Establecimiento de un túnel IPSec a través de la negociación iniciada por el dispositivo de sucursal en la sede de Fortinet Firewall.

Pubilicado 2019-1-28 06:53:55 51 0 0 0

1.1.1 Descripción general

 

En Internet, la mayoría de los datos se transmiten en texto sin formato, lo que genera posibles riesgos de seguridad. Por ejemplo, las cuentas bancarias y las contraseñas pueden ser interceptadas o manipuladas, las identidades de los usuarios pueden ser falsificadas, las redes pueden ser atacadas. IPSec puede proteger los paquetes IP transmitidos, reduciendo los riesgos de fuga de información.

Internet Protocolo Security (IPSec) es un conjunto de protocolos de seguridad definido por Internet Engineering Task Force (IETF). IPSec asegura la transmisión de datos en Internet a través de la autenticación de origen de datos, el cifrado de datos, la verificación de integridad de los datos y las funciones contra repeticiones.

·         Autenticación Autenticación del origen de los datos: el receptor verifica la validez del remitente.

·         Encripta Cifrado de datos: el remitente cifra los paquetes de datos y los transmite en texto cifrado en Internet. El receptor descifra o reenvía directamente los paquetes recibidos.

·         Check Verificación de integridad de datos: el receptor valida los datos recibidos para verificar si los datos han sido manipulados.

·         Anti-reproducción: el receptor rechaza paquetes viejos o duplicados, evitando ataques maliciosos iniciados reenviando paquetes obtenidos.

En la Figura 1-26, IPSec VPN permite a los usuarios conectarse a la VPN a través de Internet en cualquier modo sin limitaciones geográficas. IPSec VPN se aplica al acceso de usuarios de oficina móvil y socios, y se utiliza para la comunicación entre sucursales empresariales.

Figura 1-1 Aplicación de IPSec VPN

065011ontb38lssnbkj3bb.png?image.png

 

 

1.1.2 Precauciones

·         La configuración predeterminada de los parámetros de IPSec en los dispositivos de diferentes proveedores puede ser diferente y debe ajustarse según sea necesario. Asegúrese de que las configuraciones de los dispositivos en ambos extremos de un túnel IPSec sean coherentes.

·         Los formatos de paquetes DPD compatibles con un firewall de Fortinet y un AR son diferentes. Si la detección de DPD está habilitada, el formato de paquete DPD del enrutador AR debe configurarse en seq-hash-notification.

·         Cuando un AR se conecta a un dispositivo que no es Huawei y los protocolos IPSec de ambos dispositivos definen SHA-2, se puede establecer un túnel IPSec pero el reenvío de tráfico falla. La causa posible es que ambos dispositivos utilizan diferentes modos de cifrado / descifrado de SHA-2. En este caso, ejecute la autenticación ipsec sha2 compatible enablecommand en el enrutador AR para que ambos dispositivos utilicen los mismos modos de cifrado / descifrado de SHA-2.

 

1.1.3 Requerimientos de Red

 

En la Figura 1-27, el enrutador es una puerta de enlace de sucursal empresarial y el FW (firewall de Fortinet) es una puerta de enlace de la sede y se comunican a través de Internet.

La empresa quiere proteger el tráfico entre la sucursal y la sede. Se puede establecer un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede para asegurar los flujos de datos transmitidos a través de Internet.

Figura 1-2 Establecimiento de un túnel IPSec a través de la negociación iniciada por el dispositivo de sucursal al firewall de Fortinet de la sede.

 

065029bqy2luxww8lxxxhp.png?image.png

 

1.1.4 Plan de datos


Antes de la configuración, planifique los datos de acuerdo con la Tabla 1-17. Los datos en la Tabla 1-17 se usan solo como referencia. Tabla 1-1 Plan de datos para la interconexión entre el enrutador y el FW

Public   Network Address of Router

1.1.1.1

Private   Network Address of Router

10.1.1.2

Public   Network Address of FW

2.1.1.1

Private   Network Address of FW

10.1.2.1

Parameters   for IPSec Phase 1 (IKE Negotiation Phase)

IKE version: V1

Negotiation mode: main

Authentication method: pre-shared key

Pre-shared key: huawei@123

Encryption algorithm: aes-cbc-256

Authentication algorithm: sha2-512

DH group: group 14

Lifetime: 28800s

DPD detection: enabled

Parameters   for IPSec Phase 2 (IPSec Negotiation Phase)

Security protocol: ESP

Encapsulation mode: tunnel

Encryption algorithm: aes-256

Authentication algorithm: sha2-512

Lifetime: 3600s

PFS function: disabled

 

1.1.5 Procedimiento de configuración

1.1.5.1 Configuración del Router

Configuration Roadmap.

1. Configure las direcciones IP y las rutas estáticas para las interfaces de modo que las rutas entre el enrutador y el FW sean accesibles.

2. Configure una ACL para definir los flujos de datos a proteger por el túnel IPSec.

3. Configure una propuesta de IPSec para definir el método utilizado para proteger el tráfico de IPSec.

4. Configure una propuesta IKE y un interlocutor IKE, y defina los parámetros utilizados para la negociación IKE.

5. Configure una política de IPSec y haga referencia a la ACL, la propuesta de IPSec y al interlocutor IKE en la política de IPSec para determinar los métodos utilizados para proteger los flujos de datos.

6. Aplique el grupo de políticas IPSec a una interfaz.

 

Procedimiento.

                      Paso 1    Configure las direcciones IP y las rutas estáticas para las interfaces de modo que las rutas entre el enrutador y el FW sean accesibles.
# Asigne una dirección IP a una interfaz en el enrutador.<Huawei> system-view  
[Huawei] sysname Router  
[Router] interface gigabitethernet 1/0/0  
[Router-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0  
[Router-GigabitEthernet1/0/0] quit  
[Router] interface gigabitethernet 2/0/0  
[Router-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0  
[Router-GigabitEthernet2/0/0] quit

# En el enrutador, configure rutas estáticas al FW. Este ejemplo asume que las siguientes direcciones de salto de las rutas son 1.1.1.2.

[Router] ip route-static 2.1.1.0 255.255.255.0 1.1.1.2  
[Router] ip route-static 10.2.1.0 255.255.255.0 1.1.1.2

                   

 

 

   Paso 2    Configure una ACL para definir los flujos de datos a proteger.
# Configure una ACL en el enrutador para definir los flujos de datos enviados desde la red privada 10.1.1.0/24 a la red privada 10.2.1.0/24.
[Router] acl number 3101
[Router-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255  
[Router-acl-adv-3101] quit

                      Paso 3    Configure una propuesta de IPSec para definir el método utilizado para proteger el tráfico de IPSec.
# Crea una propuesta IPSec en el enrutador.

[Router] ipsec authentication sha2 compatible enable  
[Router] ipsec proposal tran1  
[Router-ipsec-proposal-tran1] transform esp  
[Router-ipsec-proposal-tran1] esp authentication-algorithm sha2-512  
[Router-ipsec-proposal-tran1] esp encryption-algorithm aes-256  
[Router-ipsec-proposal-tran1] encapsulation-mode tunnel

                      Paso 4    Configure una propuesta IKE y un interlocutor IKE, y defina los parámetros utilizados para la negociación IKE.
# Configure una propuesta IKE y defina parámetros en la fase 1 de negociación IKE.

[Router] ike proposal 5  
[Router-ike-proposal-5] encryption-algorithm aes-cbc-256   
[Router-ike-proposal-5] authentication-algorithm sha2-512   
[Router-ike-proposal-5] dh group14  
[Router-ike-proposal-5] sa duration 28800  
[Router-ike-proposal-5] authentication-method pre-share  
[Router-ike-proposal-5] quit


# Configure un interlocutor IKE y defina los parámetros en la fase 1 de negociación IKE. [Router] ike peer feita v1  
[Router-ike-peer-feita] ike-proposal 5  
[Router-ike-peer-feita] pre-shared-key cipher huawei@123  
[Router-ike-peer-feita] remote-address 2.1.1.1  
[Router-ike-peer-feita] exchange-mode main  
[Router-ike-peer-feita] dpd type periodic  
[Router-ike-peer-feita] dpd msg seq-hash-notify   
[Router-ike-peer-feita] quit

                      Paso 5    Configure una política IPSec y haga referencia a la ACL, la propuesta IPSec y al interlocutor IKE en la política IPSec para determinar los métodos utilizados para proteger los flujos de datos.
# Cree una política IPSec en el modo de negociación IKE en el enrutador

[Router] ipsec policy map1 10 isakmp  
[Router-ipsec-policy-isakmp-map1-10] ike-peer feita  
[Router-ipsec-policy-isakmp-map1-10] proposal tran1  
[Router-ipsec-policy-isakmp-map1-10] security acl 3101  
[Router-ipsec-policy-isakmp-map1-10] sa duration time-based 3600  
[Router-ipsec-policy-isakmp-map1-10] quit

                      Paso 6    Aplicar un grupo de políticas IPSec a una interfaz.
# Aplique un grupo de políticas IPSec a las interfaces públicas del enrutador
[Router] interface gigabitethernet 1/0/0  
[Router-GigabitEthernet1/0/0] ipsec policy map1  
[Router-GigabitEthernet1/0/0] quit

                      Paso 7    Verificar la configuración.
# Ejecute el comando display ike proposal en el enrutador para verificar la configuración de la propuesta IKE.

[Router] display ike proposal number 5  
-------------------------------------------  
 IKE Proposal: 5  
 Authentication method      : pre-shared  
 Authentication algorithm : SHA2-512  
 Encryption algorithm       : AES-CBC-256  
 DH group                   : MODP-2048  
 SA duration                : 28800  
 PRF                        : PRF-HMAC-SHA2-256  
-------------------------------------------

# # Ejecute el comando de presentación de ipsec en el enrutador para verificar la configuración de la propuesta de IPSec. [Router] display ipsec proposal  
  
Number of proposals: 1  
  
IPsec proposal name: tran1  
 Encapsulation mode: Tunnel  
 Transform         : esp-new  
 ESP protocol      : Authentication SHA2-HMAC-512  
                     Encryption     AES-256

----End

 

1.1.5.2 Configurar el FW

                      Paso 1    Inicia sesión en el sistema web de FW.

1. Ingrese la URL del FW y presione Enter. Se muestra la página de inicio de sesión. Ingrese el nombre de usuario y la contraseña, y haga clic en Iniciar sesión.

2. Después de iniciar sesión, se muestra la página principal.

Figura 1-3 página web principal

 

065048z6acnnjapmc6p1mp.png?image.png

 

                      Paso 2    Configurar direcciones IP para interfaces.

Elija Sistema> Red> Interfaces para acceder a la página de configuración de la interfaz.

1. Configure una dirección IP para la interfaz pública. Elija wan1 en Nombre y haga clic con el botón derecho en Editar.

Figura 1-4 Configuración de una dirección IP para la interfaz pública

065108oagcz5ngeeghae8o.png?image.png

 

2.      Configure una dirección IP para la interfaz privada. Elija port1 en Nombre y haga clic con el botón derecho en Editar.

Figura 1-5 Configuración de una dirección IP para la interfaz privada

065125cpt8hnly7d22pwl8.png?image.png

 

Paso 3    Configurar direcciones IP y rutas estáticas para el par. Este ejemplo asume que la siguiente dirección de salto de la ruta es 2.1.1.2.

1. Elija Enrutador> Estático> Rutas estáticas para acceder a la página de configuración de la ruta estática y haga clic en Crear nuevo.

2. Configurar una ruta de red pública.

Figura 1-6 Configuración de una ruta de red pública

065134cuj8gcii8delenlw.png?image.png

 

3.      Configure una ruta de red privada.

Figura 1-7 Configuración de una ruta de red privada

065145jepxb60b56ix01ls.png?image.png

 

                      

Paso 4    Configurar IPSec.

1. Elija VPN> IPSec> Túneles para acceder a la página de configuración de IPSec.

Figura 1-8 página de configuración de IPSec

065205h5577laumv0vvata.png?image.png

 

2.      Haga clic en Crear nuevo, ingrese el nombre del túnel IPSec en Nombre y seleccione Túnel VPN personalizado (Sin plantilla).

Figura 1-9 Configuración del nombre y la plantilla del túnel IPSec

065214lnknc7bjntcbbb5c.png?image.png

 

3.      Haga clic en Siguiente para acceder a la página de configuración de parámetros IPSec.

Puede configurar los parámetros según sea necesario en Comentarios.

Figura 1-10 Configuración de parámetros IPSec

065223i7f0h35oennznnya.png?image.png

 

4.      Configure la dirección IP y la interfaz en la red, y modifique otros parámetros según sea necesario.

Figura 1-11 Configurando la red

065231p6n1v464d1u6izsw.png?image.png

 

5.      Configure la clave precompartida en la autenticación y elija la versión y el modo en IKE.

Figura 1-12 Configuración de autenticación e IKE

065241r99u2hmo1fmtqqfm.png?image.png

 

6.      Configure los parámetros para la propuesta de la Fase 1.

Figura 1-13 Configuración de una propuesta IKE

065255h14qze41sz1szcc1.png?image.png

 

7.      Elija los selectores de Fase 2> Nueva Fase 2 para configurar los flujos de datos encriptados IPSec, y configure los parámetros en la Propuesta de Fase 2.

Figura 1-14 Configuración de parámetros para la propuesta de la fase 2

065303q222gzctyiaghhu9.png?image.png

 

 

8. Haga clic en Aceptar para completar la configuración de IPSec.

----Fin

 

 

 

1.1.6 Verificacion

1.      Ejecute el comando display ike sa para verificar la información sobre las SA establecidas en las fases 1 y 2.

[Router] display ike sa  
      Conn-ID      Peer           VPN    Flag(s)     Phase  
  ---------------------------------------------------------  
       16          2.1.1.1         0     RD|ST         2  
       14          2.1.1.1         0     RD|ST         1  
  Flag Description:                                                               
  RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT               
  HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

2.      Hacer ping a un host en la sede de un host en una rama. La operación de ping se realiza correctamente. Ejecute el comando display ipsec statistics esp para verificar las estadísticas de los paquetes IPSec. Los valores de los campos Recuento de descapsulación de paquetes y Recuento de paquetes de paquetes externos no son 0, lo que indica que los datos transmitidos entre la sucursal y la oficina central están cifrados.

1.1.7 Troubleshooting

Si no se puede establecer un túnel IPSec, verifique si hay rutas accesibles y si los dispositivos en ambos extremos usan la misma configuración.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba