j'ai compris

[Dr.WoW] [No.35] Modèle IPSec

publié il y a  2020-4-29 23:56:46 75 0 0 0 0

Bonjour à tous,

Semblable à la stratégie IPSec IKE, le modèle de stratégie IPSec doit également s'appuyer sur un tunnel IPSec négocié IKE. La plus grande amélioration apportée par le modèle de stratégie IPSec est qu'il ne nécessite pas d'adresses IP homologues fixes: une adresse IP homologue peut être strictement désignée (IP unique), largement désignée (segment d'adresse IP) ou simplement laissée non désignée (c'est-à-dire l'IP homologue peut être n'importe quelle IP).

Le modèle de politique IPSec est comme un vaillant général, ne laissant aucune adresse IP de pair derrière les lignes ennemies; fixe, dynamique, privé… tous sont les bienvenus pour rejoindre les rangs. C'est précisément à cause de ce comportement que le modèle de stratégie IPSec convient aux hôtes Tiandihui car il leur permet de répondre à une multitude de demandes de négociation de sous-hôte. Les avantages deviennent de plus en plus évidents à mesure que les rangs des sous-hôtes commencent à augmenter:

La stratégie IKE IPSec est utilisée. Les hôtes doivent configurer n-nombre de stratégies IPSec et homologues IKE, où n est égal au nombre de sous-hôtes.

Un modèle de stratégie IPSec est utilisé. Les hôtes doivent uniquement configurer une stratégie IPSec et un homologue IKE, indépendamment de n.

En conclusion, les deux principaux avantages du modèle de politique IPSec garantissent son ticket pour le "Hall of Fame" IPSec:

Pour les demandes d'initiation rarement, les adresses IP publiques non fixes sont correctes

Configuration simple; un seul pair IKE est nécessaire

Cependant, même les étoiles ont leurs propres difficultés inexprimées; les stratégies IPSec de modèle peuvent uniquement répondre aux demandes de négociation initiées par des pairs et ne peuvent pas lancer activement des négociations.

1 Applications de mise en réseau point à multipoint

Comme le montre la figure 1-1, les interfaces du sous-hôte 1 et du sous-hôte 2 utilisent la méthode dynamique de récupération des adresses IP publiques. Des tunnels IPSec respectifs doivent être établis entre le sous-hôte 1 et l'hôte et le sous-hôte 2 et l'hôte. De plus, le sous-hôte 1 et le sous-hôte 2 peuvent également communiquer via le VPN IPSec.

Figure 1-1 Mise en réseau point à multipoint VPN IPSec

155430rydytm42nu29u5c9.png

La logique derrière la configuration du modèle de stratégie IPSec est illustrée à la figure 1-2.

Figure 1-2 Schéma de configuration du modèle de stratégie IPSec

155431n7if6jzyjl6mm660.png

Le modèle de configuration de stratégie IPSec est indiqué dans le tableau 1-1. Nous ne reviendrons pas sur les configurations par défaut des propositions IKE et IPSec. La configuration du sous-hôte 2 est similaire à celle du sous-hôte 1. Reportez-vous simplement à la configuration du sous-hôte 1.

Tableau 1-1 Configuration du modèle VPN IPSec

Configuration

Hôte FW_A (avec la stratégie de modèle IPSec)

Sous-hôte 1 FW_B (avec stratégie IKE IPSec)

Configuration de la proposition IKE

ike proposition 10

ike proposition 10

Configuration d'homologue IKE

comme un pair

 ike-proposition 10

clé pré-partagée tiandihui1

// peut renoncer à la configuration des adresses distantes; l'adresse distante peut également être utilisée pour désigner le segment d'adresse IP.

comme un pair

 ike-proposition 10

adresse à distance 1.1.1.1

 clé pré-partagée tiandihui1

ACL

numéro ACL 3000

la règle 5 autorise la destination ip 172.16.1.0 0.0.0.255

règle 10 autoriser la destination ip 172.16.2.0 0.0.0.255

numéro ACL 3000

la règle 5 autorise la source ip 172.16.1.0 0.0.0.255

Proposition IPSec

Proposition IPSec a

Proposition IPSec a

Politique IPSec

IPSec policy-template tem1 1  // configuration IPSec policy template

 sécurité acl 3000

 proposition a

 ike-peer a

IPSec policy policy1 12 isakmp template tem1 // modèle de configuration IPSec policy

IPSec policy policy1 1 isakmp

 sécurité acl 3000

 proposition a

 ike-peer a

Application de stratégie IPSec

interface GigabitEthernet0 / 0/2

adresse IP 1.1.1.1 255.255.255.0

Politique de stratégie IPSec1

interface GigabitEthernet0 / 0/2

adresse IP 2.2.2.2 255.255.255.0

IPSec policy policy1 auto-neg  // une fois auto-neg configuré, le déclencheur de trafic n'est plus nécessaire; Le tunnel IPSec est établi directement.

Route

Configuration de l'itinéraire requise pour chaque échange de visites sur le réseau privé

Configuration de l'itinéraire requise pour chaque échange de visites sur le réseau privé

La configuration ci-dessus présente deux différences par rapport à la méthode IKE standard; notez ce qui suit:

L'hôte FW utilise un modèle de stratégie IPSec.

Le modèle de stratégie IPSec ne nécessite pas de pairs IKE pour configurer les adresses distantes; ou des adresses distantes peuvent être utilisées pour désigner des segments d'adresse IP.

Dans 32.IKEv1 "Phase 1: Établir IKE SA (Mode principal)", nous avons discuté des trois utilisations de l'adresse distante, de la commande et des adresses IP désignées. Maintenant, considérons un instant - si le modèle de stratégie IPSec ne configure pas la commande d'adresse distante, cela causera-t-il de la confusion? Même si l'hôte renonce à ses droits, il n'y aura toujours aucun problème:

Si l'hôte ne configure pas de commande d'adresse distante, il n'y aura pas d'adresse IP homologue de tunnelage désignée. À l'heure actuelle, l'hôte ne peut accepter que l'accès au sous-hôte actif et ne peut pas effectuer l'authentification du sous-hôte ni accéder activement au sous-hôte.

Si l'hôte utilise une adresse distante pour désigner le segment d'adresse IP d'homologue tunnel, l'hôte peut vérifier si l'ID de périphérique de sous-hôte (adresse IP) est contenu dans le segment d'adresse IP; les demandes ne seront acceptées que lorsque l'ID est en fait dans le segment. Même à ce moment, l'hôte ne peut toujours pas accéder activement au sous-hôte.

Des deux points ci-dessus, on peut voir que le modèle de stratégie IPSec semble laisser les hôtes surmonter le problème des homologues «pas d'IP fixe» et «pas d'IP publique». Mais, en fait, cela n'est possible que lorsque l'hôte abandonne activement deux droits.

La configuration d'ACL est spécifique; avec plus de sous-hôtes, la configuration ACL de l'hôte devient plus compliquée.

Les exigences ACL de l'hôte FW_A incluent deux règles:

Pour permettre au sous-hôte 2 et au FW hôte d'accéder au sous-hôte 1 FW, la source doit inclure le sous-hôte 2 et le segment de réseau hôte, et la destination doit être le segment de réseau du sous-hôte 1. Dans ce cas, la source n'est pas désignée, ce qui signifie que la source peut être le sous-hôte 2 ou l'hôte ou un autre segment d'adresse IP.

Pour permettre au sous-hôte 1 et au FW hôte d'accéder au sous-hôte 2 FW, la source doit inclure le sous-hôte 1 et le segment de réseau hôte, et la destination doit être le segment de réseau du sous-hôte 2. Dans ce cas, il n'y a pas de source désignée, ce qui signifie que la source peut être le sous-hôte 1 ou l'hôte ou un autre segment d'adresse IP.

Exigence ACL du sous-hôte FW:

Pour permettre au sous-hôte 1 FW d'accéder aux sous-hôtes 2 et hôtes FW, la source doit être le segment de sous-hôte 1 et la destination doit être le sous-hôte 2 et les segments de réseau hôte. Dans ce cas, il n'y a pas de destination désignée, ce qui signifie que la source peut être le sous-hôte 2 ou l'hôte ou un autre segment d'adresse IP.

L'authentification est effectuée une fois la configuration terminée:

 

1. Sur l'hôte FW_A, les SA de première et de deuxième phase sont normalement établies entre l'hôte et les sous-hôtes 1 et sous-hôte 2.

2. Le sous-hôte 1, le sous-hôte 2 et l'hôte peuvent communiquer d'avant en arrière.

Question: Si les paramètres de négation automatique ne sont pas configurés sur la stratégie IPSec de l'interface FW_B, le sous-hôte 1 et le sous-hôte 2 peuvent-ils communiquer directement?

3. Une fois les stratégies IPSec annulées sur les FW du sous-hôte 1 et du sous-hôte 2, lorsqu'elles sont réappliquées, les paramètres de négation automatique ne sont pas configurés. Si le PC_B du sous-hôte 1 envoie une requête ping au PC_C du sous-hôte 2, le ping ne passera pas.

4. Vérifiez le statut de la SA du sous-hôte 1 FW_B.

<FW_B> display ike sa

current ike sa number: 2

-------------------------------------------------------------------------

conn-id peer flag phase vpn

-------------------------------------------------------------------------

40022 1.1.1.1 RD|ST v2: 2 public

7 1.1.1.1 RD|ST v2: 1 public


La SA établie entre le sous-hôte 1 et l'hôte est normale.

5. Vérifiez l'état du sous-hôte 2 FW_ C's SA.

<FW_C> display ike sa

current sa Num: 0


Il n'y a pas de SA établie entre le sous-hôte 2 et le FW hôte. En effet, l'hôte FW a configuré le modèle de stratégie IPSec et ne peut répondre qu'aux négociations. En tant que tel, le sous-hôte 1 a créé une SA normale avec le FW hôte, mais l'hôte ne peut pas établir une SA avec le sous-hôte 2 FW. Une fois les paramètres de négation automatique définis sur la stratégie IPSec appliquée par les FW du sous-hôte 1 et du sous-hôte 2, la SA IPSec sera automatiquement créée. Étant donné que les SA sont déjà en place du sous-hôte 1 au FW hôte et de l'hôte au sous-hôte 2 FW, le sous-hôte 1 peut communiquer avec le sous-hôte 2. De même, il peut envoyer des pings au sous-hôte. hôtes.

À ce stade, nous avons déjà introduit trois stratégies IPSec différentes: la stratégie manuelle IPSec, la stratégie IKE IPSec et le modèle de stratégie IPSec. Ces trois stratégies IPSec peuvent être configurées dans un seul groupe de stratégies IPSec. Ce groupe de stratégies IPSec est un groupe de stratégies IPSec du même nom. Tout au plus, il ne peut y avoir qu'un seul modèle IPSec dans un seul groupe de stratégies IPSec, dont le numéro de série doit également être le plus grand, défini sur la priorité minimale. Sinon, la demande d'adhésion sera d'abord reçue par le modèle de politique IPSec; les politiques IKE IPSec de faible priorité n'auront aucun moyen de montrer leur talent.

Les stratégies Template et IKE IPSec doivent toutes deux négocier des tunnels IPSec avec IKE. Le processus de négociation est le même, et il n'est pas nécessaire que le Dr WoW y revienne. Ensuite, nous concentrerons notre discussion sur les "caractéristiques" du modèle de stratégie IPSec. \

2 clés pré-partagées personnalisées (pare-feu de la série USG9500 uniquement)

Un seul homologue IKE peut être cité dans le modèle IPSec. De plus, un seul pair IKE ne peut avoir qu'une seule clé pré-partagée configurée. En tant que tel, tous les homologues interconnectés doivent être configurés avec la même clé pré-partagée. Pour cette raison, même si un seul pare-feu laisse échapper la clé pré-partagée, la sécurité de tous les autres pare-feu est compromise.

Donc, si un hôte veut établir un réseau point à multipoint interconnecté avec plusieurs sous-hôtes, les pare-feu de sous-hôte peuvent-ils configurer différentes clés pré-partagées? Étant donné que la clé pré-partagée est associée à la génération de clés et à l'authentification d'identité, la clé pré-partagée doit uniquement être liée à l'identité du périphérique et l'authentification d'identité peut être effectuée avec la méthode d'authentification par clé pré-partagée pour l'adresse IP locale ou nom de l'appareil. Lorsqu'une adresse IP ou un nom de périphérique est utilisé pour désigner une clé pré-partagée, une " clé pré-partagée personnalisée " peut être configurée pour chaque pare-feu de sous-hôte.

Désignation de clé pré-partagée personnalisée via l'adresse IP de l'homologue pour chaque pare-feu de sous-hôte

Cette méthode convient aux pare-feu sous-hôtes avec des adresses IP fixes. Le pare-feu hôte comme l'adresse distante configurée par les pairs et la clé pré-partagée sont supprimés et modifiés globalement afin que chaque pare-feu sous-hôte possède sa propre adresse distante et sa propre clé pré-partagée. De cette façon, la méthode des modèles peut garder une longueur d'avance sur le jeu et contourner intelligemment ses limites.

Tableau 1-2  Désignation de clé pré-partagée personnalisée via l'adresse IP de l'homologue

Configuration

Hôte FW_A

Sous-hôte 1 FW_B

Configuration d'homologue IKE

comme un pair

 IP de type id local

ike-proposition 10

comme un pair

 IP de type id local

ike-proposition 10

adresse à distance 1.1.1.1

 clé pré-partagée tiandihui1

Configuration de clé pré-partagée personnalisée

ike remote-address 2.2.2.2 clé pré-partagée tiandihui1

ike remote-address 2.2.3.2 clé pré-partagée tiandihui2

-

Désignation de nom de clé pré-partagée via un appareil homologue

Lorsque le pare-feu du sous-hôte n'a pas d'adresse IP fixe, le nom du périphérique peut être utilisé pour vérifier l'identité (comme le nom local). À ce stade, le pare-feu hôte peut ensuite configurer globalement un ID distant unique et une clé pré-partagée pour chaque pare-feu sous-hôte.

Tableau 1-3  Désignation personnalisée du nom de clé pré-partagée via un périphérique homologue

Configuration

Hôte FW_A

sous-hôte 1 FW_B

Configuration d'homologue IKE

comme un pair

 IP de type id local

ike-proposition 10

comme un pair

 local-id-type fqdn  //  lorsque l'  authentification d'identité est effectuée via le nom du périphérique, l'authentification locale doit être configurée sur FQDN ou USER-FQDN.

ike-proposition 10

adresse à distance 1.1.1.1

 clé pré-partagée tiandihui1

Configuration du nom local

-

ike nom-local tdhfd1

Configuration de clé pré-partagée personnalisée

ike remote-id tdhfd1 clé pré-partagée tiandihui1

ike remote-id tdhfd2 clé pré-partagée tiandihui2

-

REMARQUE:  l'hôte FW_A configuré " ike  remote-id " doit être le même que le sous-hôte 1 FW_B configuré " ike local-name " .

3 Utilisation du nom de domaine homologue désigné

Lorsqu'un pare-feu de sous-hôte est accessible avec une adresse IP dynamique, les règles de la stratégie IKE IPSec sont-elles liées?

En fait, il existe également une méthode qui peut aider la stratégie IKE IPSec: lorsque l'adresse IP du pair n'est pas fixe, naturellement, une adresse distante ne peut pas être configurée, mais l'hôte peut toujours apprendre l'adresse IP via d'autres méthodes indirectes, comme par le biais du nom de domaine. En d'autres termes, l'hôte peut utiliser un domaine distant désigné pour remplacer l'adresse distante; le DNS configuré par le pare-feu du sous-hôte obtiendra alors une relation de mappage entre le nom de domaine et l'adresse IP, et utilisera le DDNS pour s'assurer que la relation de mappage est constamment mise à jour. Bien sûr, les noms de domaine configurés dynamiquement peuvent également être utilisés avec le modèle de stratégie IPSec.

Tableau 1-4 Désignation du nom de domaine homologue dans l'homologue IKE

Ajustements de configuration

Hôte FW_A

Sous-hôte 1 FW_B

Configuration IPSec

Seules les modifications de configuration d'homologue IKE

comme un pair

 ike-proposition 10

clé pré-partagée tiandihui1

domaine  distant www.adcd.3322.org

Aucun changement

Configuration supplémentaire

-

1. Démarrez la résolution du nom de domaine    

résolution DNS

serveur DNS 200.1.1.1

2. Configurez la stratégie DDNS // la configuration suivante nécessite un contact avec le fournisseur de services DDNS et doit être effectuée conformément aux instructions du fournisseur de services DDNS.    

ddns policy abc

client  ddns www.adcd.3322.org

serveur  ddns www.3322.org

nom d'utilisateur ddns abc123 mot de passe abc123

3. Appliquer la stratégie DDNS // le port de numérotation est l'interface logique qui correspond à l'interface ADSL. Cette solution a relativement plus d'applications pour les ports d'accès distant ADSL sous-hôte; dans ce cas, la stratégie DDNS du sous-hôte s'appliquera au port de numérotation.    

activer le client dns

numéroteur d'interface 1

les ddns appliquent la politique abc

La limitation de cette solution est que les parties d'accès dynamique doivent avoir un nom de domaine fixe et doivent également ajouter des configurations DNS et DDNS, ce qui est un peu compliqué. En tant que tel, il n'est pas aussi utile que le modèle de stratégie IPSec. N'utilisez cette méthode que si vous n'avez pas d'autre choix.

4 Résumé

Alors, quelle est la qualité du modèle de stratégie IPSec? Dans des situations pratiques, il ne s'agit pas de mener la bataille seul, et la guerre ne peut être gagnée que si le modèle et les stratégies IKE IPSec fonctionnent ensemble. Leur compatibilité est indiquée dans le  tableau 1-5 .

Tableau 1-5  Modèle de stratégie IPSec et compatibilité de stratégie IKE IPSec

Scénario

Hôte FW_A

Sous-hôte FW_B

Adresse IP de l'hôte fixe + adresse IP du sous-hôte fixe

Stratégie IPSec IKE ou modèle de stratégie IPSec

Politique IPSec IKE

Adresse IP de l'hôte fixe + adresse IP du sous-hôte attribuée dynamiquement

Modèle de stratégie IPSec ou de stratégie IKE IPSec (nom de domaine homologue désigné)

Politique IPSec IKE

Adresse IP de l'hôte attribuée dynamiquement + adresse IP du sous-hôte attribuée dynamiquement

Modèle de stratégie IPSec ou de stratégie IKE IPSec (nom de domaine homologue désigné)

Stratégie IPSec IKE (nom de domaine homologue désigné)

Le modèle de stratégie IPSec est vraiment très puissant, et ce n'est qu'avec ce bouclier en main que le FW hôte peut se connecter aux FW sous-hôtes, sans souci, qu'ils utilisent des adresses IP publiques, une configuration fixe ou même des adresses dynamiques. Cependant, après avoir regardé de plus près, nous pouvons voir que le modèle de stratégie IPSec adopte différentes approches pour les adresses IP publiques et privées. Lorsque l'homologue est une adresse IP privée, le modèle de stratégie IPSec doit encore prendre d'autres mesures pour que tout soit en ordre!

Pour afficher la liste de tous les articles techniques de Dr. WoW, cliquez sur  Learn Firewalls with Dr. WoW !

C'est ce que je veux partager avec vous aujourd'hui, merci!


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.