IPSEC VPN Manuales

Publicado 2019-1-7 14:24:29 99 0 0 0

Habiendo aprendido el poder que IPSec tenía para ofrecer, Tiandihui Host Chen decidió establecer primero manualmente un IPSec entre el host y un único sub-host para proteger los mensajes transmitidos dentro de la red interna host-to-sub-host para probar la seguridad que los túneles IPSec tienen para ofrecer.

Figura 1-1 Red IPSec VPN manual

041946qwlrwwaryw98fl2l.png

IPSec es una técnica de VPN establecida en Internet, superpuesta a las características fundamentales de un firewall. Como tal, antes de configurar una VPN IPSec, la comunicación a través de toda la red primero debe ser libre. Específicamente, primero se deben cumplir las siguientes dos condiciones:

·         Los FW_A y FW_B son enrutables a través de una red pública.

·         Las políticas de seguridad de FW_A y FW_B deben permitir el tráfico entre PC_A y PC_B.

En cuanto a la configuración de las políticas de seguridad de IPSec VPN, consulte las siguientes secciones. Por ahora, deberíamos evitar cualquier desvío y concentrarnos primero en esta sección: la configuración VPN IPSec manual.

Para que las relaciones entre el cifrado, la autenticación y la configuración de SA sean aún más claras, hay 4 pasos para configurar manualmente una IPSec:

·         Definir qué flujos de datos deben estar protegidos.

 Solo los mensajes de red internos entre hosts y subhosts estarán protegidos por IPSec. Todos los demás mensajes están desprotegidos.

·         Configurar la IPSec Proposal.

Los FW de host y subhost deciden si desean o no convertirse en asociados según la propuesta de la otra parte. Los modos de encapsulación, los protocolos de seguridad, los algoritmos de encriptación y los algoritmos de autenticación están establecidos en la propuesta de seguridad.

·         Configurar la IPSec Policy manual.

Se designan las direcciones IP públicas de FW del host y del sub-host, el SA identifier (SAID) y las claves de cifrado y autenticación.

·         Aplicar la politica IPSec

La lógica detrás de la configuración manual de IPSec es la que se muestra en la Figura 1-2.

Figura 1-2 Esquema de la configuración VPN IPSec manual

042006i8n1w8673667zuba.png

Las configuraciones de la tecla FW del host y subhost de Tiandihui y las explicaciones correspondientes se muestran en la Tabla 1-1.

Tabla 1-1 Configuración de VPN IPSec manual (parámetros IPSec)

Configuration

Host FW_A

Sub-Host FW_B

ACL

acl number 3000

rule 5 permit ip   source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

acl number 3000

rule 5 permit ip   source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

IPSec Proposal

IPSec proposal pro1

 transform esp

 encapsulation-mode   tunnel

 esp   authentication-algorithm sha1

 esp encryption-algorithm   aes

IPSec proposal pro1

transform esp

encapsulation-mode   tunnel

esp   authentication-algorithm sha1

esp   encryption-algorithm aes

IPSec Policy

IPSec policy policy1   1 manual

 security acl   3000

 proposal pro1

 tunnel local   1.1.1.1

 tunnel remote   2.2.2.2

 sa spi inbound   esp 54321

sa spi outbound esp   12345

 sa string-key   inbound esp huawei@123

 sa string-key   outbound esp huawei@456

IPSec policy policy1   1 manual

 security acl   3000

 proposal pro1

 tunnel local   2.2.2.2

 tunnel remote   1.1.1.1

 sa spi inbound   esp 12345

sa spi outbound esp   54321

 sa string-key   inbound esp huawei@456

 sa string-key   outbound esp huawei@123

IPSec   PolicyApplication

interface   GigabitEthernet0/0/2

 ip address   1.1.1.1 255.255.255.0

 IPSec policy   policy1

interface GigabitEthernet0/0/2

ip address 2.2.2.2   255.255.255.0

 IPSec policy   policy1

Route

ip route-static   172.16.0.0 255.255.255.0 1.1.1.2 //static route configured in peer private   network to guide traffic through the applied IPSec policy interface

ip route-static   192.168.0.0 255.255.255.0 2.2.2.1 //static route configured in peer private   network to guide traffic through the applied IPSec policy interface

 

Cuando IPSec se configura manualmente, todos los parámetros SA de IPSec, incluidas las claves de encriptación y autenticación, deben ser configurados y actualizados manualmente por el usuario. Además, la ruta de acceso IPSec VPN entre los dos usuarios de la red privada solo puede confiar en la ruta estática configurada. No hay mejores opciones.

Una vez implementado, PC_A enviará mensajes de ping a PC_B y PC_B responderá a una respuesta. Tiandihui simuló un punto de control de "gobierno" en Internet para encontrar que los mensajes de ping de un lado a otro ya habían sido protegidos por IPSec SA. Los SPI del identificador de IPSec SA para cada dirección fueron, respectivamente, 0x3039 (notación decimal 12345) así como 0xd431 (notación decimal 54321), que son consistentes con las configuraciones.

042023l72zar8xiqgi7l2l.png

Debido a que se utilizó la tunelización para la encapsulación, la dirección del encabezado IP externo en el paquete IPSec fue la dirección IP pública. Al observar el contenido del paquete, veremos que el mensaje de ping del encabezado ESP ya estaba encriptado y era completamente ininteligible en la superficie. En otras palabras, incluso si este mensaje fuera marcado por "funcionarios del gobierno", no tendrían forma de recuperar nada de valor.

Para sopesar el valor de los ESP y los AH, Tiandihui utilizó el otro truco de IPSec, AH, para establecer una SA. AH solo se puede utilizar para la autenticación y no puede cifrar mensajes. Como tales, los mensajes obtenidos en el punto de control del gobierno revelarían la verdadera naturaleza del encabezado del paquete de la red privada y los mensajes de ping encapsulados dentro del encabezado AH. Como tal, si se necesita cifrado, aún es mejor usar ESP, o AH y ESP en conjunto.

042038p4sst4ssv8ts3zb1.png

Una vez que IPSec está en uso, la comunicación entre los hosts de Tiandihui y los subhosts quedó libre. Poco después, se agregaron muchos nuevos sub-hosts. Estos nuevos subhosts también necesitaban establecer un túnel IPSec para el host. Si se siguieran utilizando las configuraciones manuales, cada sub-host individual tendría que configurar sus propios parámetros, un esfuerzo digno de Hercules; Además, por razones de seguridad, las claves de cifrado y autenticación también deberían actualizarse con frecuencia. Naturalmente, este enfoque hacia atrás no duró mucho, y Host Chen y sus asistentes resolvieron rápidamente este dilema: se podría usar una VPN IKE / IPSec para reemplazar sus VPN IPSec manuales.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba