17 se usan solo como referencia. Tabla 1-1 Plan de datos para la interconexión entre el enrutador y el FW
Public Network Address of Router | 1.1.1.1 |
Private Network Address of Router | 10.1.1.2 |
Public Network Address of FW | 2.1.1.1 |
Private Network Address of FW | 10.1.2.1 |
Parameters for IPSec Phase 1 (IKE Negotiation Phase) | IKE version: V1 Negotiation mode: main Authentication method: pre-shared key Pre-shared key: huawei@123 Encryption algorithm: aes-cbc-256 Authentication algorithm: sha2-512 DH group: group 14 Lifetime: 28800s DPD detection: enabled |
Parameters for IPSec Phase 2 (IPSec Negotiation Phase) | Security protocol: ESP Encapsulation mode: tunnel Encryption algorithm: aes-256 Authentication algorithm: sha2-512 Lifetime: 3600s PFS function: disabled |
1.1.5 Procedimiento de configuración
1.1.5.1 Configuración del Router
Configuration Roadmap.
1.Configure las direcciones IP y las rutas estáticas para las interfaces de modo que las rutas entre el enrutador y el FW sean accesibles.
2. Configure una ACL para definir los flujos de datos a proteger por el túnel IPSec.
3. Configure una propuesta de IPSec para definir el método utilizado para proteger el tráfico de IPSec.
4. Configure una propuesta IKE y un interlocutor IKE, y defina los parámetros utilizados para la negociación IKE.
5. Configure una política de IPSec y haga referencia a la ACL, la propuesta de IPSec y al interlocutor IKE en la política de IPSec para determinar los métodos utilizados para proteger los flujos de datos.
6. Aplique el grupo de políticas IPSec a una interfaz.
Procedimiento.
Paso 1 Configure las direcciones IP y las rutas estáticas para las interfaces de modo que las rutas entre el enrutador y el FW sean accesibles.
# Asigne una dirección IP a una interfaz en el enrutador.<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0
[Router-GigabitEthernet1/0/0] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0
[Router-GigabitEthernet2/0/0] quit
# En el enrutador, configure rutas estáticas al FW. Este ejemplo asume que las siguientes direcciones de salto de las rutas son 1.1.1.2.
[Router] ip route-static 2.1.1.0 255.255.255.0 1.1.1.2
[Router] ip route-static 10.2.1.0 255.255.255.0 1.1.1.2
Paso 2 Configure una ACL para definir los flujos de datos a proteger.
# Configure una ACL en el enrutador para definir los flujos de datos enviados desde la red privada 10.1.1.0/24 a la red privada 10.2.1.0/24. [Router] acl number 3101
[Router-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255
[Router-acl-adv-3101] quit
Paso 3 Configure una propuesta de IPSec para definir el método utilizado para proteger el tráfico de IPSec.
# Crea una propuesta IPSec en el enrutador.
[Router] ipsec authentication sha2 compatible enable
[Router] ipsec proposal tran1
[Router-ipsec-proposal-tran1] transform esp
[Router-ipsec-proposal-tran1] esp authentication-algorithm sha2-512
[Router-ipsec-proposal-tran1] esp encryption-algorithm aes-256
[Router-ipsec-proposal-tran1] encapsulation-mode tunnel
Paso 4 Configure una propuesta IKE y un interlocutor IKE, y defina los parámetros utilizados para la negociación IKE.
# Configure una propuesta IKE y defina parámetros en la fase 1 de negociación IKE.
[Router] ike proposal 5
[Router-ike-proposal-5] encryption-algorithm aes-cbc-256
[Router-ike-proposal-5] authentication-algorithm sha2-512
[Router-ike-proposal-5] dh group14
[Router-ike-proposal-5] sa duration 28800
[Router-ike-proposal-5] authentication-method pre-share
[Router-ike-proposal-5] quit
# Configure un interlocutor IKE y defina los parámetros en la fase 1 de negociación IKE. [Router] ike peer feita v1
[Router-ike-peer-feita] ike-proposal 5
[Router-ike-peer-feita] pre-shared-key cipher huawei@123
[Router-ike-peer-feita] remote-address 2.1.1.1
[Router-ike-peer-feita] exchange-mode main
[Router-ike-peer-feita] dpd type periodic
[Router-ike-peer-feita] dpd msg seq-hash-notify
[Router-ike-peer-feita] quit
Paso 5 Configure una política IPSec y haga referencia a la ACL, la propuesta IPSec y al interlocutor IKE en la política IPSec para determinar los métodos utilizados para proteger los flujos de datos.
# Cree una política IPSec en el modo de negociación IKE en el enrutador
[Router] ipsec policy map1 10 isakmp
[Router-ipsec-policy-isakmp-map1-10] ike-peer feita
[Router-ipsec-policy-isakmp-map1-10] proposal tran1
[Router-ipsec-policy-isakmp-map1-10] security acl 3101
[Router-ipsec-policy-isakmp-map1-10] sa duration time-based 3600
[Router-ipsec-policy-isakmp-map1-10] quit
Paso 6 Aplicar un grupo de políticas IPSec a una interfaz.
# Aplique un grupo de políticas IPSec a las interfaces públicas del enrutador [Router] interface gigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0] ipsec policy map1
[Router-GigabitEthernet1/0/0] quit
Paso 7 Verificar la configuración.
# Ejecute el comando display ike proposal en el enrutador para verificar la configuración de la propuesta IKE.
[Router] display ike proposal number 5
-------------------------------------------
IKE Proposal: 5
Authentication method : pre-shared
Authentication algorithm : SHA2-512
Encryption algorithm : AES-CBC-256
DH group : MODP-2048
SA duration : 28800
PRF : PRF-HMAC-SHA2-256
-------------------------------------------
# # Ejecute el comando de presentación de ipsec en el enrutador para verificar la configuración de la propuesta de IPSec. [Router] display ipsec proposal
Number of proposals: 1
IPsec proposal name: tran1
Encapsulation mode: Tunnel
Transform : esp-new
ESP protocol : Authentication SHA2-HMAC-512
Encryption AES-256
----End
1.1.5.2 Configurar el FW
Paso 1 Inicia sesión en el sistema web de FW.
1. Ingrese la URL del FW y presione Enter. Se muestra la página de inicio de sesión. Ingrese el nombre de usuario y la contraseña, y haga clic en Iniciar sesión.
2. Después de iniciar sesión, se muestra la página principal.
Figura 1-3 página web principal
Paso 2 Configurar direcciones IP para interfaces.
Elija Sistema> Red> Interfaces para acceder a la página de configuración de la interfaz.
1. Configure una dirección IP para la interfaz pública. Elija wan1 en Nombre y haga clic con el botón derecho en Editar.
Figura 1-4 Configuración de una dirección IP para la interfaz pública
2. Configure una dirección IP para la interfaz privada. Elija port1 en Nombre y haga clic con el botón derecho en Editar.
Figura 1-5 Configuración de una dirección IP para la interfaz privada
Paso 3 Configurar direcciones IP y rutas estáticas para el par. Este ejemplo asume que la siguiente dirección de salto de la ruta es 2.1.1.2.
1. Elija Enrutador> Estático> Rutas estáticas para acceder a la página de configuración de la ruta estática y haga clic en Crear nuevo.
2. Configurar una ruta de red pública.
Figura 1-6 Configuración de una ruta de red pública
3. Configure una ruta de red privada.
Figura 1-7 Configuración de una ruta de red privada
Paso 4 Configurar IPSec.
1. Elija VPN> IPSec> Túneles para acceder a la página de configuración de IPSec.
Figura 1-8 página de configuración de IPSec
2. Haga clic en Crear nuevo, ingrese el nombre del túnel IPSec en Nombre y seleccione Túnel VPN personalizado (Sin plantilla).
Figura 1-9 Configuración del nombre y la plantilla del túnel IPSec
3. Haga clic en Siguiente para acceder a la página de configuración de parámetros IPSec.
Puede configurar los parámetros según sea necesario en Comentarios.
Figura 1-10 Configuración de parámetros IPSec
4. Configure la dirección IP y la interfaz en la red, y modifique otros parámetros según sea necesario.
Figura 1-11 Configurando la red
5. Configure la clave precompartida en la autenticación y elija la versión y el modo en IKE.
Figura 1-12 Configuración de autenticación e IKE
6. Configure los parámetros para la propuesta de la Fase 1.
Figura 1-13 Configuración de una propuesta IKE
7. Elija los selectores de Fase 2> Nueva Fase 2 para configurar los flujos de datos encriptados IPSec, y configure los parámetros en la Propuesta de Fase 2.
Figura 1-14 Configuración de parámetros para la propuesta de la fase 2
8. Haga clic en Aceptar para completar la configuración de IPSec.
----Fin
1.1.6 Verificacion
1. Ejecute el comando display ike sa para verificar la información sobre las SA establecidas en las fases 1 y 2.
[Router] display ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------
16 2.1.1.1 0 RD|ST 2
14 2.1.1.1 0 RD|ST 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
2. Hacer ping a un host en la sede de un host en una rama. La operación de ping se realiza correctamente. Ejecute el comando display ipsec statistics esp para verificar las estadísticas de los paquetes IPSec. Los valores de los campos Recuento de descapsulación de paquetes y Recuento de paquetes de paquetes externos no son 0, lo que indica que los datos transmitidos entre la sucursal y la oficina central están cifrados.
1.1.7 Troubleshooting
Si no se puede establecer un túnel IPSec, verifique si hay rutas accesibles y si los dispositivos en ambos extremos usan la misma configuración.